Kybernetická bezpečnost Archives - Soitron
Státní bezpečností orgány některých zemí vstupují do interních softwarových systémů soukromých firem a organizací. Snaží se tak z hackery napadnutých informačních systémů odstranit potenciálně škodlivé programové kódy. To vše provádí nejen ze svých serverů, ale i navzdory tomu, že to organizace neí, nebo si to možná nepřejí. Tímto chováním otevírají Pandořinu skříňku. Je to v pořádku? Kam až může státní orgán zajít vůči soukromému subjektu? Neposouvají se hranice až příliš daleko?
Rozsáhlé kampaně závažných kybernetických útoků v uplynulých dnech jen potvrdily, že je zapotřebí jednat. Hlavně rychle. Proto v dobré víře vlády zemí přistupují k poměrně zajímavému způsobu řešení již odhalených infikovaných systémů, kdy jejich odborníci odstraňují backdoory a další škodlivé kódy. Z poslední doby jsou známé příklady, kdy se tak stalo i bez souhlasu od správce systému.
„Není to tak dlouho, co malware Emotet napáchal v Německu v různých subjektech a firmách obrovské škody. Díky zásahu Spolkové policie bylo toto nebezpečí zničeno. Odborníci policie ovládli řídící servery a připravili pro ně program, který infikovaným systémům poslal instrukce, aby škodlivý software deaktivoval a odstranil. Efektivně se tak zbavili celého problému,“ podotýká Martin Lohnert, bezpečnostní odborník společnosti Soitron.
Druhý případ souvisí s tématem žhavým v posledním době, a to sice napadáním Microsoft Exchange serverů. Jejich zranitelnosti (na které správce neaplikoval záplaty) jsou hackery zneužívány po celém světě. Připomeňme, že Microsoft zabezpečení k dispozici má. Celá věc měla zajímavou dohru v USA. „Instituce sice vyzvaly firmy ať problém vyřeší samy, avšak i po měsíci od tohoto oznámení stále existovaly desetitisíce serverů bez aktualizace,“ popisuje Martin Lohnert a dodává: „Na základě toho vydal okresní soud jižního obvodu Texasu svolení k možnosti zasáhnout v soukromých serverech bez souhlasu jejich vlastníků. FBI se tak postarala o to, aby učinila přítrž dalším útokům“. Soud americkému Federálnímu úřadu pro vyšetřování dovolil vyhledat a analyzovat servery. Zajímalo jej zda obsahují uvedenou zranitelnost. Umožnil archivovat a analyzovat veškerý kód související s napadením serverů a dále aktualizaci serverů, opravující chyby, které souvisís popsanou zranitelností.
„Také v České republice bylo stejnou zranitelností napadeno mnoho serverů, ale jak už je u nás zvykem, nikdo se tím moc nechlubí. Což není úplně dobře, protože to nejhorší, co může kyberbezpečnost oslabovat, je tutlání,“ podotýká prezident Českého institutu manažerů informační bezpečnosti (ČIMIB) Aleš Špidla.
Mají orgány právo zasahovat do soukromých serverů?
Martin Lohnert podotýká, že se nedá upřít, že v obou případech se orgány snaží provést dobrou věc. „Státní bezpečnostní instituce chtěly firmám odstranit škodlivý software. Roli zde ale hraje i otázka morálnosti takového kroku,“ uvádí. Svět se změnil. Celá řada věcí, které se na první pohled jeví jako nemožné a v rozporu s právem, je naprosto v pořádku. Pohyb v kyberprostoru, který není světem absolutní svobody a už vůbec ne světem absolutního dobra, je tak dynamický, že jakákoliv časová prodleva reakce může vést k fatálním následkům.
„Když už to přirovnám k policejní akci ve fyzickém světě, tak je to obdoba zásahu na základě soudního povolení. Je tady ale obrovský rozdíl v rozsahu akce a v optimální rychlosti reakce,“ popisuje Aleš Špidla a dodává, že podle Tallinského manuálu (analýza použitelnosti mezinárodního válečného práva v kyberprostoru ) je kyberútočník povoleným cílem kinetického útoku.
Otázka morálnosti je určitě na místě, ale je tu jedno velké „ale“ stejně jako u práva na přiměřenou obranu. Množství napadených serverů generuje oprávněnou obavu z jejich možného zneužití k útoku na jakýkoliv cíl, a to takového, který by nešel zastavit. A co obránci zbývá? ČIMIB popisuje, že je to jako když se k mostu přes řeku valí nepřátelské tanky a obráncům nezbude než ten most vyhodit do povětří a tanky zastavit. Škody se počítají až potom a před stisknutím tlačítka není čas se ptát, komu ten most patří.
