Názory k článku Regulace podle NIS2: Nebezpečí incidentu hrozí častěji od vlastních zaměstnanců než zvenčí

To, že je řada útoků připravovaných řadu měsíc i let dopředu je nesmírně důležitý pohled. Řada diskuzí s vývojáři, architekti či obecně s lidmi od fochu se zadrhne právě na tom, že si neuvědomují, že mohou proti sobě mít útočníka, který je schopnější než oni a má na to 100x více času a zdrojů.

V takovém prostředí i malá drobnost (DoS zranitelnost na odvedení pozornosti nebo donucení adminů udělat slabinu při debugování) může být kritická.

Jsem rád, že se ta diskuze v posledních měsících (asi hlavně kvůli NIS2) rozpoutala a i společnosti, které to doteď neřešili se začínají ptát, začínají řešit, co vlastně dělají špatně a jak to napravit.

Škoda, že NÚKIB v tom není více proaktivní, více nápocný, méně byrokratický, teď funguje jako koule na noze. I ty diskuze kolem NIS2 s ním jsou dost absurdní a více tam jde o víru než co jiného. Můj odhad je, že těch kompromisů tolik nebude a řezat to bude až vláda politicky.

Tak ono to nekdy v praxi je i neochota investovat do (prubezneho) vyvoje. Aneb tady jsme si neco pred osmi lety napsali, fungoje to... a to ze to zavisi na davno nepodporovanych verzich knihoven uplne neresi. A samozrejme se daji najit mista, kde se podcenuji bezne "operations" - v honbe za necim novym, co se da nekde odprezentovat se zapomina na udrzbu, beznou rutinu co neni videt - ale bez ktere to nejde. Aneb casto se tem adminum na tu rutinu neda uplne prostor, protoze rutina negeneruje zisk. Jen se pak breci, az se v dusledku podcenene rutiny dostavi nejaka ztrata...

NUKIB napomocny nebude. Nasaklo to "ouradama", co vidi bezpecnost jen v papirech a ukladani povinnosti, co se hlavne dobre kontroluji - ale bezpecnost nezvysi. Procpak asi uz i NIST rika, ze se hesla nemaj menit periodicky a vynucene, ale nas milej NUKIB na tom lpi? :-) No protoze se to tak v dobe kamenny nekde naucili a maj pocit, ze na tom stoji bezpecnost. Ale pak se clovek smeje tomu, ze pouzivaj obstarozni software.... co se jim napraska z hlavicek z jejich ticketaku :D

A jinak ja cekam, ze skutecna bitva bude az v PSP... :-) Protoze tam uz NUKIB nebude mit moznost do tech zmen moc kecat. A zvlast nevladni instituce si podle vyuziji moznost nektere veci zkusit prolobovat spis az pres poslance.