Vlákno názorů k článku Regulace podle NIS2: Co musí splnit podniky v mírnějším režimu od Danny - Urednici v NUKIB pri vymysleni onoho detailu s...

Urednici v NUKIB pri vymysleni onoho detailu s hesly ve vyhlasce jednoduse mentalne zamrzli v davne minulosti. Ve svete se od periodicky vynucovanych zmen ustupuje - protoze si tam dobre uvedomuji, ze to bezpecnost nijak nezvysuje.

Argumentaci pseudobezpecaci z NUKIB opiraji o to, ze je tu prece riziko uniku databaze s hashi a nasledne offline utoky na ni. Jenze pak to tech 18 mesicu nezachrani (ani 12 a ani 3). Mysli si, ze podobnou obskuritou zalepi nejakou jinou diru. A vylozeny prusvih je, ze spodni mez mezi vynucenymi zmenami urcena neni, takze nejaky korporatni radobybezpecak s odvolanim se na argument z NUKIBu kolem offline utoku tu periodu nastavi na mesic, protoze to bude pry superbezpecny.

A sranda je, ze ty periodicke zmeny se maji tykat i uctu technickych aktiv (kde pseudoexperti z NUKIBu pripominku odmitli take), tedy veci kde treba aplikace pristupuje k nejake databazi. Takze se muzeme tesit na to, ze tu a tam neco nebude fungovat, protoze se vynucene zmeni heslo pro aplikaci.. :-)

A ze problematice offline utoku nerozumi doklada to, ze davaji rovnitko mezi MD5 a treba Argon2id ;-) Aneb i hesla jde ulozit bezpecne... jenze s tim by na urade asi meli moc prace tak si to ve jmenu vetsi prisnosti (nez ukladaji i mezinarodni standardy) usnadnili... a duraz se holt klade na papiry a obskurdni opatreni. Bezpecnost to sice moc nezvysi - ale urednikum z NUKIBu se to bude dobre kontrolovat ;-)

Ty vyhlasky jdou explicitne proti tomu, co rikaji i mezinarodni standardy. Treba NIST SP 800-63B rika, ze se to s komplexitou hesel nema prehanet (primo to oznacuji jako bezpecnostni riziko - kdy si pak uzivatele ta hesla uchovavaji poznamenane nebezpecnou formou), a dokonce tam explicitne pisou, ze by se zmena hesel nemela vynucovat.

Ale v NUKIBu jsou asi "chytrejsi" nez v NISTu, tak do nasi narodni vyhlasky stcili pozadavek na zmenu hesel po osmnacti mesicich. Pry je to bezpecnejsi, rikali... ale jaksi ignoruji skutecnost, ze ten koncovy uzivatel zpravidla nema jedno heslo, ale ma jich spoustu - a i tohle je potreba brat v potaz. Aneb nemuzeme s klapkami na ocich resit jen jeden system izolovane, je potreba to vnimat v sirsim kontextu. A neco podobneho vam rekne i anglicky NCSC - coz je defacto to same, co nas NUKIB. Holt asi vsichni tam v USA ci UK jsou blbci, cesi se v tom vyznaji nejlip, ze? :-)

Ty vyhlasky jsou proste psane spatne, mentalne zakrneli v davnoveku. Blby je, ze se jima musi spousta organizaci ridit. A nebo riskovat pokutu, kterou urad pro poruseni vyhlasky napari. A vy se divite, ze ty vyhlasky nekoho toci, kdyz je to z pohledu kyberneticke bezpecnosti paskvil? ;-)

To ste to spatne precetl a jeste hure pochopil. Ty firmy jen budou generovat ty tuny papiru, pripadne vsemozne "certifikaty bezpecnosti" atd atd, za coz si nechaji zaplatit spousty penez, ale realne se na bezpecnosti tech infrastruktur nezmeni zhola nic.

Tyhle vyhlasky jsou zcela knicemu predevsim proto, kdo je vyrabi, coz jsou zjevne osoby rozumu mdleho.

S bonusem toho, ze zdaleka nejpruserovejsi bezpecnost tu provozuje ... kdo jiny nez stat. Coz se opakovane ukazuje. Jdu se podivat na vasi zdravotni dokumentaci, zcela jiste se "v ramci digitalizace" povaluje po internetu.

