„Kybernetické incidenty pohledem NÚKIB Červenec 2021“

Jelikož naší hlavní činností je poskytování profesionálních služeb v oblasti kybernetické bezpečnosti, důkladně jsme analyzovali důvod vzniku této zprávy, její obsah, formu i možné přínosy. V tomto článku se vám pokusíme přiblížit důvody proč ne/sledovat tyto reporty. 

Zpráva byla uveřejněna 11.08.2021 na webových stránkách https://nukib.cz/cs/infoservis/aktuality/ a zároveň byla informace zveřejněna i na sociálních sítích Facebook a Twitter. Škoda, že o dané zprávě nebylo inzerováno na platformě LinkedIN, kde má NÚKIB také svůj profil. Zde vidíme první drobnost ke zlepšení.

Další zlepšení vidíme v celkovém uvedení této novinky na světlo světa. Uvítali bychom drobnou předmluvu, proč s touto aktivitou NÚKIB začal, co tím sleduje a jaká má být dle něj přidaná hodnota. O stručnou analýzu se pokoušíme níže, ale fakta z úst autorů formou předmluvy k prvnímu dílu by byly zcela jistě více vypovídající. 

Proč zřejmě NÚKIB začal tyto zprávy vydávat? 

Samozřejmě první otázkou musí být, proč NÚKIB začal tyto zprávy vydávat a proč první z nich byla zveřejněna zrovna v červenci 2021. Toto může mít hned několik důvodů, napadají nás níže uvedené: 

 1. Akční plán 2021 – 2025 

V červenci tohoto roku byl schválen Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025.

V případě, že budete mít zájem o náš komentář k tomuto akčnímu plánu a celkové strategii pro roky 2021-2025, neváhejte nám napsat do komentářů nebo na sociální sítě. Při prozkoumání obsahu zjistíme, že vydávání podobných informací pokrývá body: 

• 10. Zpracovat návrh národní politiky koordinovaného zveřejňování zranitelností. 
• 11. Rozšiřovat a upevňovat spolupráci se soukromým sektorem, navyšovat povědomí o činnostech NÚKIB a možnostech vzájemně spolupráce. 
• 12. Provádět komunikační kampaně na podporu národních cílů v oblasti kybernetické bezpečnosti. 

Samozřejmě by bylo možné nalézt synergii těchto reportů i s dalšími body, ale tyto považujeme za stěžejní. Je tedy velice pozitivní, že prozatím to vypadá, že akční plán pro roky 2021-2025 by nemusel být jen sliby, ale skutečnými plány, kterých bychom se v nejbližších letech mohli dočkat. Pokud tomu tak skutečně bude, nezbývá než se těšit na světlé zítřky. 

2. Správné načasování 

Vydání prvního reportu o prázdninách, kdy bývá velká část odborné veřejnosti na dovolené, či tráví léto jinými aktivitami, než komentováním podobných, se zdá jako správný strategický tah. V případě, že by se cokoliv nepovedlo (chyby, kritika), je čas ještě způsobené škody napravit a v září vydat již odladěné číslo. 

3. Nově jmenovaný ředitel 

Nejde si nevšimnout, že od jmenování Ing. Karla Řehky do čela NÚKIB se tento úřad velmi zlepšil v komunikaci své práce směrem k veřejnosti. Celkově to pak působí, že úřad je mnohem více vidět a působí proaktivně. 

Jak se nám pozdává formát a výběr distribučních kanálů?

Při pohledu na formát podaných informací, tedy vzhled této zprávy, můžeme jedině jásat. Ti z nás, kteří měli možnost prohlédnout si auditní zprávy NÚKIB, jsou šťastní, že když NÚKIB chce, tak dokáže vytvořit šablonu dokumentu odpovídající současnému tisíciletí, a proto pevně věříme, že odbor kontroly (Auditu) bude tento trend následovat. 

Zpráva není příliš rozsáhlá (8 stran včetně titulky), což je jednoznačně pozitivní, protože jejím účelem má být vykreslení aktuálního stavu kybernetických incidentů v ČR, upozornění na aktuální hrozby a vývoj situace, nikoliv řešení technických detailů. Adresáty takových zpráv by tedy měli být především manažeři a architekti kybernetické bezpečnosti, nikoliv techničtí odborníci, pro které jsou zde zajisté vhodnější zdroje informací, které jdou do větší hloubky. 

Co se týká distribučního kanálu, tak PDF nelze přímo doporučit. Přeci jen samotná HTML zpráva s možností tisku do PDF by byla dle našeho názoru zcela jistě vhodnější.  

A co říkáme na samotný obsah zprávy? 

