Názor k článku Regulace podle NIS2: Evropské certifikáty neřeší strategickou důvěryhodnost od JVr - Nestudoval jsem detail jak, mají to schéma certifikace...

Nestudoval jsem detail jak, mají to schéma certifikace vymyšlené, ale zkrátka vydat jednou certifikaci tvrdit, že je to nadosmrti (myšleno, dokud je to zařízení podporované) bezpečné, je prostě blbost.

Problémem jsou především aktualizace, někdo by musel důkladně prověřovat každou jednotlivou aktualizaci včetně patche, jestli tam náhodou nedochází k nějaké škodlivé změně. Ano je možné to kontrolovat pravidelně, ale to nestačí, muselo by docházet k důkladné kontrole před každým patchem. To je prakticky nemožné, protože by to bylo poměrně dost drahé a k tomu to chvíli trvá (některé patche chcete aplikovat co nejdříve, aby byla co nejdříve odstraněna zranitelnost). Navíc tvořivost útočníků zde může být poměrně vysoká a mohou pracovat i s tím, že patch sám o sobě je neškodný, ale v kombinaci s tím, co je už v zařízení nainstalováno, to vytvoří něco nového – škodlivého.

Nezbývá nic jiného než důvěra v dodavatele, který SW dodává, ale můžeme takovou důvěru vložit do rukou všech dodavatelů? CrowdStrike nám jasně ukázal, jak jedním updatem dat (pozor nikoliv SW) je možné vyřadit z provozu nemalou část světa…

Tzn. důvěra v jakékoliv bezpečnostní certifikační schéma je dobrá v situaci, kdy jde třeba o OT zařízení, která se jednou nasadí a dále se již nemění. V případě dnešních především pak síťových zařízení, která mají aktualizace pomalu každý den, to není myslím reálné.

10. 9. 2024, 08:18 editováno autorem komentáře