Predevsim se vylihne spousta ruznych firem a firmicek, ktere to za prislusny obolus "zaridi". Ostatne uplne stejne jako bonzlegislativu.

Vygeneruje st tuna popsanych papiru, a realnou bezpecnost stejne nebude nikdo (rozdne ne nikdo z NUKIBu) schopen zkontrolovat.

Ja si myslím, že to přece není špatné, jestli vznikne fůra firem, které vám pomůžou z řešením. Kdo chce, využije, kdo ne, tak nevyužije.
Cítím z mnoha příspěvků (a i z vašich) to, že si myslíte, že to je k ničemu. Ale tyhle vyhlášky (ať GDPR nebo NIS2) jsou přece reakce na to, co se na síti děje. GDPR je pro společnost (myšleno jako pro lidi, ne pro firmu) vyložený dobro a dává vám možnost udržet údaje pod kontrolou. Zajímavé je, že proti GDPR jsou vetšinou takoví ti Krakonošové, co se připojují na síť jen modemem zapojeným každé novoluní hned po úsvitu. Ti by naopak měli jásat nejvíc, že mohou požádat o smazání svých záznamů u společnosti (kromě těch vyžadovaných zákonem).
S NIS2 je tot to samé. Už je evidentní, že ajťáci to prostě nezvládnou bez nějakého návodu (viz ty zakryptované špitály, ŘSD a bude jich asi víc). Tak mít pro ně metodiku, jak se bránit je podle mě super věc a ten kdo to má ve firmě na starosti by měl vlastně jásat, že to někdo řeší za něho.
Nebo co je vlastně na těch vyhláškách špatně? Jen to že někdo musí pracovat a implementovat to?

No, nevím, zda GDPR je pro společnost (myšleno jako pro lidi, ne pro firmu) vyložený dobro...
Dokud to nebylo, měl jsem možnost mít svá data pod nulovou kontrolou, kde to mělo smysl. Nemusel jsem kvůli každému telefonátu do banky dávat souhlas, nemusel jsem odklikávat nesmyslné GDPR bannery o cookies, nemusel jsem se o takové věci starat - pokud jsem nechtěl.
Podle mne to napáchalo mnohem více škody, než užitku. Ne proto, že by kontrola na osobními údaji byla něco špatného - ale proto, že se to zvrhlo ve všudypřítomný obtěžující úřad. (Když dneska nastartuji auto, musím dvakrát potvrdit, že to může sdílet moji polohu a některé technické údaje - a to potvrzení je tak důležité, že to klidně naskočí přes obraz z kamery, takže ani v klidu nevycouvám z parkoviště, musím pustit volant a ťuknout na správné místo displaye. TO je GDPR v praxi!)
Obávám se, že s NIS2 to dopadne podobně: zvýší se množství lejster, počet povinných školení a případně udělených pokut, ale reálně se pro bezpečnostní odolnost sítě udělá jen málo.

Celkově mi přijde, že bude potřeba mnohem víc úředníků na vyplňování nezbytných papírů, než IT odborníků na aplikaci a dodržování oněch opatření. Respektive: ve firmách dojde k postupné obměně: zaplatit kvalitního ajťáka a ještě pravidelně (draze) proškolovaného úředníka bude neúnosné a protože je mnohem menší zlo mít v pořádku papíry a v reálu binec než všechno funguje, jen to vykazování vázne...

Alespoň naši bezpečáci jsou děsný paranoici, ale každopádně to nejsou inkousti. Jenže výše popsaná obměna už nejspíš začala.

Ještě jak jsem pročítal tu vyhlášku, tak jsem z toho pochopil, že pokud využíváte vícefaktor dle §9 (2) není třeba se držet pravidel §9 (4) tzn. jakýchkoliv pravidel uvedených pro hesla. Ta je třeba dodržovat pouze v situaci, kdy se ověřujete "jenom" heslem (jednofaktor) dle §9 (4).

