Názory k článku Regulace podle NIS2: „Bezodkladně“ nově znamená „v řádu hodin“

No hlavne bych chtel videt tu aktivitu na samotnem NUKIBu behem vikendu. Aneb aby to nebylo tak, ze se s ohledem na lhuty incident nahlasi ve ctvrtek vecer... a do uterka na to nikdo na urade stejne nesahne, protoze budou zrovna velikonoce nebo vanoce...

tyhle lhůty trhem dost rezonují. NÚKIB i při ústních konzultacích o všech předpokládá, že to jsou velké banky s tisíci zaměstnanci a už fungující 24/7 podporou, nj. ale novelizace dopadne třeba i na obce, na společnosti, které mají jedno, dva zaměstnance na IT. Držet pro spoustu malých společností i 8/5 vč. svátků je strašně drahé a nereálné. Na outsourcing na specializované společnosti (stejně jako se třeba řeší bezpečnost fyzických objektů) tomu brání skoro nulová nabídka na trhu, ten trh ještě nevznikl, ale povinnost platí rovnou.

Ty postoje a pravidla NÚKIBu jsou až na nějaké nesmysly poměrně rozumná, pokud by člověk bral pouze v úvahu bezpečnost IT systémů a předpokládal vysokou erudovanost na straně NÚKIB, nj. ale jakmile se do vzorečku dá nákladová a provozní složka, vůbec nevychází a NÚKIB k tomu je jak slepý. Netuším, jak obec s rozpočtem 2M ročně je schopná tohle dodržet.

Jak vidím vývoj v zahraničí nebo i snahy našeho NÚKIB, nejspíš se bude spousta téhle agendy řešit externími společnostmi na úrovni dohledových center, který budou tu komunikační část zajišťovat. Dnes jsou bohužel nabídky na trhu cenově mimo.

Oni si vážně myslí, že všechny dotčené subjekty fungují v režimu 24/7, jsou schopné incident rychle detekovat, začít řešit a vyřešit...
Ani (zejména!) erár takhle nefunguje. Tam, kde se v nepracovní dny nepracuje, znamenají například Velikonoce , že odhadem 112 hodin nikdo nepracuje, nehlídá, nebere telefony.Pokud se něco stane ve čtvrtek v 18:02, do pondělka 7:59 to nejspíš nikdo nebude vědět - natož, aby reagoval a sepisoval hlášení (což je zřejmě důležitější, než to řešit).
Pokud by to mělo fungovat, je zapotřebí nějaký (nikoliv levný) dohledový systém, plus nejméně dva pracovníci, kteří drží pohotovost (jeden může mít dovolenou...).

ano, v NIS2 to je řešené rozumně, musím si to stanovit a pak podle toho provozovat. NÚKIB to naprosto šíleně přetožil a vyžaduje držet pohotovost i přes svátky i v případě, kdy vlastně žádné služby (např. obec) přes svátky neprovozuji.

Dopadovou studii NÚKIB neudělal vůbec, není jasné, co to znamená, lhůty a čísla jsou vycucaná z prstu (chybí jejich odůvodnění v důvodové zprávě a jejich validace v dopadovce).

Ta kategorie bezpečnostní incident je strašně široká, nacpe se do toho ledacos a ne každému se chce čekat, co NÚKIBu přelétne přes nos a co bude vše považovat za bezpečnostní incidenty (má poslední slovo v určení).

Zrovna určení těchto lhůt je poměrně zajímavý příklad, kde by měl NÚKIB připravit jasně hodnocení dopadů legislativy, protože pokud i v nižších povinnostech bude takové lhůty vyžadovat je to poměrně drahé, a to nikoliv jen v investicích, ale i v operačních nákladech.

Ale strašně důležité je to určení "závažného incidentu", kde se ta lhůta 24 nebo 72 hodin uplatní, tady NÚKIB narozdíl od NIS2 žádné členění neprovedl. Jakýkoliv kybernetický bezpečnostní incident se musí hlásit 24 po zjištění a až NÚKIB určí, zda je významný (prý do 24 h čímž si sám nastavuje "zbytečně"? potřebu vést služby i o víkendech a svátcích).

Pozor toto je masivní rozdíl, protože dle NIS2 si mohou jako subjekt určit, že žádný incident během svátků nemůže vést na "závažný incident" a tedy se jakémukoliv monitorování a řešení incidentů mimo pracovní dobu vyhnout (týkalo by se nejspíš obcí apod.). Nebo si vyčlenit jasný rozsah toho, co dává smysl monitorovat a k čemu držet pohotovost a k čemu už nikoliv!

