Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce.
Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí.
Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům.
Implementace zákona bude probíhat v několika fázích
NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické bezpečnosti v organizaci).[1]
Nový zákon přinese výrazné změny zejména v oblasti bezpečnosti lidských zdrojů pro zaměstnavatele. Nově budou povinni zavádět systematická monitorovací opatření zaměřená na aktivity zaměstnanců s cílem předcházet vnitřním hrozbám, jako jsou úniky dat či škodlivé aktivity.
Důležitá je i osvěta v oblasti tvorby silných hesel, protože i když jsou pravidla známá, zaměstnanci je často nerespektují, proto jejich opakování není nikdy na škodu.
Důležitá je i osvěta v oblasti tvorby silných hesel, protože i když jsou pravidla známá, zaměstnanci je často nerespektují, proto jejich opakování není nikdy na škodu.
Jak na silné heslo?
Vytvoření silného, bezpečného hesla je jedním ze základních kamenů zabezpečení nejen jednotlivých uživatelských účtů, ale také počítače samotného. Heslo je obvykle základem ochrany jednotlivých zařízení spolu s uživatelským jménem. Uživatelské jméno bývá obvykle velmi jednoduché, např. odvozené od příjmení. Heslo je tak často jedinou významnější ochranou, jediným způsobem, jak ověřit svoji totožnost, je proto třeba věnovat jeho tvorbě značnou pozornost.
Důležitost způsobu tvorby hesla může být ovlivněna také způsoby, jakými lze heslo prolomit.
Možností, jak prolomit heslo, je mnoho. Těmi nejčastějšími jsou:
- Phishing – tento způsob je zaměřený na vylákání hesla přímo od uživatele. Ten má nejčastěji podobu podvodného e-mailu, který je rozesílán s cílem odkázat uživatele na podvodný web, kde se od něj útočníci následně snaží získat osobní údaje nebo peníze, ale také heslo, a to tím, že se snaží přimět uživatele, aby heslo sám zadal na podvrženou stránku.
- Slovníkový útok – je metoda odhalování hesel, při které útočník pomocí speciálního programu postupně zkouší hesla ze slovníku. Slovník je seznam slov, u kterých je pravděpodobné, že je uživatel mohl zvolil jako heslo.
- Útok hrubou silou (tzv. bruteforce) – jedná se o druh kyberútoku, jehož cílem je prolomení hesla. Útočník používá software (prolamovač hesel), který postupně zkouší různé kombinace znaků, dokud neuhádne skutečné heslo.
- Malware – jde o metodu, kdy se pro odhalování hesla používá speciální SW, který je nainstalován do vašeho zařízení a následně monitoruje stisky kláves, případně získává hesla z nezabezpečených internetových prohlížečů apod.
- Lidská hloupost – heslo napsané na monitoru, sdělované v e-mailu či v jiném nezabezpečeném komunikačním kanálu.
- Odposlouchávání síťové komunikace – je to metoda, kdy útočník odposlouchává síťovou komunikaci z počítače a analyzuje ji (např. na venkovní wifi apod).
- Využití uniklých hesel – na internetu lze najít obrovské množství uniklých hesel.
Jak vytvořit bezpečné heslo
Základní pravidla pro tvorbu hesla jsou následující:
- Heslo by nemělo být shodné s uživatelským jménem.
- Heslo by nemělo být podobné jinému již použitému heslu.
- Heslo by nemělo obsahovat křestní jméno nebo příjmení, uživatelské jméno, skutečné jméno, název úřad apod.
- Heslo by nemělo být tvořené slovy zadanými pozpátku.
- Heslo by nemělo být tvořené sekvencí (qwerty, abcdef, 12345 atd.).
- Heslo by nemělo být tvořené použitím číslic místo podobných písmen.
A co by naopak silné heslo mělo mít:
- za silné heslo se považuje takové, které obsahuje náhodný shluk písmen, velké písmeno a speciální znak [ ] @ . ( ) # = + $ ! ? { }.
- Heslo by mělo být náhodné.
- Heslo je vhodné po určité době měnit tak, aby nebylo stejné jako předchozí hesla.
- Heslo nepoznamenávat poblíž počítače nebo přihlašovacího systému (nelepit na monitor, zespodu klávesnice, neposílat e-mailem, nebo přes WhatsApp apod.).
Vzhledem k tomu, že vytváření skutečně náhodných hesel není lidskému myšlení vlastní (většina vymyšlených hesel není zcela náhodná), lze doporučit použití generátoru hesel. V generátoru hesel si lze nastavit délku, používané znakové sady nebo třeba preferovaný počáteční znak.
Ještě silnější zabezpečení hesla umožní vícefaktorové ověření, kdy např. po zadání jména a hesla navíc bude zaslán dodatečný požadavek pomocí SMS nebo e-mail pro druhé ověření identity subjekty, který se přihlašuje (tzv. dvoufaktorová autentizace).
Další alternativou je mobilní aplikace, která vygeneruje ověřovací PIN kód s platností nejvýše několika sekund. Taková autorizace podstatně přispěje k zvýšené bezpečnosti při přihlašování a zajistí vyšší formu online bezpečnosti.[2]
Silné heslo je vhodné doplnit mechanismem, který znemožní provedení útoku na heslo (hádání hrubou silou nebo slovníkový útok), např. nastavením „Account Lockout Policy“.
Eva Janečková
Pověřenkyně pro ochranu osobních údajů
[1] Jak se připravit na nový zákon o kybernetické bezpečnosti, https://portal.nukib.gov.cz/informacni-servis/podpurne-materialy/678a299ae8e3c7573907a643
[2] Hanzl, B.: 10 pravidel pro silné heslo: Opravdu máte dobře zabezpečené účty? https://www.blueghost.cz/clanek/10-pravidel-bezpecnost-hesel/