Názory k článku Regulace podle NIS2: Evropské certifikáty neřeší strategickou důvěryhodnost

NUKIB je proste papezstejsi nez... ENISA, NIST, NCSC, BSI, CISA... doplnte dle potreby. A pritom zrovna teze, ze timhle nejak magicky ochrani ICT pred prudkym zdrazenim/inflaci je proste a jednoduse blbost. Nazor na Huawie/ZTE muzeme mit jaky chceme - ale jedno se jejich pritomnosti na trhu uprit neda - nuti ostatni vyrobce drzet ceny niz. Urednicek nepolibeny trhem proste nedomysli to, ze jeho regulace bude nakonec to, co zas bude diky specifickemu ceskemu trhu v konecnem dusledku akorat drazsi. A rozhodne to nezaruci vyssi bezpecnost. Ve skutecnosti se jen ukazuje absolutni nekompetentnost uradu na poli kyberbezpecnosti - kdy nam urad priznava, ze technicke kyberbezpecnosti vlastne nerozumi a tak si hledaji pro sebe jednodussi cestu a zpusob, jak to zamasmovat - posuzovani krabic jen podle samolepek. Pak nemusite rozumet tem technickym vecem do detailu - kouknete na jeden napis a mate hotovo...

Akorat ze pri plkani o inflaci a straseni o zdrazovani si panove a damy z uradu zapomeli otevrit ucebnice o zakladech ekonomiky. Pristup NUKIBu v realu naopak zapricini vznik oligopolu tam, kde zatim fakt neni. Konkurence se snizi a to... zcela neprekvalive pozene ceny nahoru. Proc by zbyli vyrobci nezdrazili, ze? Smyslem jejich podnikani je prece zisk. A kdyz jim z trhu umele odparete silneho konkurenta, tak odpadne duvod drzet ceny nizko. Tak proste to je.

Nestudoval jsem detail jak, mají to schéma certifikace vymyšlené, ale zkrátka vydat jednou certifikaci tvrdit, že je to nadosmrti (myšleno, dokud je to zařízení podporované) bezpečné, je prostě blbost.

Problémem jsou především aktualizace, někdo by musel důkladně prověřovat každou jednotlivou aktualizaci včetně patche, jestli tam náhodou nedochází k nějaké škodlivé změně. Ano je možné to kontrolovat pravidelně, ale to nestačí, muselo by docházet k důkladné kontrole před každým patchem. To je prakticky nemožné, protože by to bylo poměrně dost drahé a k tomu to chvíli trvá (některé patche chcete aplikovat co nejdříve, aby byla co nejdříve odstraněna zranitelnost). Navíc tvořivost útočníků zde může být poměrně vysoká a mohou pracovat i s tím, že patch sám o sobě je neškodný, ale v kombinaci s tím, co je už v zařízení nainstalováno, to vytvoří něco nového – škodlivého.

Nezbývá nic jiného než důvěra v dodavatele, který SW dodává, ale můžeme takovou důvěru vložit do rukou všech dodavatelů? CrowdStrike nám jasně ukázal, jak jedním updatem dat (pozor nikoliv SW) je možné vyřadit z provozu nemalou část světa…

Tzn. důvěra v jakékoliv bezpečnostní certifikační schéma je dobrá v situaci, kdy jde třeba o OT zařízení, která se jednou nasadí a dále se již nemění. V případě dnešních především pak síťových zařízení, která mají aktualizace pomalu každý den, to není myslím reálné.

10. 9. 2024, 08:18 editováno autorem komentáře

Ano, takhto to funguje treba i s FIPS - tam certifikace neni pro zarizeni "nadosmrti", ale naopak je i pro konkretni verzi software. Ale proc to prebirat, kdyz muzeme vynalezat kolo a mit tu nasi specifickou ceskou cestu, ze? ;-)

Co spis muze byt komplikace je rychlost vyvoje takoveho (bezpecneho) software. Proste pak nejde delat to, co spousta vyvojaru dela s nadsenim - tedy chrli nove verze kodu s novymi a casto ani poradne provozne neotestovanymi funkcemi. O bezpecnosti takoveho kodu radsi ani nemluve. Prekontrolovat "patch" verzi je vyrazne jednodussi nez kontrolovat zcela novy release s uplne novymi fancy featurkami.

Mimochodem tady naopak NUKIB dela nezodpovedne frajeriny, kdy naopak nasazuje "horke novinky" rovnou do produkce (a z pohledu transpozice NIS2 na klicove prvky) a jeste se tim verejne chlubi. Pritom zrovna tady ta proverenost kodu z pohledu jeho bezpecnosti logicky velka nebude a i zpusob nasazeni rozhodne nenaznacuje, ze by to z pohledu provozu bylo rozumne udrzovatelne...

ale to je ono v beznych cenikach, navic pokud si dobre pamatuju tak jedna americka spolecnost ugpradovala backbone a Cisco jim dalo slevu 75% z cenikovych cen, takze z planovaneho objemu financi firma usetrila a zbylo i na bublifuk.

