sales.cz

V neděli skončil veřejný test aukcí domén, který jsme před týdnem spustili. Splnil většinu našich očekávání a já si zde dovolím shrnout hlavní výstupy. V prvé řadě musím poděkovat za účast všem aktivním dražitelům, kteří se spolu s námi veřejného testu účastnili. Celkem jich bylo více než šedesát a podařilo se tak docílit simulace reálného provozu. Náměty na vylepšení, které nám byly zaslány jsme si zařadili na seznam věcí k řešení, tedy moc děkujeme i za tuto konstruktivní zpětnou vazbu. Během testování hlavní funkce systému obstála, v průběhu testu jsme nenarazili na nic fatálního, co by samotný průběh aukcí narušilo. Většina hlášených nedostatků má svoje řešení v optimalizaci nebo opravách frontendu.

Velmi důležitým závěrem veřejného testu je fakt, že uživatelé bez problémů pochopili logiku procesu aukcí. Možná až na jednu výjimku a to jsou automatické příhozy, které umožňují šetřit dražiteli čas. Nastaví si svoje maximum (které je neveřejné) a nechá systém automaticky reagovat na příhozy jiných, až do úrovně zadaného maxima. Zde jsme objevili dva drobné nedostatky. Jednak bychom chtěli vylepšit zobrazování všech příhozů (tedy i těch automatických) v historii a za druhé musíme lépe popsat mezní situaci, kdy se další dražitelé svými příhozy dostanou k maximu průběžnému leadera aukce blíže než je minimální příhoz. V takovém případě totiž systém přihodí částku nižší než je minimální příhoz, v krajním případě i nulovou. (pokud další dražitel trefí svým příhozem přesně maximum průběžného leadera aukce). Dotazy směřovaly také ke lhůtám a časům, které jsou zasílány v notifikačních e-mailech. Část jich byla negativně ovlivněna tím, že jsme lhůty pro veřejný test zkrátili a notifikace tak úplně přesně neplnily svůj účel. Do e-mailů ale určitě doplníme přesné časy (tam, kde pouhý datum nedává smysl) a také budeme komunikovat nejzazší termín požadované akce (zaplacení, registrace) a ne počet dní, které zbývají.

Byť primárním cílem veřejného testu nebyla registrace vydražených domén, i toto jsme samozřejmě vyzkoušeli. Ukázalo se, že registrátoři (neprověřovali jsme všechny) zatím nepodporují rozšíření, které jsme přidali k příkazům check_domain a create_domain, resp. k jejich návratovým kódům a tím pádem není u nich registrace domény s přednostním právem možná. S registrátory ale aktivně komunikujeme a dle jejich reakce je zřejmé, že potřebné změny do svých systémů většina z nich včas zapracuje. Nabídli jsme jim také, že na naše stránky umístíme odkaz a/nebo návod, které výherce v aukci nasměrují na správné místo v systému registrátora, aby u nich mohl svoji výhru snadno uplatnit.

Další komentáře padaly k možnosti přihlášení. Vzhledem k osvědčenému přihlašování pomocí MojeID (případně EU eID) jsme opravdu neuvažovali jinou možnost, je zdarma dostupná pro občany i firmy z EU. Pro systém aukcí opravdu potřebujeme ověřené identity, v Doménovém prohlížeči navíc autentizace pomocí MojeID a EU eID již byla implementována, tak proč vymýšlet znovu kolo? Nespornou výhodou MojeID je, že u velké části registrátorů se s ním mohou přihlásit také a vzhledem k provázanosti s registrem domén mají uživatelé díky MojeID ihned k dispozici také identifikátor kontaktu, na který provedou registraci domény. Prostředky NIA nemůžeme použít z důvodu legislativního omezení. Jakmile toto omezení padne, což by se mohlo stát v rámci implementace NIS2, podporu dalších prostředků NIA bychom samozřejmě rádi zavedli. Možnost využití EU eID byla jedním z výsledků evropského projektu RegeID. Využití komerční služby BankID brání zejména nezanedbatelné finanční náklady, které by s jeho využitím byly spojeny. Informace k možnostem přihlášení určitě doplníme do Nejčastějších dotazů na webu aukcí domén a budou obsahovat i specifický návod, jak má postupovat držitel EU eID. Mimochodem i takový dražitel se ve veřejném testu objevil, stejně jako jedna ověřená právnická osoba. To je také jedna z výhod nasazení služby MojeID, je to jediný u nás dostupný systém, který nabízí využitelnou ověřenou identitu právě i právnické osobě.

Možná proto, že jsme při běhu veřejného testu nenarazili na výkonnostní problémy, nepadl na toto téma žádný dotaz. Zátěž, kterou generovali účastníci veřejného testu však byla jen zlomkem té, co jsme změřili jako limitní při výkonnostních testech systému před jeho spuštěním. Právě díky výstupům z performance testů jsme nastavili limit 10 požadavků za sekundu pro jednoho uživatele. Tento limit je na hony vzdálený tomu, co běžný uživatel zvládne vygenerovat a odolnost infrastruktury aukcí toto opatření výrazně zvýší. Systém by tam měl bez problémů obsloužit řádově stovky dražitelů (myslíme si, že jich reálně spíše budou malé desítky) nad stovkami domén v aukci (reálně se do aukcí dostane 200 až 300 domén denně). A když jsem u těch čísel, ptali jste se, o kolik domén nebo jak často probíhají doménové souboje. Realita je taková, že o více než 10 procent domén nějaká forma souboje probíhá. Například data za třetí kvartál 2023 říkají, že do jedné minuty po smazání se zaregistrovalo půl procenta domén, do pěti minut více než tři procenta a do jednoho dne něco přes devět procent domén. S tím, že úspěšnost opakovaných registrací domén se mezi jednotlivými zájemci velmi lišila a více než dvě třetiny takových registrací končily v rukou jen několika málo držitelů. A právě toto nerovnoměrné rozložení bylo také hlavním důvodem, který vedl k úvahám o zavedení aukcí. Věříme, že právě díky aukcím budeme moct změnit i systém volných requestů registrátorů, ale s tím chceme počkat až potom, co aukce domén začnou fungovat v produkci.

Protože ve veřejném testu zcela chyběly obrazovky, které by zobrazovaly anonymizované výsledky aukcí (ano, v produkci budou), nabízím zde stručné shrnutí. Tím spíš, že vybrané finanční prostředky jsme slíbili z veřejného testu aukcí zaslat na dobročinné účely dle výběru výherců. V době vydání tohoto blogpostu ještě neuplynuly všechny lhůty na platby opakovaných kol, nicméně vězte, že se vybralo 32 537 Kč od čtrnácti různých dražitelů. To si myslím, vzhledem k tomu, že se dražilo 24 domén/předmětů, jasně vypovídá o tom, že došlo k daleko spravedlivějším rozdělení získaných domén/předmětů než je tomu dnes. Vybraná částka, stejně tak počet dražitelů, mě velmi mile překvapily.

Závěrem ještě několik úvah do blízké budoucnosti. Předpokládáme, že další rozvoj systému pro aukce domén bude významně ovlivněn jeho uživateli, s cílem přidávat případně funkce, které mohou uživatelům pomoci zlepšit uživatelský komfort. Nicméně v blízké době neuvažujeme zavést možnost vložit do aukce domény, které jsou někým aktuálně drženy. Systém by to technicky zvládl, ale tato změna by znamenala poměrně rozsáhlé změny v Pravidlech aukcí a registrací domén obecně a bylo by ji třeba nejdříve řádně promyslet. Na druhou stranu, některé novinky už máme těsně před realizací a tak se o nich krátce zmíním. Jde například o možnost nastavit si v předstihu maximum u domény, která se teprve do aukce připravuje nebo o možnost viditelného příhozu vyššího než je velikost příhozu minimálního. Dále určitě budeme z aukcí domén zveřejňovat statistiky a uvažujeme také o možnosti nechat si zasílat seznam domén, které půjdou do aukce e-mailem. Aktuálně probíhá ladění systému, plánujeme ještě jednu sadu výkonnostních a penetračních testů a proto budou zejména funkční části systému aukcí, které jsou zejména v Doménovém prohlížeči, pro veřejnost odstaveny.

Kovářova kobyla už opět chodí bosa. Současná Evropská komise, která v posledních 5 letech vydala tolik regulačních pravidel pro digitální svět jako nikdy předtím nyní dostala pokárání od Evropského inspektora ochrany údajů. Ten zjistil, že komise používáním služby Microsoft 365 porušila několik klíčových pravidel ochrany údajů, včetně pravidel týkajících se předávání osobních údajů mimo EU, resp. Evropský hospodářský prostor („EHP“). Evropský inspektor ochrany údajů se proto rozhodl nařídit Komisi (s účinností od 9. prosince 2024), aby pozastavila veškeré toky údajů vyplývající z používání služby Microsoft 365 společnosti Microsoft a jejím přidruženým společnostem a dílčím zpracovatelům nacházejícím se v zemích mimo EU, resp. EHP.  Seznam nápravných opatření, která musí Komise přijmout, aby zajistila soulad s GDPR, zahrnuje provedení mapování předávání údajů, které identifikuje předávání osobních údajů do třetích zemí, a zajištění souladu prostřednictvím smluvních ustanovení a technických opatření.

No škoda, že neexistuje nějaký Evropský inspektor pro kybernetickou bezpečnost, který by zkontroloval Evropskou komisi i po „kyberbezpečnostní stránce“. Mohl by jí poradit, aby si zapnula DNSSEC na svých serverech. Přitom doména „europa.eu“ DNSSEC zapnutý má. Kovářova kobyla…

Obr. 1: Výsledek testu (ne)funkčnosti DNSSEC na webu Evropské komise, FenixChecker ze dne 10. dubna 2024

Obr. 2: Výsledek testu (ne)funkčnosti DNSSEC na webu Evropské komise, Cloudflare Radar ze dne 10. dubna 2024

 

Na konci března zveřejnila agentura ENISA shrnutí své studie „Foresight Cybersecurity Threats for 2030„, která obsahuje hodnocení nových kyberbezpečnostních hrozeb předpokládaných do roku 2030. Pro ENISU zůstávají významné hrozby typu kompromitace dodavatelského řetězce závislostí na softwaru a pokročilé dezinformační kampaně. Hrozby typu „nedostatek kvalifikovaných pracovníků“, nebo „přeshraniční poskytovatelé služeb jako jediné místo selhání“ mají rostoucí tendenci. Jako nové hrozby se na seznamu agentury ENISA objevují „zneužití neopravených a zastaralých systému v rámci zahlceného mezisektorového ekosystému“ a „fyzický dopad přírodních/enviromentálních disrupcí na kritickou digitální infrastrukturu“. Do TOP 10 se také probojovala hrozba „ztráty soukromí a vzestup autoritářství postavené na digitálním sledování“.

Evropská komise také zveřejnila akt v přenesené pravomoci týkající se první fáze zavedení společného unijního systému hodnocení datových center. S tímto nařízením počítala směrnice o energetické účinnosti, která chce zlepšit energetickou účinnost ve všech odvětvích, včetně odvětví informačních a komunikačních technologií. Nařízení se vztahuje na „provozovatele datových center s informačními technologiemi“, která mají spotřebu energie alespoň 500 kW. Tato datová centra budou povinna sdílet určité klíčové ukazatele výkonnosti a reportovat je do připravované evropské databáze datových center do 15. září 2024, poté do 15. května 2025 a následně každý další rok. Klíčové ukazatele výkonnosti mají měřit „spotřebu energie, využití energie, nastavené teploty, využití odpadního tepla, spotřebu vody a využití obnovitelných zdrojů energie datových center“. Úplný podrobný seznam klíčových ukazatelů výkonnosti a ukazatele udržitelnosti datových center včetně metodiky výpočtu jsou uvedeny v příloze tohoto aktu. Informace sdělené do evropské databáze budou primárně k dispozici Komisi a členským státům na jejich území, zveřejňovat se budou agregované údaje. Rada EU a Evropský parlament nyní mají dva měsíce na posouzení textu a případně vyslovili své námitky.

Na závěr tohoto mixu novinek z Bruselu malá volební agitka. Ve dnech 6. – 9. června proběhnou volby do Evropského parlamentu, ve kterých se bude volit přes 700 europoslanců, kteří budou dalších pět let rozhodovat v rámci spolurozhodovací procedury také o pravidlech pro digitální svět. Jejich rozhodování, byť se nám může zdát vzdálené a zmatené, ovlivňuje fungování našich firem a našich životů. V posledních volbách bylo 61 % europoslanců „nováčků“, tedy nebyli součástí předchozího složení Evroparlamentu. Proč je důležité nehodit svůj hlas do koše? Už nyní se ví, že v rámci revize právních předpisů bude v následujícím pětiletém mandátu Evropský parlament spolurozhodovat o:

• v roce 2024 mu přistane na stůl revize GDPR, Nařízení o teroristickém on-line obsahu, Směrnice o digitálním obsahu,
• v roce 2025 se zahájí přezkum části Aktu o digitálních službách (DSA), Kodexu pro elektronické komunikace, DGA, Nařízení o geoblockingu,
• v roce 2026 čeká revize směrnici o audiovizuálních službách, DMA, Nařízení o eIDAS a
• v roce 2027 (už) revize NIS2, DSA, Aktu o kybernetické odolnosti a Nařízení DORA.

Infografika Evropské volby 2024

 

Hned na začátku měsíce (přesněji 6. prosince) jsme zaznamenali rekordní počet útoků z Rumunska. Napočítali jsme jich za pouhý den 52 576 312. Na předních příčkách našeho žebříčku útočníků, můžeme Rumunsko vidět i po zbytek měsíce.

Tento měsíc jsme zaznamenali zvýšenou aktivitu na portu odpovídajícím Steamu. Heslo, které je psáno malými písmeny, bylo v prosince zastíněno jinými variantami, z nichž možná nejzajímavější jsou kombinace s roky přidanými k Pa55word (Pa55word2011, nebo Pa55word2016). Přímo se nabízí k vytváření konspiračních teorií.

Na konci minulého roku jsem v závěru svého článku o novinkách ve FREDovi slíbil, že se příště rozepíšu více o připravovaných aukcích domén. To „příště“ nastalo právě teď, protože systém pro tuto revoluční novinku se připravuje ke spuštění, aktuálně dobíhají jeho poslední testy a ladění. A protože je jeden z testů nyní i veřejně přístupný, je skutečně nejvyšší čas podělit se o více detailů. Věřím, že se pak do veřejného testu aukcí domén zapojíte a osobně si vyzkoušíte, jak budou aukce domén od května tohoto roku fungovat. Fakt, že svou aktivní účastí ve veřejném testu aukcí domén můžete vydražit nějaký z nabízených reklamních předmětů (jsou mezi nimi dokonce 2 routery Turris!) a že výtěžek aukce budeme směřovat na charitu dle výběru vítězných dražitelů, určitě k testovací aukci přiláká i další váhající zájemce.

Tento blogpost nemá být suchým právnickým textem, takže hned na začátku podotýkám, že pro zjednodušení v tomto textu zkracuji správný pojem „jméno domény“ na „doména“. Mým cílem je popsat aukční rozšíření pro .CZ domény spíše zjednodušeně, kdo chce přesné definice, nechť studuje pravidla, na které se níže také odvolávám.

