Poklesne díky Certificate Transparency počet útoků založených na podvržených certifikátech?

Od 30. dubna 2018 musí být všechny vydané TLS certifikáty vystaveny v databázích Certificate Transparency, zkr. CT.

Pokud tam prohlížeč Google Chrome certifikát nenajde, tak jej bude považovat za nedůvěryhodný.

Rubrika: Bezpečnost
celý článek

Punycode a phishing, na který se prý nachytají i bezpečnostní experti – 2. díl

V tomto příspěvku se podíváme, zda je nadále možné zneužívat vlastnosti spočívající v použití speciálních znaků v názvech domén k phishing útokům.

Od posledně se nic zásadního nezměnilo, i když k určitým změnám k lepšímu přeci jen došlo. Ostatně, posuďte sami, jak se s tímto problémem vypořádaly jednotlivé prohlížeče.

Rubrika: Bezpečnost
celý článek

Vytěžování dat, politický marketing a ovlivňování voleb

Nechápu tak nějak ten povyk kolem zpracování informací, které o sobě uživatelé na Facebooku sami uvedli a podmínky jejich použití odsouhlasili a někdo je pak vytěžil a použil.

Vlastně chápu. Problém je, že to není hlas lidu, kterému by to vadilo, ale opozice, která prostě jen přišla zkrátka a jejich poradce štve, že to nebyli oni, kdo dokázal těchto informací využít lépe a tak aspoň vyrobili problém.

Rubrika: Marketing
celý článek

GDPR: Šifrování vás před únikem citlivých informací a pokutou neochrání

Také vám váš DPO doporučuje šifrovat citlivé informace při přenosu přes internet a v úložišti?

Tak doporučení je to jistě chvályhodné, jenže problém je, že šifrování dat v úložišti vás v zásadě ochrání jen v jednom jediném případě, a to když vám někdo ukradne celý počítač anebo se ho zbavíte a nesmažete bezpečně data na něm uložená.

Rubrika: Bezpečnost
celý článek

Je SecDevOps jen další buzzword?

Hlavní myšlenkou SecDevOps je užší spolupráce mezi vývojem (Development, zkr. Dev) a provozem (Operations, zkr. Ops) a útvarem bezpečnosti (Security, zkr. Sec).

V rámci DevOps je důležité rychlé uvolňování a nasazování nových verzí, k tomu je třeba provádět nepřetržité testování, soustavný monitoring a neustále se zlepšovat.

Rubrika: Vývoj SW
celý článek

Jak posoudit úroveň zavedení strategického řízení v organizaci

V tomto příspěvku najdete sadu několika naprosto elementárních otázek, které vám umožní odhalit úroveň strategického řízení ve vaší organizaci a následně navrhnout kroky vedoucí k jeho zlepšení.

Tento článek patří do prémiového obsahu a je přístupný pouze pro registrované uživatele, abyste si ho mohl přečíst celý, musíte se nejprve přihlásit.
Rubrika: Management
celý článek

GDPR: Monitoring činností zaměstnanců a jejich elektronické komunikace

Zaměstnavatel je oprávněn monitorovat činnost zaměstnance i jeho elektronickou komunikaci.

Monitoring je možný a může být prováděn i bez souhlasu zaměstnance, protože jsou jím chráněny zájmy zaměstnavatele. Nicméně zaměstnanec musí být o rozsahu a způsobu kontroly informován.

Rubrika: Bezpečnost
celý článek

HTTPS vzbuzuje falešný pocit bezpečí

Stále větší počet webů využívá HTTPS. Bohužel i těch, na kterých jsou umístěny podvodné stránky v rámci phishingu.

Útočníci mohou svůj škodlivý obsah nebo phishing umístit na web, který je chráněn certifikátem.

Rubrika: Bezpečnost
celý článek

Strategický management: definice mise a vize

Management organizace by si měl v první řadě uvědomit, co je jeho posláním a čeho chce opravdu dosáhnout.

Poté by měl jasně popsat, jaká je jeho mise a především pak vize, protože bez ní nemá šanci v delším časovém horizontu uspět.

Rubrika: Management
celý článek

GDPR: Kdy není potřeba souhlas ze strany zaměstnance se zpracováním osobních údajů?

Na tuto otázku je celkem jednoduchá odpověď. V okamžiku, kdy zaměstnanec nemá možnost volby.

Pokud zaměstnanec nemá možnost volby, tak je jeho souhlas zbytečný a je zde jiný právní titul, který zpravidla legalizuje zpracování jeho osobních údajů.

Rubrika: Bezpečnost
celý článek