Jak jsme již psali, obsah je spíše manažerský a pro ty, kteří chtějí více technické informace (v českém jazyce), můžeme raději doporučit Seriál Postřehy z bezpečnosti, které jsou vydávány na serveru www.root.cz. 

 1. Úvod 

Naše první připomínka je hned k úvodu, kde by z našeho pohledu bylo vhodné zmínit, že se jedná o první zprávu svého druhu, jelikož až budou manažeři, statistici, či studenti bakalářských a diplomových prací hledat své zdroje, budou muset trávit desítky minut zjišťováním, proč se jim nedaří nalézt starší vydání tohoto reportu. 

Úvod by také mohl objasnit důvod vzniku tohoto reportu, aby nebylo třeba naší úvahy v sekci Proč NÚKIB začal tyto zprávy vydávat? 

2. Počet kybernetických incidentů nahlášených NÚKIB 

Statistika uvedená ve zprávě nám značí několik faktů: 

• Ukazuje se, že přes prázdniny je počet kybernetických útoků nižší. Tato čísla odpovídají tomu, že hackeři již nejsou počítačoví nadšenci, kteří nabourávají informační systémy společností tzv. pro radost, ale jedná se často o jednotlivce či celé organizace, které provádějí dané útoky za účelem zisku, jenž si poté samozřejmě v letních měsících chtějí užít na své „zasloužené“ dovolené. 
• Zdvojnásobení počtu incidentů oproti minulému roku může samozřejmě značit trend celkového nárůstu kybernetických útoků, ale z našeho pohledu může být toto způsobeno nárůstem počtu subjektů, kteří se nahlásili jakožto provozovatelé základní služby, VIS či KII. 
• Pouze jeden z devíti incidentů nahlásila osoba povinná ze zákona. To znamená, že se dá předpokládat, že ostatních osm případů pochází ze soukromého sektoru, nebo státní správy, která nespadá pod ZoKB. 

 3. Trendy v kybernetické za červenec pohledem NÚKIB

V této kategorii je uvedeno TOP5 kategorií incidentů včetně jejich trendů. Na první pohled se jedná o přehlednou stranu znázorňující zajímavé informace, při bližším pohledu máme ale k uvedeným informacím několik připomínek: 

1.kategorizace je rozdělena poněkud zvláštně. Zatímco v předchozí kapitole je uvedeno, že jsou incidenty kategorizovány pomocí metodiky ENISA, tak v tomto případě není zcela jasné: 

• dle čeho jsou jednotlivé kategorie určeny, 
• v případě, že je uveden nárůst či pokles, tak není určeno o kolik %, což je důležitá hodnota, jelikož nárůst o 5 % není nic dramatického, zatímco nárůst v desítkách procent už by mohl indikovat nový trend a nutnost zavedení vhodných opatření.

2.možnost získání konkrétních dat a čísel. 

 Závěrem

Iniciativu NÚKIB velmi vítáme. Je určitě zajímavé sledovat trendy z oblasti povinných subjektů a incidentů, které byly nahlášeny NÚKIB. Nicméně máme pár doporučení, u kterých věříme, že by mohly posunout tyto reporty na vyšší úroveň, například: 

• zvážit jiný způsob distribuce tohoto reportu, tak aby se zájemci včas dozvěděli o nově dostupném reportu www stránky (bez PDF), možnost přihlásit se k mailing listu, 
• u trendů (růst, stagnace, pokles) uvést i konkrétní čísla, případně graf za minulé měsíce, tak aby byl vidět dlouhodobý trend, 
• uvést konkrétní detaily, na základě kterých mohou ostatní provést nápravná opatření, například: 

• Co způsobilo, že některé z obětí nedokázaly obnovit své zálohy? Byly také zašifrovány, nebo byly zálohovány takovým způsobem, že se již nepodařilo data zpětně obnovit?  
• Způsob infiltrace a doručení ransomwaru do organizací. Jednalo se o e-mail, ve kterém musel někdo kliknout na odkaz, nakažený PDF soubor, či o stažení škodlivého souboru přímo z internetu? 

Tato data by mohla pomoci architektům kybernetické bezpečnosti při prosazování vypracování či aktualizace zálohovacích plánu, nebo úpravy školení. 

Tedy závěrem report a především iniciativu jako takovou hodnotíme kladně, nicméně nám v reportu schází informace, na základě kterých by mohly organizace nasadit ta správná nápravná opatření. Věříme ale, že se jedná o první počin svého druhu, který se bude vyvíjet a zlepšovat. 

ODKAZ: Kybernetické incidenty 07_2021