Co vlastně zahájení aukcí domén pro CZ doménu znamená? Běžného provozu domén se nijak nedotknou, avšak doménám se změní konec jejich životního cyklu. Po spuštění systému aukcí domén do produkce (v plánu od 1. května 2024) se nově nebude doména po zrušení nebo zániku registrace uvolňovat k opětovné registraci, ale bude zařazena na veřejný seznam domén k aukci. V tomto seznamu (interně mu také říkáme aukční sklad domén:)) zůstane doména 15 dnů a pak bude předána do aukčního systému, který je integrován do Doménového prohlížeče. Tam budou probíhat aukce domén, jejichž předmětem bude přednostní právo na registraci domény, nikoliv doména samotná. Vítěz aukce pak toto přednostní právo může uplatnit u jakékoliv registrátora, kde si doménové jméno zaregistruje na identifikátor držitele, který v dané aukci zvítězil. Registrace na jiný identifikátor nebude technicky možná. Nic ale samozřejmě nebrání provést po registraci domény změnu jejího držitele.

Dražiteli mohou být fyzické osoby, které mají účet MojeID ověřen pro účely elektronické identifikace (napojen na systémy státní správy) nebo které disponují elektronickou identitou jiného členského státu Evropské unie dle nařízení eIDAS případně právnické osoby, které mají validovaný kontakt MojeID. Využití ověřených identit v systému aukcí domén má tři hlavní výhody. Z první má prospěch samotný dražitel, který, pokud se chce aukce účastnit, nemusí skládat žádný kredit. Budeme totiž vědět, kdo je aktivním účastníkem aukce a u koho případně vymáhat pohledávku nebo komu zabránit v dalším dražení, pokud by aukce mařil. Druhou výhodu již využili registrátoři, protože pro podporu aukcí domén nemuseli provádět žádné úpravy svých systémů. Registrace domény na konkrétního držitele je jednou ze základních funkcí, kterou registrátoři nabízejí dlouhá léta a držitelé domén jí využívají. Třetím benefitem je, že tímto způsobem zvýšíme podíl skutečně dobře ověřených držitelů domén v registru, což je naší dlouhodobou snahou a bude to také vyžadováno směrnicí NIS2.

Vyvolávací cena (cena prvního příhozu) je 100 Kč. Dražitelé mohou přihazovat pomocí minimálních příhozů, které se zvyšují s aktuální vítěznou částkou, případně mohou příhozem nastavit svoje maximum (které je ostatním skryté) a aukční systém pak za ně přihazuje optimální vítězné minimum sám. Boj s potenciálním aukčním rivalem vás tedy nemusí stát bolavý ukazováček nebo rozbité tlačítko myši. Aukce probíhají každý den od 12:00 do 21:00 s tím, že pokud dojde k příhozu v posledních pěti minutách aukce, je proces aukce automaticky prodlužován na dalších pět minut. Toto opatření je zde proto, aby nemohlo dojít k přehození „na poslední chvíli“, aniž by měl původní průběžný vítěz aukce čas zareagovat. K takovémuto prodlužování aukcí ale nebude docházet do „nekonečna“, ale jen do 9:00 následujícího dne.

Pokud doména projde aukcí bez jediného příhozu, je po skončení aukce uvolněna k registraci (v náhodný okamžik následujícího dne stejně jako dnes). V případě, že byla doména vydražena, ale buď nedošlo k úhradě za přednostní právo na registraci domény nebo nebylo tohoto přednostního práva využito, je doména po vypršení příslušných lhůt vrácena zpět do aukce. Aukční systém navíc automaticky zabraňuje přístupu k doménovým aukcím těm dražitelům, kteří porušují podmínky aukcí domén. Pravidla také omezují počet aukcí, ve kterých se lze aktivně účastnit na 50. Pokud by limit na počet aukcí někomu vadil, což si myslíme, že pro drtivou většinu dražitelů nenastane, lze jej zrušit složením kauce.

Systém aukcí domén je detailně popsán na informačním webu aukce.nic.cz. Zde jsou umístěny i dokumenty Pravidla aukcí domén, Provozní řád aukcí domén (aktuálně jejich návrhy) a Podmínky veřejného testu aukcí domén, které jsou ze své podstaty preciznější, co se týká popisu skutečného fungování. Prostudování a souhlas s těmito pravidly je nutnou podmínkou účasti v aukci, tedy skuteční zájemci o získání zajímavých doménových jmen, se jejich studiu (nebo předstírání studia) nevyhnou.

A proč jsme k zavedení doménových aukcí přikročili? Jednoznačným impulsem bylo zjištění, že opakované registrace domén jsou, i přes technicko-ekonomická opatření, dostupné bohužel velmi omezenému počtu subjektů. Případný zájemce z řad běžných uživatelů je pak plně odkázán na služby těchto subjektů a protože se na tento stav začaly objevovat stížnosti, rozhodli jsme se přijít se systémem, který bude poskytovat férovější a rovnější přístup k opakovaným registracím domén všem zájemcům. Inspirací nám byl doménový registr v Estonsku, který již několik let aukce domén úspěšně provozuje.

Závěrem se vrátím k tomu, co je dostupné již dnes, tedy ke zmíněnému veřejnému testu aukcí domén. Jeho cílem je v dostatečném předstihu představit, jak budou aukce domén probíhat. A to nejen díky dostupným návrhům podmínek fungování, ale zejména díky možnosti si aukci domén prakticky vyzkoušet. Pro tento účel jsme tedy zaregistrovali (a následně smazali) 24 domén, které odpovídají propagačním předmětům a tyto domény jsme předali aukčnímu systému ještě před tím, než je bude získávat z registru domén. Testovací aukce probíhají také již v Doménovém prohlížeči, dostupné jsou pro výše uvedené ověřené identity a celý systém funguje podle pravidel uvedených v detailních podmínkách na webu aukce.nic.cz. Oproti plánovanému produkčnímu běhu má ale veřejný test zkrácen termín pro úhradu za přednostní právo na registraci domény (ze sedmi na dva dny), případné opakování aukce proběhne pouze dvakrát (namísto aktuálně plánovaných pěti opakování v ostrém provozu) a pro naplnění vítězství v aukci není třeba uplatnit přednostní právo na registraci domény. Vítěz aukce po úhradě vítězné částky a výběru charity, na kterou obnos zašleme (Člověk v tísni, Linka bezpečí, ADRA, Centrum Paraple, Post Bellum), poštou obdrží vydražený předmět.

Dalším cílem veřejného testu aukcí domén je samozřejmě získání podnětů k jeho dalšímu rozvoji, aby mohl dobře sloužit jeho uživatelům. I díky semináři s našimi členy, kde jsme aukce domén představovali, evidujeme několik vylepšení, které do systému zavedeme buď ještě před ostrým spuštěním nebo pak později v jeho dalších verzích. Jde například o možnost snížení dražitelova maxima, aktuálně lze pouze zvyšovat. Zvažujeme také možnost zavedení viditelného příhozu vyššího než minimální příhoz nebo o možnost zadat si svoje maximum u domény ještě dříve, než aukce začala. Zcela určitě vyladíme notifikační e-maily, zlepšíme ovládání notifikací a zobrazení chybových hlášek v Doménovém prohlížeči. Budeme velmi rádi, pokud se nám aktivní účastníci veřejného testu se svými nápady na vylepšení ozvou na adresu aukce@nic.cz a do předmětu uvedou „Veřejný test aukce domén“. Děkujeme!

Život je pestrý a stále se něco děje. Zatímco v české Poslanecké sněmovně poslanci, regulované osoby, zástupci NÚKIB, ČTÚ a různorodých lobbistů debatují, zda firmy dostatečně chrání svoji kritickou infrastrukturu  a zda má stát své regulační úsilí ještě zvýšit (záznam ze semináře by měl být k dispozici na webu sněmovny), David Cameron, britský ministr zahraničí, upozorňuje na škodlivou kybernetickou činnost organizací a jednotlivců napojených na čínský stát, která je zaměřena na demokratické instituce a poslance.

V tiskovém prohlášení Cameron odhalil dva případy kompromitace čínskými aktéry. V letech 2021 a 2022 se jednalo o kompromitaci systémů britské volební komise. Druhý zveřejněný případ ukazoval na aktivity aktéra APT31, Advanced Persistent Treat Group, která v roce 2021 prováděla průzkumné aktivity proti britským poslancům. V Česku 4. dubna proběhne zasedání Legislativní rady vlády, a následně dostane návrh zákona k projednání vláda (ve znění připomínek Legislativní rady vlády). Čeští poslanci tak v brzké době budou mít možnost ovlivnit podobu českého kybernetické zákona a rozhodnou, zda nový kybernetický zákon bude solidním právním základem pro kybernetickou ochranu nebo zda se bude jednat jen o vykleštěnou podobu Potěmkinovy vesnice. Do té doby by aspoň web sněmovny mohl podporovat protokol IPv6…

Výsledek testu pro web psp.cz

Tento týden hostil BEREC, sdružení evropských regulátorů v elektronických komunikacích, 12. Stakeholder Forum. Jedná se o akci, během níž mohou dotčené subjekty, které se pohybují v telekomunikačním rybníku, diskutovat společně regulační a jiné výzvy, které se dotýkají evropských elektronických komunikací. Program a vystoupení má pod sebou většinou nadcházející předseda BERECu, protože hlavní osou akce je prezentace aktivit BEREC pro příští období.

Při příležitosti konání Stakeholder Fora byla podepsána revidovaná pracovní dohoda mezi BEREC a ukrajinským regulátorem NCEC (celým názvem Ukrajinská národní komise pro státní regulaci elektronických komunikací, rádiového frekvenčního spektra a poskytování poštovních služeb). Revidovaná dohoda zajišťuje, že ukrajinský národní regulační orgán se bude i nadále aktivně podílet na každodenní práci BEREC, včetně práce jeho odborníků v pracovních skupinách BEREC.

Zatímco Evropská komise vůči firmám Apple, Alphabet a Meta spustila oficiální vyšetřování kvůli dodržování nařízení o digitálních službách (DMA), dopisem ze dne 29. ledna požádala BEREC o stanovisko k návrhu referenční nabídky pro interoperabilitu aplikace WhatsApp. Dne 7. března 2024 BEREC přijal stanovisko, které zaslal komisi a současně zveřejnil. Obecně by Meta, jako gatekeeper WhatsAppu, měla zajistit interoperabilitu alespoň následujících základních funkcí (pokud je poskytuje i svým vlastním koncovým uživatelům):

a) zasílání textových zpráv end-to-end a sdílení jakýchkoli připojených souborů (obrázků, videí, hlasových zpráv nebo jakýchkoli jiných) a to do šesti měsíců od určení gatekeeperem (pro komunikaci mezi dvěma jednotlivými koncovými uživateli) a do dvou let pro uživatele v rámci komunikace ve skupinách,

b) čtyři roky po určení správce by měla být zajištěna interoperabilita i pro hlasové hovory a videohovory.

BEREC uvádí, že z diskuze s potenciálními zájemci vyplynulo, že tito zájemci považují některé další funkce, jako je indikace psaní, potvrzení o doručení, reakce, nálepky, emotikony, za součást základních funkcí, které umožní efektivní konkurenci alternativních poskytovatelů služby. Jako zásadní považují někteří alternativní také funkci nativní podpory více zařízení včetně synchronizace mezi jednotlivými zařízeními (mobil, notebook) a jednotlivými operačními systémy (iOS, Android, Windows). WhatsApp je v současné době limitován pro současné využívání jednoho účtu až na čtyřech koncových zařízeních a to samé by chtěli alternativci.

Na základě očekávání koncových uživatelů a s cílem podpořit zavádění interoperability BEREC věří, že podpora více zařízení je velmi žádoucím prvkem pro konkurenceschopnost na trhu. Když gatekeeper sám neposkytuje určitou funkci způsobem, jakým ji poskytují alternativci, DMA nevyžaduje, aby gatekeeper změnil svou vlastní službu a sladil ji se službami zájemců o interoperabilitu. Sdružení BEREC však zdůrazňuje, že tato funkce je k dispozici pro uživatele aplikace WhatsApp, a proto by mohla být implementována i v interoperabilní prostředí.

Další téma, které vyjádření BEREC řeší, je „zjistitelnost“ uživatele pro ostatní účastníky služby. Zde BEREC navrhuje, aby tato funkce byla pro uživatele opt-in. Stanovisko se dále vyjadřuje k dalším technickým funkcím a bude zajímavé sledovat, zda Evropská komise bude všechna tato zjištění akceptovat a požadovat je po Metě.

BEREC také zahájil dvě veřejné konzultace k návrhům zpráv, které se týkají trendů v elektronických komunikací a v digitálním světě.

První návrh zprávy se týká služeb cloud computingu a edge computingu. Cílem zprávy je objasnit dopad cloud computingu v digitálním odvětví, zejména v odvětví elektronických komunikací, a jeho regulační důsledky. Z různých úhlů pohledu popisuje fungování trhů s cloudovými službami, interoperabilitu, nápravná opatření v oblasti přepínání a vzájemné působení a konvergentní trendy mezi cloudem a elektronickými komunikacemi.

Druhý návrh se týká vlivu velkých poskytovatelů obsahu a aplikací na sítě a služby elektronických komunikací. Velcí poskytovatelé obsahu a aplikací (CAP) tradičně poskytují služby na straně klienta a serveru internetového ekosystému. V posledních desetiletích se však velké CAP staly významnými aktéry internetového ekosystému a stále více investují do vlastní infrastruktury a poskytují služby úzce související se sítěmi elektronických komunikací a službami elektronických komunikací, nebo poskytují tyto služby přímo svým uživatelům. Mezi typické příklady patří sítě pro doručování obsahu (CDN), zavádění rozsáhlých mezinárodních sítí (např. podmořských kabelů a satelitních konstelací), virtualizované síťové služby, cloud computing a další.

Obrázek: Části internetového ekosystému, BEREC

Zpráva uvádí, že trh komerčních služeb CDN v Evropě se v současné době soustřeďuje kolem několika málo hráčů (Akamai, Amazon CloudFront, Cloudflare), protože jsou zapotřebí značné investice, aby bylo možné získat potřebné geografické pokrytí a kapacitu pro vstup na trh. Očekává se, že tato koncentrace poroste a v příštích letech se výrazně zvýší. Dříve se velké CAP spoléhaly na služby komerčních poskytovatelů CDN, ale v posledních letech stále častěji zavádějí vlastní infrastrukturní sítě CDN.

Obrázek: TOP CDN pro HTML dotazy na mobilu, BEREC

Vztahy mezi velkými poskytovateli obsahu a operátory mohou mít několik podob:

a) CAP a operátoři nabízejí doplňkové služby v rámci své symbiózy (typicky ISP poskytuje službu přístupu k internetu a poskytovatel obsahu streamingové video služby), v některých státech v některých tržních oblastech to vede až k otevřené spolupráci,

b) CAP a operátoři jsou přímými konkurenty (hlasové služby, IM, platformy pro stravování videa vs lineární televize a IPTV, cloudové služby, CDN, podmořské kabely, LEO satelity, privátní 5G sítě a mimo Evropu i výstavba optických sítí).

Závěrem BEREC uvádí, že připravovaná revize regulačního rámce poskytuje příležitost k přizpůsobení regulačních pravidel těmto novým byznysovým trendům a věří, že se případné problémy vyřeší v rámci revize stávající regulace.

