Názory k článku Regulace podle NIS2: Ministři jsou proti koncentraci moci v rukou NÚKIBu, oboru chybí odborníci

NUKIB si nedokaze poradne ukocirovat vlastni dodavatele, takze jejich osvetovy portal vesel bezi na nepatchovanem debianu - coz prozradi uz shodan v banneru openssh - reportovana verze deb10u2 rozhodne neni ta ze security repozitare distribuce, aktualni je deb10u4... a uz nekolik mesicu :-)

Moodle ve verzi 3.9.18 (versionstring 2020061518.07) je uz take nekolik mesicu end-of life/support a rozhodne tam ani neni posledni dostupna verze v te vetvi - tedy 3.9.25.

To, ze jejich mailserver nezvladne poslat maily po TLS 1.2 je uz takova tresnicka na dortu - a na Debianu 10 samo o sobe heroicky vykon, tam uz standardne podporovane rozhodne je.... tak tezko rict, co tam kdo vlastne kouzlil. Kazdopadne k problemu z uradu zaryte mlci... ;-)

Ze to doted neni zmigrovane pod gov.cz vlastne uz nikoho prekvapit. Asi je to moc slozity pridat do toho apache dalsi virtualhost.... nebo ze by nezbyl budget na certifikat? :-)

A tihle cuckari, co neukociruji jeden maly projektik s cenou 4,3 milionu chteji koncentrovat nejakou vetsi moc... :-) Jejich osvetovy portal je skvela ukazka toho, jak v kyberprostoru neco neprovozovat. Jenom mozna snad ani nechceme vedet, jak vypadaji jine interni systemy toho naseho "kyberbezpecnos­tniho hlidace".

třeba to dělají jako já a záměrně vrací hlavičky starých verzí. To ne, to bychom je asi přecenili.

Bohužel v odborné komunitě z nějakého důvodu převládá názor, že NÚKIB by měl být odborník, ale jak to tak bývá se státní správou, odborník je pouze na formuláře. Nečekejme od něj nějaké oborové know-how a pak z toho nemusíme být zklamaní.

Tak ucitili moznost si zajistit nejake to korytko, a aby korytko bylo radne naplneno, je potreba mit co nejvice pravomoci a co nejvice podrizenych. Cim vice jich bude, tim vetsi ohodnoceni si sef a jeho podsefove zaslouzi ne?

A aby bylo jak oduvodnit dalsi stovky flakacu, je treba vygenerovat lejstra. Cim vice tim lepe. A primet co nejvetsi pocet subjektu ta lejstra vyplnovat, coz je treba kontrolovat a nato je treba hromada lidi.

Ja bych povinost vyplnovat hlaseni o zajisteni bezpecnosti dal i domacnostem. Nejmene kazdych 14 dnu. A kazde 3 mesice by musely hlasit jaky HW a SW pouzivaji a beda jestli to bude neco z nejakeho blacklistu.

Na kontrolu by se pak chodilo v 03:00 ... a pokud subjekt neotevre na treti zaklepani, budou vyrazeny dvere, samozrejme na naklady subjektu.

Oni se do te pozice odbornika na kyberbezpecnost ve svem PR sami stavi. A samozrejme ta jejich snaha o koncentraci moci na urad je podlozena tou deklarovanou odbornosti. Realita je jaka je... a je na miste hovorit o tom, ze na NUKIBu zas takovi kyberexperti nejsou a ze vlastne maji problem uhlidat i sve vlastni systemy. Co si tak vzpominam, tak jejich ticketak (RTcko) je na tom jeste hur, nebo minimalne jeste pred par mesici byl... :-)

Bussines si to davno uvedomil, proto tu zadny neni, a postupne odsud vypadnou i ti, kteri jeste prezili.

Jen pridavate dalsi argumenty proc by NUKIB ty kompetence mit nemel ;-)

Ale nejak je potreba naplnit ta ourednicka mista, a nikdo s odbornym vzdelanim, ani na urovni uciliste, to delat dobrovolne nebude. Proto je treba vice gymnasistu, protoze to jsou idealni kandidati. Nic vlastne neumi, tak co jineho by mohli delat.

další bezcenné argumenty. Tady na diskuzi nic nezměníme...

Seděli jsme s NÚKIBem u jednoho stolu, je těžké je přesvědčit vůbec o tom, jaké budou mít jejich nařízení dopady, natož docílit nějaké rozumné změny.

S myšlenkou takovéhoto úřadu souhlasím, koordinace a páka je potřeba, ale plně souzním s tvoji kritikou, že to jsou neumětelové.

