Názory k článku Schválena definice významných bezpečnostních incidentů pro poskytovatele služeb
-
Dokud budou CERT/CSIRT tymy pracovat soucasnym urednickym stylem a budou se jen vzajemne utvrzovat o sve dulezitosti, tak se nic zasadniho nezmeni. Teprve az panove vyhlednou ze svych akvarii a zacnou pracovat zpusobem obvyklym napriklad pri vysetrovani leteckych havarii, se stejnou profesionalni duslednosti a predevsim s politicko-ekonomickou silou svych "doporuceni" na vyrobce dotcenych zarizeni a implementatory finalnich reseni, tak se to teprve muze zacit hybat k lepsimu.
Jenze to by ti bezpecnostni experti, kteri vynalezaji jak prekladat lejstro na stole ze sektoru B2 do E1, museli aspon nekdy v zivote hackovat. Samozrejme realne, ne si jen prehravat zname scenare. Pak by ti chytrejsi z nich mohli zacit chapat, co by jim jako osobam temne strany prekazelo v praci. Hlavne by take sami zjistili realny stav siti, napr. v uradech, nemocnicich, prumyslovych podnicich. Za tu dobu co tu sleduju, se konkretne tahle oblast zlepsila jen malinko a pochybuju, ze nove pokusy EK tomuhle pridaji jakoukoliv pozitivni dynamiku.
-
To ale plete do sebe dvě témata. Důležitá, ale nesouvisející.
Styl práce po úřednicku je dnešní nešvar na všech úrovních jakékoliv správy (státní správy, samosprávy, firemní správy, ...). Procesy a protokoly zdravý rozum už nedoplňují, ale vytlačují a nahrazují. Protokolární postup není nic špatného, pokud schopnému týmu dodá navíc řád a formu. Bohužel, týmy jsou dnes plné lidí, kteří se zabývají vyplňováním pokynů a těmi, kteří pokyny neustále "vylepšují". Pro samé vylepšování se vytrácí rozhodnost odborníka, jeho profesionální, stavovská čest a chuť přijmout odpovědnost za cokoliv. Je jednodušší vyplnit formulář a splnit metodické pokyny, než obhajovat svůj postup mnohody před komisí plnou lidí s "manažerskými schopnostmi" ale s nulovým vzděláním v oboru.
Druhá, závažnější část je, že není snadné si vydobýt autoritu a respekt. V IT technologiích jsou historicky nositeli kompetencí vysoké školy a technologické firmy, často úzce spolupracující. Univerzity ale nestojí o politické body a technologické firmy bojují o hegemonii na trhu. Takže podobné týmy vznikají za velmi složitých okolností, často s nutnou politickou podporou, ale také s potřebnými politickými úlitbami - a mezi nimi je právě úřednický styl práce, nezávislost (ať už faktická, či s velkým úsilím jen deklarovaná).
Zmíněné vyšetřovací komise, např. v letectví mají jednu velkou životní výhodu: jejich existence je stimulována zájmy mezinárodními, často (díky Bohu!) za hranicemi EU. Zatímco pracovník "plně integrovaný" do myšlenkového postupu Evropy v první řadě přemýšlí o politických důsledcích svého postupu a o jakési hyperkorektnosti a teprve v druhé řadě vykonává to, k čemu byl povolán, je (nejen) za mořem zvykem, že odborníci v prvé řadě dbají na svoji pověst, na svoje vzdělání a na výsledek práce, o kterém jsou přesvědčeni. Teprve následně hledají, jak své postupy a závěry prezentovat a vývody prosadit v aktuálním rozpoložení země, zemí a světa. V případě letectví je dalším zdravým stimulem i boj pro i proti výrobcům letadel.
Nevyčítal bych, že současným bezpečnostním týmům nikdo nevěnuje takovou pozornost, jakou by si asi zasloužili. Tisíce, desetitisíce a miliony napadnutých zařízení jsou daleko méně emotivním tématem, než letadlo, které spadne s desítkami lidí. Stejně tak nikdo nevěnuje velkou pozornost těm, kteří se zabývají bezpečností na železnici a silnicích, byť při přesunu po zemi hyneme s nesrovnatelně vyšší pravděpodobnosti, než že spadneme ze vzduchu.
-
654 (neregistrovaný)
Pro doplnění přidám jednu perličku z praxe. Jednou jsem na brigádě pracoval v jedné firmě na úkolu obnovy a doplnění bezpečnostního značení (výroba a sklad s větším provozem). Tak proč ne, v halách je docela velký provoz lidí a vozíků, hasicí přístroje by opravdu měly být dostupné a označené a například vyznačení hran a překážek může pomoct řidičům vozíků se vyhnout srážce se sloupkem.