Připomínky k návrhům zpráv lze zasílat do 24. dubna 2024.

Linka STOPonline.cz nahlásila v loňském roce 944 závadových domén zobrazujících dětskou nahotu či pornografii do mezinárodního systému ICCAM, který je spravován asociací INHOPE. Z toho bylo 69 případů označeno jako self-generate content, což znamená, že obsah byl vytvořen samotnými dětmi. Článek Kateřiny Vokrouhlíkové se zamýšlí nad možnými příčinami, které děti k tomuto chování vedou. A je to také jedno z témat, které se Linka STOPonline.cz snaží podchytit v rámci Dne bezpečnějšího internetu, který se každoročně pořádá 8. února společně s partnery z Ministerstva vnitra a Policie. A právě Policie pro posledních organizačních změnách posiluje svoje schopnosti pro boj s kybernetickou kriminalitou (kriminalita směřující proti informačním a komunikačním technologiím (cyber-dependent crime) a s ostatní kriminalitou páchanou v kyberprostoru (obecná a hospodářská kriminalita páchaná v kybernetickém prostoru (cyber-enabled crime). O tom informuje vládu v předkládané Koncepci rozvoje schopností Policie České republiky v oblasti trestné činnosti páchané v kyberprostoru. Držíme palce.

Obrázek: Rozložení registrované trestné činnosti spáchané v kyberprostoru za rok 2022, Ministerstvo vnitra

 

Linka STOPonline.cz nahlásila v loňském roce 944 závadových domén zobrazujících dětskou nahotu či pornografii do mezinárodního systému ICCAM, který je spravován asociací INHOPE. Z toho bylo 69 případů označeno jako self-generate content, což znamená, že obsah byl vytvořen samotnými dětmi. S překvapením se setkáváme s drastickým nárůstem, který je oproti roku 2022 více než šestinásobný, a signalizuje alarmující trend v oblasti online zneužívání dětí.

Už nyní je jisté, že rok 2024 bude v počtu hlášených případů self-generate contentu ještě horší. Jen za první dva měsíce tohoto roku bylo přes linku STOPonline.cz do systému ICCAM nahráno více než 400 závadových URL označených jako self-generate content. Tento strmě stoupající trend ukazuje, jak velkému riziku spojenému s využíváním internetu jsou děti v on-line prostředí vystaveny.

(Celkový pokles řešených incidentů je oproti předchozímu roku způsoben modernizací a částečnou automatizací používaných nástrojů. Tato modernizace umožňuje lepší identifikaci duplicitních hlášení a také snižuje jejich vícenásobné zpracování a zařazování do statistik. Celkový počet přijatých hlášení před deduplikací dosáhl v roce 2023 čísla 4342.)

Fotografie, které bývají na odkazech zveřejňovány, jsou si velmi podobné. Nezletilé dítě, velmi často ve věku okolo 10 let, ale výjimkou nejsou ani děti mladší, začnou pózovat v sexuálně vyzývavých polohách, které někde muselo vidět. Jedná se o klasické pornografické pózy i výrazy v obličeji s vyplazeným jazykem, prstem v ústech a očima koukajícíma vzhůru. Děti se nahlášených materiálech svlékají a ukazují na fotoaparát svoje odhalené genitálie v různých polohách, v předklonu, v leže s roztaženýma nohama. Následuje masturbování a vkládání různých předmětů (kartáček na zuby, hřeben, jelení lůj, tužku…) do pohlavních orgánů. Není asi třeba důrazně upozorňovat na to, že i obyčejná tužka může v ženských pohlavních orgánech způsobit drobná zranění a trhlinky či zanesení infekce. Množství nalezených materiálu tohoto druhu je alarmující!

Otázkou zůstává, jaký mají děti k pořizování takových snímků důvod. Existuje několik možných příčin, proč vytváří materiál, který potom často bývá zneužit:

Nedostatek vědomostí o rizicích: děti jsou nedostatečně informované o nebezpečí sdílení osobních informací nebo fotografií on-line a neuvědomují si rizika s tím spojená.

Snaha o interakci a uznání: děti chtějí získat pozornost, uznání nebo přátelství on-line od svých vrstevníků nebo dokonce od dospělých, a proto se pokouší sdílet intimní nebo osobní materiál.

Manipulace: někteří dospělí mohou využívat děti a mladistvé k tomu, aby vytvářeli a sdíleli nevhodný materiál, buď přímou manipulací nebo vydíráním.

Nedostatek dohledu: pokud děti mají přístup k digitálním zařízením bez dohledu nebo kontroly ze strany rodičů nebo opatrovníků, mohou se pokoušet vytvářet a sdílet obsah, aniž by byly řádně prověřeny důsledky a rizika jejich jednání.

Je důležité, aby rodiče a vzdělávací instituce poskytovali dětem dostatečné vzdělání a podporu ohledně bezpečného používání internetu a sdílení obsahu on-line. Díky takovéto asistenci mohou děti lépe porozumět rizikům spojeným s tvorbou a sdílením osobního materiálu a lépe se chránit před možným zneužitím a vykořisťováním. Proto se linka STOPonline.cz snaží děti v této oblasti vzdělávat už na prvním stupni základních škol.

Dne 13. února 2024 rozhodl Evropský soud pro lidská práva (ESLP) ve věci Podčasov proti Rusku ve prospěch šifrované komunikace.

Pan Podčasov, aktér tohoto případu a uživatele služby Telegram, podal stížnost proti údajnému narušení svého soukromého života a soukromé komunikace. Platné právo Ruské federace totiž ukládá poskytovatelům prostředků pro internetovou komunikací (subjektům, které zajišťují fungování informačních systémů a programů pro elektronická zařízení za účelem příjmu, přenosu, doručování anebo zpracování elektronických komunikací na internetu), jako je Telegram, specifické povinnosti.

Jednou z těchto povinnost je „uchovávat na ruském území veškeré údaje o komunikaci vytvořené uživateli internetu po dobu jednoho roku a obsah veškeré komunikace po dobu šesti měsíců“, včetně veškerých informací nezbytných k dešifrování komunikace, a na požádání poskytnout tyto údaje orgánům činným v trestním řízení a bezpečnostním službám. Jinými slovy, obsah (= odposlechy) vaší komunikace má být uchováván šest měsíců a provozní a lokalizační data jeden rok. V případě, že se jedná o šifrovanou komunikaci, musí poskytovatel služby současně umožnit oprávněným orgánům přístup k prostředkům pro dešifrování komunikace.

Dne 12. července 2017 požádala Federální bezpečnostní služba (FSB) společnost Telegram Messenger LLP o poskytnutí technických informací, které by usnadnily „dešifrování komunikace od 12. července 2017 v souvislosti s šesti uživateli Telegramu, kteří byli podezřelí z činností souvisejících s terorismem.“ FSB požadovala, aby společnost Telegram předložila mimo jiné IP adresu, číslo portu TCP/UDP a „údaje týkající se šifrovacích klíčů, které by byly „nezbytné a dostatečné“ pro dešifrování komunikace. Tyto informace měly být do 19. července 2017 zaslány na e-mailovou adresu FSB.

Společnost Telegram Messenger LLP odmítla splnit příkaz ke zveřejnění s odůvodněním, že je technicky nemožné jej provést, aniž by se vytvořila zadní vrátka, která by oslabila šifrovací mechanismus pro všechny uživatele služby Telegram. Vysvětlila to zejména tím, že šest uživatelů uvedených v příkazu k odhalení mělo zapnutou funkci „secret chat“, a proto používali šifrování end-to-end.

Následně se rozeběhl proces sankčních řízení, kdy byla společnost Telegram pokutována okresním soudem a všechny opravné prostředky soudy vyšší instance odmítly. Současně společnost Telegram s dalšími třiceti čtyřmi osobami napadly příkaz k poskytnutí informací u soudu. Žalobci tvrdili, že poskytnutí šifrovacích klíčů, jak požaduje FSB, by umožnilo dešifrování komunikace všech uživatelů. Porušilo by proto jejich právo na respektování soukromého života a soukromí jejich komunikace. Po obdržení šifrovacích klíčů by FSB měla technickou možnost přístupu ke všem komunikacím bez soudního povolení vyžadovaného podle ruského práva.

V březnu 2018 okresní soud stížnost odmítl jako nepřípustnou, neboť dospěl k závěru, že napadeným příkazem k poskytnutí informací nebyla dotčena práva žalobců. Rozhodnutí o nepřípustnosti neobsahovalo žádné další odůvodnění. Obdobně bylo rozhodnuto o odvolání i kasační stížnosti.

ESLP potvrdil argument, že poskytnutí dešifrovacích klíčů orgánům činným v trestním řízení a bezpečnostním službám by ohrozilo soukromou komunikaci všech uživatelů, nejen toho, o kterého se orgány zajímají. Právní režim upravující přístup k uchovávané internetové komunikaci v Rusku podle ESLP „neposkytoval přiměřené a účinné záruky proti svévoli a riziku zneužití“ ze strany donucovacích orgánů. ESLP proto dospěl k závěru, že nerozlišující uchovávání údajů s nedostatkem procesních záruk je v rozporu s právem na respektování soukromého a rodinného života, jak je stanoveno v Evropské úmluvě o lidských právech. ESLP rovněž zdůraznil, že šifrování „pomáhá občanům a podnikům bránit se proti zneužívání informačních technologií, jako jsou hackerské útoky, krádeže identity a osobních údajů, podvody a neoprávněné zveřejňování důvěrných informací“.

ESLP se ve svém posuzování opíral mimo jiné o Zprávu Úřadu vysokého komisaře OSN pro lidská práva o právu na soukromí v digitálním věku ze dne 4. srpna 2022, která považuje „šifrování za klíčovým prostředek pro zajištění soukromí a bezpečnosti online a za nezbytné pro ochranu práv, včetně práva na svobodu názoru a projevu, svobodu sdružování a pokojného shromažďování, bezpečnost, zdraví a nediskriminaci. Šifrování zajišťuje, že lidé mohou svobodně sdílet informace bez obav, že se o jejich informacích dozvědí jiné osoby, ať už státní orgány nebo kyberzločinci. Šifrování je nezbytné, pokud se lidé mají cítit bezpečně při svobodné výměně informací s ostatními o celé řadě zkušeností, myšlenek a identit, včetně citlivých zdravotních nebo finančních informací, poznatků o genderové identitě a sexuální orientaci, uměleckém vyjádření a informací v souvislosti s postavením menšin. V prostředí s převažující cenzurou umožňuje šifrování jednotlivcům zachovat si prostor pro držení, vyjadřování a výměnu názorů s ostatními. V konkrétních případech nemohou novináři a obhájci lidských práv vykonávat svou práci bez ochrany důkladného šifrování, které chrání jejich zdroje a ukrývá je před mocnými aktéry, kteří jsou vyšetřováni. Šifrování poskytuje ženám, které čelí zvláštním hrozbám sledování, obtěžování a násilí na internetu, důležitou úroveň ochrany před nedobrovolným zveřejněním informací. V ozbrojených konfliktech je šifrování zpráv nepostradatelné pro zajištění bezpečné komunikace mezi civilisty.“

K tomu zpráva uvádí, že během dvou měsíců po začátku ozbrojeného agrese Ruska na Ukrajině v únoru 2022 vzrostl na Ukrajině počet stažení aplikace pro šifrované zprávy Signal o více než 1 000 procent ve srovnání s předchozími měsíci.

Samozřejmě, že šifrování nepoužívají jenom „good guys“, ale také kriminální živly. Jak však upozornil zvláštní zpravodaj pro prosazování a ochranu práva na svobodu názoru a projevu, regulace šifrování představuje riziko ohrožení lidských práv. Vlády usilující o omezení šifrování často nedokázaly prokázat, že omezení, která by zavedly, jsou nezbytná k naplnění konkrétního legitimního zájmu, a to vzhledem k dostupnosti různých jiných nástrojů a přístupů, které poskytují informace potřebné pro konkrétní účely vymáhání práva nebo jiné legitimní účely (například analýza metadat, lépe zorganizovaná policejní činnost nebo posílená mezinárodní policejní spolupráce).

Jak dále uvádí ESLP, dopad většiny omezení šifrování na právo na soukromí a související práva je navíc nepřiměřený a často postihuje nejen osoby, na které se omezení vztahuje, ale i celou populaci. Přímé zákazy ze strany vlád nebo zejména kriminalizace šifrování nemohou být ospravedlnitelné, protože by znemožnily všem uživatelům v rámci jejich jurisdikce bezpečný způsob komunikace. Systémy úschovy klíčů mají značná zranitelná místa, protože jsou závislé na integritě úložného zařízení a vystavují uložené klíče kybernetickým útokům. Navíc povinná zadní vrátka v šifrovacích nástrojích vytvářejí závazky, které dalece přesahují jejich užitečnost s ohledem na konkrétní uživatele označené za podezřelé z trestné činnosti nebo bezpečnostní hrozby. Ohrožují soukromí a bezpečnost všech uživatelů a vystavují je nezákonným zásahům nejen ze strany států, ale i nestátních subjektů, včetně zločineckých sítí.

Dodatek k doporučení Výboru ministrů Rady Evropy o ochraně lidských práv v souvislosti se službami sociálních sítí nabádá členské státy Rady Evropy, aby ve spolupráci se soukromým sektorem a občanskou společností přijaly vhodná opatření, aby zajistily ochranu práva uživatelů na soukromý život, a to zejména tím, že se zapojí do spolupráce s poskytovateli sociálních sítí, aby mimo jiné zajistili použití nejvhodnější bezpečnostní opatření na ochranu osobních údajů před nezákonným přístupem třetích stran. To by mělo zahrnovat opatření pro end-to-end šifrování komunikace mezi uživatelem a webovou stránkou služby sociální sítě …

Christopher Wylie ve své knize Mindf*ck pléduje za právo na soukromí. Proč?

„Rozvoj člověka vyžaduje přítomnost soukromí a volného prostoru, v nichž můžeme experimentovat, hrát si, kutit, mít tajnosti, překračovat tabu, porušovat své sliby a dumat o své budoucnosti bez důsledků pro náš běžný život, dokud se sami nerozhodneme změny zveřejnit. Historie nás učí, že osobní a sociální osvobození začíná v soukromí. Nedokážeme se posunout dál z našich dětských let, minulých vztahů, omylů, starých postojů, starých těl či dřívějších předsudků, pokud nejsme pány svého soukromí a osobního rozvoje. Nemáme svobodu volby, když jsou naše volby monitorovány a omezovány. Nemůžeme růst a měnit se, když jsme svázáni s naším bývalým já nebo s tou osobou, za jakou jsme se považovali, či s tou, jakou jsme předstírali, že jsme. Když existujeme v prostředí, které nás nepřetržitě pozoruje, všechno si pamatuje a škatulkuje nás podle podmínek nebo hodnot, na něž nemáme vliv a o nichž nic nevíme, pak nás naše osobní data mohou svazovat s minulostí, od níž jsme se chtěli odpoutat. Soukromí je nepostradatelnou podmínkou pro naše rozhodování, kým chceme být a jak toho dosáhnout. Soukromí není důležité proto, abychom se v něm ukrývali – soukromí je důležité pro rozvoj osobnosti a svobodu rozhodování a jednání.“

V březnu roku 2024 je aplikace Telegram Messenger je v Rusku stále dostupná a funkční…

 

Obrázek: Vygenerováno Midjourney

Dosluhující Evropská komise spustila minulý týden další kolotoč, který na dlouhé týdny a měsíce zaměstnaná lidi, kteří se živí výkladem a aplikací pravidel v digitálním prostoru. Po slibech daných minulý rok komise zveřejnila tzv. balíček ke konektivitě, který obsahuje dva nelegislativní dokumenty:

Bílou knihu k zajištění potřeb evropské digitální infrastruktury a
Doporučení k bezpečné a odolné podmořské kabelové infrastruktuře.