Jenze to dohledove centrum neco stoji, a tak obec se 2M rozpoctu nema ani na to, aby si to zaplatila v pracovni dobu. Ve skutecnosti na to nemaji ani mnohem vetsi organizace.

Pritom tu jsou i dalsi aspekty. Takova obec ve skutecnosti nepotrebuje ITka, staci ji treba 2-3, 5 ... 10 hodin ... mesicne. Jenze pokud bude chtit 24/7 ... tak to znamena platit fulltime minimalne 5 lidi. A proc vlastne? Aby se generovala lejstra pro nesmyslny ourad.

pozor, to jak dlouho ti trvá detekce incidentu vlastně se v novém ZoKB neřeší, důležité je, že jakmile o incidentu víš nebo bys vědět měl, běží ti lhůty. Takže takové to, že když se něco stalo o víkendu, v pondělí příjdeš do práce, začně ti lhůta běžet od pondělí. Tohle je ok.

Ono to má ale i druhou stránku věci, pokud ti někdo prokazatelně o incidentu napíše a nahlásí ho, lhůta ti začne běžet rovnou. Stejně tak je i komplikované, pokud ti incident odstaví některou tebou provozovanou službu, v případě eshopů třeba web, v případě malých ISP třeba DNS server, v takovém případě ti opět začíná běžet lhůta počátkem výpadku službu a ne až se o tom dozvíš (tady jsme vznesli několik dotazů na NÚKIB jak si vlastně představují ten implicitní monitoring).

Ano, nově Velikonoce je ukázkový případ, kdy každý rok jsou 4 dny volna. Ono se to dá obejít tím, že někdo bude v sobotu půl dne pracovat, aby případně incident objevil, nahlásil a splnit povinnost. Ale opravdu chceme dělat takovýhle voloviny jen kvůli formálním limitům? Kdepak NÚKIB přišel zrovna na tyhle limity? Nemá k tomu ani čárku.

Když kalkulujeme 24/7, dostáváme se na nějakých 300 - 400 tis. měsíčně v nákladovém složce jen na zabezpečení lidí, tak aby se pokryly všechny běžné výpadky. Přemýšlím, jestli to může být dobrý podnikatelský plán a takovou službu začít nabízet, při 40 klientech už by to mohlo být ziskové.

Viz vejs, minimalne 5 lidi, a i to je na spodni hranici udrzitelnosti. On totiz ten nekdo bude treba take marodit a take chce mit nekdy volny vikend ... a den ma 3x 8 hodin.

A navic musite byt v nejake vzdalenostni/casove dosazitelnosti na miste, protoze se vam take muze stat, ze se vzdalene uz nepripojite.

BTW: V me bubline je cena za support na nejakou jednu konkretni vec/aplikaci v pracovni dobu kolem 50k/mes. 24/7 stoji o rad vice. Takovy support 24/7 na kompletni infra, kde potrebujete systemaka, sitare, databazistu, webare .... bude v milionech.

"Přemýšlím, jestli to může být dobrý podnikatelský plán a takovou službu začít nabízet,"

Jenze v tom je ta potiz, aby bylo mozne nejak rozumne cokoli sledovat, je treba aby ta infra byla nejak navrzena, a u vsech zakazniku pokud mozno stejne, coz znamena nejen neco hlidat, ale rovnou to i administrovat ... a ta firma to ale nechce platit. Jednoduse proto, ze to nanic nepotrebuje.

BTW: Existuji firmy ktere se zivi provozovanim bonzwebu ... zamestnanci jejich zakazniku typicky ani nevedi, ze jejich zamestnavatel neco takoveho ma (protoze musi) ...

v případě, kdy si jeden vezme dovolenou, druhý by nesměl onemocnět, takový souběh nevyloučíš, stažení z dovolenou nějakou dobu trvá. Zaměstnanec na dovolené nebo nemocenské nemůže držet pohotovost.

Nemoc nebo jiná překážka na straně zaměstnance může přijít kdykoliv, tj. vždy potřebuješ mít alespoň jednoho pro nejoptimistější scénář jako náhradu.

Kalkulovat s tím, že by se návrat z dovolené mohl stihnout do 24h než uplyne teoreticky limit na hlášení je už na pováženou.

