Trend: Rast softvérových zraniteľností

Podľa Ethical Hacking Report 2023 bolo v minulom roku odhalených 2 795 zraniteľností rôznej závažnosti v 384 projektoch realizovaných naprieč rôznymi priemyslovými odvetviami. Etickí hekeri priemerne odhalili v každom projekte viac než 7 zraniteľností, ktoré sa delia do štyroch kategórií podľa miery závažnosti. Kritických, teda tých s najvyššou mierou rizika zneužitia, bolo doteraz najviac 192.

Zraniteľnosti zvyčajne vedú napríklad k Remote Code Execution – vzdialenému spusteniu škodlivého kódu, eskalácii privilégií alebo dosiahnutiu hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem, získaniu role doménového administrátora, s ktorého oprávneniami preberá útočník kontrolu nad celou sieťou. Pre weby predstavuje vysoké riziko zraniteľnosť „SQL injection“. Útočník v tomto prípade využíva bezpečnostné nedostatky k preniknutiu do databázovej vrstvy webovej aplikácie prostredníctvom vloženia vlastného SQL príkazu. SQL je programovací jazyk, ktorý umožňuje pracovať s dátami v relačných databázach, ktoré často obsahujú citlivé informácie, akými sú prístupové údaje používateľov. Najčastejšie dochádza k takémuto útoku prostredníctvom neošetrených vstupných formulárov. Útočník môže do takto nezabezpečeného prihlasovacieho formulára v internetovom obchode vložiť SQL príkaz, ktorý mu umožní voľne zapisovať do databázy. Inými slovami, útočník má možnosť manipulovať s dátami, ktoré sú v databáze uložené, čo môže vážne ovplyvniť chod a prevádzku aplikácie, jej serveru a zaobchádzanie s citlivými údajmi užívateľov.

Experti z Citadelo sa zamerali tiež na preverovanie ľudského faktoru, na ktorý najčastejšie mieria vektory útoku hekerov využívajúce metódy sociálneho inžinierstva, ako vishing, phishing a smishing. Tie sú vysoko rizikové ako pre jednotlivcov, taktiež pre firmy v ktorých pracujú. Efektivitu týchto útokov dokumentujú aj interné nezverejnené štatistiky spoločnosti. Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím týchto techník, je až 40 %. Znamená to, že takmer každá druhá obeť v novo testovaných spoločnostiach podľahla nástrahám etických hekerov. Veľký počet nájdených zraniteľností poukazuje na nevyhnutnosť komplexného penetračného testovania a posudzovania bezpečnosti. Predovšetkým v dnešnej dobe, kedy sa početnosť a sofistikovanosť kybernetických útokov neustále zvyšuje a stále viac mieria na komerčný priemyselný sektor, telekomunikácie a dopravu. Potvrdzujú to aj

nároky novej európskej legislatívy DORA a NIS2.

EU: Jeden európsky diplom

V Európskej únii sa pripravuje zavedenie európskeho diplomu na základe nového typu dobrovoľného spoločného programu medzi univerzitami z rôznych krajín únie. Európsky diplom má byť prínosom pre študentov tým, že posilní vzdelávaciu mobilitu a zatraktívni absolventov pre zamestnávateľov. Zároveň pomôže uspokojiť dopyt na trhu práce a v konečnom dôsledku posilní konkurencieschopnosť Európy.

Európska komisia predstavila balík troch iniciatív, ktoré riešia právne a administratívne prekážky vytvárania konkurenčných spoločných študijných programov na bakalárskom, magisterskom alebo doktorandskom stupni. Dôležité je, že sa plne rešpektuje autonómia a právomocí univerzít krajín EÚ a regionálnych vlád v oblasti vysokoškolského vzdelávania. Prvou z týchto iniciatív je koncepcia európskeho diplomu, v ktorej sa stanovuje konkrétny postup spolupráce medzi krajinami EÚ a sektorom vysokoškolského vzdelávania. Vzhľadom na rozmanitosť európskych systémov vysokoškolského vzdelávania sa bude uplatňovať postupný prístup s dvoma možnými vstupnými bodmi

• Prípravná európska značka: spoločné programy, ktoré spĺňajú navrhované európske kritériá, by dostali prípravnú európsku značku a študenti by spolu so spoločným diplomom dostali osvedčenie o európskej značke titulu.
• Európsky diplom: nový typ kvalifikácie zakotvený vo vnútroštátnych právnych predpisoch, udeľovaný spoločne niekoľkými univerzitami alebo spoločným právnym subjektom založeným takýmito univerzitami a automaticky uznávaný.

