Názory k článku Regulace podle NIS2: Papírování pokračuje, velké podniky budou muset pravidelně řídit rizika

Je absurdní psát o nějakém papírování. V korporátním sektoru je asset management dávno automatizovaný a vůbec to nesouvisí jen s bezpečnosti ale s plánováním a evidencí aktiv, obměnou hw, sw, řízení nákladů atd. Software jako ServiceNow, Atlassian CMDB a moře dalších řešení tohle umí a desetiletí se to tak dělá a jsou plně integrované do firemním procesů a schvalování.
Na to navazují systémy pro risk management, kde vám automatizovaně vybíhá reporting dle aktiv. V ČR je známé řešení RECu s jejich RAMSESem, ale jinak je plno dalších jako Diligent, Crisam a plno dalších. Dělá se to takhle desetiletí a jde o standardní činnost. A při auditu ISO 27001 je to základní report, který běžně předkládáte. Fakt nechápu, co se tady řeší a že se řeší tahle zcela základní a standardní záležitost.

25. 7. 2023, 14:50 editováno autorem komentáře

A ted si to zkusme namodelovat na samotnem NUKIBu. Pro hlaseni incidentu povinne subjekty maji pouzivat adresu cert.incident@nu­kib.cz. Ta jim dnes konci v systemu, ktery se jmenuje Request Tracker, kdy dle hlavicek emailu zjistime, ze tam bezi verze 4.0.20 z kvetna 2014, kdy jeste pred ukoncenim podpory v unoru 2017 byly mj. v produktu v roce 2015opraveny vazne chyby ovlivnujici mj. prave prijem techto emailu. Samozrejme tech dalsich oprav je vice, jej jejich dopad uz nikdo u nepodporovanych verzi nezkouma. A hlavicky tady kecat vysoce pravdepodobne nebudou, tuhle verzi RT zadna distribuce s long-term supportem (typu RedHat/Ubuntu/De­bian) v sobe nema.

Jaka jsou rizika spojena s tim, ze vice jak pet let po skonceni podpory pouziva NUKIB v roce 2023 software, ktery muzete shodit emailem zvenci? ;-) Uplne nizka asi nebudou. A otevira se tim samozrejme otazka, v jakem stavu jsou co do bezpecnosti i dalsi systemy uradu, do kterych zvenci videt neni. Ano, ja vim, aktualizace muze byt netrivialni, ale zrovna v pripade RT neni nemozna. Jen se na ni vykaslali, protoze moc prace... na kterou od roku 2014 nikdo nesahnul. Nebo to snad okecaji nejakou svou interni metodikou hodnoceni rizik, ze ktere vyplyne, ze na urade se pouzivany software aktualizovat nemusi? ;-)

Kdopak nam bude hlidat hlidace, jestli on sam ty povinnosti vyplyvajici z NIS2 bude sam opravdu plnit? ;-) Pokuty tady asi nehrozi, ze by urad sankcionoval sam sebe asi nehrozi...

Autore, vazne zijete v CR?

"faktická nemožnost si zakoupit elektronickou známku by řidiče vyviňovala ze sankce za jízdu bez ní."

Vsadte se, ze to by nijak neomezilo v rozletu pokutovace, kteri by tvrdili, ze mate jet mimo dalnici. A sem si jist prakticky i tim, ze by se pokouseli pokutovat i ty, kteri tu dalnicku maji, jen se nedari ji overit.

To je zase bramboračka míchající páté přes deváté. Takže když to budu parafrázovat, máme zůstat u psacích strojů a nepoužívat žádný další sw, protože nám "roste vektor útoku". Úsměvné. Pochopitelně žádné ISO nezaručí neprůstřelnost a nikdo to netvrdí a ani neočekává. Celé je to o systématickém přístupu, snižování rizika, porovnatelnosti a automatizaci. A vůbec to není o žádných checklistech, protože to je přesně ten špatný přístup v rozporu s těmi standardy. ukazující jejich nepochopení. Prostě na světě jsou všichni hloupí, ale my máme českého chytrolína, který si myslí, že ví všechno nejlíp a ty zkušenosti a znalosti tísíců špičkových specialistů z celého světa, odrážejících se v těchto standardech, jsou nic. Proč mne tihle lidé v ČR už nepřekvapují.