Jinak k té změně hesel u služeb ta vyhláška píše v §9 (2) "ověření identity administrátorů a uživatelů" o službách tam nic není, bohužel v těch odstavcích (3) a (4) už toto zmíněno není a z toho mi tedy není zřejmé zda se pravidla (4) mají vztahovat i na služby. Ale pokud to v připomínkách v prvním kole odmítli.. - uvidíme třeba to někdo vytáhne znovu v kole neveřejného připomínkování a lépe to zdůvodní. Samozřejmě se služby mohou ověřovat i klíčem nebo certifikátem, ale ne každý soft to umožňuje, bohužel.

Ta změna hesel u služeb jde i automatizovat určitými nástroji (musí se to ale skriptovat), ale pokud mám takových služeb ve firmě 200, a to není nic zvláštního, je to už dost těžké toto zajistit.

Jakože ten óbrajťák ve firmě to jen tak nějak ošolíchá s dodavatelskou firmou, vaplní papíry a kašle na to? Není tam pak zbytečnej, když nechce, aby jeho sítě/data/cokoli byli pod lepší kontrolou a zabezpečením?
Já cítím vaši premisu (pdole sebe soudím tebe) - stejně to všichni ojebou, tak je to vlastně naprd.
Ale kdo chce dělat svoji práci by naopak měl tohle využít na zlepšení bezpešnosti svého IT, ne?

Jaky je rozdil v tom, ze sluzbe date klic vs heslo? Bezpecnost je exaktne stejna = nekde to musi byt citelne ulozeno. Sluzby se (pokud to chcete delat bezpecne) prihlasuji takrikajic svoji existenci (= reknete ze sluzba X ma opravneni treba pristupu do databaze Y). Tzn zadna hesla (ani klice) nepotrebujete. A samozrejme 99,9% aplikaci o necem takovem nema zdani.

Chci videt, jak budete automatizovane menit hesla nikoli stovek, ale tisicu vsemoznych komponent infrastruktury male firmy (o strednich nebo vetsich ani nemluve). Spousta tech veci pokud vubec nejaka hesla umi, tak se musi nastavovat ze specielni aplikace urcene jen a pouze pro tu konkretni vec.

Nahodne losuji ... zakaznik, cca 50 zamestnancu, cca 700 hesel, a je treba podotknout, ze treba vsechny kamery maji stejne. Jednoduse proto, ze pouzivany SW ani neumoznuje nastavit per kamera ruzna (a bezpecnost by to nijak nezlepsilo, zanamy jsou samozrejme na jednom systemu).

Jenze nic z toho nema s GDPR nic spolecneho, to jsou pouze nesmyslne vymysly google (ty cookie dotazy) a vsemoznych smiraku, kteri maji pocit, ze strasne nutne potrebuji vedet, jakou velikost mate, a kolikrat denne to delate.

Nikdo prece provozovatel webu (napriklad) nenuti k tomu, aby vladal na web smirovaci (nejen)scripty tretich stran. A kdyz to delat nebude, nemusi se ani na nic ptat.

Nikoli, to jako ze ten firemni IT posle manazermet s vyplnovanim papiru kam nalezi, takze ti si na to najmou firmu, ale tomu ITkovi rozpocet na bezpecnost nezvednou, stejne jako mu klidne i pisemne zakazou chtit po nich delsich hesla nez 1 znak.

Je videt, ze patrite k tem zminenym ikoustum, kteri praxi vzivote nevideli. Bezte se zeptat panu ministru, co reknou na to, kdyz jim IT vnuti hesla nejmene 30 znaku a kazdy mesic zmenit (zcela v souladu s tim co sami soukromym firmam narizuji). Takovej ITk uz nebude ministerskym ITKem, ze?

Presne stejne to pak funguje ve vsech organizacich statu, stejne jako v nemocnicich atd atd.

To nemáte tak úplně pravdu. Jen dneska jsem nejmíň pětkrát musel odkliknout na nějakém webu hlášku, že používají pouze technické sušenky - což sice podle GDPR není nutné, ale ten dialog tam je pro případ, že bych chtěl nastavit i jiné cookies, a především proto, aby byl ouředník spokojený.
Pokud totiž žádné (nebo jen technické) cookies web nepoužívá, není povinnost něco oznamovat, ale když nic neoznamuje, jak zkontrolujete, zda opravdu ty cookies nepoužívá?