Balíček je vyústěním snah současné komise (a zejména komisaře Bretona) ohledně uchopení budoucnosti telekomunikačního sektoru s cílem změřit sektoru a vládám členských států teplotu před předložením revize současného regulačního rámce pro elektronické komunikace. Připomeňme, že komisař Breton po dvouletém snažení narazil na odpor mezi experty i ministry se svou snahou prosadit tzv. „fairshare“ platbu, kterou by vybraní poskytovatelé obsahu platili podle blíže neurčeného mechanismu evropským (asi ne všem) operátorům. Po veřejné konzultaci, která proběhla minulý rok, se nakonec současná komise rozhodla ponechat nový legislativní návrh až po evropských volbách. Zároveň je ale třeba říct, že s ohledem na evropské volby by žádný legislativní návrh komise v současném složení nestihla protlačit a fakticky „balíčkem ke konektivitě“ lehce snižuje manévrovací prostor nové EK.

Bílá kniha k zajištění potřeb evropské digitální infrastruktury

Bílá kniha zdůrazňuje význam vysokorychlostních sítí, včetně sítí nových generací, pro rozvoj dalších technologií i pro celospolečenský růst. Dokument (opět) poukazuje na nezbytnost investic ve výši stovek miliard EUR k zajištění vedoucího postavení evropského průmyslu. EK na několika místech v dokumentu nepokrytě přiznává, že EU ujíždí vlak a že dosavadní opatření pro podporu investic do telekomunikací nebyla úspěšná.

Jen připomeňme, že současný evropský regulační rámec, Evropský kodex pro elektronické komunikace, který byl součástí strategických aktivit Evropské komise s nálepkou „Jednotný digitální trh“, měl ambici posílit investice a odstranit fragmentaci. Evropská komise si zejména hodně slibovala o tzv. dohodách o spolupráci mezi jednotlivými investory a wholesale-only operátorů. V nově vydané Bílé knize však konstatuje, že tyto vize naplněny nebyly.

K řešení stávající situace EK představuje možné scénáře, jakým by se budoucnost digitálních sítí mohla ubírat. Za účelem vytvoření vhodných podmínek, včetně těch finančních, pro konektivitu nové generace avizuje EK navržení zcela nových pilotních projektů, případně pokračování již zahájených iniciativ v rámci existujících finančních nástrojů (Horizont Evropa, Program Digitální Evropa, a Nástroj na propojení Evropy (CEF2)).

A komise opět sahá do šuplíků s názvem „100x odmítnuté bláznivé nápady“ a navrhuje opatření k posílení jednotného trhu, která se týkají větší harmonizace při správě a přidělování spektra (např. zavedení obdobného mechanismu jako v případě notifikace/veta při určování relevantního trhu pro ex ante regulaci), zavedení principu země původu v případě přeshraničního poskytování služeb elektronických komunikací (obdobně jako je to nyní u služeb informační společnosti) a podpora pro ustanovení panevropského operátora. Jakékoliv odevzdávání pravomocí ke správě spektra nutně ale naráží na odpor většiny členských států – Brusel nedisponuje žádnou „Agenturou ke správě spektra, finanční příjem z aukcí vždy potěší národní ministry financí a i na mezinárodní úrovni například v rámci Mezinárodní telekomunikační unie, kde se rozhoduje o budoucím využívání kmitočtových pásem, jsou členské státy svébytnými jednotkami a zbytek světa popravdě moc neví, proč by se měl se zástupci Evropské komise vůbec bavit (diplomaticky řečeno).

Z dalších naznačených opatření, u kterých komise testuje podporu sektoru a členských států je určení data pro „copper switch-off“, což by mělo podpořit rozvoj optické infrastruktury a odklonu od regulace ex ante, byť by národním regulátorům měl zůstat tzv. 3K test, který umožňuje při tržním selhání definovat relevantní trh a na něm provádět regulační opatření.

A bohužel nechybí ani tolik oblíbený „level playing field“ pro všechny aktéry digitálního ekosystému. Je jasné, že ač je „fairshare“ mrtev, bude Komise navrhovat narovnání podmínek fungování na trhu mezi jednotlivými aktéry ať už to bude znamenat cokoliv. Třeba i možnost rozšíření financování povinností v univerzální službě na všechny hráče digitálního ekosystému, nikoliv jen na operátory.

K materiálu EK zahájila veřejnou konzultaci, která potrvá do 30. června 2024.

Doporučení k bezpečné a odolné podmořské kabelové infrastruktuře

Cílem doporučení je zejména podpora a modernizace podmořských kabelů prostřednictvím tzv. kabelových projektů evropského zájmu. Jejich budování a správa by měla být realizována soukromými subjekty, s možnou podporou ze strany EU nebo členských států.

Prostřednictvím doporučení EK také ustanovuje Expertní skupinu pro podmořskou kabelovou infrastrukturu, jejímž úkolem by mělo být především zmapování stávající infrastruktury, zhodnocení souvisejících rizik a příprava unijního systému hodnocení rizik. Expertní skupina by měla za tímto účelem spolupracovat se skupinami vytvořenými podle směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2) a směrnice o odolnosti kritických subjektů.

Doporučení dále ukládá členským státům provádět hodnocení rizik na národní úrovni, podpořit operátory spravující podmořskou infrastrukturu v pravidelném testování a zajistit zrychlenou proceduru pro udělování povolení k celému procesu výstavby a udržování podmořské infrastruktury.

Zpráva o kybernetické bezpečnosti a odolnosti evropských komunikačních infrastruktur a sítí

Minulý týden byla také publikována Zpráva o kybernetické bezpečnosti a odolnosti evropských komunikačních infrastruktur a sítí. Posouzení rizik provedené členskými státy po společné výzvě k posílení schopností EU v oblasti kybernetické bezpečnosti během neformálního zasedání Rady ministrů pro telekomunikace v březnu 2022 (Nevers, Francie) identifikovalo řadu hrozeb pro komunikační sítě a infrastrukturu, jako jsou aplikace typu wipers, útoky ransomwaru, útoky na dodavatelský řetězec, fyzické útoky, sabotáže atd.

Tyto hrozby, využívající zranitelných míst, by mohly představovat významné riziko pro bezpečnost a odolnost telekomunikační infrastruktury. Na základě těchto zjištění a kromě devíti rizikových scénářů, které již byly identifikovány v Koordinovaném posouzení rizik sítí 5G v EU, zpráva rozvíjí deset rizikových scénářů strategického významu pro Unii, jako je útok na dodavatelský řetězec s cílem získat přístup do infrastruktury operátorů nebo koordinovaný fyzický sabotážní útok na digitální infrastrukturu.

Za účelem zmírnění těchto rizik předkládá zpráva řadu strategických a technických doporučení pro členské státy, Komisi a agenturu ENISA, která mají být realizována s podporou sdružení BEREC. Pokud jde o strategické aspekty, zpráva členským státům doporučuje:

• posoudit odolnost mezinárodních propojení;
• posoudit kritičnost, odolnost a redundanci základní internetové infrastruktury, jako jsou podmořské kabely;
• provést doporučení týkající se dodavatelů;
• Vytvořit transparentnost v oblasti dodavatelů a poskytovatelů řízených služeb nebo poskytovatelů řízených bezpečnostních služeb používaných pro pevné sítě, optické technologie, podmořské kabely, satelitní sítě a další důležité dodavatele ICT;
• zapojit odvětví elektronických komunikací do kybernetických cvičení a operativní spolupráce;
• podpořit sdílení informací a zlepšit situační povědomí o hrozbách pro operátory;
• poskytovat operátorům finanční podporu na technická opatření proti kybernetickým útokům v jejich sítích;
• vyměňovat si mezi vnitrostátními orgány osvědčené postupy týkající se fyzických útoků na digitální infrastrukturu;
• rozšířit fyzické zátěžové testy kritické infrastruktury na digitální infrastrukturu.

Zprávu můžete nalézt zde.

A na závěr malý test. Poznáte, jaký úryvek je z roku 2016, kdy Komise vydala „Konektivita pro konkurenceschopný jednotný digitální trh – na cestě k evropské gigabitové společnosti“ a jaký úryvek je z roku 2024 z Bílé knihy?

A. Moreover, looking at the deployment of the next wireless communications technologies or renewal of existing licenses for broadband wireless communications, Europe cannot afford yet another spectrum authorisation process for the next generation mobile technology spreading over almost a decade, with huge disparities in timelines of auctions and network infrastructure
deployment between Member States. To avoid that the same problems appear in the future, it should be considered how to better coordinate timing of auctions and ensure it is tighter across the whole EU.

B. A delayed and fragmented assignment of the relevant spectrum by Member States has a direct negative impact on wireless network coverage and penetration overall in Europe. Such delays, if repeated, will endanger the successful introduction of 5G in
Europe and the deployment of new innovative services. In addition to faster processes to designate spectrum for electronic communications, with clear deadlines for when the spectrum is to be made available to the market, investors in the next generation of wireless broadband need more predictability and consistency regarding future licensing models and the key conditions for assigning or renewing national spectrum rights.

C. Reaching the above vision and objectives for 2025 is estimated to require an overall investment of c. EUR 500 billion over the coming decade, representing an additional EUR 155 billion over and above a simple continuation of the trend of current network investment and modernisation efforts of the connectivity providers

D. …reaching current Digital Decade targets for Gigabit connectivity and 5G may require a total investment of up to EUR 148 billion, if fixed and mobile networks are deployed independently, and stand-alone 5G offering European citizens and businesses the full capabilities that can be offered by 5G mobile networks is deployed.

A takhle bychom mohli pokračovat dál, zpět k návrhům i do roku 2013 nebo 2006…

A a C = Bílá kniha k zajištění potřeb evropské digitální infrastruktury.

B a D = Konektivita pro konkurenceschopný jednotný digitální trh – na cestě k evropské gigabitové společnosti

Každé druhé únorové úterý si připomínáme Den bezpečnějšího internetu. Letos jsme jej slavili již po jednadvacáté. Pojďme se společně ohlédnout za tím, jak tento den u nás probíhal.

Z původně malého eventu, který vznikl v Evropě, se dnes Den bezpečnějšího internetu slaví ve více než 190 zemích po celém světě. Jeho cílem je připomenout si aktivity, které vedou k bezpečnějšímu využívání internetu a technologií s ním spojených. My jsme si v letošním roce dali při plánování tohoto dne za cíl, že budeme slavit v pozitivním duchu. Chtěli jsme především ukázat internet a technologie jako příležitost, nejen poukazovat na jejich rizika. Stalo se již dobrou praxí, že během tohoto dne se oznamují různé novinky. Za nás jsme si jich přichystali několik.

Příručka „První mobil“

Ve spolupráci s Policií ČR a předními mobilními operátory jsme sestavili příručku „První mobil“, která je určena pro rodiče, kteří se chystají svým dětem pořídit první chytrý mobilní telefon. Stáhnout ji můžete zde.

Leták AI desatero

Umělá inteligence se v posledních letech stává převratným heslem i trendem. Přináší tímto zásadní změny do našich profesních i osobních životů. S příchodem či rozšířením každé novinky – nové AI technologie, je proto potřebné myslet i na její kvalitní zapojení/využití v každodenním životě. Umělá inteligence přináší nejen kreativitu, inovace, nové myšlenky, algoritmy postupů i procesů, ale i výzvy, otázky či rizika. Proto už od počátku používání AI hraje bezpečnost i vzdělávání  tak zásadní roli.

V desateru naleznete souhrn hlavních pozitiv i rizika AI. Cílem letáku je vyzdvihnout možnosti použití AI nástrojů jako „dobrého sluhy“, který nám může pomoci nejen s objevením, vytvořením či vyhledáním  něčeho nového – příkazu (promtu), zadání, postupu, obrázku, tabulky, videa či již zmíněného receptů a podobně, ale současně nás také nabádá i k tomu, že je potřeba nezapomenout, že v nepovolaných rukách se i jakákoliv skvělá AI technologie může stát „zlým pánem“ či nástrojem zneužitelným k páchání trestné činnosti.

Leták vznikl ve spolupráci Ministerstva vnitra, prg.ai a velkou zásluhu na něm má i naše nová kolegyně Lucie Kosová. Leták si můžete stáhnout zde.

Kniha pro děti „Strážci na internetu“

Představili jsme i chystanou novinku – knihu pro děti od devíti let „Strážci na internetu“. Ta mladé uživatele internetu komiksovou a hravou formou provede základními tématy spojenými s chováním a bezpečností na internetu. Pokud nevíte, jak se s dětmi bavit o internetu, sociálních sítích, gamingu nebo kyberšikaně, knížka bude skvělým dárkem.

Instagramový profil @no_net_drama

Pro generaci Z jsme představili nový instagramový profil @no_net_drama. Ten pro nás vytvářejí mladí lidé, kteří se věnují tématům bezpečnosti a mluví s cílovou skupinou jazykem, kterému my dospělí občas nemusíme rozumět. Na Den bezpečnějšího internetu proběhla na profilu kampaň s několika vybranými influencery. A podle nás byla opravdu úspěšná; měla přes jeden milion přehrání!

Infografiky

Abychom zvýšili povědomí o projektu Safer Internet Centru ČR, který je konsorciem čtyř spolupracujících organizací (CZ.NIC, Linka bezpečí, JSNS a DKC), vytvořili jsme infografiku, která shrnuje naše společné úspěchy za rok 2023. A nebylo jich málo. Uspořádali jsme přes 240 návštěv škol, vydali 31 tištěných materiálů a přes hotlinku Stoponline.cz přijali více než 3 700 hlášení. Podívat se na ní můžete zde.

Letošní ročník se podle nás a ohlasů, které se k nám stále ještě dostávají, povedl. Víme o více než čtyř stovkách organizací, které se letos do SID 2024 zapojily. Výčet všech by byl opravdu dlouhý, proto mi dovolte uvést za všechny Základní školu v Praze – Hostivaři. Reportáž o tamním Dni bezpečnějšího internetu najdete na ČT Déčko ve Zprávičkách.

Závěrem bych rád poděkoval všem, kteří nám pomáháte dělat internet bezpečnější. Děkujeme a nezapomeňte si v kalendáři poznačit, že příští ročník proběhne 11. února 2025.

Ke konci minulého roku jsme se zúčastnili již 38. workshopu marketingové skupiny CENTR. CENTR je evropská organizace sídlící v Bruselu, která sdružuje evropské registry domén nejvyšší úrovně. Jejím hlavním cílem je podpora registrů a rozvoj jejich standardů, funguje ale také jako komunikační kanál mezi registry a platforma pro sdílení mezinárodních zkušeností. Právě sdílení zkušeností bývá stěžejním bodem setkání marketingové skupiny, v níž mají zastoupení marketingoví specialisté, mezi kterými probíhá výměna poznatků a zkušeností z praxe.