Stačí se podívat na otevřené pozice, to už dá určitý náhled jakou odbornost chtějí, https://nukib.gov.cz/cs/o-nukib/kariera/

Takhle naopak vypadají požadavky na pozici, která je na druhé straně barikády https://kariera.kb.cz/specialista-ka-operacnich-rizik-pro-oblast-ict/a-410/.

Nebe a dudy. NÚKIB chce asi čerstvé absolventy, které mají aspoň nějakou malou praxi, buď jim je jasné, že odborníka z oboru nezaplatí nebo prostě práce u nich je hlavně administrativa.

tak toto je fakt neskutečný OXYMORON:

za rok dokážeme dodat na trh / vyučít v rámci něčeho, co je na úrovni rekvalifikačního kurzu - až 500 "EXPERTU".. .. a na dalším místě se správně hovoří o tom, že EXPERT se nestane expertem díky nějakému kurzu, ale dlouholetým zkušenostem.

to je přesně to, co firmy potřebují a chtějí. platit předražené ňoumy bez zkušeností, aby pak za ně nesly odpovědnost, až se něco po--e-r-- ..

jak já si fakt přeji, aby ta sebranka z Brusela táhla do háje!!

Expertka: Dlouhodobé zlepšení by mohly přinést jen systémové změny ve vzdělávání mladé generace, aby školství nabízelo více takto zaměřených oborů.

Ministr školství: Nechceme odborné školy, chceme co nejvíce všeobecných škol.

Tak si vyberte. 🤷‍♂️

5. 3. 2024, 19:05 editováno autorem komentáře

to je tak kdyz je ministrem skolstvi muzikant... https://www.msmt.cz/ministerstvo/ministr-2
na druhou stranu mohl byt treba i filozofem...

Vsimnete si prosim, ze kritizujeme vylucne verzi openssh - ktera neodpovida tomu, co je v repozitari s bezpecnostnimi aktualizacemi. Ta verze mj. neobsahuje zaplaty na terrapin.... na ktery i sami upozornuji :D Aneb jak nam ta kovarova kobyla chodi bosa.. ;-)

Je smutný, že ti, co mají jít příkladem a poukazují na to, že i malé ORP musí být za každou cenu v režimu Nižších povinností, byť na to nemají ani finance, ani lidi, nejsou schopni zajistit, aby tak důležitý portál, který má sloužit pro všechny regulované subjekty, je v pořádku.

A Moodle, to je teda pořádná studnice zranitelností:
https://www.cvedetails.com/vulnerability-list/vendor_id-2105/product_id-3590/Moodle-Moodle.html

Zvykejte si.

Stát bude IT regulovat čím dál tím víc (z národní regulace, ale hlavně z EU regulace), jenže čeští politici nechtějí na takovou regulaci poskytnout jakékoliv zdroje navíc a platit zaměstnance alespoň na polovině toho, co platí soukromý sektor. Proto bude vznikat nekvalitní regulace nebo bude nekvalitně vymáhána, což v dlouhodobém hlediskua bude poškozovat firmy podnikající v Česku.

Ale dokud si to bussines neuvědomí a nebude chtít po politicích změnu, nic se nezmění.

Openssh do sveta, to je u mne za 5, i když je to většinou bezpečné.

Myslím, že tohle je spíš bezpečnostní divadlo. Pokud chcete vzdálený přístup, nějakou formu "díry" z internetu na konkrétní stroj mít budete. Můžete SSH schovávat do nějakého VPN, můžete mít VPN jen na vybraných počítačích s vybranými adresami a bez dalšího softwaru např. webového prohlížeče a taky to můžete jinak přehánět.

Za mě je dobré mít SSH +- aktuální podle dané distribuce a nevymýšlet paranoie a konspirace. Povolit jen přihlašování pomocí klíčů, případně přehodit na nějaký vyšší port, přehodit na uživatele než roota, zakázat různé další funkce jako X11Forwarding, omezit třeba HostKeys na novější typy jako ECDSA/ED25519. Většina toho v podstatě ořeže různé skripty a boty, takže se nebude plnit tolik log. X11Forwarding snad už skoro nikdo nepotřebuje, takže je asi zbytečné to mít zapnuté.

Všechno tohle může být jednoduchý Ansible playbook nebo nějaký skript, který to může nastavovat všude ať už používáte VPN nebo ne. Co může být fajn logovat přihlášení přes SSH na nějaký třetí systém, to se může hodit i pro různý debugging.

SSH je pořádný kus softwaru a je to hodně univerzální nástroj. Ale za sebe můžu říct, že mi to nepřijde jako slabý článek.

.. jiste, http do sveta je za 10 ...

Nemam problem delat i pro domaci firmy. Jen za stejne penize nebo lepsi penize a nebo nizsi dane z prijmu aby se to dorovnalo. Zadarmo ani kure nehrabe.
Brusel mimochodem nenastavil danove zatizeni.