Vytahovat jednotlivy projekty, bez navaznosti je k nicemu a hlavne resit tady B2B business kterej ma uplne jiny pravidla nez B2C je blbost. Neverim tomu ze by Huawei dalo neco pod vlastni naklady a nebo treba v ramci projektu neco dalo a vydelali na necem dalsim. Dalo by se o tom dost polemizovat.

A ted povezte kefalin, co ze je ten bezny cenik... :-) GPL price list? No, tak za tyhle cenovky nakupuje snad maximalne erar, ale jinak vsichni kolem bezne dostavaji desitky procent off-price. A to fungovalo davno pred cinany. Ale pssst! ;-) Samozrejme, pokud kdokoliv ve velkem nakoupi padesat kontejneru procesoru, dostane se na jine cenovky, nez kolik stoji kusova krabice v retail krame. Tak to v obchode proste chodi. Bez posouzeni toho, jaka je skutecna nakupni cena tohle hodnotit taky nejde. A troufam si rict, ze o nakupnich cenach velkych vyrobcu vime prd... my oba dva :-)

A cenu naprosto bezne podstreluji i komercni subjekty v Cesku, co s nikym z vychodu nic spolecneho nemaji. Ve verejnych soutezich take k videni, ze? Obvykle tam je skryty umysl se realne zahojit jinak a jinde - treba na vicepracech... ktere uz z te "originalni" smlouvy nevyctete, protoze se to schova do ruznych triku ala JRBU. Kdyz uz chceme tohle kritizovat, melo by platit jednoduche pravidlo - padni komu padni... ale to by se muselo zacit u politiku, kteri se potrebuji "libive" pochlubit tim, ze naoko usetrili.

Pokud to hypoteticky zdrave neni, existuji jine nastroje. Ale zastavil bych se u te podnakladovosti - opravdu vendori usidleni v CA produkuji vymenou za vyssi cenu kvalitnejsi kod...? No, nemyslim si...

Zrovna pred par dny jsem u jednoho takoveho narazil v hlouby deployment ISO image na podobnou "perlu"... diky ktere dokazala cela instalace v naproste tichosti zhavarovat a pritom se tvarit, ze vse se nainstalovalo v pohode...

output=$(ifconfig -a  | grep ens)
if [ -z "$output" ]; then
    echo "network not populated yet"
    exit 1
fi

podnákladový prodej u Huawie samozřejmě nutí konkurenci držet ceny nízko, ale zrovna to není zdravé.

Od Huawei si třeba jeden z operátorů kupoval servery, 120 tis Kč za kus, jen ty dva Intel procesory v nich stálo 90 tis v běžných ceníkách, za 120 ten server prostě nepostavíš.

Další případ, Huawei prodával služby kolem servisu a správy BTS za 3/4 cenu než kolik platil českému subdodavateli, který to pro něj reálně dělal. Takhle z některých segmentů vystrnadil konkurenci a získal část trhu.

Se tváříš jak kdybys někdy neudělal nějakou chybu, zkratkovitý kód nebo rychlé řešení. Bash je největší mor, protože správně ho psát umí pouze dva lidi na světě, oba už nežijí. Myslím, že takovéhle chytáky najdeš asi naprosto v každém produktu a asi to nemá nic společného s národností.

Paradoxně ve spoustě společností bash scripty se berou jako božské dílo a nekontrolují se, nedělají se na ně testy, prostě se berou tak jak jsou jako perfektní dílo.

Ale to je to o čem mluvím. Všichni se předhánějí a když je někdo větší kapitalista než ostatní tak kvičí o postřelování cen. Proto tvrdím že nemá smysl polemizovat o B2B a dělat z Číňana tu sviní na kterou všichni zalujou. Jde o to že NUKIB se snaží urvat exekutivní pravomoce a rozhodovat kdo bude smet prodávat a kdo ne na základě naprosto nejasnych pravidel de facto bez možnosti se efektivně bránit.

On by to az takovy problem nebyl, kdyby to delali jako NIST se svym FIPSem - tzn. resil technickou technickou certifikaci bezpecnosti pro KII. To mi jako relevantni prijde, vsak i EU chce jit podobnou cestou - ale NUKIBu to buhviproc prijde malo - pritom prave tohle by melo byt jadrem jeho prace - posuzovani te technicke bezpecnosti.

Plky o strategicke bezpecnosti NUKIB jen maskuje jen to, ze se jim v realu nechce moc makat, proste hledaji zpusoby jak na papire "resit" bezpecnost, vykazovat nejakou cinnost... a pritom se u toho vlastne moc nenadrit. S timhle se samozrejme dobre jezdi po konferencich, protoze nemusite zabredavat do technickych detailu... vlastne jim vubec nemusite rozumet. A to si o vyrobcich z tamnich luhu a haju sam myslim svoje - ale ty duvody jsou technickeho (softwaroveho) razu a na zaklade hands-on zkusenosti...

To, ze neveris je jedna vec, realita je jina vec. Klicove firmy pro cinskou ekonomiku si muzou zazadat (a zadaji) o proplaceni cehokoliv (dotace). Nasazeni technologie v zapadnim svete ke kteremu ma cinska vlada potencionalne pristup je pro ciny rozhodne zajimave takze par chechtaku jim radi proplati.