Jenže místo toho, aby bezpečnostní specialista chodil po skladu a kontroloval, jestli jsou hasicí přístroje SKUTEČNÉ přístupné a jestli vyznačená trasa pro vozíky dává smysl, se soustředil pouze na měření tloušťky čar (s přesností na milimetry) a jejich správní vzdálenosti od zdi (taky to počítal na milimetry). Dokonce ignoroval i nepřístupné, ale za to správně označené hasicí přístroje. Prostě kontroloval bezpečnostní normu místo skutečné bezpečnosti.
Norma musí podporovat činnost, ne jí nahrazovat, nebo dokonce garantovat.
-
K> (neregistrovaný)
jo. ale to je tak se vsim. jsou lidi co delaji svoji praci pro vysledek, a jsou lidi co delaji svoji praci pro to aby mohli po konci smeny jit domu. s tim se neda nic delat. pokladni se na mne usmeje nebo se mraci, bezpecak dela lejstra nebo opravdu resi bezpecnost, urednik se ti snazi pomoct nebo se jen pta na vyplnene formulare.
at budou normy jakkoliv dobre, v dusledku to stejne jen visi na tech lidech co tu praci delaji. -
Trident (neregistrovaný)
Pokud te nadrazene autority nepodporuji a nemotivuji v tom, abys delal pro vysledek a tve pozitivni snazeni potlacuji, nezbyde ti nic jineho nez vykazat nejakou cinnost a prejit na rezim "odjeji na konci smeny domu". A pak jsou lidi kteri hraji politickou hru aby byl aspon nejaky pozitivni vysledek. Coz je samozrejmne spatne. Casem te to vycerpa protoze hodne namahy a malo vysledku a take spadnes do rezimu "odejit na konci smeny domu"
Je treba videt veci v sirsich souvislostech... -
Ve skutecnosti ti ten bezpecak stejne ve finale jen napise, ze .... bla bla bla ... zelena neni dostatecne zelena, a ta zluta by mohla bejt zlutejsi ... jo a ty palety vzadu vypadaj za brzo spadnou.
Ale dokud nespadnou, nikdo nic resit nebude.
To je právě tím, že jsme (všichni) zahlceni záplavou nepodstatných informací a díky tomu jsme rezistentní i vůči těm podstatným. Je samozřejmě tristní, že se firmy zbaví odpovědnosti tím, že mají správně žlutou čáru. Dodržování norem je sice vyjádření určité zodpovědnosti, ale krom dodržování norem musí existovat i skutečný výsledek. Bohužel, u soudu firma prohlásí, že má všechna potřebná razítka a kontroly a soud se na tu firmu dívá, jako že udělala vše, co mohla. Nikdo nemá sílu a chuť se tím zabývat ve skutečnosti.
Právě proto jsem zásadně proti formalizaci postupů, která jde dál než je skutečná potřeba, i proti zavádění technologií, které (většinou meganákladně a stejně neúspěšně) suplují odpovědnost člověka za svoje rozhodování.
-
Karel (neregistrovaný)
Vy zjevně zapomínáte, že bezpečnost práce má dva účely:
1. Zajistit, aby lidé šli domů z práce zdraví
2. Ve chvíli, kdy někdo něco pokazí (např. narazí v plné rychlosti 15km/h ještěrkou do zavřených protipožárních dveří), tak aby s vámi nevyrazila dveře pojišťovna, abyste nebyl vinen trestným činem obecného ohrožení atd.Pro ten druhý účel je bazírování na milimitrech velmi podstatné. To jsou ta razítka. A za to jsou placeni vaši bezpečáci. Ti musí vědět, kolik musí na hale být hasicích přístrojů a jak daleko od sebe, kolik musí být lékárniček, jak široká musí být ulička, kterou nikdo nechodí, kolik místa musí být v uličce kudy jezdí retrack vedený indukcí, kde mají být vyvěšena pravidla o tom, jak mají řidiči ještěrek houkat atd.
Ten první účel je pak věcí všech pracovníků a nesetkal jsem se s tím, že by byl ignorován. Pokud někdo přijde za mistrem, že ta paleta vzadu asi brzo spadne, tak ten s tím něco dělat bude. Nechce platit škodu a nechce se nechat tahat po soudech, pokud se něco stane.
Největším kamenem úrazu bývají dodavatelsko-odběratelské vztahy. Ve chvíli, kdy má váš dodavatel regálového systému razítka, že je bezpečný, tak fakt, že se povážlivě kýve, z výšky osmi metrů padají na zem uvolněné podlážky a jedna noha už drží na místě jen na jednom šroubu, bývá docela svízelný. To je váš účel 1 vůči jeho účelu 2. Nám zabralo vzít zástupce dodavatele do skladu, dát mu helmu a postavit ho pod ten regál. Vydržel to asi 15 sekund a pak souhlasil, že ty podlážky na vlastní náklady opraví/vymění a že tu nohu znovu přišroubují. Regál se sice kýve dodnes, ale při jedné nehodě, kdy řidič ještěrky prostě jednu z krajních noh přerazil, regál stejně zůstal stát, přestože v něm bylo několik set tun. Takže v tomhle tomu razítku, že to regál ustojí, už věříme. Ale podlážkám ne, tam vážně byl technologický problém, že se přilepily zespodu na paletu obalenou strečovou folií a nadzvedly se dost na to, aby vypadly z drážky.
