Útoky z tohoto roku ukázaly, že AI asistenti představují úplně nový typ rizika.

Techniky, které byly dříve využívané ve phishingu, fungují celkem spolehlivě i zde: skrytý text, neviditelné části dokumentu, obsah posunutý mimo viditelnou oblast nebo data uložená v base64.

Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.

V prostředí řízení bezpečnostních incidentů se často zaměňují pojmy incident response plan, playbook a runbook. Přestože se tyto dokumenty vzájemně doplňují, liší se svým účelem, úrovní řízení i mírou detailu.

Cílem článku je vyjasnit, jak tyto pojmy používají mezinárodní standardy (ISO/IEC 27035, NIST SP 800-61 Rev. 3) a jak je vhodně propojit v praxi.

Ransomware představuje jednu z nejzávažnějších hrozeb současného kyberprostoru. Jeho dopad dalece přesahuje rámec běžného provozního narušení a zasahuje samotnou existenci organizací.

V tomto článku analyzujeme průběh ransomwarových útoků, techniky exfiltrace dat a specifika útoků v cloudovém prostředí. Zaměřujeme se jak na teoretická východiska, tak na empirické poznatky z praxe, které ukazují skutečný způsob, jakým útočníci operují.

Každá organizace, která to s kybernetickou odolností myslí vážně, si dříve či později položí otázku, jak vlastně testovat svou odolnost? A odpověď je nasnadě.

Ale má to být table top, technický dry run, automatizovaná BAS simulace, nebo rovnou red teaming?

Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.

Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.

O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.

Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix.

Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně-inženýrských principů.

Matice rizik patří k nejrozšířenějším nástrojům v oblasti řízení rizik. Nabízejí jednoduchou formu vizualizace rizik podle dvou dimenzí – dopadu a pravděpodobnosti.

Právě tato srozumitelnost stojí za jejich popularitou u managementu i auditorů. Jak je ale ukázáno v článku o hanojském masakru krys, popularita je někdy důsledkem iluze efektivity, nikoli reálné užitečnosti.