„Při kyberútocích se to zásadní odehraje v prvních 20 až 100 milisekundách. Tam čas na diskuse s právníky opravdu není,“ popisuje Aleš Špidla.
Podobné zásahy cizího státu na našem území jsou reálné
Otázkou také je, zda je v pořádku, že orgány takové zásahy na území svého státu povolí provést. Nebo dokonce mohla by něco podobného udělat německá policie i na územní České republiky? Prezident ČIMIB uvádí, že je to reálné, protože mezi státy probíhá velmi intenzivní spolupráce v rámci Europolu, pokud se týká škodlivých aktivit v oblasti kyberkriminality v Evropě. Stejně tak existuje intenzivní spolupráce institucí zodpovídajících za kybernetickou bezpečnost – u nás Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), v rámci EUROCERTu (orgán pro certifikaci systémů managementu), a těch, kteří zodpovídají za kybernetickou obranu – u nás Vojenské zpravodajství (VZ) a ostatními zpravodajskými službami.
Ilustrační obrázek – desktop počítače
„Spolupráce a synchronizace zásahů probíhá na mezinárodní úrovni nejen v rámci EU ale i se spojenci v rámci NATO. Takže takovýto zásah by byl určitě výsledkem kooperace všech relevantních institucí napříč,“ vysvětluje Aleš Špidla. Je na místě zdůraznit rozdíl mezi NÚKIB a VZ. Zjednodušeně NÚKIB má ve své gesci prevenci a VZ má kompetenci obrany a mimo jiné i oprávnění kybernetického protiútoku proti identifikovanému útočníkovi.
Prezident ČIMIB připomíná, že jsme demokratická země, která se řídí právem a takovýto zákrok podléhá regulaci jako každý jiný. „V tom se lišíme od zemí, které demokratickým zřízením nedisponují. Případný zákrok se odvíjí od analýzy rizik, což znamená zjednodušeně odpovědi na otázky, co hrozí, když nezasáhneme a co hrozí, když zasáhneme,“ uvádí Aleš Špidla. Ta musí proběhnout rychle a je k ní zapotřebí mít množství spolehlivých a včasných informací, což se v podobném případě bez intenzivní vnitrostátní a mezinárodní spolupráce nedá zajistit. A nejenom té. Identifikace útočníka je vždy výsledkem práce kyberbezpečnostních expertů a analytiků ze všech zpravodajských služeb, ať už své informace získávají jakýmkoli způsobem.
Prevence je nejlepší ochrana
Legislativa těchto zdokumentovaných událostí je jedna věc. Morálnost druhá. Asi žádná organizace by si nepřála, aby bez jejího vědomí mohla do informačních systému vstoupit policie. A to i přes to, že by tak učinila v dobré víře a po předchozí výzvě, aby si organizace zranitelnost sama zabezpečila. Nikdy totiž není možné zaručit, že v systému nenapáchají více škod než užitku a třeba ho neadekvátním chováním zcela nevyřadí z provozu.
Je třeba mít stále na paměti, že data jsou tím nejcennějším aktivem firmy, a proto se stávají cílem útoků různých hackerů nebo crackerů. Neustálý technologický pokrok přitom jen zvyšuje závislost firem na informačních technologiích.
Kybernetická bezpečnost VII.
Umělá inteligence – Transformace zabezpečení k lepšímu a horšímu
Martin REHÁK, zakladatel a CEO, Bulletproof AI – Secure and Fair Machine Learning
Umělá inteligence (AI) je na samém vrcholu svého humbukového cyklu. Pojďme mluvit o skutečných schopnostech, které nabízí obránci a útočníkovi, o jejích silných a slabých stránkách a proč by to neohrozilo lidstvo před tím, než všichni odejdeme do důchodu – pokud to neuděláme sami.
Bezpečí domova s.r.o.
Bezpečí domova Firma Bezpečí domova společnost s ručením omezeným. V obchodním rejstříku je zapsána pod spisovou značkou C 108282, Krajský soud v Brně. Její základní kapitál je ve výši 1 000 Kč. Máte od tohoto subjektu nesplacené pohledávky? Základní údaje o subjektu IČ: 07461992 Sídlo: U Cihelny 2347/2, Jihlava, 586 01 Právní forma: Společnost s ručením omezeným Datum vzniku: 14. 9. 2018 Aktuální kontaktní údaje Bezpečí domova platný telefon
emailové adresy
webové stránky
kontaktní osoby
Ukázat vše
Vztahy (2 fyzické osoby)
Registr ekonomických subjektů Statistické údaje institucionální sektor Národní soukromé nefinanční podniky velikostní kat. dle počtu zam. 1 - 5 zaměstnanců Klasifikace ekonomických činností 432 Elektroinstalační, instalatérské a ostatní stavebně instalační práce 749 Ostatní profesní, vědecké a technické činnosti j. n.