No a na druhém místě příčin jsou lidé, co nedodržují pravidla nebo nedávají pozor. Na ještěrkách to bývají závodníci, co prudce zatočí a "vrhnou" polovinu nákladu na lidi stojící u balící linky, nebo prostě jen nevidí, že protipožární dveře, které jsou 24 hodin denně otevřené, zůstaly po ranním požárním cvičení ještě zavřené. Přidejte lidi, co si kolem linek hrají na honěnou a pak upadnou kolenem na paletu a po půl roce marné léčby skončí v invalidním důchodu. Pak vám přijdou vhod ta razítka - dokázat, že lidé byli poučeni a náležitě proškoleni, že na ještěrkách je funkční omezovač rychlosti, že z ještěrky je dobře vidět, protože skladník s nákladem má příkaz couvat a má otočnou židli tak, že pohodlně vidí. Že lidé byli seznámeni s pravidly pohybu a že paleta stála na k tomu určeném místě. Atd. atd. Když se podíváte do historie knihy úrazů, tak vás až mrazí. To vám třebas skladník nechal na paletě ležet nůž a paletu pak zavezl do regálu až nahoru. O pár týdnů později ji jiný sundával, nějak se to zahoupalo a chlapec skončil s nožem zabodnutým v rameni. A bezpečáci se pak potí: dát do ještěrek stříšky, aby to nedopadlo až na řidiče? A jak pak uvidí nahoru? U nás to skončilo sérií opatření: v pravidlech bezpečnosti zákaz nechávat nože na paletách, povinné helmy ve skladě (heh), zákaz běžných nožů, povolené jsou jen ty se samozajížděcím břitem (ten se nezabodne, ale dostat tím do hlavy když to padá z 10 metrů stejně nebude žádné labůžo). Vinna byla samozřejmě firma, nikoliv člověk, co tam ten nůž nechal - pracovní úraz, bolestné atd. A je otázka, zda pokud se to bude opakovat, to dopadne jinak. Zda to školení, helma a typ nože bude dostatečný argument pro soud, že to není vina firmy a že ta udělala vše. Napadá vás snad, co ještě víc by pro tohle šlo udělat? Ještě se zvažovalo, že by nože měli na samonavíjecích přezkách, takže by ho nemohli nikde nechat. Jenže tam se zase bezpečáci děsili toho, kde všude by se jim mohl šprajcnout a v lepším případě utrhnout kus kalhot. Já jim tu práci nezávidím. A třebas v dolech mají tu práci ještě o řád těžší, protože tam pracuje řada imbecilů, u kterých se musí vyvinout nebetyčné úsilí na to, jim vysvětlit, že opravdu není dobré si tam zapálit cigaretu i když je nikdo nevidí nebo že zákaz vyklánět hlavu z vláčku není jen buzerace od límečků. Ty historky od našeho školitele jsou až neuvěřitelné (a smutné, fatální), ale vlastně je vidíme poměrně často: lidé často pravidla chápou tak, že když je nikdo nevidí, tak je dodržovat nemusí. Nedivme se jejich zaměstnavatelům, že ty razítka prostě chtějí.
-
Je to jedno a totez tema. Konkretni priklad: Styl prace po urednicku provazi organizaci ENISA od pocatku jejiho vzniku, ma to v genech. To se pretavilo do soucasneho obsazeni vedoucich pozic a vykonnostnich meritek teto organizace, coz nasledne ovlivnilo cely tenhle sektor, na ktery prispiva jina vrstva uredniku a ti samozrejme maji moc radi snadno meritelna kriteria. Ostatni se museli prizpusobit, pokud chteji penize z tehoz rozpoctoveho baliku - kdo chce s vlky ziti, musi s nimi vyti. Je to jak bazina, do ktere se muzete jen vic a vic zanorit, ale nejde z toho snadno vybrednout.
Pri vysetrovani leteckych havarii je situace diametralne odlisna, a to nejen v odbornem pristupu. Panuje tam zakladni politicka shoda, nikdo automaticky nehaze veskera UFO a snizenou viditelnost na jeden stat nebo politicky blok. Cybersec urednicke organizace jsou tak diplomaticky "nezkusene", ze nedokazaly za X let nastavit prostredi jednotneho piskoviste, takze proti dusledkum muzou nanejvys jen persistentne bojovat, nikoliv situaci resit.
Z toho plyne to podstatne: v celkove sume stavajici (vladni) cybersec struktury postradaji nejen hard-skills, ale i soft-skills, bez kterych to proste nejde a nepujde.
ČLÁNKY DO MAILU