Názory k článku Regulace podle NIS2: Bez nových pravidel hrozí miliardové škody denně

Miliardové škody denně.. a pak si aktualizujete antivir Crowdstrike, aby byla kyberbezpečnost cajk. A pak už žádné škody nehrozí..což? :-D

"Crowdstrike neni antivir" .. o.k.. je to next-gen antivir..

Crowdstrike neni antivir :-) Ano, chyby se obcas bohuzel stavaji - ale podobne chyby nejsou validnim argumentem pro to bezpecnost neresit vubec. Aneb jak se pise zde v jinem clanku, bezpecnostni opatreni je treba nasazovat (a hodnotit) z rozmyslem - se znalosti prostredi, s uvazenim rizik. Coz ale neposoudi nekdo z projizdejiciho rychliku, tedy bez znalosti konkretniho prostredi ze...? ;-)

Ono ty miliardove skody muze zpusobit cokoliv. Ono staci par magoru, co vam treba prereze par optik... a to vubec neuvazujeme veci typu utoky na energetickou sit. A tam se bavime o vecech, ktere tak snadno - narozdil od tech softwarovych chyb - neopravite.

čtu RIA a nestačím se divit, celý text se točí kolem toho, že firmy svoje IT mohou zabezpečit pouze díky novému ZoKB a nikoliv bez něj. Stejně tak najednou se tady meziřádky mluví o tom, že ZoKB vyřeší bezpečnost, přitom NIS2 nic takového raději netvrdí, cíl je sjednotit postupy a nastavit jasná kritéria pro posouzení, na to třeba čekají zmíněné pojišťovny. Co v textu nevidím je právě důvod, proč pojistky proti selhání IT (chyby, incidenty atd.) nepojistitelné, nelze totiž snadno kvantifikovat stav zabezpečení. Prošel jsem si několika řízeními a jednáními s pojišťovnami, často to končí kroucením hlavy.

Inu pisou to urednici coby sve teoreticke cviceni a praxi jsou vicemene nepolibeni. Realita bude jina... ti, co to resi dnes s tim neprestanou... a ti, co na to kaslou a hledaji skuliny si nejakou tu skulinu najdou. S ohledem na zpusob pojeti legislativy to bude presne v duchu, ze papir snese vsechno... a zkoumani faktickeho stavu nebude v silach kontrolniho organu ;-)

Cílem pojišťovny je plnit minimálně, tedy pojistí vás v případě, když uvidí, že jste udělal co jste podle smlouvy měl a na problém není výjimka nebo výjimka z výjimky. A zároveň vás nepojistí, když zjistí, že máte v IT chlív. Nebo pojistí a nebude plnit ;-)

Segmentujete síť? Máte management identit? Máte NGFW? Zálohujete? Aktualizujete? Máte procesy na disaster recovery? Vedete dokumentaci? Školíte management a zaměstnance? Pokud ano, máte velkou šanci na plnění pojistky.

Např. jedna pojišťovna má v podmínkách taková ustanovení:

Pojistník je povinen dodržovat technické a další normy včetně předpisů vztahujících se na provoz pojistníka nebo pojištěného, vést prokazatelnou dokumentaci, udržovat provoz v dobrém technickém stavu,

Pojistník je povinen zálohovat svoje data minimálně jednou za týden,

Pojistník je povinen nainstalovat, mít nepřetržitě aktivovaný a automaticky aktualizovat přiměřený profesionální software na ochranu proti malware na
svých počítačových systémech,

Pojistník je povinen chránit svoje počítačové systémy a počítačovou síť před kybernetickými incidenty, jako například aktualizací hesel, konfigurací
a firewall, v opačném případě není pojistitel povinný poskytnout pojistné plnění

atd.

On obecně celý bezpečnostní systém by měl směřovat také (ne-li přednostně) k minimalizaci škod (něco takového prosazují i ty zde citované podmínky pojišťoven). Prostě filosofie by se měla změnit od onoho "poručíme větru, dešti" (tj. zabráníme jakémukoli bezpečnostnímu lapsu) na prevenci škod, které takový lapsus vyvolá. Je jistě otázka, zda je NIS2 nástrojem, který něčemu podobnému spíš pomáhá, nebo spíš překáží.
A v těch nemocnicích by prostě měli být s to přejít okamžitě na nějaký nouzový systém, aby se nestalo, že několik dní se nekonaly prakticky žádné zdravotnické zákroky a těžší pacienti museli být překládáni do nepostižených zdravotnických zařízení. Takže postižené nemocnice nebyly s to poskytovat ani ty služby, které běžně poskytovaly v době, kdy vrcholem HW byly osmibitové počítače a vrcholem SW hry pro ně. A klidně i za cenu, že se na takový přechod budou konat nějaká cvičení a školení, aby opravdu veškerý personál věděl, co má dělat v okamžiku, kdy se počítače sesypou (a náklady na to by měly být kryty z oblasti kyberbezpečnosti). Je to asi lepší investice do bezpečnosti, než nákup nějakého "super" SW, schopného udělat "černý pátek" světového významu.

