Akorat tohle neni o skole a teorii v ucebnicich, ale o slovickach, co se objevi v zakone a vyhlaskach. A opet se vratime k tomu, ze to co rika NIS2 si urad pretavil do neceho, co ani urednici v EU po nikom nechteji. A pokud se tohoto chytnou pravnici, tak nejake cestne slovo urednika stacit fakt nebude.
A motate se kolem slovicka incident, ale on ten zakon resi i dalsi veci, hrozby a udalosti a vaze na to take nejake povinnosti. Jo, muzete klidne slovickarit :-) A to ze to rozlisim ja ci vy fakt neimplikuje, ze to podobne rozlisi kazdy. A jak uz jsem psal i vyse, muze byt naopak jednodussi nakladat s hrozbou a udalosti stejne jako s incidentem, zakon to umoznuje. A to, ze se z toho na uradu nasledne po*e*ou opravdu neni problem povinne osoby ;-)
Decentne jste prehlednul, ze ten okruh povinnych osob se ale dosti rozsiri. Ze stovek se stanou jiste tisice. A spadne to nove i na subjekty, ktere nedisponuji... slusne receno korporatnim aparatem - a spadnou tam treba jen kvulit takove s prominutim blbosti, ze maji na svem DNS serveru 10 tisic domen (a co to je, jen z pohledu velikosti .cz domeny nejakych 6-7 promile a to jen za predpokladu, ze tam nic jineho nez .cz domeny nemate). Ja chapu, ze pro ourady z NUKIBu se to cislo 10 tisic muze jevit jako obrovsky a pro ne velkolepy cislo... ale ono proste obrovsky neni. V tom realu ty firmy, o kterych je rec a co tohle plivnuti do internetoveho rybnika obsluhuji fakt nemaji zdaleka tolik zamestnancu, co ma cely NUKIB, protoze tohle jsou veci co v par lidech s troskou automatizace neni tezky udelat. To jsme jen u toho, co rikam opakovane - urad si to zjednodusil do cisla a vubec se nezabyva hodnocenim realnych rizik ve smyslu, ktery od nej ocekava NIS2. A to, ze tu NUKIB pripravil blbe je poznat i na spouste pripominek v eKLEPu, ze? ;-) Jenom ten stab borcu z NUKIBu si chybu porad odmita nebo nechce priznat.
A uvedomte si, ze male firmy v soukromem sektoru fakt nefunguje jako velke korporaty ci statni aparat. Ty maly firmicky pujdou cestou nejmensiho odporu. A pokud ta cesta nejmensiho odporu bude spocivat v tom, ze je pro ne jednodussi preventivne hlasit jakykoliv zjisteny incident, udalost, hrozbu... tak to proste udelaji. Zakon tim neporusi. A neni to o tom, ze musi - jim staci, ze jen muzou, zakon (jeho navrh) to povoluje. Proste namisto toho, aby delali nejakou pre-selekci a hlasili jen to, co smysl fakt ma... tam proste zacnou posilat vsecko, protoze to pro ne bude jednodussi. A o tom ja mluvim - tohle "riziko" tvurci transpozice NIS2 kdosi nejmenovany na NUKIBu podcenil ;-) Ono kdyz nekdo dela v korporatu ci ve statni sprave, tak ten vhled do mind-setu nejakyho startupu strati dost rychle...
V reálu to trošku jinde právě není. Ty tady představuješ hypotetické situace, jako kdyby Česko žádný kyberzákon nemělo a teprve teď se vytvářel.
Povinnost hlásit všechny kybernetické bezpečnostní incidenty totiž platí pro stovky regulovaných organizací už od roku 2015. Takže v této oblasti nenastává žádná podstatná změna.
"Od kdy je spam kybernetický bezpečnostní incident"
Zeby naprosto odjakziva? Ucelem libovolneho spamu je vas presvedcit k nejake cinnosti. A je uplne jedno k jake. Muze to byt utraceni nejakych (firemnich) penez, muze to byt sdeleni nejakeho hesla, muze to byt spusteni nejakeho scriptu (na coz muze stacit klidne i jen otevreni toho emailu, uzivatel nic jineho delat nemusi) atd atd atd.