No, pokud mi někdo prokazatelně o incidentu napíše a nahlásí ho - dočtu se to v e-mailu v úterý ráno po Velkém pondělí.

Když mi u malého ISP naposledy přestalo fungovat spojení, protože se jim zbláznil DNS a routing, stalo se to v pátek pozdě večer - a do pondělka to nikdo neřešil a nevyřešil, protože mají podporu jen 8/5. A protože o tom zákazníci věděli, snad nikdo si moc vehementně nestěžoval.

Na 24/7 jsou potřeba minimálně dva lidi, aby mohli držet pohotovost - ale už by toho nemohli příliš dělat, jinak se nevejdou do zákonných limitů. (A musíte mít dobře placené odborníky, jinak ten problém nevyřeší a nespíš ani správně nevypapírují!)
Tohle opravdu ty menší subjekty zažene ze sféry tohle zvládneme vlastními silami do náruče nějaké specialisované firmy, která reálně bude dostávat hodně peněz jen za to, že ty lidi má k disposici - protože těch incidentů zas není tolik.

Pokud jim DNS přestal fungovat z jakéhokoliv jiného důvodu, než že se jim tam dostal útočník a shodil ho (= bezpečnostní incident), tak se to nehlásí a NÚKIB to neřeší. To je pak opravdu na tom, jak jsi domluvený se zákazníky (to samozřejmě neplatí v případě kritické infrastruktury podle současného ZoKB).

I pokud jde o bezpečnostní incident, ty máš vlastně NÚKIBu hlavně podávat hlášení, samotné řešní je už trochu podružné, jen je máš pořád informovat a informovat a samozřejmě plně pracovat na řešení.

Dva lidí ti nevýjdou ani na tu pohotovost, počítej s nemocí, dovolenými, zákonnými překážkami atd. Primárně se jedná o L1/L2, tj. reportování, krátká analýza, předání informací. Prakticky po dohledovém centru nikdy nechceš, aby problém vyřešil, pokud řešení není dopředu známé a dokumentované v rámci postupů. Potřebuješ, aby někdo zajistil reportování, komunikaci, sběr dat, předání k řešení, pohlídání, že k řešení došlo atd. atd.

Vlastně ono to podobně funguje i v případě bezpečnostních agentůr, které hlídají nějaké objekty. Pokud jejich zaměstnanci zjistí, že se nejedná o planný poplach, ale v objektu je cizí osoba, zpravidla se prostě volá policie a nikoliv, že tam pracovník vběhne s katanou jak ninja a problém sám vyřeší a ještě vše uvede to původního stavu.

...a pak zjistite, ze nejvetsi dira je prave software, co pouziva samotny SOC pro svuj vzdaleny monitoring a na to nabalene produkty... typicky tyhle veci potrebuji ke sve funkci pomerne vysoka opravneni... a prito spoustu skaredych bezpecnostnich chyb najdete prave i v tech bezpecnostnich produktech, ze? :-) A bavime se o velkych vendorech...

a to jen za předpokladu, že nemáš incidenty v pohotovisti, pak velice rychle narazíš na minimální přestávky mezi směnami.

Prakticky pracujeme i s 7 hlavými týmy a stejně to občas nestačí. Ty moderní dohledové systémy generují až příliš false positive hlášení. Dokud čeká zaměstnanec na pohotovosti, bere se to i jako doba odpočinku, jakmile mi ale příjde zpráva, že se něco děje, otevře počítač, začala mu směna se vším, co k tomu náleží.

Pohotovost na home office se za mě osvědčila jen u některých izolovaných kritických aplikací (master databáze, NS atd.), pro celofiremnní agendu nikoliv, tam vychází prostě lépe naplánovat 3-směnný provoz a zajistit normální pracovní náplň jako výplň prostojů.

Pokud jde o novelizace ZoKB tak tam se jedná pouze o to, že notifikuješ NÚKIB, není potřeba k tomu nijak velká erudovanost, podrobnosti můžeš poskytnout až je výš zpětně. Problém ale za mě a klienty je vlastně filtr toho, co vlastně hlásit. Společnost, která nic takového doteď neřešila zpravidla nemá vnitřní procesy v IT moc vyspělé.