Na podporu tohto cieľa a všeobecnejšie na podporu sektora vysokoškolského vzdelávania sú v balíku dve ďalšie iniciatívy. Jedna sa zaoberá spôsobmi, ako zlepšiť procesy zabezpečovania kvality a automatickým uznávaním kvalifikácií vo vysokoškolskom vzdelávaní, a druhá tým, ako zatraktívniť a udržať akademickú kariéru.

Monitoring: Na pracovisku čoraz častejší

Kontrola zamestnancov na pracovisku nie je nič nezvyčajné. Zamestnávateľ tým chráni nielen svoje záujmy, ale aj záujmy zamestnancov s ohľadom na ochranu ich zdravia a života pri práci. Do akej miery je pritom možné neporušovať ochranu súkromia zamestnancov? Problematiku na Slovensku upravuje Zákonník práce, ale nie je možné ignorovať ani GDPR.

Kontrola na pracovisku môže prebiehať viacerými spôsobmi, napr. ide o monitorovanie zamestnancov pomocou mikrofónov, biometrických údajov (evidencia dochádzky prostredníctvom odtlačku prsta) alebo GPS. Zamestnávateľ mmôže tiež kontrolovať elektronickú komunikáciu zamestnanca, či aktivity na sociálnych sieťach. Podľa odborníka na ochranu osobných údajov ale nie je možné zamestnanca kontrolovať len tak. „Základným predpokladom legálneho monitorovania zamestnancov v zmysle Zákonníka práce je existencia vážnych dôvodov spočívajúcich v osobitnej povahe činností zamestnávateľa. V prípade existencie uvedených dôvodov musí nasledovať prerokovanie zavádzaného kontrolného mechanizmu so zástupcami zamestnancov a taktiež povinnosť informovať o zavádzanom kontrolnom mechanizme aj zamestnancov. Z pohľadu GDPR je zas potrebné vypracovať balančný test, upraviť internú dokumentáciu prevádzkovateľa a v prípade potreby aj pripraviť posúdenie vplyvu na ochranu údajov,“ upozorňuje Jakub Berthoty.

Zamestnávatelia by mali vždy pamätať na základné zásady ochrany osobných údajov, a to bez ohľadu na použitú technológiu. Platí tiež, že na obsah elektronickej komunikácie, ktorá sa uskutočnila v prevádzkových priestoroch, sa vzťahuje rovnaká ochrana základných práv ako na analógovú komunikáciu. „Je veľmi nepravdepodobné, že právnym základom na spracúvanie údajov v práci bude súhlas, pokiaľ zamestnanci nemôžu odmietnuť spracúvanie bez nepriaznivých následkov. Sú ale prípady, kedy sa zamestnávateľ môže odvolať na plnenie zmluvy a oprávnené záujmy, avšak len vtedy, ak je spracúvanie jednoznačne nevyhnutné na legitímny účel a je v súlade so zásadami proporcionality a subsidiarity. V každom prípade by zamestnanci mali dostať účelné informácie o prebiehajúcom monitorovaní,“ dopĺňa Jakub Berthoty. Okrem právnej roviny však môže mať sledovanie zamestnancov vplyv aj na atmosféru na pracovisku. „Aj keď je monitorovanie transparentné a zamestnanci sú o ňom informovaní, narúša pocit dôvery, psychického bezpečia a zamestnanci môžu pociťovať strach z toho, čo všetko môže zamestnávateľ sledovať. Odpoveďou manažmentu na túto formu neistoty by malo byť budovanie dôvery cez vzťah a otvorenú komunikáciu s ľuďmi. Manažéri a lídri potrebujú svojim zamestnancom venovať čas a pozornosť a vytvárať priestor, v ktorom sa môžu cítiť vypočutí a cítiť, že na ich názore a nápadoch záleží,“ myslí si Katarína Ožvoldová.