Setkání vždy hostí jeden z evropských registrů. Tentokrát padla volba na švédský Internetstiftelsen, který uspořádal workshop ve svých kancelářích ve Stockholmu. Témata byla tentokrát dvě – typy kampaní a jejich měření. V diskuzích jsme se také dotkli umělé inteligence a jak ji (správně) využít v naší práci. Jako obvykle šlo o dva intenzivní dny plné pozitivní energie a inspirace.

Jednotlivá témata byla rozdělena do několika diskuzních bloků – každý byl vždy uveden praktickou prezentací některého z registrů, poté následovala řízená diskuze. Díky tomuto formátu se museli zapojit opravdu všichni zúčastnění a zároveň to umožňovalo lépe sdílet své nápady a zkušenosti. Ty nejzásadnější jsem shrnula do následujících pěti bodů:

1. Většina registrů se v kampaních zaměřuje na vzdělávání a osvětu v oblasti kyberbezpečnosti nebo digitální gramotnosti.

Podobně jako CZ.NIC se svými osvětovými aktivitami, kterými jsou například výukové seriály pro děti Nauč tetu na netu, Datová Lhota, Alenka v řiši GIFů či Nebojte se Internetu pro seniory, i ostatní registry se zaměřují na vzdělávání těch nejzranitelnějších skupin. Domácí švédský registr představil výukové materiály pro učitele věnující se tématům spojeným s internetem, japonský registr (JPRS) zase prezentoval výukový web https://withponta.jp zaměřený na bezpečnost, rozeznání fake news apod.

2. Pro mnohé z registrů je velkým tématem propagace národních domén.

České prostřední je v tomto specifické a většinu této práce dělají (a dobře) naši registrátoři formou (nejen) co-marketingového programu, který CZ.NIC spolufinancuje. CZ.NIC také již několik let realizuje projekt certifikace registrátorů, který má jednak poskytnout potenciálnímu zájemci o registraci domény .cz informaci o úrovni služeb nabízených jednotlivými registrátory a zároveň pomoci registrátorům navrhovat jejich systémy tak, aby byly pro koncové zákazníky co nejpříjemnější.

Co se týká zahraničních praxí, tak například kanadský registr (CIRA) usiluje rozsáhlými kampaněmi o větší zviditelnění národní domény .ca, oproti globálně užívané .com. Podobně jsou na tom třeba i registry v Portugalsku či Španělsku.

3. Pro správné měření kampaní je potřeba si stanovit cíl, správné metriky a správné nástroje.

V používání některých nástrojů se vzájemně shodujeme, někteří z kolegů ale představili i méně známé nástroje a software. Pro webovou analytiku, měření návštěvnosti a konverzí, k čemuž v CZ.NIC využíváme Matomo, jiní používají Google Analytics, Ahrefs nebo Hotjar. Správu mailingů, kterou u nás svěřujeme do rukou phpListu, jiní dělají v nástrojích Mailchimp, Hubspot nebo Hootsuite. Pro složitější reporting a vizualizaci dat je také stále častěji využíván nástroj Microsoft Power BI.

4. Pro lepší dosah kampaní je vhodné obsah jakkoli přiblížit cílové skupině.

Portugalský registr například spojil síly s populárním cyklistickým závodem Volta, který v Portugalsku sledují desítky tisíc lidí. U nás si můžete pamatovat kampaň Dobrá doména, kterou jsme cílili na malé firmy a živnostníky.

5. Z umělé inteligence je potřeba si udělat spojence do budoucna.

Že je potřeba s umělou inteligencí počítat, už je jasné asi každému z nás. Aby nám ale dobře sloužila, je potřeba se s ní naučit efektivně pracovat. Názory většiny kolegů se shodovaly v tom, že AI bude do roku 2035 hrát významnou roli v oblasti zákaznické podpory nebo marketingu. Někteří kolegové už umělou inteligenci ve své práci aktivně využívají, například jako pomoc při vyhledávání fake news, tvorbě tiskových zpráv a jiných textů nebo jednoduché grafiky. Často je také využívána při tvorbě datových analýz. I u nás v CZ.NIC se samozřejmě s ChatGPT trochu známe, ale grafiku i veškeré texty u nás stále obstarává stará dobrá lidská inteligence.

Rok 2035 a předpověď do budoucna byla vlastně obecně tématem naší závěrečné diskuze. Bude svět stále znát domény a registrátory? Shodli jsme se, že ano – jen domén bude pravděpodobně více, stejně jako registrátorů, kteří budou větší a budou nejspíš také přibývat nebo fúzovat. Jedno je ale jisté, marketingová skupina CENTR bude mít stále shodný cíl – dělat společně dobré jméno doménovým registrům, ať už k tomu vedou jakékoli a jakkoli odlišné cesty.

Měsíc listopad přinesl několik zajímavých faktů. Írán byl v útocích méně aktivní a na první tři místa se pro změnu dostali útočníci z Rumunska. Během tohoto měsíce se také objevila nová zajímavá IP adresa, která patří útočníkovi z Panamy. U skenování portů s nízkým číslem (porty do 1 023) byl v listopadu zaznamenán rekord pro port 53; nemohli jsme si pomoci a tak jsme se ponořili do těchto údajů hlouběji.

Rozhodli jsme se pro to z několika důvodů. Prvním z nich je skutečnost, že port slouží ke komunikaci s DNS serverem, což je klíčová služba poskytovaná sdružením CZ.NIC. Druhým důvodem je podezřelý nárůst aktivit v porovnání s měsícem říjnem. Samotné nás zajímalo, o co se jedná. DDoS útok využívající k amplifikaci DNS? Špatně nastavený DNS resolver? DNS server nově za firewallem? Ke které možnosti se přiklonit, nám prozradili data z našich sond. Více „obětí“ a jeden útočník by naznačovalo DdoS útok. Malá skupina adres ze stejného subnetu „útočící„ na jednu „oběť“ by odpovídalo teorii, že se jedná o resolver za firewallem. Pokud by se však jednalo o „útočníky“ z celého světa, kteří mají zájem jen o jednu IP, potom by takové chování odpovídalo nejspíše autoritativnímu serveru, který je nově schovaný za firewallem. Jednoduchým dotazem jsme v naší databázi zjistili, že cílem je pouze jedno zařízení. Vypadá to tedy, že se jedná o poslední případ – DNS server za firewallem a každý, kdo u něho zkouší zadat dotaz, skončí na firewallu a u nás v systému jakožto útočník. To způsobuje šum, který bychom měli ignorovat, podobně jako porty BitTorrentu.

Možnost mít MojeID na úrovni záruky Vysoká je jednou ze zásadních vlastností, která tuto službu odlišuje od ostatních digitálních identit. Konkurencí jsou v tomto smyslu pouze čipová karta Starcos od I.CA a čipová karta občanského průkazu. Obě nicméně vyžadují čtečku karet a instalaci obslužného programu do vašeho počítače nebo telefonu. V MojeID máte místo čipové karty jednoduchý USB bezpečností klíč, nepotřebujete žádnou čtečku a ani nemusíte do počítače nic dalšího instalovat. Máme jasného vítěze, že? V nabídce podporovaných USB bezpečnostních klíčů byl dlouho dobu pouze klíč IdemKey od tchajwanského výrobce GoTrust. Toto se nyní mění a MojeID přidává podporu pro vybrané modely z dílny švédské společnosti Yubico. Zároveň se průběžně zvyšuje počet služeb, kde se bez úrovně záruky Vysoká neobejdete a MojeID vám tedy může pomoci. Novinkou je možnost online vystavení kvalifikovaného certifikátu od Postsignum.

Když v roce 2021 služba MojeID získala akreditaci pro úroveň záruky Vysoká, podmínky dohodnuté s Ministerstvem vnitra zahrnovaly použití bezpečnostního klíče certifikovaného FIDO Alliancí na úroveň L2 a zároveň mající dostatečně vysokou certifikaci bezpečnostního čipu použitého v klíči. V té době byl na trhu jediný klíč, který tyto podmínky splňoval a to IdemKey od GoTrust. Loni nicméně došlo k tomu, že FIDO certifikaci L2 získaly také některé klíče firmy Yubico. Jak je vidět z oficiálního seznamu FIDO Alliance, jedná se o dvě produktové řady a to Yubikey FIPS a Security Key. Tyto klíče používají čip Infineon SLE 78, který má dostatečnou certifikaci CC EAL6+. Následně bylo nutné informovat agenturu DIA o tom, že podmínky akreditace splňují nové klíče, a pak již bylo možné přidat tyto klíče do interního seznamu klíčů pro úroveň záruky Vysoká. Jakýkoliv z těchto klíčů je možné objednat přes e-shop českého distributora Three s.r.o. Yubico Security Key je také k dispozici na e-shopu Alza.cz ve variantě s USB-A nebo USB-C.

Za poslední rok se také významně posunula k lepšímu podpora bezpečnostních klíčů ve webových prohlížečích. Dlouho dobu měli smůlu uživatelé, kteří chtěli tuto nejvyšší úroveň záruky využívat na prohlížeči Firefox v operačních systémech Linux a MacOS, kde chyběla možnost zadat PIN. To již neplatí a při používání bezpečnostního klíče není nutné Firefox opouštět. Jediné co Firefox zatím neumí, je nastavení PIN na klíči, což je podmínka pro jeho aktivaci pro úroveň záruky Vysoká. K tomu je stále třeba použít buď Chrome, nebo interního správce klíčů v rámci Windows Hello. U nových klíčů od Yubico je možné (ale nikoliv nutné) používat jejich vlastní aplikaci pro správu klíčů.

K čemu je dobré mít digitální identitu na této nejvyšší úrovni záruky? Oproti klasické digitální identitě tak, jak jí dnes nabízejí například banky, garantuje tato úroveň mnohem vyšší bezpečnost. Tyto prostředky lépe chrání před útoky jako phishing, vishing a smishing, které jsou nyní hlavní zbraní internetových podvodníků. Proto jsou tyto prostředky také vyžadovány tam, kde je bezpečnost klíčová. V České republice je tato úroveň záruky například nutná, pokud si chcete otevřít účet u Ministerstva financí pro správu státních dluhopisů. Úroveň záruky Vysoká můžete využít také v online systému Notářské komory, pokud například chcete bez návštěvy notáře založit firmu. Zákon o právu na digitální službu nabízí možnost online legalizace elektronického podpisu, kdy předpovídá existenci systému státní správy, kam nahrajete např. ručně podepsaný dokument, identifikujete se právě prostředkem na nejvyšší úrovni záruky a výsledkem bude dokument, který bude ekvivalentem úředně ověřeného podpisu vyžadovaného v mnoha jednáních se státem. Tento systém bohužel zatím neexistuje. Stát nedávno spustil jeho variantu, kterou je možné provést osobně na CzechPOINTech. O této variantě se můžete dočíst v článcích Jiřího Peterky na serveru Lupa.cz. Snad se online varianty dočkáme již brzy.

Než se tak stane, je nutné ke stejnému účelu používat kvalifikované osobní certifikáty vydávané certifikačními autoritami. Pokud si takový certifikát přes portál občana uložíte ke svému záznamu v registru obyvatel, má jakýkoliv dokument podepsaný s využitím tohoto certifikátu váhu úředně ověřeného podpisu. Pionýrem v poskytování těchto certifikátů online s využitím digitální identity je certifikační autorita Postsignum, která svojí službu CertifikátOnline spustila před dvěma lety. Implementovala tak možnost danou evropským nařízením eIDAS, které ve svém článku 24 popisuje, za jakých podmínek je možné kvalifikovaný certifikát vzdáleně vydat. Při spuštění této služby splňoval podmínky pro využití digitální identity pro tyto účely pouze elektronický občanský průkaz. Po oficiální notifikaci MojeID dle nařízení eIDAS v polovině roku 2022 začalo tyto podmínky splňovat, alespoň podle nás, i MojeID. Bohužel zmiňovaný text nařízení eIDAS, a jeho interpretace, se následně stal předmětem dlouhých diskuzí mezi CZ.NIC, Ministerstvem vnitra a zejména Evropskou komisí. Podstatné je, že jsme se na jeho interpretaci nakonec shodli a  nyní je již konečně možné pro online získání kvalifikovaného certifikátu v rámci služby CertifikátOnline využít také MojeID.

Celý proces je detailně popsán na stránkách služby. V tuto chvíli je omezen pouze na osobní certifikáty a není možné jej použít pro zaměstnanecké certifikáty. Začíná ověřením totožnosti pomocí MojeID. Je třeba použít MojeID účet pro fyzickou osobu ověřený na úroveň záruky Vysoká, tedy se zaregistrovaným odpovídajícím USB bezpečnostním klíčem a ověřený buď na CzechPOINTu nebo pomocí jiného prostředku na úrovni záruky Vysoká.

Dalším krokem je odsouhlasení smlouvy o vystavování certifikátu, případně vybrání smlouvy, podle které se bude certifikát vydávat. K dispozici jsou dvě varianty podle toho, zda-li certifikát pořizujete jako fyzická osoba podnikající nebo nepodnikající. Součástí smluvního svazku je také odsouhlasení, že vám bude vygenerován identifikátor MPSV. Odsouhlasení smlouvy proběhne přes SMS kód zaslaný na telefonní číslo.

Následuje vygenerování žádosti o certifikát. K tomu je možné použít tři cesty. Webový formulář přímo vyzývá k použití aplikace iSignum, která je ale bohužel pouze pro operační systém Windows. Alternativou (nezmíněna ve formuláři) je použít aplikaci iSignum v mobilním telefonu s OS Android. Výsledný certifikát se soukromým klíčem pak je možné exportovat a nahrát zpět do počítače. Poslední možností je vytvořit si žádost o certifikát manuálně třeba pomocí OpenSSL a nahrát jí do systému pomocí speciálního webu. Ve všech třech případech je výstupem generováni číslo žádosti, které vložíte do formuláře.

Posledním krokem je zaplacení, kdy je možné využít jak platební kartu, tak online platbu, kterou nabízí většina českých bank. Po zaplacení je během chvilky vystaven požadovaný certifikát.

Jak je zmíněno výše, abyste vaše podpisy s využitím tohoto certifikátu měly váhu úředně ověřeného podpisu, nezapomeňte si certifikát nahrát na příslušném místě v portálu občana. Do portálu občana se samo sebou přihlásíte opět s MojeID.

MojeID na úroveň záruky Vysoká nemá využití jenom v českém prostoru. Díky notifikaci je možné tyto prostředky využívat i přeshraničně. Některé Evropské země jsou v tomto smyslu přísnější než my a například Rakousko pro přístup k jejich státnímu portálu vyžaduje pouze prostředky s úrovní záruky Vysoká. Již brzy nás v Evropském digitálním prostoru čeká velká revoluce v podobě Evropské peněženky digitální identity. Více o ní se můžete dozvědět například v prezentaci věnované tomuto tématu na LinuxDays. Podstatné je, že pokud budete mít k dispozici digitální identitu na úrovni záruky Vysoká jako třeba právě MojeID, nebudete pro aktivaci této peněženky muset nikam chodit a provedete ji z pohodlí domova. Finální legislativa se bude schvalovat v Evropském parlamentu teprve v příštích týdnech, ale s pravděpodobností hraničící s jistotou bude v případě aktivace pomocí prostředku s nižší úrovní záruky vyžadováno dodatečné ověření totožnosti, například někam zajít nebo provést jiný odpovídající úkon. Aktivujte si tedy MojeID na úrovni záruky Vysoká už teď, využijte jeho potenciál a buďte připraveni na budoucnost :-).