Obchodní rejstřík Spisová značka C 108282, Krajský soud v Brně Obchodní firma Premium Trading od 14. 9. 2018 Právní forma Společnost s ručením omezeným od 14. 9. 2018 adresa U Cihelny 2347/2
Jihlava 58601 od 14. 9. 2018 Předmět podnikání Výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona od 30. 9. 2021 Montáž, opravy, revize a zkoušky plynových zařízení a plnění nádob plyny od 30. 9. 2021 výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona do 30. 9. 2021 od 14. 9. 2018 Kapitál Základní kapitál vklad 1 000 Kč od 14. 9. 2018 Statutární orgán 1 fyzická osoba Roman Bartoš Jednatel První vztah: 29. 11. 2021 vznik funkce: 8. 11. 2021 Řetůvka 41, 561 41, Česká republika Další vztah k této osobě člen kontrolní komise SK Řetůvka, z.s. Řetůvka 53, 561 41 Historické vztahy Ing. Jana Dvořáková Jednatel První vztah: 18. 3. 2021 - Poslední vztah: 29. 11. 2021 zánik členství: 8. 11. 2021 vznik funkce: 17. 3. 2021 zánik funkce: 8. 11. 2021 Pod Kaštany 647, Černá Hora, 679 21, Česká republika Jana Snížková jednatel První vztah: 14. 9. 2018 - Poslední vztah: 18. 3. 2021 vznik členství: 14. 9. 2018 vznik funkce: 14. 9. 2018 zánik funkce: 17. 3. 2021 Březinova 3641/2, Jihlava, 586 01, Česká republika Jednatel jedná za společnost samostatně ve všech věcech. od 14. 9. 2018 Další vztahy firmy Bezpečí domova 1 fyzická osoba Roman Kratochvíl První vztah: 29. 11. 2021 vklad 50 Kč splaceno 100 % obchodní podíl 5 Topolová 1761, Choceň, 565 01, Česká republika Historické vztahy Ing. Jana Dvořáková První vztah: 18. 3. 2021 - Poslední vztah: 29. 11. 2021 vklad 50 Kč splaceno 100 % obchodní podíl 5 Pod Kaštany 647, Černá Hora, 679 21, Česká republika Jana Snížková První vztah: 14. 9. 2018 - Poslední vztah: 18. 3. 2021 vklad 1 000 Kč splaceno 100 % obchodní podíl 100 Březinova 3641/2, Jihlava, 586 01, Česká republika
Živnostenský rejstřík vznik první živnosti: 14. 9. 2018 Živnosti Výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona Obory činnosti Poradenská a konzultační činnost, zpracování odborných studií a posudků Druh živnost volná Vznik oprávnění 14. 9. 2018
Jak změnit data na této stránce Data uváděná na této stránce jsou přebírána z veřejných databází Ministerstva financí a Ministerstva spravedlnosti.
Jakékoli požadavky na jejich úpravu či odstranění je proto nutné směřovat na tyto zdroje. Všechny provedené změny se projeví do 60 dnů i na serveru který jednotlivá data přebírá automaticky bez ručního zásahu.
Data ohledně klasifikace ekonomických činností jsou přebírána z veřejné databáze Ministerstva financí ČR (MFČR). Jakékoli požadavky na jejich úpravu či odstranění je proto nutné směřovat na zdroj MFČR, konkrétně na e-mail: Data ohledně právní formy, předmětu podnikání, kapitálu, odpovědných osobách a ostatních skutečnostech jsou přebírána z veřejné databáze Ministerstva spravedlnosti ČR (MSČR). Jakékoliv požadavky na jejich úpravu či odstranění ve veřejných rejstřících je v případě obchodního rejstříku nutno uplatnit postupem podle
Veškeré údaje o ekonomických subjektech, firmách a živnostnících, které zde uveřejňujeme, pocházejí z veřejně dostupných rejstříků (například obchodního rejstříku či živnostenského rejstříku). Pokud máte za to, že údaje jsou nepřesné či že by z nějakého důvodu veřejně dostupné být neměly, je nutno obrátit se na správce příslušného zdrojového rejstříku se žádostí o opravu či výmaz. Změna či odstranění údaje provedené správcem příslušného veřejně dostupného rejstříku se poté bez nutnosti Vašeho dalšího požadavku promítnou v rámci pravidelné aktualizace i do námi uveřejňovaných údajů.