EU: Nedostatok pracovníkov aj zručností

Už takmer desať rokov pozorujú všetky členské štáty EÚ čoraz citeľnejší nedostatok pracovnej sily a zručností. Dôvodom sú demografické zmeny, dopyt po nových zručnostiach v súvislosti s technologickým vývojom a súbežnou zelenou a digitálnou transformáciou, snaha ďalej rozvíjať vlastné priemyselné sektory, potreby v oblasti obrany a bezpečnosti, ako aj výzvy spojené s pracovnými podmienkami v niektorých sektoroch a lokalitách. Európska komisia identifikovala 42 zamestnaní, ktoré považuje za zamestnania s nedostatkom pracovnej sily vo všetkých členských štátoch.

Akčný plán na riešenie nedostatku pracovnej sily a zručností vznikol v spolupráci so sociálnymi partnermi, ktorí zohrávajú kľúčovú úlohu pri realizácii riešení týchto výziev. Plán zahŕňa päť oblastí, v ktorých treba rýchlo konať na úrovni EÚ, vnútroštátnej úrovni i na úrovni sociálnych partnerov:

• Podpora aktivácie nedostatočne zastúpených skupín na pracovnom trhu
• Poskytovanie podpory na rozvoj zručností, odbornú prípravu a vzdelávanie
• Zlepšenie pracovných podmienok v určitých sektoroch
• Zlepšenie spravodlivej mobility pracovníkov a učiacich sa
• Prilákať talenty z tretích krajín

Komisia bude:

• financovať nové projekty s cieľom nulovej dlhodobej nezamestnanosti
• financovať nové projekty aktivácie a zvyšovania úrovne zručností mladých ľudí, ktorí nie sú zamestnaní, ani nie sú v procese vzdelávania alebo odbornej prípravy (NEET)
• spolufinancovať viac centier excelentnosti odborného vzdelávania a prípravy (cieľom je minimálne 100 nových centier do roku 2027)
• v rámci Paktu o zručnostiach vytvárať nové partnerstvá pre zručnosti
• v úzkej koordinácii s agentúrami EÚ zlepšovať získavanie údajov o zručnostiach (teda mapovať, aké zručnosti sú potrebné aktuálne a aké budú potrebné v budúcnosti)
• analyzovať stratégie pracovného voľna zo zdravotných dôvodov v snahe určiť najlepšie postupy v prospech pracovníkov i podnikov
• hodnotiť vplyv dôchodkových reforiem , ktorými sa zavádza viac možností flexibilného odchodu do dôchodku a kombinácie dôchodkových príjmov s platom
• vykonávať partnerské preskúmania vnútroštátnych koncepcii na riešenie psychosociálnych rizík pri práci

Členským štátom sa adresuje výzva, aby:

• prepracovali osnovy vzdelávania a odbornej prípravy, aby lepšie zodpovedali potrebám trhu práce
• vykonali reformy systémov sociálnych dávok a odstránili pasce nečinnosti a ľuďom, ktorí sú práceschopní, zaručili dostatočnú podporu pri návrate na pracovný trh
• vykonali daňové reformy a znížili daňovo-odvodové zaťaženie ľudí v druhom zamestnaní a zamestnancov s nízkou mzdou
• ďalej podporovali koordináciu sociálneho zabezpečenia a uľahčili mobilitu za spravodlivých podmienok
• rýchlo prijali a vykonávali odporúčanie Rady „Európa v pohybe – príležitosti vzdelávacej mobility pre všetkých“
• ďalej sa podieľali na partnerstvách zameraných na talenty v snahe o vytváranie ciest legálnej migrácie

Sociálni partneri plánujú:

