Zatímco návrh nového zákona o kybernetické bezpečnosti se z vlády posunul k projednání do Poslanecké sněmovny (sněmovní tisk č. 759) a Evropská komise ukončila veřejnou konzultaci nad návrhem prováděcího opatření k řízení rizik kybernetické bezpečnosti a povinnosti podávání zpráv pro digitální infrastrukturu, poskytovatele a správce služeb ICT, pokračuje válka v kybernetickém prostoru.
Společnost Dragos Security vydala analýzu kybernetického útoku, ke kterému došlo v lednu 2024, když útočník vyřadil z provozu vytápění pro sto tisíc obyvatel Lvova. Útočníci využili zranitelnosti v MikroTik routerech, které najednou začaly hlásit nebezpečně vysokou teplotu vody. Na to systém zareagoval tím, že začal do ústředního topení napouštět vodu studenou. I přes stoprocentně neprůkaznou atribuci to vypadá, že za útokem stojí aktér Sandworm (ve skutečnosti 74455. jednotka pod vojenskou zpravodajskou službou GRU).
Ruská služba FleepBot, která slouží k odesílání zpráv jménem vlastníka telegramových kanálů, byla použita pro hacknutí ukrajinských zpravodajských kanálů, např. Times of Ukraine, Real Kyiv nebo Kharkiv Live. Ukrajinské úřady vydaly opětovné varování před používáním softwaru ruského původu.
Proton VPN, Red Shield VPN ani NordVPN už nenajdete v ruském App Storu. Apple totiž vyhověl požadavku Roskomnadzoru, ruského cenzorního úřadu, a odstranil 25 aplikací VPN z ruského App Sporu. Zákon zakazující VPN, proxy servery a Tor podepsal Putin už v červenci 2017, ale až v březnu 2019 se ho ruské úřady pokusily vymáhat.
Apple rozeslal dotčeným firmám zprávu, ve které jim oznámil, že „vaše aplikace bude na žádost Roskomnadzoru odstraněna z ruského obchodu s aplikacemi, protože obsahuje obsah, který je v Rusku nezákonný a není v souladu s pokyny pro posuzování aplikací. Pokud potřebujete další informace týkající se tohoto odstranění nebo zákonů a požadavků v Rusku, doporučujeme vám obrátit se přímo na Roskomnadzor. Vaše aplikace byla sice z obchodu App Store v Rusku odstraněna, ale v obchodech App Store pro ostatní území, která jste vybrali v aplikaci App Store Connect, je stále k dispozici.“
Zástupci společnosti Red Shield VPN k tomu uvedli, že „ruské úřady za posledních šest let zablokovaly tisíce VPN uzlů, ale nedokázaly ruským uživatelům zabránit v přístupu k nim. Společnost Apple však tuto práci udělala efektivněji za ně“.
Ukrajinská vojenská rozvědka ještě před začátkem prázdnin zahájila sérii kybernetických operací s cílem narušit IT služby na Ruskem okupovaném Krymu. DDoS útoky byly zaměřeny na místní operátory, poskytovatele propagandistického obsahu a systémy řízení dopravy na kerčském mostě.
Hacktivistickou aktivitu si připsala na svůj účet ukrajinská vojenská rozvědka HUR, když na více než stovky webů patřícím ruským vládním organizacím a firmám podílejícím se na vyzbrojování armády zavěsila obrázek useknuté hlavy prasete v barvách ruské vlajky.
O tom, že ruská agrese na Ukrajině může být také zdrojem znalostí a poučení pro posilování odolnosti kritické infrastruktury, není pochyb. Snad i proto Asociace kritické infrastruktury České republiky pod záštitou poslance a člena výboru pro bezpečnost pana Roberta Králíčka organizuje na 21. srpna 2024 odborný seminář Ukrajina 2024.
A zatímco němečtí operátoři musí z důvodu národní bezpečnosti odstranit ze svých sítí zařízení čínských společností ZTE a Huawei (do konce roku 2026 z jádra sítě a do konce roku 2029 z transportní části), estonský správní soud zažádal Evropský soudní dvůr o rozřešení předběžných otázek (C-354/24) ve věci označení firmy Huawei jako vysoce rizikového vendora. Na co se soud ptá?