Novela zákona o kybernetické bezpečnosti míří příští týden do pracovních komisí Legislativní rady vlády, zástupci podnikatelského sektoru nahlas vyjadřují své výhrady a lobbisté obíhají zájmové osoby a slibují svým klientům možné i nemožné. Mezitím se každý den v kybernetickém prostoru odehrává boj podvodníků a cizích aktérů s ajťáky, síťaři i běžnými uživateli o neautorizovaný přístup k informacím nebo finančním prostředkům (nebo k informacím o finančních prostředcích).

Prosincový kybernetický útok na ukrajinského operátora Kyivstar, který vedl k přerušení poskytování služeb pro miliony uživatelů a firem, byl podle posledních zjištění ukrajinské zpravodajské služby připravován několik měsíců, když ruští hackeři pronikli do systémů operátora už v květnu 2023. Zpravodajská služba také potvrdila, že za útokem stojí hackerská skupina Sandworm, která patří pod ruskou vojenskou rozvědku a má na svém kontě již několik útoků na telekomunikační operátory a poskytovatele internetu.

V rámci odvetného mechanismu zaútočila ukrajinská hackerská skupina BlackJack na IT infrastrukturu společnosti Rosvodokanal, která v Rusku řeší distribuci pitné vody. Během kybernetického útoku na společnost, která distribuuje pitnou vodu pro sedm milionů obyvatel, se hackerům podařilo získat přístup k velkému množství dokumentů, zašifrovat více než šesti tisíc počítačů
a smazat více než 50 terabajtů dat, včetně interního oběhu dokumentů, firemní pošty, služeb kybernetické bezpečnosti, záloh atd.

Není to jediný útok, který si nedávno skupina BlackJack připsala na své konto. Dalším jejich zářezem je úspěšný útok na ruského operátora M9 Telecom. Na TORu následně zveřejnila 10 gigabajtů dat z e-mailového serveru operátora a wiperem smazala 20 terabajtů dat.

Midnight Blizzard (APT29), ruská hackerská skupina, pronikla v listopadu 2023 do systému společnosti Microsoft a získala přístup k e-mailům společnosti, který měla až do poloviny ledna 2024. Jak uvádí společnost Microsoft, prvotním vektorem útoku byl password spaying, brute force útok, kdy útočník zkouší různá uživatelská jména v kombinaci s jedním heslem. Útok tak nebyl důsledkem zranitelnosti v produktech nebo službách společnosti Microsoft a společnost nemá důkazy o tom, že by útočník měl přístup k zákaznickému prostředí, produkčním systémům, zdrojovému kódu nebo systémům umělé inteligence.

Ruská společnost T.Hunter představila nástroj Soudruh Major, který podle slov společnosti dokáže pomocí umělé inteligence odhalit skutečné vlastníky anonymních telegramových kanálů. Tento proces zahrnuje shromažďování informací o správcích z popisu kanálu, archivovaných kopií kanálu, příspěvků a metadat zveřejněných souborů. Potřebné informace může program najít v titulcích příspěvků, vloženém chatu, balíčcích nálepek, dokumentech a videích nahraných do komunity (a dalších dat samozřejmě). Analyzovaný obsah může obsahovat informace o mobilních telefonech svázaných s profilem uživatele, adresu a další digitální stopy, které má AI bot „Comrade Major“ na požádání ukáže. Kromě toho AI analyzuje další identifikátory a také má získávat údaje z komunit na sociálních sítích, blogů a webových stránek.

Australská vláda připravila praktické tipy pro zvýšení kybernetické bezpečnosti zástupců firem. Tipy jsou zpracovány formou checklistu a zdůvodnění jednotlivých bodů, mezi které patří využívaní multifaktorové autentizace, oddělování pracovních a soukromých účtů, provádění pravidelných aktualizací a záloh, používání jen prověřených nabíjecích kabelů, obezřetné sdílení obrazovky nebo pravidelné vypínání mobilu.

UTA0178, čínský státní aktér, využil pro své útoky dvě zranitelnosti ve VPN zařízeních společnosti Ivanti. I když tato skupina kompromitovala méně než deset obětí, zranitelnosti začaly využívat i jiné hackerské skupiny a počet kompromitovaných zařízení strmě rostl. Jiný čínský aktér, Volt Typhoon, využíval ve velkém rozsahu zranitelnost routerů Cisco RV320 a RV325. Během 37 dnů kompromitoval 30 procent těchto zařízení se zřejmým cílem postavit masivní botnet. K čemu asi (řečnická otázka)?

Iránský aktér, Homeland Justice, se přihlásil k útoku na albánský parlament a telekomunikačního operátora One Albania. Ani jeden z napadených subjektů není určen jako kritická infrastruktura.

V Jižní Americe si zase užívají DDoS útoků botnetu Bigpanzi, který svou sílu staví na 172 tisících chytrých televizí a set top boxů. Součástí strategie útoku byla snaha přesměrovat některé názvy domén na konkrétní IP adresy a obejít běžný proces překladu DNS, což zhoršilo možnosti obránců sledovat a analyzovat útočníky.

Pekingský forenzní institut prolomil službu protokolu AirDrop. Nestalo se tak v laboratorních podmínkách, ale s cílem zamezit šíření „nevhodných sdělení“. Společnost Apple v listopadu 2022 omezila používání funkce bezdrátového sdílení souborů AirDrop na zařízeních na čínské pevnině poté, co ji podle médií některé protičínské síly využily k šíření nevhodných digitálních letáků. Po aktualizacích se uživatelé mohou rozhodnout přijímat soubory od nekontaktních osob pouze během desetiminutového okna, než se automaticky vypne.

V západních zemích (USA, Velká Británie a Austrálie) jsou zase reportovány případy, kdy jsou explicitní a urážlivé obrázky anonymně zasílány cizím lidem prostřednictvím iPhonů (tzv. „cyber flashing“).

Kybernetická bezpečnost je a bude problém. Samotné přijetí zákona ji rozhodně nevyřeší, ale s větší nebo menší byrokratickou zátěží nastaví standardy pro širší skupinu subjektů a odvětví. Jak ukázal zástupce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Pekař na konferenci CSNOG 2024 ve Zlíně, snaží se NÚKIB zkoncentrovat komunikaci povinných osob do prostředí jednotného Portálu a v rámci své gesce sjednotit komunikaci a částečně zkrotit správní řízení do podoby klikacích portálových dlaždic. Ale i sebelepší technické řešení nakonec narazí na tu podivnou hmotu mezi klávesnicí a židlí a její ochotu dodržovat pravidla a průběžně reagovat na zlepšující se útoky z kyberprostoru. Hodně štěstí.

Vygenerováno Midjourney, 2024

Český telekomunikační úřad (ČTÚ) vydal první letošní monitorovací zprávu, která stojí za přečtení minimálně ze dvou důvodů. Seznamuje veřejnost s Plánem činnosti ČTÚ pro rok 2024 a s výsledkem Světové radiokomunikační konference organizované Mezinárodní telekomunikační unii v roce 2023.

Úkoly ČTÚ pro rok 2024

Jak se již psalo na Lupě, jedním z úkolů, který chce ČTÚ tento rok dokončit, je zabránění spoofingu (neoprávněná manipulace s identifikací volajícího). Za tímto účelem připravil návrh novely všeobecného oprávnění č. VO-S/2/07.2005-10, kterým se stanoví podmínky k zajišťování veřejných komunikačních sítí a přiřazených prostředků.

Na základě praxe v jiných evropských státech a při respektování doporučení CEPT č. (23)03 má ČTÚ za nejefektivnější způsob obrany analýzu signalizační informace volání na mezinárodním propojení v reálném čase a filtraci těch volání, která přicházejí ze zahraničí označena národním telefonním číslem.

Úřad proto chce stanovit podmínku zavedení ochranných opatření na propojení sítí elektronických komunikací spočívající zpravidla ve filtraci provozu na úrovni mezinárodního propojení a následném blokování nebezpečného volání. Jak uvádí úřad, jsou tyto propojovací body nejvhodnější pro analýzu signalizační informace jednoznačně identifikovat podezřelá volání a provádět příslušná opatření, když kromě informace o samotném telefonním čísle označujícím volajícího účastníka disponují operátoři i informací o tom, že volání přichází ze zahraničí.

K materiálu včera uspořádal workshop a relevantní připomínky úřad promítne do verze pro veřejnou konzultaci. Ale to není jediný neduh český elektronických komunikací, kterému ČTÚ vyhlásil boj. Namátkou:

• Společně s MPO bojuje prostřednictvím dotačních výzev proti nekvalitní internetové infrastruktuře (včetně̌ 5G sítí́ v rurálních oblastech, a zlepšení kvality pokrytí 5G na železničních koridorech) nebo procesem obnovy přídělů v pásmech 900 MHz/1800 MHz dvou mobilních operátorů. Za tímto účelem Úřad zřídil adresu pokryti@ctu.cz, na kterou mu mohou primárně zástupci samospráv zasílat informace o nekvalitní infrastruktuře sloužící k připojení k internetu. Lze očekávat, že měření na základě těchto podnětů se projeví i ve skvěle zpracovaném virtualizačním portálu.
• Případný nekvalitní signál DVB-T2 sítí chce ČTÚ řešit v návaznosti na stížnosti obyvatel se zástupci sektoru a požadavky operátorů vysílacích sítí.
• Na šlendrián při doručování poštovních zásilek, kdy poštovní doručoval nejenom že nezazvoní, ale ani nenechá lísteček s upozorněním ve schránce, se chce ČTÚ zaměřit ve své kontrolní činnosti.

Klasicky úřad provede hodnocení úrovně cen velkoobchodních nabídek pro virtuální operátory podle podmínek aukcí 4G a 5G, včetně zhodnocení jejich reálného dopadu na velkoobchodní trh mobilních služeb. V návaznosti na fúzi společností CETIN a NEJ.cz ČTÚ také vyslyšel volání společnosti Vodafonee a vyhodnotí v rámci svých kompetenci dopad tohoto spojení na hospodářskou soutěž na bývalém trhu 3b.

Historicky poprvé také ČTÚ plánuje své aktivity na poli připravovaného zákona o digitální ekonomice, který pověří úřad výkonem funkce tzv. Digitálního koordinátora podle DSA. Úřad chce zpracovat studii trhu relevantních poskytovatelů online zprostředkovatelských služeb, vytvořit průvodce novými povinnostmi podle DSA z pohledu poskytovatele ale i uživatele, spustit evidenci poskytovatelů služeb zprostředkování dat podle čl. 11 DGA a také rejstříku uznávaných organizací pro datový altruismus podle čl. 17 DGA.

Světová radiokomunikační konference 2023

25 dní. 163 států. Dubaj. To jsou „metadata“ poslední Světové radiokomunikační konference (WRC-23), na které se jednou za čtyři roky setkají zástupci členských států Mezinárodní telekomunikační unie a odhlasují změny v pravidlech využívání rádiového spektra. Jaké závěry přijaly členské státy ITU na setkání v Dubaji? Klíčová jednání se vedla zejména v oblasti satelitních služeb, krizové komunikace a také v rozšiřování pásem pro vysokorychlostní přístup k internetu.

Kromě jiných závěrů členské státy schválily:

• rozšíření využití VKV pásma negeostacionárními transpondéry pro zajištění rádiového spojení s řízením letového provozu v odlehlých místech a nad oceány;
• opatření k modernizaci námořního tísňového a bezpečnostního systému GMDSS určeného k zajištění bezpečnosti na moři, WRC-23 uznala družicové služby BeiDou (Čína), pro zasílání tísňových zpráv v systému GMDSS;
• nová pravidla (včetně upřesnění odpovědnosti) pro pohyblivé stanice v pevném družicové službě (ESIM). Pro další perspektivní využití této služby, která řeší také komunikaci v místech, kde byla zničena místní infrastruktura, byly ustanoveny studijní otázky pro další konference WRC-27 a WRC-31;
• využití pásma 6425 – 7125 MHz pro IMT s podmínkami pro sítě 5G a 6G současně s ochranou družicových aplikací. Jak uvádí ČTÚ, v Evropě nelze očekávat brzký rozvoj IMT v tomto pásmu, proto se zde hledá možnost hybridního využití, jak aplikacemi pro IMT, tak RLAN.

Ač velkým tématem konference byl rozvoj negeostacionárních družicových sítí na nízké oběžné dráze (tzv. LEO, Low Earth Orbit), neboť současná pravidla striktně dbají na ochranu geostacionárních sítí, nebyly schopny členské státy najít shodu na dalším postupu, tedy nejen že WRC-23 nepřijala žádnou změnu, ale ani neformulovala zadání pro studijní skupinu, která by se odrazila v programu bodu pro další zasedání WRC.

Stejně tak nebyla konference úspěšná při určování rádiových kmitočtů pro dálkové ovládání necivilních bezpilotních letadel z důvodu nesplnění podmínky použití bezpečnostních komunikací (safety of life). Určení rádiových kmitočtů pro civilní prostředky bylo úspěšnější. Kmitočty z pásma 22 GHz budou moci být využity pro bezpilotní prostředky k mapování terénu či ostraze hranic.

I přes dílčí neúspěchy v hledání kompromisu patří Světová radiokomunikační konference mezi úspěšné projekty pod hlavičkou OSN. Procesy, přípravné konference, studijní skupiny, začlenění expertů ze soukromého sektoru i akademické sféry vedou vždy k nějakému výsledku, který posouvá využívání radiokomunikačních služeb (byť si na ten výsledek musíme chvíli počkat). Na rozdíl od jiných jednání odborných organizací OSN, kdy jednání trvají i roky, resp. jsou přerušeny na celá desetiletí z politických důvodů. Pro experty na ČTÚ a MPO bývá někdy složitější vysvětlit, proč je nutné vyjet na jednání, které trvá tři týdny (obvykle v nějaké zajímavé lokaci), když je nutné šetřit. Jedním z důvodu je i fakt, že pokud svá místa uvolníme, nebudeme moci prosazovat zájmy spojené s evropským prostředím, resp. s transatlantickým okruhem. Ať už v oblasti prosazování technických standardů nebo standardů týkajících se svobodného internetu a prosazování lidských prav.

Koncem minulého roku jsme řešili incident na 95 .CZ doménách, které byly kompromitovány za účelem tzv. Black Hat SEO, o kterém jsme již v minulosti informovali. Právě vzpomínka na tento pradávný incident, která se mi vynořila v hlavě při kompletování Postřehů z bezpečnosti, vedla k odhalení těchto aktuálně kompromitovaných webů. Když jsme v roce 2014 původní incident řešili, nedotáhli jsme z kapacitních důvodů nápad na dohledání dalších stejně kompromitovaných webů. Až nyní jsme tedy zkusili dohledat kompromitované weby zneužívané k provozování pochybných SEO praktik pomocí Google vyhledávání. Kompromitovaných domén jsme ale touto cestou našli pouze několik. Potom ale někoho z kolegů napadlo využít nástroj DNS Crawler, který vyvinuli kolegové z Laboratoří CZ.NIC, a který je součástí projektu ADAM (Advanced DNS Analytics and Measurements). ADAM pravidelně prochází všechny .CZ domény a mimo jiné ukládá obsah jejich titulní stránky.