Společnost, která nic takového doteď neřešila zpravidla nemá vnitřní procesy v IT moc vyspělé.
Prostě to taky mohla být společnost o pěti zaměstnancích, kdy každý má tablet a mobilní telefon, data někde v cloudu - a najednou spadnou do lehčí kategorie jako dodavatel někoho kritického. Případně jsem před cca 15 lety znal firmu, velmi populární e-shop s miliardovým obratem, která sestávala z majitele, jedné účetní, jedné sekretářky, dvou obchodních pracovnic, jednoho serveru, jednoho PC a ředitelského notebooku. Tam žádné IT procesy nebyly.

Tenkrát nikoho nezajímalo, proč to DNS a routing nefungují. Ale bejt to dneska, klidně po útoku nějakého interlumpa, stejně by to nebylo komu nahlásit, protože support 24/7 ten poskytovatel prostě neuživil.

Dva lidi na pohotovost stačí, ale (jak psáno), jen pokud reálně nebudou dělat nic jiného, než jen držet pohotovost. Pokud by měli i vykonávat nějakou práci, tak mi to pod 4 FTE nevychází. (Spíš 5 FTE...)

Reálně: na to, abyste někoho stáhl z dovolené, musíte ho nejprve nějak dohnat. Což ve chvíli, kdy si s sebou nebere služební telefon a nekouká do e-mailu, nemusí nastat.

Stačí dva a modlit se, aby to stačilo. Ve třech to buse - samozřejmě! - lepší, ale stále pracujete jen s pravděpodobností, že když bude jeden na dovolené ti další dva nebudou na stejné zastávce, kam vtrhla splašená tramvaj (například). Prostě: ponížení rizika bude příliš drahé.

Ohledně podnikatelského plánu...

Když napočítáte náklady na lidi, jejich vybavení, kanceláře, backoffice, nutná školení a technologie proto aby to šlo aspoň trochu dělat skončíte na částce kterou vám nikdo nikdy nedá....

Bezpečnost prostě není o tom najmout vrátného na 24/7 za minimální mzdu a říct mu hlídej tyhle dveře.

Budoucnost vidím spíše v centralizovaných SoC u velkých výrobců, kteří si mohou dovolit nalejt do automatizace bezpečnosti miliardy dolarů a tam je opravdu možnost že se to vrátí díky množství zákazníků.

Pro firmy to ale dopadne tak, že prostě zaplatí za server/stanici místo 300Kč za antivir vyšší tisíce za službu vzdáleného SoC.

Což je drahé, ale z hlediska bezpečnosti je XDR a remote globální SoC asi to jediné co dává smysl.

Malé SoC nikdy nebudou mít takový záběr a budou vždy dražší, protože se investice nemají šanci zaplatit. V ČR už si vlastní SoC zkoušeli snad všichni velcí dodavatelé a troufám si říct, že nikomu to finančně nefunguje.

máš pravdu, ale o tom je podníkání, občas riskovat a hledat trh a řešit náklady.

Doteď to finančně nefungovalo možná proto, že tady nebyly tisíce subjektů, kteří to neměli nařízeno ze zákona a ti to nějak řešit budou muset.

... nevím, proč se trefuješ zrovna do SolarWinds... :).

I na tenhle problém mají některá soc řešení, třeba heimdal nebo rapid7 vtipně vylučují sami sebe z monitoringu. SentinelOne je v tom ještě nápaditější, poskytuje operátorům i remote shell s neomezenými právy na úrovni kernelu, to jen aby asi útočník pak neměl příliš práce.

Každopádně tam přesně celý trh směruje a lepší řešení zatím v nedohlednu.

Jeste jednou bych zduraznil slovo _nejmene_. Nejmene je tak ve stylu cesky startup nebo falsovani hodin na vykazech

Ve skutecnosti je to 2.5 - 3 pracovnici na jednu jednotku 24/7
1 - Aktivni
1 - Dovolena bez odvolatelnosti
0.5-1 - cold/hot standby za momentalni nedostupnost/nahlou nemoc aktivniho po dobu dovolene druheho

15. 5. 2024, 14:06 editováno autorem komentáře

Uz 15 let zpatky jsme uctovali 12kkc/h na zasahu v pracovni dobe u prenosove trasy a odbaveni v CT. Nedelam si iluze ze dnes to bude levnejsi. Kolik se platil pausal za mesic netusim.
V cene bylo auto klidne na cely vikend pro zamestnance a nebo smlouva s taxisluzbou (po praze a okoli). Zlate casy...