Názory k článku Regulace podle NIS2: Náklady na kyberbezpečnost půjdou od desítek tisíc do miliard

Dnes existujici zakon o kyberneticke bezpecnosti brzy oslavi osm let sve ucinnosti. A rozhodne nemuzeme tvrdit, ze by i u dnes povinnych osob byla bezpecnost na spickove urovni. Dost casto je to spise ostuda pod primym dohledem z NUKIBu - ktery za ty roky nebyl schopen vyresit ani vylozene okate boty typu zprzneny DNSSEC u mnohych statnich instituci. To same plati treba i o ISO 27000 - to ze firma certifikaci drzi neimplikuje, ze ma bezpecnost opravdu kvalitne resenou, timto zdravime treba na Ceskou postu, kde to maji take podobne zmatlane :-)

Kyberneticka bezpecnost v realu vubec neni o nejakych papirech (byt si to spousta lidi mysli) - papiry snesou kdeco. Samozrejme se vyroji spousta tech, co bude tvrdit opak. A ano, v teto oblasti je spousta "prizivniku", co skrze vymysleni obskurdnich smernic typu "mente si hesla jako ponozky" nabyva dojmu, ze bezpecnost takhle zarucene vyresi. A plati to i o samotnem NUKIBu - ktery dokonce (kdyz se to hodi) ignoruje doporuceni z mezinarodnich organizaci, co se bezpecnosti skutecne seriozne zabyvaji a chronicky to cpe do svych vyhlasek.

A predstava nekterych lidi, ze neni problem si dalsi lidi na vylozene byrokraticky umele vytvorene pozice najmout - kdepak se asi tak vezmou? Nevsimnul jsem si, ze by pracaky byly plny nezamestnanych kyberbezpecaku - a za rok se to nikdo pri dnesni komplexite IT systemu fakt nenauci ani omylem. Ale uz mnohokrat bylo zopakovano, ze povinnosti z narodni transpozice jdou podstatne dal, nez pozaduje NIS2 - a nikoliv ve vecech, co by bezpecnost fakt resili a realne zvysili - ale hlavne tam, kde se snadno da uradovat se stemplem v ruce a kontrolovat lejstra. Bezpecnost postavena na razitku... troufam si rict, ze ani ti "pravnici" o skutecne kyberbezpecnosti toho moc nevedi, vyznaji se jen v paragrafech. Ale jak zabezpecit server ci aplikaci netusi...

To je zas takova ta mantra stylem "outsourcing to spasi". Funguje to i ve statni sprave zrovna v IT cele roky naprosto skvele, ze? :-)

No, a to jak tady (ne)funguje komunikace se opet krasne ukazalo opet minuly tyden, kdy si jista oblibena skupina z Ruska delala doslova srandu z mnohych predevsim verejnych instituci po nekolik dni v kuse. Ctyri dny po sobe sejmuty web treba u vnitra ci parlamentu stejnym utocnikem, to je fakt skvela vizitka, jak "skvele" jsou ty komunikacni standardy postavene - zvlast kdyz je rec o nekom, kdo kolem radi uz nekolik mesicu...

A zrovna v pripade zvladani incidentu je tohle nejslabsi misto prave u toho outsourcovaneho pojeti - kdy se realne muze dojit a urcite dojde do stavu, ze na par lidi, co v peace-time zvladaji X organizaci s prstem v nose obskacou se toho behem nejakeho pruseru sesype vic, nez jsou schopni efektivne ukocirovat. A muzou mit k tomu k ruce sebedokonalejsi papiry, ale proste se v dane situaci nenaklonuji... a jasne, podle jinych papiru bude vse v naprostem poradku, jenom nebude nic fungovat jak ma... jako ten seci stroj v "Mareckovi", co funguje skvele, ale neseje :-)

A urad, ktery nezvlada rozumne ukocirovat ani to "malo", co ma ted nutne touzi regulovat dalsi veci. APMS to mozna taky pritahuje za vlasy - ale ciste pragmaticky, jak to bude v praxi fungovat v prostredi, kdy vice jak triset-hlava san nezvlada ukocirovat ani svou dnesni "konstituenci", ale nejradsi by ridila cely svet?

"vypadá to, že se řada těch pozic bude na trhu pronájímat"

A kde se ti pronajimani lide vemou? Neznam stav celeho IT v CR ani statistickeho vzorku, ale vsechny firmy ktere se pohybuji v mem dosahu setrvale berou kazdeho, kdo pozna tlacitko power. Ani tak nemaji lidi dost.

Papirovani bepecnost naopak typicky razantne snizuje. Protoze kvuli tomu papirovani pak jiz nejsou prostredky (at uz financni nebo lidske) na skutecna opatreni.

pokud jde o zaměstnance/od­borníky, tak postačuje i zkušenost na obdobné pozici podle současného kybernetického zákona. NIS2 vyloženě nevyžaduje, aby veškeré pozice byly v roli zaměstnance, vypadá to, že se řada těch pozic bude na trhu pronájímat. Nedostatek uchazečů jde ale vidět už i lze a nejvíc tím bude trpět asi sám stát.

Stát dělá to co umí dělat nejlépe, papírovat, to už jsme viděli v mnoha jiných příkladech.

Papírování v oblasti bezpečnosti je ale za mě podmínkou nutnout a nikoliv dostačující. Můžeš mít sebelépe zabezpečený systém, ale pokud k tomu nemáš správnou evidenci, pravidelnou validaci a komunikační standardy, je to ti k ničemu.

NIS2 v českém podání je samozřejmě docela bizár, APMS zase cíleně opakovaně lže.

o spáse jsem nemluvil, jen to může vytrhnout trn z paty ten nejmenším kvůi nedostatku lidí. IT ve státní správně nefunguje vůbec.

Chápu tvoji zášť proti NÚKUBu, věcná kritika je na místě, ale nech tomu chvilku času, aby si to sedlo. Jen nerozumím tomu, proč si chtějí dělají vlastní zkušenosti ze selhání a nepoužijí již ty ze zahraničí. Teď to nevypadá, že NÚKIB bude tím orgánem, který bude koordinaci řídit, škoda, třeba někdy pochopí, že by to měl být on.

Když se to vše outsourcuje do jednoho týmu, tak pak vlastně odpadá ten tvůj zmiňovaný problém s komunikací, ne?

Teď zatím zažívám největší problém jak o víkendu nebo v noci někoho sehnat. I někteří větší přemýšlí o outsourcování (zatím formou PoC a tržních konzultací).