Když jsme ADAMa nechali vyhledat všechny stránky obsahující slovo Viagra, bylo jich 562. Bylo však zřejmé, že většina z nálezů je legitimní. Na základě analýzy stránek, u kterých jsme problém detekovali, jsme tedy hledání po pár pokusech rozšířili ještě o kombinaci slov „erectile dysfunction“. To už nám, jak se později až na jednu výjimku ukázalo, našlo pouze kompromitované weby.

Ukázka zdrojového kódu kompromitovaného webu.

Odkazy vložené do stránek se pochopitelně návštěvníkům na webu nezobrazují a jsou pomocí různých technik schované, protože jejich cílem je zmást vyhledávací roboty. Naopak, před návštěvníky a tedy i správci webu mají tyto odkazy zůstat skryté.

Mezi kompromitovanými doménami byl například i web soukromé školky nebo menšího města a i vzhledem k tomu, že jednou kompromitované domény mohou být v budoucnu zneužity k dalším útokům, například phishingu nebo šíření malware, rozhodli jsme se všechny držitele napadených domén informovat. To jsme provedli ve dvou vlnách, v první jsme informovali držitele a u domén, u kterých nedošlo k nápravě, jsme později kontaktovali i příslušný hosting.

Z reakcí jednotlivých držitelů a hostingů pak lze odhadovat, že ve většině případů šlo o zneužití uniklého hesla, v podezření jsou také některé již nevyvíjené aplikace a v jednom případě byl za útokem pravděpodobně malware, kdy uživatel změnil po našem upozornění heslo, obnovil obsah webu a přesto za dva dny byl obsah s viagrou zpět. Podezření tedy padlo na kompromitaci PC, ze kterého dochází k editaci webu.

I přes naši snahu o informování všech zainteresovaných stran došlo k nápravě pouze u 39 domén. Bohužel se tak opět potvrdilo, že pro některé provozovatele webů končí veškerá péče o webový obsah jeho prvním vystavením na serveru. To je ovšem krátkozraký přístup, na který ve finále doplácí všichni.

Každý rok, druhé únorové úterý, si připomínáme Den bezpečnějšího internetu. Letos tento den připadá na 6. února a slavíme ho již po jednadvacáté. Tento den si pravidelně připomínají ve více jak 190 zemích po celém světě. V České republice je koordinátorem tohoto dne národní Safer Internet Centrum Česká republika, které spravuje sdružení CZ.NIC.

Den bezpečnějšího internetu si každý rok připomínají stovky organizací, škol nebo jednotlivců. Jen v loňském roce jich u nás bylo už přes 400. Zapojit se může opravdu každý. Nejen organizace, které se věnují bezpečnosti, prevenci nebo vzdělávání, ale i státní instituce, rodiče, děti, zkrátka všichni. V loňském roce jsme vydali příručku, ve které naleznete přehledně zpracovaný výběr tipů a aktivit pro jednotlivé věkové skupiny.

V oblasti bezpečného chování na internetu vzniká v České republice řada preventivních programů nebo osvětových materiálů, včetně těch audiovizuálních. A nebylo tomu jinak ani v loňském roce. Za naše Safer Internet Centrum si připomeňme například seriál pro děti Alenka v říši GIFů 2, výukovou videohru Digistories: Alex, skvělé podcasty Utržené sluchátko, Na tenké lince nebo omalovánky pro děti. Pokud pracujete s dětmi a provozujete webové stránky či jinou síťovou službu, můžete zdarma využít nástroj pro automatické pravidelné testování zranitelností.

Výbornou možností, jak si tento den připomenout na školách, je uspořádání projektového dne. Během něj si mohou studenti vybrat z několika workshopů a diskutovat či tvořit nad vybranými tématy.

Výtvor žáků během projektového dne na Obchodní akademii a Střední odborné škole gen. F. Fajtla Louny

Na závěr jedna malá prosba. Zkusme oslavu letošního dne pojmout pozitivně. Prostředí internetu může sice občas vyvolávat dojem, že je nebezpečné a plné nástrah. Nezapomínejme ale na to, že je hlavně obrovskou příležitostí a skvělým nástrojem.

Pokud se rozhodnete zapojit do letošního Dne bezpečnějšího internetu, nezapomeňte své statusy na sociálních sítích označit hashtagy #SaferInternetDay a #SID2024. Můžete pak lépe vyhledat příspěvky ostatních. Pokud se zapojíte i jiným způsobem, napište nám.

Více informací o dni naleznete i na stránkách organizátorů.

„Co ty kryptoměny a investice, dá se na tom vydělat?“, zeptal se mě letos v lednu kamarád. „Mně o tom psal spolužák ze střední a že na tom teď celkem vydělává“. Kamarád je vzdělaný a světem protřelý člověk, neměl jsem tedy nejmenší důvody o premisách, stanovených v úvodu naší konverzace, jakkoliv pochybovat a zamyslel se nad tím, jestli mi v poslední době neutekla nějaká informace. Nicméně nevzpomněl jsem si na nic, co se třeba jen blížilo poslednímu boomu v roce 2017. Tak jsem jen pokrčil rameny a odvětil, že investovat do kryptoměn lze a že aktuální výnosnost není nijak zastiňující vůči běžným investicím, jen jsou kryptoměny volatilnější (uznávám, že nevím jestli to poslední stále platí).

„Jemu to prý vydělá 5000 Kč měsíčně,“ nedal se kamarád odbýt tak snadno. „Ano pokud člověk vloží dostatek peněz, tak i s malým zúročením může získat zajímavý obnos,“ mírnil jsem jeho nadšení. „Proč tě do toho spolužák vlastně tlačí? Co z toho bude mít on? Ze začátku dostane 20 % mého zisku,“ odvětil. „To je ale fakt hodně! To není úplně běžné,“ vyjádřil jsem svůj údiv společně s odporem k zmíněné nabídce, ale s kamarádem (říkejme mu třeba Franta) to zdánlivě vůbec nehnulo. „Podíval by ses mi na stránky tý platformy? Já jsem si říkal, že bych tam zkusil něco poslat, abych viděl jestli to funguje,“ pokračoval Franta. „Jasně, to není problém. Jak se to jmenuje?“ zeptal jsem se, očekávajíc alespoň zdánlivě známé jméno. To však k mému překvapení nepřišlo. Zadal jsem hledaný výraz do vyhledávače a byl velmi udiven, že mimo jejich vlastního portálu nebylo mezi výsledky hledání nic, co by alespoň hodnotilo zkušenosti s danou službou. Dodal jsem, že pokud tam člověk „něco“ vloží a „ono“ to bude „růst“, nic to neznamená a problém typicky začne až v momentě, kdy chce zákazník své „úspěšně“ zhodnocené úspory vybrat. Pokračoval jsem tedy na webové stránky platformy.

V mezičase se mě Franta ještě mimoděk tázal, jestli znám Telegram. Nespojiv si tuto informaci s předchozí diskuzí jsem jenom odpověděl na otázku a svojí pozornost dál upínal na relativně vzhledné webové stránky další z mnoha investičních platforem. Vzpomněl jsem si na jeden článek, který vyšel u nás na blogu ohledně eshopů, a po prvotním prozkoumání úvodní stránky jal jsem se hledat obchodní podmínky a kontakt. Odkazy jsem sice našel, ale v obou případech vedly na 404 – stránka nenalezena.

„Jé hele koukej, to je zajímavý,“ začal jsem mít teprve první podložené podezření. Zkontroloval jsem tedy ještě adresu sídla, která na stránkách uvedená byla, a podle map jsem se dostal k malému domku v USA někde na předměstí. Jistě, o původně garážových firmách už jsem slyšel a každý rozhodně zaslouží šanci vybudovat něco velkého, nicméně v tomto případě se evidentně nejedná o novátorský nápad ani řešení. „Tak do toho bych fakt nešel,“ domněle jsem uzavřel případ.

Jenže po chvilce mi to nedalo a zahájil jsem výslech. Během toho jsem postřehl i několik vyhýbavých odpovědí, ale o to víc jsem se ujistil, že jsem něčemu na stopě. Poskládaný příběh byl tedy následující. Záměrně do závorek přidám číslo počítající varovné signály (red flags chcete-li), při kterých by měl člověk zbystřit.

Se spolužákem si nenapsali několik let a najednou se mu ozval přes sociální síť s „velmi lákavou nabídkou“ (1). Velmi brzy ho „spolužák“ přesvědčil, aby pro komunikaci přešli na jinou platformu (2) – Telegram (snad nikoho neurazím, když ho také započítám – (3). Nabídka zahrnovala investice v prakticky neznámé investiční platformě (4). Platforma neměla k dispozici podmínky služby (5). Uvedené sídlo firmy bylo v malém rodinném domečku v USA (6). Toto celé samozřejmě neměl na svědomí jeho spolužák, ale podvodník, který na nějaký čas získal přístup k jeho účtu.

Ze zkušeností nás, bezpečnostních analytiků, za předchozí roky můžeme říct, že weby podvodných investičních platforem často vypadají velmi dobře. Mnohdy i lépe než weby skutečných investičních platforem. Tím samozřejmě nechci říct, že čím horší vizuální stránka, tím je investiční platforma skutečnější. Pouze připomenout, že již neplatí jeden ze starších varovných signálů, že podvodný web poznáte podle špatné grafiky.

Musím podvodníkům přiznat, že podvodné investiční platformy jsou skvěle vymyšleným zločinem. Oběť investuje peníze v dobré víře a když vidí, jak dobře se zhodnocují, nemá ani chuť je vybírat a naopak ještě přidá. O tom, že něco nehraje se poškozený dozví třeba až v momentě, kdy stránky přestanou fungovat. Mezitím se okno k dohledání pachatele (nebo alespoň vložených peněz) uzavírá velice rychle.

V tomto případě k újmě naštěstí nedošlo, nicméně pokud se vám nebo vašim blízkým něco takového stane a přijdete řekněme o více než 10000 Kč, nebojte se a nahlaste to na policii. Je velmi pravděpodobné, že podvedených bude víc a třeba se zločince podaří dopadnout. Viz nedávné úspěchy policie v dopadení česko-ukrajinského gangu. A také mějte prosím soucit s těmi, co podobným podvodům podlehli. Příběhů těch, co tvrdí: „já bych na něco takového určitě neskočil,“ a skočili, také není málo.

Leden je tradiční dobou, kdy se ohlížíme zpět a připomínáme si nejčtenější články našeho blogu za uplynulý rok. V roce 2023 vyšlo celkem 79 textů, čímž byl o 12 článků překonán rok předchozí. Mezi nejvyhledávanější patřila témata spojená se službou MojeID, Safer Internet Centrem ČR, internetovými podvodníky a své místo na výsluní si udržel i seriál Myš je pro kočku.

Pokud vám některé z loňských příspěvků mých kolegů unikly, můžete pokračovat a připomenout si se mnou ty vůbec nejpopulárnější:

10) RFC 9432: DNS Katalogové zóny

Katalogové zóny byly velkým tématem nejen na našem blogu, ale také pro komunitu mimo něj. Kolega Libor Peltan, autor blogpostu a jeden z členů autorského týmu RFC 9432, nabídl zajímavý pohled na vznik zmíněného RFC a představil řadu souvislostí spojených s tímto tématem.

„Ve výsledku se interoperabilní implementace nových katalogových zón brzy objevily ve verzích Knot DNS 3.1 (srpen 2021), Bind 9.18.3 (květen 2022) a PowerDNS 4.7 (říjen 2022). NSD, přestože investoval mnoho úsilí do standardizace a spolupráce, stále spoléhá na spíše experimentální sadu skriptů spravujících provoz katalogových zón nad nepodporujícím serverem. Společná specifikace byla zveřejněna jako RFC 9432 (červenec 2023) jako „Proposed standard“.“

9) Myš je pro kočku: Příliš hluboké disky

Hned třetí díl seriálu Myš je pro kočku Edvarda Rejthara věnovaný hlubokým diskům byl v únoru tím nejčtenějším, a celkově devátým v našem TOP 10. Jeho autor v něm mimochodem odpověděl čtenářům na to, jak se rychle zorientovat na disku, který má v sobě další disky.

„Všechny vzdálené disky jsou seřazeny ve svých adresářích. Nastavili jsme si práva a můžeme se dostat, kam jen chceme. Proč je to však tak daleko? Uvažujme třeba typický projekt. Projekt, který běží na jistém stroji (který se jmenuje podle něj), běží pod prostředím uživatele (který se samozřejmě jmenuje podle něj) a je v Pythonu (takže má v sobě adresář stejného jména). Takže jediná správná cesta ke zdrojákům je v adresáři /mnt/projekt/home/projekt/projekt/projekt/. Někdy struktura pokouší k zbláznění.“

krusader-mount_dir 8) Jak jsem se stal vývojářem Debianu

Se svým osobním příběhem se do žebříčku nejčtenějších textů dostal i Jakub Ružička. Jakub nám odkryl svou profesní cestu, která ho v roce 2023 dovedla až k „funkci“ vývojáře Debianu.

„Vždy jsem obdivoval neopěvované hrdiny v pozadí distribucí, kteří svádí nevděčný boj se software za nás všechny. Je mi velkou ctí i radostí se stát jedním z nich a budu usilovně pracovat na dodání balíků v kvalitě a stabilitě, která se od Debianu čeká.“

7) Netmetr se mění na LibreSpeed a stává se světovým

Článek o integraci LibreSpeed do Netmetr.cz. Jaké změny a výhody LibreSpeed přinesl a proč se tak stalo? Blogpost z „pera“ Michala Hrušeckého, vedoucího našeho hardwarového týmu.

„Integrace do Netmetr.cz ale zdaleka není vše. Hlavní důvod proč LibreSpeed řešíme je jeho integrace v Turris OS. A ta je hlavní novinkou právě vydaného Turris OS 6.3.0. Nyní lze z uživatelského rozhraní reForis kdykoliv spustit jednorázový test, ale také naplánovat pravidelné testování. To se poté provádí v náhodný čas v nočních hodinách, aby výsledky nebyly zkreslené současným využíváním internetu, například při streamování videa.“

6) The Nightmare before Christmas

V čase předvánočního nákupního shonu se Pavel Bašta zaměřil na internetové podvodníky. Text na konkrétním příkladu e-shopu Amálie ukazuje nejen pochybné praktiky, ale také upozorňuje, na co si dát pozor, aby nám nezůstaly oči pro pláč.

„Když v roce 1993 vznikl film Tim Burton’s The Nightmare Before Christmas, do češtiny překládaný jako Ukradené Vánoce, nikdo nemohl tušit, jak moc budou originální název i překlad vystihovat každoroční předvánoční dění na internetu. Uživatelé v této době čelí intenzivnímu náporu útočníků a podvodníků všeho druhu. Na co si dát pozor u e-shopů bych rád rozebral v tomto blogpostu, kde se podíváme na reklamu, která se nyní často zobrazuje uživatelům Facebooku – aktuálně se jedná o e-shop Amalie Praha.“

5) Adulto.cz využívá MojeID k ověření věku v internetových obchodech

MojeID bylo přidáno k přihlašovacím metodám webové služby Adulto.cz, která slouží k ověření zletilosti. Oznámení spojení těchto služeb patřilo také mezi články s velkou návštěvností.