Proč do toho motáte nějakýho ministra a 30 znaků hesla? Já se vás ptám, proč vás ty vyhlášky tak točí? Proto, že vám někdo vidí pod ruce jak to tam šolícháte? Nebo proto, že podle vás, změna je zlo?
Jestli děláte ve firmě, kde nejste schopen jednat o rozpočtu IT (a vy asi ne, protože jak jsem pochopil, na management IT nemáte), tak podpořte svého šéfa, třeba daty na základě vyhlášky, co kolik by mohlo stát. Nebo to je taky neprůchodné a to je vlastně důvod té vaší zatrpklosti?

Tak předně: mně se žádnej script nespustí, to bezpečáci nedopustí. ;oD
Na těch webech byl dialog o tom, které cookies chci povolit, defaultně je zaškrtnuté pouze technické (někde o oprávněný zájem) a mám možnost i tak dát Reject.
Kouzelné stránky jsou takové, které mají přes celé okno informaci o zpracovávání dat, ale když nedovolíte ukládat cookies, nepamatují si, že jste to už četli a nabídnou to příště zase. (Např: Google.)

US vyhláška není mezinárodní standard.

V navrhovaném znění vyhlášky je v prvním pořadí vícefaktorová autentizace (minimálně dva faktory), pokud to organizace v daném období nemůže splnit, tak vyhláška ukládá povinnost používat kryptografické klíče nebo certifikáty a pokud ani toto nejde, tak až v posledním pořadí jsou hesla...

Takže tvoje nářky jsou mimo mísu.

Sam NUKIB se v duvodove zprave k § 20 na NIST SP 800-63B sam odvolaval... takze mimo misu jsou vase reci :-)

Jenze to pravidlo plati podle te vyhlasky obecne - na jakykoliv system, vyhlaska se vubec nezabyva nejakym zhodnocovanim nejake kriticnosti systemu - narozdil od NIS2, ktere v clanku 21 explicitne rika, ze se u jakehokoliv opatreni ma vzdy hodnotit mira rizika, spolecensky a ekonomicky dopad atd... ale to si panove a damy na NUKIBu udelali svuj zivot proste jednodussi.

A samotny pozadavek na periodickou zmena neni v souladu s mezinarodnimi standardy, tedy vlastne ten pozadavek NUKIB defacto odporuje NIS2.

Diskuze neni o tom, ze by to neslo vyresit - ale o tom, ze na NUKIB jsou papeztejsi nez papez, tvari se jak bezpecnosti rozumi, ale pritom vymysli do nasi narodni transpozice pozadavky, ktere NIS2 sama o sobe po nikom vubec nechce a navic bezpecnost nikterak nezvysi. Urad si to pro sebe jen udelal jednoduchy, vsichni pak budou nadavat na EU... ale ten dabel, ktery nam tu zbytecne a bezduvodne komplikuje zivot sidli v Brne.

Ne, ten dialog je tam vyhradne proto, ze provozovatel webu chce ziskavat data, ktera k provozu vubec nepotrebuje. Urednik v tomto pripade bude zcela spokojeny kdyz tam zadny dotaz nebude.

A v pripade tech cookie se to kupodivu da zkontrolovat velice snadno, nemluve o tom, ze na webu musite tak jako tak mit uvedeno, jaka data a jak zpracovavate (a ne, to klikaci cosi neni ono a nemuzete to tim nahradit).

Specielne v tomto pripade je pak opravdu k popukani, ze kdyz odklipete nesouhlas, tak se stejne vzdalene scripty spusti a cookie ulozi. Plati v 90% pripadu. Jiz sem psal, ze za odpoledne umim na pokutach smazat deficit rozpoctu. Jen na tomto.

Je super brat penize za neco, co neprodukuje zadny meritelny vysledek. Soucet hodnot prusvihu je radove nizzsi, nez soucet nakladu.
Nebavim se o policii, nemocnici, soudech. Bavim se o eshopu s obojky na kocky, pizzerii s rozvozem, firme instalujici vrata.