To jste holt nemel digi nesmysly, ale mel jste jine nesmysly. On se ten rentgenovy snimek taky jen tak nezhmotni, potrebujete jinou techniku tak jako tak. A stejne vam to nepojede, kdyz vam vybouchne v objektu trafostanice. Elektrika vam muze zdechnout stejne jako ten dle vas tzv diginesmysl. Zvlast v koncinach, ktere popisujete - ale i v Cesku jsou lokality, kde to se stabilitou rozvodne site zadna slava neni. Chapu, ze jsou problemy, co vy v Brne asi nepozorujete... tak se tvarite, ze neexistuji :D

Agregat vam muze nenastartovat, nebo se treba behem sveho chodu prehrat... a proste vypnout. Oboji zname z praxe, ze? A nemelte nesmysly, kvuli tomu ze by nad FVE prosel mrak jeste nikdo neumrel - ono racej si vsimnout, ze soucasti vetsiny tech instalaci na strechach jsou i baterie.

A jasne, takovy neurochirurg bude operovat pri petrolejce... vy byste tu konzumaci houbicek mel vazne omezit :-) Myslim ze byste sam nechtel, aby vas doktori lecili postupy beznymi pred sto lety. Ono byste tu taky uz davno nemusel byt, ze? :D

Jestli to nebude taky treba i tim, ze medicinske postupy a uzivane metody se v case vyviji... a ze se neco nejak delalo (matlalo) pred triceti lety opravdu neni zadny etalon, nektere postupy a pristupy se v case proste opousti.

A kupodivu je bezpecnejsi odvezt pacienta do zarizeni, ktere plnohodnotne funguje, nez vestit jeho stav od oka bez potrebneho pristrojoveho vybaveni. Byl byste prvni kdo by rval, kdyby se doktor spletl a stanovil vam chybne diagnozu.

Plus jsou tam takove malickosti jako vedeni dokumentace - dnes fakt uz nechcete to mlatit na mechanickem Consulu. A treba pak nasledne prepisovat, az se zas vsechno okolo rozjede.

Lidé zůstali stejní a nemoci také. Spousta věcí se dá oddiagnostikovat jen za pomoci zařízení, jako je rentgen, laboratorní vyšetření apod., jen je nutno zajistit, aby ty služby nebyly vázány na digi nesmysly tak, aby při jejich zdechnutí nejely. Na stanovení třeba krve v moči nebo alkalické fosfatázy (rakovina prostaty) v krvi opravdu nepotřebuji počítač. To jsme dělali jako medici na praktikách z organické chemie v roce 1975, kdy nebyly ani kalkulačky. Jen být na to připraven a včas rozbít tu skleněnou skříňku s logaritmickým pravítkem.
Jistěže existují další zařízení, ale ta mnohdy techniku, potřebnou pro některé pacienty, stejně nemají. Takže lépe by to bylo dělat na místě samém, jen je třeba ohlídat, aby mezi rtg kamerou, sledující srdce pacienta, a monitorem, který obrázek z ní posílá chirurgovi zavádějícímu stent, nebyl nesmyslný internet a ty obrázky se nehonily přes půl zeměkoule, "protože je to IT cool".
Paradoxně by se mohly použít postupy, používané v zemích 3. světa, protože např. bubnový telegraf (subsaharská Afrika) s internetem (naštěstí pro tamní obyvatele) zatím nikdo nepropojil. A např. některé programy v mobilu umožňují odečíst biochemické testy s přesností plně postačující pro základní diagnózu

U RTG snímku prostě nahradím kazetu s digitálem kazetou s filmem. Ten se sice musí protáhnout vývojkou a ustalovačem, ale to zvládne i mírně vycvičená opice. Jen je důležité, aby byla její práce nachystána. I ten RTG přístroj by měl být ovladatelný autonomně, mimo napojení na jakoukoli síť. Jen je třeba nekoupit šrot, který už nemá na sobě ovládací prvky a jinak než po síti (k velké radosti hackerů) se ovládat nedá.
Na elektriku byly nemocnice odedávna vybaveny agregáty, tady není problém digitalizace, ale eko šílenosti, diktované z Bruseli lidmi, kteří raději uvidí umírat pacienty poté, co nad FV elektrárnou přešel mrak, než používání "šíleně škodlivých" paliv.
Nehledě k tomu, že ještě před sto lety se ještě i v tuzemsku tu a tam operovalo při petrolejkách, a taky to šlo.
A zase: stačila by malá úprava stávajících programů, aby se do údajů o pacientovi dala dodatečně vložit data, získaná v takovémto nouzovém režimu. Stávající programy jsou nepoužitelné ani v situaci, kdy v laboratořích zdechne internet a výsledky se distribuují na papíře (protože neumožňují ty výsledky dodatečně zapsat do pacientovy elektronické karty)