„Adulto.cz je aktuálně dostupné pro několik platforem – Shoptet, UpGates, eshop-rychle nebo WooCommerce. V současné době již věk touto službou ověřuje více než 100 elektronických obchodů. Proces ověření je velice jednoduchý a rychlý. V objednávce stačí kliknout na tlačítko a následně se autorizovat v rámci služby MojeID.“

4) Boj s phishingem v doméně .CZ

Na začátku roku nás Pavel Bašta z bezpečnostního týmu CZ.NIC-CSIRT nechal nahlédnout pod pokličku boje s phisingem v doméně .CZ, a to prostřednictvím svého příspěvku plného statistik a dat.

„V případě phishingových domén velmi záleží na rychlosti reakce, proto naše interní procesy stále zlepšujeme. Vždy dbáme na vyváženost mezi rychlostí reakce na phishingový útok a spolehlivostí procesu, který musí eliminovat možné lidské selhání.“

3) Vydáváme nový materiál pro děti zaměřený na sexuální zneužívání

Příspěvek kolegyně Michaly Radotínské, jež byl publikovaný symbolicky na Mezinárodní den dětí, informoval o nových vzdělávacích materiálech pro děti v mateřských školách. Na dvou stranách se pedagogové dozvědí doporučení, jak si s dětmi povídat o tématu sexuálního zneužívání nebo sextingu. Není divu, že toto téma oslovilo hodně čtenářů a vysloužilo si třetí místo mezi nejčtenějšími články v roce 2023.

„V průběhu povídaní si děti osvojí, co je to intimita, dále se s paní učitelkou (panem učitelem) můžou bavit o tom, kdy a proč se potřebujeme svlékat a v neposlední řadě, kde a proč si spodní prádlo nesundáváme. Důležitým sdělením ze strany pedagoga bude i to, že ne vše, co se doma či jinde děje, je „normální“, že každý má právo na to říct: „Nedělej to!“, pokud se mu něco nelíbí, a že tzv. „tajemství“ se v některých situacích prozradit musí, aby se dítěti ulevilo od trápení.“

2) Akce kulový blesk aneb gov.cz žije

V polovině srpna schválila vláda materiál, který stanovil jízdní řád pro přechod na doménu gov.cz. O migraci, která se uskutečnila hlavně za účelem zvýšení kybernetické bezpečnosti uživatelů e-govermentu a o jejím vývoji v čase psal Jaromír Novák. Na našich pomyslných stupních vítězů se tento článek vyšplhal na druhé místo.

„A po 22 letech od registrace gov.cz tu máme snad už poslední pokus o znovuoživení domény gov.cz. Harmonogram počítá s přechodem v období od podzimu 2023 do konce roku 2024 s výjimkou Ministerstva práce a sociálních věcí, které si vyzískalo odklad do poloviny roku 2025. Již splněno mají DIA, Rada pro rozhlasové a televizní vysílání a Úřad průmyslového vlastnictví.“

1) Internetové kšefty

Dobrodružství z Marketplace, které Pavel Bašta absolvoval na vlastní kůži, vyšlo sice až v prosinci, přesto praktiky bazarových podvodníků zaujaly natolik, že text se v blogových statistikách umístil úplně nejvýš, tedy v našem bodování obsadil první místo a stal se králem blogpostů publikovaných v 2023!

„Ani tlapková patrola ani Lego vlak však nedorazily a oba facebookové účty přestaly s uživatelkou komunikovat. Podobně jako v případě e-shopů, kterým jsme se věnovali v minulém blogpostu, je proto potřeba být velice obezřetný. Naštěstí i v tomto případě existuje databáze, která může pomoci při rozhodování. Upozornila nás na ni uživatelka z našeho příběhu a najdete ji na adrese https://www.podvodnabazaru.cz/. Zde můžete vyhledávat podle kontaktních údajů, ale třeba také podle použitého čísla bankovního účtu. A pokud se stanete obětí podvodu, můžete do této databáze také přispět. Má také smysl hlásit podvody s malými částkami i PČR. Policie si tato hlášení umí spojit a čím více lidí podvodníka nahlásí, tím spíše dosáhne celková způsobená škoda částky, při které bude věc řešena jako trestný čin.“

Závěrem bychom vám rádi poděkovali za zájem o naše témata a články. Věříme, že vám i letos přineseme celou řadu zajímavých textů podepsaných našimi kolegy. Pokud chcete patřit mezi jejich první čtenáře, sledujte nás na sociálních sítích Facebook, X a LinkedIN nebo se rovnou přihlaste k odběru zde na blogu.

Vláda ČR včera přijala významné usnesení, které se týká infrastruktury Internetu, když projednala materiál s názvem „Restart zavádění technologie DNSSEC a protokolu IPv6 ve státní správě“. Podrobně se tomu věnuje ve svých Krátkých vlnách kolega Novák a proto se prozatím soustředím pouze na mezinárodní aspekt tohoto aktu.

V mezinárodní komunitě se již poměrně dlouho diskutuje o relativně pomalém nástupu protokolu IPv6. Původně se očekávalo, že IPv6 nastoupí mnohem rychleji s tím, jak docházejí volné IPv4 adresy a roste jejich cena na trhu. Bohužel jsme zatím poměrně daleko od situace, kdy by bylo možné nabízet internetové služby pouze po protokolu IPv6. Poskytovatelé služeb či konektivity jsou tak nuceni udržovat dva různé síťové protokoly se všemi negativy tohoto stavu a z této situace mohou mít radost snad jedině spekulanti prodávající či pronajímající IPv4 adresy. Rostoucí cena IPv4 adres bohužel přilákala do technické komunity kolem regionálních registrů zcela nové hráče, kterým leží na srdci jiné zájmy než zrovna hladké fungování internetové infrastruktury. IPv4 adresy jsou dokonce díky své ceně i kořistí ve válečných konfliktech.

Proto si dovolím tezi, že volný trh byl tentokrát od vyřešení konfliktu vzdálen a tak považuji za užitečné, že se o tento problém začaly zajímat i administrativy států. Přesto se až do včerejšího dne žádná z těchto administrativ na evropském kontinentu zatím neodhodlala k tak razantnímu kroku, jako je stanovení konce používání protokolu IPv4, který včera odsouhlasila vláda ČR. Určené datum je velmi symbolické, je stanoveno na dvacáté výročí „spuštění IPv6 protokolu“, tedy 6.6.2032.

Nejsem pochopitelně takovým optimistou, abych si myslel, že toto rozhodnutí české vlády samo o sobě otočí kormidlem a bude znamenat totální konec IPv4 na celém světě. K tomu se bude muset přidat výrazně více aktérů, ať již ze státního nebo ze soukromého sektoru. Stejně tak se pochopitelně může stát, že datum může být později revidováno. Ale jasné stanovení konkrétního data může také znamenat, že se prostě další přidají. Mimochodem tento krok již vzbudil pozornost v diskusních fórech RIPE NCC.

Tak jako vždy, každý, kdo přijde s nějakou výraznou novinkou, může strhnout lavinu nebo naopak zůstat osamocen. Nicméně Česko si stanovilo datum a v této situaci by určitě nebylo rozumné, aby kdokoliv, kdo kupuje nové síťové vybavení, startuje nějakou službu, provádí upgrade sítě, nemyslel na protokol Ipv6. To by se mu mohlo v budoucnu vymstít. Je to jasný signál pro všechny internetové hráče, aby brali IPv6 vážněji.

Důležité je, aby tento krok nezůstal osamocen a ČR pracovala na získání spojenců na evropské a případně později i mezinárodní půdě. Ostatně Evropská unie si již troufla přijmout mnohem odvážnější opatření. Dovolte mi tedy poděkovat vládě ČR a české státní správě za tento odvážný, ambiciózní, ale i racionální krok. Velmi si přeji, aby to byla ta pověstná první vločka, která tu lavinu strhne, a aby bylo datum 17. 1. 2024 jednou zapsáno v historii Internetu.

IPv6 zdar :-)!

Kdysi dávno, už tomu bude 15, resp. 11 let, vláda uložila ministerstvům a vedoucím ostatních ústředních orgánů státní správy úkol vyžadovat při nákupu relevantních služeb podporu technologie DNSSEC a poskytovat své webové stránky, elektronické podatelny a další služby e-governmentu i přes internetový protokol IPv6. Poslední zpráva o zavádění technologie DNSSEC a IPv6 ve státní správě byla předložena v roce 2015. Bylo zjištěno, že jednotlivá ministerstva i ostatní orgány státní správy plní usnesení vlády uspokojivě. Od té doby při příležitosti spuštění nové služby státu proběhne většinou na sociálních sítích komentář, že daný rezort nesplňuje vládní usnesení, protože kašle na IPv6 a to je tak všechno. Naposled se tomu stalo při uvedení e-sbirky.

Usnesením č. 578 ze dne 16. srpna 2023 vláda sice schválila harmonogram migrace ústředních orgánů státní správy na jednotnou státní doménu gov.cz. a jedním z technických pravidel, které má být splněno do 31. prosince 2023, je dostupnost veřejné DNS infrastruktury i přes protokol IPv6. Nicméně tato podmínka se týká dostupnosti veřejné DNS infrastruktury domény gov.cz, což ale automaticky neznamená, že i jednotlivé subdomény dotčených resortů budou dostupné pro uživatele prostřednictvím protokolu IPv6.

To by se mělo změnit. Ministerstvo průmyslu a obchodu (MPO), které je zodpovědné za agendu správy internetu („internet governance“), předložilo včera vládě materiál „Restart zavádění technologie DNSSEC a IPv6 ve státní správě“. V tomto materiálu, který máme k dispozici, ministerstvo navrhlo vládě zařadit v podpoře rozvoje IPv6 protokolu vyšší rychlost a ve střednědobém horizontu ukončit poskytování služeb prostřednictvím protokolu IPv4 ve státní správě.

MPO jako předkladatel materiálu vychází ze základní premisy, že stát má podporovat robustní a bezpečnou internetovou infrastrukturu. Nedostatek volných IPv4 adres, růst jejich ceny a tlak spekulantů na trh má podle ministerstva negativní dopad na potenciál české digitální ekonomiky a i proto by vláda měla podporovat rozvoj IPv6 protokolu. Vyčerpání adresního prostoru IPv4 vede ke zvýšení bariéry vstupu na trh nejen v oblasti budování internetové infrastruktury. Vlastní adresní prostory jsou potřebné dnes nejen k poskytování služeb elektronických komunikací, ale také zejména (a nikoliv pouze) při poskytování služeb obsahu.

Do materiálu ministerstvo zahrnulo i mezinárodní srovnání. V červnu 2023 vydal RIPE NCC studii zaměřenou na adopci protokolu IPv6 ve středoevropském regionu (Česko, Maďarsko, Polsko a Slovensko). Studie konstatuje a dokládá na aktuálních datech, že navzdory pouze malému množství adres IPv4 a rostoucí potřebě dalších adres zůstává v tomto regionu s výjimkou Maďarska míra využití IPv6 nízká. Přesto, že Česko bylo v roce 2013 na prvním místě mezi evropskými státy v dostupnosti webových stránek ministerstev a jiných ústředních orgánů státní správy na protokolu IPv6, dnes výrazně zaostává.

Zdroj: RIPE NCC

V závěru studie konstatuje, že je důležité, aby „zejména Česko, Polsko a Slovensko zlepšily dostupnost IPv6, aby vytvořily podmínky pro dlouhodobý růst a nové a rozvíjející technologie, jako jsou 5G, internet věcí a další.“ Vlády a další aktéři ekosystému se musí podle RIPE NCC podílet na podpoře širšího zavádění IPv6.

Z pohledu posílení kybernetické bezpečnosti materiál zmiňuje skutečnost, že paralelní souběh služeb na IPv4 a IPv6 zvyšuje plochu útoku a dostupné vektory na straně útočníků. Výhodou adresního prostoru IPv6 je také fakt, že jej možní útočníci pro jeho velikost nemohou efektivně proskenovat.

Součástí materiálu jsou i výsledky testu ke dni 7. prosince 2023 (tedy před migrací dalších úřadů pod doménu gov.cz), který zahrnoval kontrolu nasazení DNS serveru na IPv6, dostupnosti DNS serveru na IPv6, dostupnosti e-mailové služby na IPv6, existenci DNSSEC, existenci SMTP DANE/MTA-STS a platnost webového certifikátu. Z výsledků testu mimo domény pod gov.cz vyplynulo, že povinnosti plní Český telekomunikační úřad, Český úřad zeměměřičský a katastrální, Ministerstvo spravedlnosti, Ministerstvo financí, Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí, Národní úřad pro kybernetickou a informační bezpečnost, Rada pro rozhlasové a televizní vysílání, Státní úřad pro jadernou bezpečnost, Úřad průmyslového vlastnictví a Úřad vlády. Ostatní ministerstva a ústřední orgány státní správy mají v základní digitální infrastruktuře nedostatky, které mohou vést i k bezpečnostnímu riziku. Samozřejmě je nutné dělat tyto testy i pro domény zařazené pod gov.cz. A pokud se budou dělat testy pravidelně, může to být pro správce na rezortech drobné šťouchnutí pro zlepšování jejich infrastruktury. A třeba, a teď jsem si snad moc nezapřeháněl, budou mít všechny ministerstva a ústřední orgány státní správy výsledky jako Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Gratulujeme do Brna.

Konec příběhu? Ne. Materiál má usnesení, které rozdává úkoly. Ministr průmyslu a obchodu navrhl úkol sám sobě, a to předložit vládě do konce června 2025 monitorovací zprávu a každoročně vyhodnocovat stav plnění podmínek na úplný přechod na protokol IPv6. A ministerstvům a ostatním orgánům státní správy vláda uložila dát do pořádku nedostatky (do konce tohoto roku) a do 6. června 2032 přestat poskytovat služby státní správy na protokolu IPv4. Revoluční nápad, který je vlastně logický. Pokud se stát zbavuje závislosti na ruském plynu nebo omezuje přístup rizikových dodavatelů do komunikační infrastruktury, proč by nemohl ve jménu rozvoje a podpory zavést „IPv6 only“ státní správu. Ostatně nebudeme na světě první. Není to ostatně jediná vládní snaha o podporu rozvoje IPv6. V polovině tohoto roku nabyde účinnosti vyhláška o dlouhodobém řízení informačních systémů veřejné správy, kterou připravila Digitální a informační agentura (DIA). Ta nově stanovuje povinnost, aby dálkový přístup ke službám informačních systémů byl umožněn rovnocenným použitím protokolu IPv4 a IPv6.

Konec příběhu? Ještě ne. Stát nejsou jen ministerstva a ústřední orgány státní správy. Ministerstva mají pod sebou resortní organizace a i ty mají své domény. Ústav mezinárodních vztahů, Univerzita obrany, Centrum sociálních služeb Tloskov, Správa jeskyní České republiky, Ústav územního rozvoje, Agentura pro podnikání a inovace, Centrum služeb pro silniční dopravu, Budweiser Budvar, Národní pedagogické muzeum a knihovna J. A. Komenského, Národní ústav lidové kultury, Léčebné lázně Lázně Kynžvart, Zotavovna Pracov, to jsou jen letmé příklady ze stovek subjektů, které patří „pod stát“ a které mají na různé úrovni zabezpečení svých webových stránek. Čím dříve si stát udělá inventuru i na těchto doménách, tím lépe.