Názory k článku Nesmíme se nechat zahltit zákony, říká šéfka nejstaršího českého CSIRT týmu

Je díky existenci téhle party levnější chleba, máslo nebo nižší daně? Co přináší občanům?

Pani Pohlova. Mne (admin unix/linux/lan) v nasej firme pomaha, ak ma niekto (slovensky csirt) mailom upozorni na bezpecnostne incidenty/rizika. Niezeby som taketo veci nesledoval aj sam...

Slovensky csirt je podla mna vyhadzovanie penazi. Zbytocny clanok navyse.

Miluju takový dotaz, ne každou službu takto kvantifikovat, je podle Vás levnější chleba díky tomu, že máte ve městě hasiče ? NE, ale díky tomu, že tam jsou nebude nutně skokově dražší, pokud propukne požár pekárny, hasiči přijedou uhasí, kdyby tam nebyli pekárna schoří a bude se muset chleba dovážet od jinud a bude dražší.

Jojo, je to katastrofa, když choří...

“Například na GDPR se mi těžko hledá něco, o čem bych mohla mluvit pozitivně.” Takze treba to, ze uz u navrhu aplikace zpracovavajici osobni data musite resit zabezpeceni dat nepovazuje slecna za pozitivni? Zvlastni.

Považuji. Ale potřeba přemýšlet nad ochranou (jakýchkoliv citlivých) dat již ve fázi návrhu a pak v celém procesu realizace aplikace je zde odjakživa. Není to převratná novinka, kterou přináší GDPR. Ale přidalo-li GDPR v tomto směru na důrazu, tak je to určitě dobře.

Kdyz rikate odjakziva, mate na mysli ruzne dumpy databaz nekde ve /var/www/html/ obsahujicich e-mail, jmeno atd. jenom proto ze to pro spravce webu je to tak pohodlne? Nebo mate na mysli e-mail seznamu ktery po deaktivaci (smazani neni dle nich mozne) vsechny e-maily porad skladuje a v pripade ze si nekdo vytvori schranku a pouzije to same jmeno tak se dostane do vasich e-mailu? To odjakziva se implementuje ruzne a diky GDPR treba budu moci konecne seznam poslat do ( )|( ) s tim at mi konecne zrusi schranku obshaujici me osobni udaje. GDPR zavede do urcite miry v CR poradek s nakladnim s osobnimi udaji, kdyz mi zavola treba spolecnost X a oslovi me jmenem, budu vedet ze odnekud ma moje telefonni cislo linkovane s mou osobou a uz nebudou moci rict ze jsem s tim souhlasil nekde u nejake akce v kauflandu na ktere jsem nikdy nebyl.

jen si to moc nemalujte, podobnych standardu a predpisu jako je GDPR je po svete plno a jejich zavedeni toho nikdy moc nezmenilo. On to toz musi jeste nekdo implementovat a udrzovat, co se moc nedeje.

Navic samotny GDPR neni nic moc extra v porovnani se ostatnima.

Standardu je samozrejme spousta, ale vetsina z nich pokud vim nezahrnuje treba vysoke pokuty...

Princip kontroly nad vlastními informacemi a povinnost ochrany je určitě pozitivní. Ale asi jde o to byrokratické pojetí zákona, které příliš nezohlednilo reálné a efektivní použití. Například zahrnutí IP adresy a emailové adresy do osobních údajů je pěkný průser. Teď hrozí, že nebude legální poslat třetí straně (správci anti-spamové služby) emailové adresy spammerů bez jejich souhlasu a podobně.

Ono sa to nariadenie vztahuje aj na ine ako na mailove adresy realnych osob. Myslim ze sa nebudu vztahovat na technicke mail adresy, adresy fiktivnych osob (ktory spamer pouzije svoju realnu identitu?) a tak podobne... teda ak za spamerov nepokladas realne osoby ktorych maily treba mazat, pretoze myslia inak ako stado - njn, to si ich virusfree nebude moct evidovat :)

2.. 654: GDPR ale neni minimalne v CR zadna novinka, 101/2000 ... === uz 18let tu plati defakto presne totez, jen s tim, ze sankce se prakticky neudeluji nebo naprosto smesne.

Stejne tak definuje osobni udaj, jako libovolny udaj nebo soubor udaju, ktere identifikuji konkretni osobu nebo uzky okruh osob === IP byla osobnim udajem odjakziva, stejne jako email a spousta dalsich veci (nick je take osobni udaj).

GDPR defakto jen striktne rika, ze veskere dokazovani a odpovednost je na tom, kdo takove udaje ma, tudiz naprosto neobstoji ze budes nekde vykladat, ze si je v dobre vire koupil.

Proč? V bance zjistí, že někdo zkouší hádat hesla ze sítě SkvělýTelekom. No tak banka dá vědět SkvělýmuTelekomu prefix /64 a nezajímá ji, jestli je to konkrétní člověk nebfirma, nebo jestli se zařízení někdo zmocnil. Následně to řeší SkvělýTelekom na úrovni sítě (zjistí si, jestli jde o blok /64 nebo /52, zablokuje nebo eskaluje (do firmy). No a deska se za jednou IPv4 může skrývat plno lidí a za prefixem IPv6 ještě víc.

A i kdyby se posílaly údaje jako mailová adresa atd., tak v případě incidentu a jeho řešení snad není problém prokázat, že bylo využito nezbytný minimum informací a jejich zpracování bylo legální (= pro zabránění vzniku škody, povoleno zákonem atd.). Přece nedostanete flastra, když si u vás zloděj na chatě zapomene občanku, vy zjistíte že není vaše (kontrolou osobních údajů) a předáte ji policajtům.

nenabirate do teamu ?

Nabíráme. Aktuálně na více pozic (do Forenzní laboratoře, vývojáře, ...), dvě z pozic jsou popsané zde:

https://www.cesnet.cz/sdruzeni/kariera/

Ozvěte se :-).

AK

Co to musí být za primitiva, který mínusuje takovýhle příspěvek :-)

Dobrý den,
bylo to velmi zajímavé, dalších vašich akcí se budu rád zúčastňovat.
Díky za vaší práci.