OSINT je proces transformace dat z OSD (Open Source Data) na OSIF (Open Source Information) následně na OSINT a nakonec na OSINT-V (validated).

V rámci OSINT je třeba naplánovat, z jakých zdrojů budou informace získávány.

Nejedná se o žádný sofistikovaný způsob, nevyužívá se ani žádné technické zranitelnosti, nýbrž obyčejných technik sociálního inženýrství.

Prostě vlezeš na nějaký web a ten ti zobrazí Bublinu s „Povolit oznámení z tohoto webu a vpravo je „Povolit“ a vlevo „Odmítnout“, přičemž většina lidí automaticky kliká na pravé tlačítko, aby se té bubliny, co jim na tom malém displeji zakrývá většinu obsahu webu, co nejrychleji zbavili.

Návrh fyzických bezpečnostních opatření se odvíjí od postavení organizace na trhu, jejího poslání a hrozeb, kterým je vystavena.

Předpokladem je vždy rozčlenění objektu na zóny, ve kterých se může pohybovat veřejnost, kde dochází ke střetu mezi zaměstnanci a veřejností, a dále pak zóny, kde se mohou pohybovat jen zaměstnanci a konečně i zóny, kde se může pohybovat jen vybraná skupina zaměstnanců, např. výpočetní středisko.

Byť se teď o AI hodně mluví a najednou je na ní každý expert, tak přesto ve většině organizací není AI ani řádně definována a je za ní považováno cokoliv.

Že není sepsána politika, standardy a směrnice pro používání AI, a nejsou ani identifikována a řízena rizika AI, není snad ani potřeba dodávat. Pojďme se proto podívat na konkrétní rizika AI, která můžeme rozdělit do několika skupin.

V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.

Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.

Certified in Cybersecurity, dále jen CC, je základní bezpečnostní certifikace od společnosti (ISC)², kterou je možné absolvovat bez poplatku, což je super.

A zdarma je možno absolvovat i stejnojmenný on-line kurz, který by vás měl na tuto zkoušku připravit. Přípravný kurz CC, který je dostupný po registraci na stránkách (ISC)² se skládá z 5 modulů, v rámci kterých jsou vysvětleny základní pojmy.

Věříte tomu, co čtete v chatu MS Teams? A víte, že se vám může skrytě měnit?

Chatujete často, nevěříte na spoofing, říkáte si, co je psáno to je dáno? A co když vám řeknu, nedělejte to, chat se vám může změnit doslova pod rukama.

Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).

Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.

Byť jsou k dispozici nejrůznější návody pro řízení rizik informačních systémů, tak AI systémy jsou v lecčems jedinečné, především ve své nepředvídatelnosti, neboť jsou trénovány nad daty, která se mohou měnit a dále se pak samy mění na základě interakce s lidmi.

NIST zveřejnil řadu dokumentů týkajících se řízení rizik umělé inteligence. Klíčový je pak rámec pro řízení rizik umělé inteligence AI RMF 1.0 z ledna 2023.

Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.

Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.