Kybernetická bezpečnost: základní fyzická bezpečnostní opatření

Návrh fyzických bezpečnostních opatření se odvíjí od postavení organizace na trhu, jejího poslání a hrozeb, kterým je vystavena.

Předpokladem je vždy rozčlenění objektu na zóny, ve kterých se může pohybovat veřejnost, kde dochází ke střetu mezi zaměstnanci a veřejností, a dále pak zóny, kde se mohou pohybovat jen zaměstnanci a konečně i zóny, kde se může pohybovat jen vybraná skupina zaměstnanců, např. výpočetní středisko.

Štítky:
celý článek

Řízení rizik umělé inteligence – 2. díl

Byť se teď o AI hodně mluví a najednou je na ní každý expert, tak přesto ve většině organizací není AI ani řádně definována a je za ní považováno cokoliv.

Že není sepsána politika, standardy a směrnice pro používání AI, a nejsou ani identifikována a řízena rizika AI, není snad ani potřeba dodávat. Pojďme se proto podívat na konkrétní rizika AI, která můžeme rozdělit do několika skupin.

Štítky:
celý článek

Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.

V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.

Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.

Štítky:
celý článek

CC aneb Certified in Cybersecurity

Certified in Cybersecurity, dále jen CC, je základní bezpečnostní certifikace od společnosti (ISC)2, kterou je možné absolvovat bez poplatku, což je super.

A zdarma je možno absolvovat i stejnojmenný on-line kurz, který by vás měl na tuto zkoušku připravit. Přípravný kurz CC, který je dostupný po registraci na stránkách (ISC)2 se skládá z 5 modulů, v rámci kterých jsou vysvětleny základní pojmy.

Štítky: ,
celý článek

Microsoft Teams: Jak se máte zranitelnosti?

Věříte tomu, co čtete v chatu MS Teams? A víte, že se vám může skrytě měnit?

Chatujete často, nevěříte na spoofing, říkáte si, co je psáno to je dáno? A co když vám řeknu, nedělejte to, chat se vám může změnit doslova pod rukama.

Štítky:
celý článek

Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti

Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).

Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.

Štítky: ,
celý článek

Řízení rizik umělé inteligence

Byť jsou k dispozici nejrůznější návody pro řízení rizik informačních systémů, tak AI systémy jsou v lecčems jedinečné, především ve své nepředvídatelnosti, neboť jsou trénovány nad daty, která se mohou měnit a dále se pak samy mění na základě interakce s lidmi.

NIST zveřejnil řadu dokumentů týkajících se řízení rizik umělé inteligence. Klíčový je pak rámec pro řízení rizik umělé inteligence AI RMF 1.0 z ledna 2023.

Štítky:
celý článek

Microsoft Teams: týmová spolupráce je super, ale…

Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.

Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.

Štítky:
celý článek

Vulnerability management: Exploit Prediction Scoring System

Exploit Prediction Scoring Systém, zkr. EPSS slouží ke stanovení pravděpodobnosti zneužití zranitelnosti, které bylo přiděleno CVE.

Hlavní myšlenka EPSS vychází z předpokladu, že jestliže existuje obrovské množství zranitelností, ale jen některé z nich jsou pak reálně zneužívány, tak by bylo vhodné se jako první věnovat těm zranitelnostem, u kterých je větší pravděpodobnost, že budou v následujících 30 dnech skutečně zneužity.

Štítky:
celý článek

OSINT: co je to surface web, deep web a darknet web

Povrchový, hluboký a temný web. V originále surface, deep a darknet web lze využívat v rámci OSINT k získávání informací.

Nejčastěji se tyto tři vrstvy internetu zobrazují jako ledovec, kdy ta menší část je surface web nacházející se nad hladinou nazývaná též jako viditelný web (visible web) a deep web a darknet web je pak ta větší část skrytá pod hladinou, nazývaná též jako neviditelný/skrytý web (invisible/hidden web).

Štítky:
celý článek