Názory k článku Postřehy z bezpečnosti: novela zákona o kybernetické bezpečnosti doporučena ke schválení
-
MáraStříbrný podporovatelTak to vypadá, že novelizace zákona o kybernetické bezpečnosti jen tak neprojde. Velké tuzemské firmy, v čele s Asociací provozovatelů mobilních sítí (APMS), vyzvaly premiéra Petra Fialu, aby přerušil legislativní proces schvalování zákona o kybernetické bezpečnosti. Info např. zde
-
Michal SmržStříbrný podporovatelDržím palce, ale zkušenost říká, že zlo se prosadí vždycky.
Fialu bude víc zajímat, jak naše spolkové eu podniky bojují s ruskými hackery, než jak to zaplatíme/uděláme. -
DannyStříbrný podporovatelLegislativni proces je teprv na zacatku a i uspesny pruchod vladou toho moc neznamena. Skutecnou bitvu jde ocekavat az ve snemovne, hladky pruchod cekat nelze. Navic, kdyz se schvaloval predchudce (transpozice NIS), mohl se predkladatel chlubit konsensem s odbornou komunitou i ze soukromeho sektoru - a tu ted NUKIB nema. A ma proti sobe spoustu silnych hracu, co uz mnohokrat do legislativniho procesu zasahli. Nepodcenoval bych silu poslaneckych pozmenovaku ;-)
-
L.Stříbrný podporovatel
Ano, zlo se prosadí vždycky. Takže manažeři nakoupí "levný" HW, shrábnou bonusy za ušetřené náklady a že tím umožní mít Pekingu (nebo i Moskvě) mít tlačítko umožňující kdykoli vypnout naši kritickou infrastrukturu je trápit nebude - oni budou za vodou.
-
No, obava je, že to možná bude takhle:
"Ano, zlo se prosadí vždycky. Takže manažeři nakoupí drahý HW, shrábnou bonusy za včasnou implementaci směrnice a že tím umožní mít Pekingu (nebo i Moskvě) mít tlačítko umožňující kdykoli vypnout naši kritickou infrastrukturu je trápit nebude - oni budou za vodou."
Jinými slovy, je to šílený kus práce a obrovská zátěž pro všechny. Ale zda to v praxi vůbec nějak přispěje bezpečnosti, o tom jsou oprávněné pochyby. Manažeři budou dělat to, co dosud: splní legislativní požadavky. Kolik z těch požadavků samo o sobě zvyšuje bezpečnost už jen tím, že je firma implementuje? A proč přesně jsou v návrhu zákona ty další požadavky?
-
Já mám dobrou zkušenost s regulací StateRAMP. Tam jsou ty nejpalčivější věci popsané stylem "prokaž auditorům, že tohle řešíš." Neříká jak. Mají z toho noční můry jak bezpečáci, tak DevOps i programátoři.
Z většiny jiných norem a předpisů mám pocit, že je to seznam opatření, která máte implementovat. Konrétní věci, které jsou pak často implementované doslovně a ve výsledku bez užitku. StateRAMP na to jde naopak, tam se po vás například chce, abyste jednou za čas ověřili, že nedáváte zákazníkům data, která nemáte. Jiný bod že si nedržíte data, ke kterým už není důvod. No a my tu pak řešíme, jak tohle vlastně kontrolovat, jakými způsoby a komu jaká data dáváme, respektive kde má který klient data pro jaký produkt a v jaké formě.
Chce se mi k tomu ironicky dodat "zlaté ISO, to jsme dokázali implementovat aniž by s tím otravovali vývojáře."
-
L.Stříbrný podporovatel
Debata nad účinností opatření je samozřejmě legitimní. Jen je pořeba si uvědomit, že APMS rozhodně nejde o to, aby ta opatření byla co nejúčinnější, ale aby byla (pro ně) co nejlevnější, tedy pokud možno žádná.
-
DannyStříbrný podporovatel
Tak se podivejte, jak nas kyberurad "informuje" o zranitelnostech... casto je to jak tyden stare noviny ;-) A beda, jak do toho vlezou treba velikonoce ci jine podobne dlouhe svatky... hezky si pockejte na pracovni den, vsak ono utocnici take pockaji :D
Kdyz to clovek srovna s fungovanim obdobnych (statnich) instituci v zahranici... to proste nepusobi jako parta, co by svou praci delala poradne. Jo, fotit se na socialni site, to jim jde dobre. Ale ta rutina uz min. Takze ani jejich "osvetovy" portal nikdo nepatchuje, nejspis vam stale budou psat s RTcka, co aktualizace videlo buhvikdy, ssl vpnka taky neni uplne crypto-state-of-art... atd :-) Ale druhe budou sekyrovat. Ale zacit by meli u sebe... a pokracovat u statnich instituci, kde to navzdory svym kompetencim take moc nezvladaji ukocirovat.
A hlavne to co oni resi je primarne bezpecnost na papire a treba zhovadilosti typu "pravidelne nutit lidi menit hesla". S bezpecnosti to nema spolecneho nic (a to vam rekne i NIST), zato se to ourednikovi dobre kontroluje, ze? ;-)
-
jo jo, pomatuji na log4j vlnu zranitelností, NÚKIB nám poslal požadavek na instalaci v té době již zranitelné opravy a chudáci bezpečáci z toho byli zmatení, když jsme nechtěli udělat downgrade...
Pokud to má fungovat, jeho reakce musí být okamžité, ne že se o tom nejprve píše na roota, pak příjde varování z NÚKIBu.