Tudiz kazdy jeden nevyzadany email je bezpecnostni riziko a tudiz bezpecnostni incident, ktery je treba hlasit.
Mimochodem, je krasne, ze v situaci, kdy urady vesele a ve velkem ignoruji X mesicni zakone lhuty na naprosto cokoli, stanovuji tytez urady lhuty hodinove soukromym subjektum. Zjevne si firmy budou muset najmout miliony lidi na to, aby mohly hlasat i o vikendech a svatcich ...
On prakticky problem je v realu trosku jinde. V praxi je to tak, ze pro boj treba i proti phisingu v realu pouzivate stejne nastroje, jako s temi nevyzadanymi obchodnimi sdelenimi aka spamy. Jak si na urade predstavuji onu selekci udalosti? ;-) Premyslel o tom vubec nekdo?
Ono technicky rozpoznat to, z jakeho duvodu ten antispam (kde ten software ve skutecnosti dela hromadu vselimoznych kontrol) mail odmitne a nedoruci trivialni totiz vubec neni. Ani v logu se to nutne jako phising identifikovat nemusi - staci, ze match maji jina kriteria, presneji jejich kombinace.
Nedoruceny phisingovy mail je porad terminologii pripravovaneho zakona minimalne vyznamnou kybernetickou hrozbou, ale spise primo kybernetickou bezpecnostni udalosti - i kdyz jde incident na perimetru odrazeny, protoze nejake naruseni v pripade selhani detekcnich technik zpusobit logicky muze. A samozrejme i ve vztahu i jen k hrozbam stanovi zakon nejake povinnosti. Aneb kdyz uzivatele o hrozbe neinformuji, tak uz tim defacto pacham prestupek, ze? ;-)
A pokud si to vylozime hodne zesiroka, tak bezpecnostni udalosti sice samozrejme hlasit nemusim - ale muzu, navrh zakona to explicitne zminuje, nic tim neporusim. At se s tim tam poperou jak chteji - a vyhodnoti si to teda sami (zautomatizovat takovy reporting stylem poslu preventivne vsecko tezky nebude). Je to samozrejme dost divoke pojeti, ale neni v ramci predbezne opatrnosti nahodou lepsi radsi nahlasit, nez riskovat nejaky mozny prusvih treba v situaci, kdy z udalosti nam to v ten incident preroste?
Od kdy je spam kybernetický bezpečnostní incident? Jakým způsobem došlo k narušení důvěrnosti, integrity nebo dostupnosti? To není ani událost.
KBI by to mohl být až v případě, že vám v důsledku množství spamu spadne server (např. kvůli nedostatku místa na disku) a přestane vám mailový server fungovat.
ta verbež kolem je poslanecká sněmovnka, senáto a prezident a stihla to udělat už ta předchozí, s tím už nic neuděláš. Do DS ti ale chodí nejspíš jednotky spamů a ne tisíce denně jak na mail servery.
Pokud jsi dostatečně malý, tak si budeš muset sám stanovit ve vnitřních předpisech, kterou bezpečnostní událost považuješ za významnou a tu budeš hlásit. Těžko půjde obhájit, že příchozí datovka je pro tebe významná bezpečnostní událost vzhledem k tomu, jak je omezen obsaha forma datovky. Pokud jsi větší, tak to nebudeš rozhodovat a řešit sám.
Zato vy mate zjevne od panaboha nadeleno ...
Mimochodem, vlada a ta verbez kolem mi vnutila DS. Do te DS mi zatim chodi vyhradne spam. Jakozto spravce nekolika mailserveru se tedy ptam, jak jinak na to reagovat, nez jim take poslat toho spamu alespon 1 000 000x vice.
U tech mailserveru mi totiz z toho milionu prijde tak +- ten jeden. S tim si poradit umim.