• riešiť prostredníctvom kolektívneho vyjednávania nevyhovujúce pracovné podmienky v sektoroch, ktoré tento problém majú
• pomáhať pri aktivácii nedostatočne zastúpených skupín a nájsť primerané riešenia pre zamestnávanie starších pracovníkov
• podporovať učňovskú prípravu a partnerstvá medzi poskytovateľmi odborného vzdelávania a prípravy a zamestnávateľmi
• školiť pracovníkov v oblasti dlhodobej starostlivosti so zameraním na osobný prístup a digitalizáciu
• aktualizovať multisektorové usmernenia na boj proti násiliu a obťažovaniu v sektore zdravotnej starostlivosti
• spoločne pracovať na zostavení európskeho rámca na zlepšenie pracovných podmienok vodičov z povolania z tretích krajín
• prispieť svojim odbornými znalosťami k vytvoreniu okruhu talentov EÚ v snahe prilákať talenty z tretích krajín

E-shopper Barometer 2023: Rozhoduje cena

Na rozdiel od klesajúceho trendu vo viacerých európskych krajinách sa na Slovensku dynamika nákupov na internete vracia na úroveň z roka 2021. V roku 2023 nakupovalo on-line až 80 % Slovákov a takmer polovica z nich pravidelne. Množstvo on-line zákazníkov sa tak priblížilo k rekordnej úrovni z obdobia pandémie v roku 2021, kedy na internete nakupovalo až 81% ľudí na Slovensku. Vyplýva to z prieskumu E-shopper Barometer spoločnosti DPD (v 22 európskych krajinách, 24 233 respondentov vo veku od 18 do 70 rokov, na Slovensku 1 009 respondentov).

Pravidelní zákazníci sú z pohľadu on-line obchodníkov kľúčoví. Až 87 % všetkých on-line nákupov urobia práve oni. Práve oni relazujú vyše 18 percent všetkých svojich nákupov on-line, a mesačne nakupujú v e-shopoch v priemere viac ako štyrikrát. Až 2/3 Slovákov na internete nakupuje najmä oblečenie a módu (69 %), nasleduje kozmetika (58 %) a obuv (52 %). Dôvodov, prečo sa ľudia rozhodnú uprednostniť internetový obchod pred kamenným je viacero: až 8 z 10 ľudí uvádza, že vďaka tomu šetria čas a 2 z 3 hovoria, že využívanie internetových obchodov výrazne znižuje stres z nakupovania. Pre 67 % ľudí je nakupovanie na internete natoľko pohodlné, že ho využívajú stále viac a to aj napriek tomu, že tovar musia niekedy vrátiť. Väčšina ľudí tiež uvádza (64 %), že na internete vedia kúpiť takmer všetko, čo potrebujú.

Slováci nakupujúci na internete sú veľmi citliví na cenu. Až pre 73 % z nich je cena najdôležitejším faktorom pri nákupnom rozhodovaní a 2 z 3 nakupujúcich využívajú veľké zľavy a sezónne výpredaje. Naopak, viac ako tretina ľudí si je ochotných priplatiť za produkty a služby, ktoré sú ohľaduplné k životnému prostrediu. Najdôležitejším kritériom pri výbere internetového obchodu je pre pravidelných zákazníkov najmä možnosť bezplatného doručenia a podrobný popis tovaru. Naopak, od nákupu ich odrádzajú zlé názory ostatných zákazníkov na sociálnych sieťach a chýbajúce skladové zásoby požadovaného tovaru. Pri doručovaní chcú mať ľudia na výber viacerých možností, dôležité je tiež doručenie na druhý deň po objednávke a možnosť v prípade potreby presmerovať balík na iné miesto. Pravidelní zákazníci internetových obchodov bežne využívajú viac miest, kam si nechajú balík poslať. Stále najčastejšie na tento účel využívajú domácu adresu (68 %), význam doručovania domov však postupne klesá. Výraznejšie vzrástla obľuba odberných miest, ktoré využíva 51 % ľudí a samoobslužných boxov (31 %).