- Spadá soubor vnitrostátních právních předpisů (= estonský zákon o elektronických komunikacích), které upravují za účelem zajištění národní bezpečnosti povinnost poskytovatele komunikačních služeb vyžádat si povolení pro používání hardwaru a softwaru ve své komunikační síti, do oblasti použití Evropského kodexu pro elektronické komunikace (dále jen „Kodex“)?
- Pokud ano, musí být čl. 1 odst. 3 písm. c) Kodexu ve spojení s čl. 4 odst. 2 Smlouvy o EU vykládán v tom smyslu, že zavedení těchto omezení spadá do výlučné pravomoci členského státu a představuje čistě vnitrostátní opatření, které se neřídí Kodexem?
- V případě záporné odpovědi na druhou otázku, představuje estonský zákon o elektronických komunikacích, který poskytovateli komunikačních služeb nedovoluje použít ve své komunikační síti hardware a software bez toho, aby si pro jejich použití vyžádal povolení správního orgánu, omezení volnosti v zajišťování sítí nebo poskytování služeb ve smyslu čl. 12 odst. 1 Kodexu?
- V případě kladné odpovědi na třetí otázku, je nezbytné upustit od použití takových vnitrostátních předpisů, pokud nebyly podle čl. 12 odst. 1 Kodexu předem oznámeny Evropské komisi?
- V případě kladné odpovědi na druhou otázku, je slučitelné s článkem 36 Smlouvy o fungování EU a zásadou proporcionality, jestliže vnitrostátní právní předpisy za účelem zajištění národní bezpečnosti požadují od poskytovatele komunikačních služeb, aby si vyžádal povolení k používání hardwaru a softwaru ve své komunikační síti, a správnímu orgánu při posouzení nebezpečí, které je spojeno s takovým hardwarem a softwarem, neukládají povinnost:
- posoudit, zda se rizika spojená s výrobcem promítají do konkrétního hardwaru a softwaru,
- zhodnotit funkčnost, umístění a význam konkrétního hardwaru a softwaru v rámci poskytování služby elektronických komunikací,
- zkoumat, zda se problémy spojené se státem sídla výrobce přenáší i na tohoto výrobce.
- Jedná se v případě, že je používání takového hardwaru a softwaru, který byl součástí komunikační sítě již před zavedením povinnosti vyžádat si povolení od správního orgánu a byl aktivně používán, a povolení je tak vydáno na dobu kratší, než je životnost tohoto hardwaru nebo softwaru, o vyvlastnění majetku ve smyslu čl. 17 odst. 1 druhé věty Listiny základních práv Evropské unie?
Nelze očekávat, že by se Evropský soudní dvůr s předběžnými otázkami rychle popasoval a příští měsíc vydal rozhodnutí, to lze očekávat tak do konce příštího roku, když to půjde rychle. Nicméně odpovědi na výše uvedené otázky budou mít vliv nejen na problematiku bezpečnosti dodavatelského řetězce, ale i další instituty týkající se zajištění národní bezpečnosti (odposlechy, data retention atd.).
Role kyberprostoru v hybridním působení, role státu v zajišťování kybernetické bezpečnosti nebo působení informačních a kybernetických sil při zajišťování kybernetické obrany (a další témata) budou prezentovány v září na tradiční konferenci CYBER_CON, kterou pořádá NÚKIB s podporou partnerů (sdružení CZ.NIC, NIX.CZ, CESNET, ESET, MŠMT, inovační ekosystém Jihomoravského kraje). I když lístky na samotnou akci jsou už vyprodané, stále je možné se přihlásit na některé workshopy, které se konají 9. září.
Vtipnou tečkou na závěr je nabídka na CYBER_CON od „hackerů z Alabamy“, resp. od spammera pana Kennedyho Smitha, který slibuje mi zaslat seznam účastníků slovutné brněnské konference. Ne, Smithe, ne!