Nemluve to tom, ze ta vase "pitomost" naprosto a zcela 100% splnuje pozadavek na hlaseni bezpecnostnich incidentu. Tim je mimochodem samozrejme i kazdy pokus o doruceni nevyzadaneho emailu a spousta dalsich aktivit. K tem 100k na ssh tudiz pridejte tak dalsich 6 radu, a mame to celkem.
Hlasit je potreba, a pekne kazdy jeden zvlast, maji to mit.
Vlada je v tom ale naprosto nevinne, predkladatelem je NUKIB a vylucne ten nese odpovednost za to, co je v te transpozici zpackano. Vlada to jeste ani neprojednavala.
Na jedné straně je zde snaha opičit se po jiných bezpečnostních oblastech, kdy se musejí hlásit a evidovat i naprosté prkotiny - např. v jaderné elektrárně je nehodou (1. = nejnižšího stupně) i když uklízečka převrhne kyblík, nebo ve vodovodním kohoutku (kdekoli na území JE) přestane fungovat těsnění.
Na druhé straně je asi bezpečnostním rizikem samotné hlášení, zejména pokud má útočník možnost alespoň zjistit, že napadený komunikoval s webem úřadu. Pak je totiž informován, že se o jeho průniku ví, a asi nedá mnoho práce vymyslet situace, kdy to bude špatně (minimálně v tom smyslu, že útočník začne dříve "zametat stopy").
A pokud je pravda, jakože asi je, že od soudruhů bezpečnostních úředníků nelze očekávat pomoc proti útočníkovi nebo při zvládání následků útoku, tak je asi hlavním cílem tohoto opatření jen dojení peněz pokutami.
Může to vést taky k tomu, že řada firem nebude chtít na našem území podnikat, což nám k prospěchu rozhodně nebude.
22. 8. 2023, 09:56 editováno autorem komentáře
No opět byrokracie která je v praxi úplně k ničemu. Jediné k čemu to bude sloužit je, že se budou plnit archivy a úředníček si bude moct vykázat činnost. Nedávno jsme bezpečnostní měli a NÚKIB úplně k ničemu... Reakce v řádu několika dní, prostě přínos nula nic, jen buzarace. A ten jejich postup jak se pokoušeli zjistit něco o tom útoku tragédie...
Ano, dalsi priklad toho, kdy narodni transpozice jde dal, nez vyzaduje NIS2, kdy dusledkem bude predevsim administrativa (byrokracie) navic, co kyberbezpecnost nijak nezvysi. Psano zjevne v duchu "urednici sobe". Prisnost musi byt, lidi si zanadavaji na nesmysly z EU...
Ta hlaseni samozrejme nekdo bude muset zpracovavat... a urad skrze narustajici objem agendy bude nasledne narokovat rust tabulkovych mist. V dobe, kdy se na kazdem rohu naopak resi, jak statni aparat zestihlit. A v pripade hlaseni veskerych vyznamnych udalosti hlaseni bude hromada. Prinos te agendy bude max. v tom, ze nas z uradu tu a tam obstastni nejakou statistikou. Pritom tim vyznamnym incidentem muze byt treba i nejaky DDoS, kteremu ale z principu je vzdycky tezsi (a taky nakladnejsi) se ubranit, nez ten utok nekde vyrobit... copak nam z uradu asi poradi? A k cemu bude to, ze si na urade udelaji carku do nejake statistiky?
Uz dnes, kdyz clovek neco (i dobrovolne) nahlasi, tak se v realu nic moc zpet nedozvi - ten tok informaci je v zasade jednosmerny, urad jen data defacto sbira, ale ven toho uzitecneho moc neposkytne. V pripade NUKIBu navic moc nefunguje to, co je prapuvodni myslenkou CSIRT/CERT tymu, tedy skutecne sdileni informaci o bezpecnostnich incidentech treba v tom duchu, ze by se s vami podelili o zkusenosti ziskane z obdobnych incidentu, ktere nastaly jinde, natoz aby treba prisli s doporucenim, jak se incidentu branit - zvlast kdyz jde o sofistikovanejsi utoky.