Pokud je můžete sledovat (hodnotit...) a ovlivňovat (zvýšit/snížit), pravděpodobně je můžete i řídit.
Aby byl systém řiditelný, musí být pozorovatelný a regulovatelný. (Teorie řízení, 1. semestr) ;o)

Je to čím dál lepší...!
Takže si sice můžeme ponechat současný systém hodnocení rizik (vcelku funkční a osvědčený), ale s rizikem, že nám to nějaký úředník zhodnotí jako nekompatibilní, nevyhovující. To si management nejspíš neriskne - takže nás pravděpodobně čeká bodování rizik.
A když se tak podívám po počtu relevantních systémů a komponent jen ve správě našeho malého teamu, tak mi vychází, že dobře půl roku nebudeme dělat nic jiného (což je nesmysl), nebo musíme přijmout někoho dalšího na papírování (což je nereálné), nebo to budeme muset nějak vygenerovat a vymyslet si průměr. Prostě to udělat tak, by se vlk NÚKIBák nažral, ale firemní koza zůstala celá.
Ale jak to pomůže zvýšit bezpečnost, to stále netuším.

Jinymi slovy se bude vytvaret dalsi vektor mozneho utoku, protoze s kazdym pouzivanym softwarem rizika logicky rostou. A ten se bude pouzivat jen proto, aby se splnila nejaka byrokraticka povinnost. Pricemz ten software casto pro svou cinnost potrebuje sam o sobe vyssi opravneni...ze? ;-)

Audity a rizeni bezpecnosti dle ISO 27001 melo i v clanku zminovane RSD. Jak to navzdory te byrokracii dopadlo ale take vime. Tohle jsou presne veci, kdy sice na papire muze vsecko vypadat bezpecne, ale v realu to bude dira vedle diry. Ostatne vyse mate i priklad s NUKIBem, co pouziva software, co uz devet let (!) zjevne neaktualizovali a co obsahuje zname chyby...

Troufam si rict, ze na svych vlastnich serverech i bez nejakych lejster dle ISO 27001 ridim bezpecnost lepe nez tyhle instituce, co se ohani splnenym checklistem do auditu...

Casem se po netu budou povalovat sablony a vsichni je budou pouzivat = nageneruje se stoh papiru, cim vetsi tim lepe. Byrokrat bude spokojen, kdyz ho zahrnete kubikem nesmyslu, a vy budete v klidu, protoze na tom se stejne nic zkontrolovat neda. Jen budete muset pristavet ten sklad, kde to bude lezet.

S bezpecnosti to nema spolecneho zhola nic, stejne jako tzv. ISO nema nic spolecneho s kvalitou firmy.

To fungovalo bezvadne je v pripade tech hesel reprezentovano prave tou vynucovanou zmenou, ktera je ostatne ve vyhlasce uz od roku 2014. Driv to vsem prislo jako skvely napad to jednou za X mesicu vynutit zmenit, tak proc v tom nepokracovat, ze... Nova metodika, ktera tenhle pozadavek pozaduje implementovat v roce 2023 je koncepcne na prvni pohled zastarala a nereflektuje trendy, ktere rikaji i spicky v oboru (NIST, NCSC, SANS...)

Vasim slovnikem tu metodiku v Cesku tedy musi zakonite psat prave ti dedci ;-)

Samotnym NIS2 se jako nitka prolina i to, ze se ma resit primerenost a ucelnost opatreni vzhledem k dopadum atd. I to si ti dedci na urade zjednodusili, protoze skutecne hodnoceni miry rizika da o dost vic prace a treba posuzovat individualne, zatimco placnout nejaky cislo vycucany z prstu s tim, ze pak je to automaticky vic kriticky tak narocny neni. A o tom presne je ta narodni transpozice. Pak se bude nadavat na nesmysly z EU, ale skutecny problem vytvari dedci na nasich uradech, kteri s tou prisnosti jdou zcela nesmyslne dal... a pritom sami na sebe moc prisni nejsou ;-)

A už jsme zpátky u hesel a kruh se uzavřel. Dokola tady hartusí parta dědků jak to kdysi bývalo super a jak to fungovalo doteďka bezvadně. Kristova noho, přestaňte se dívat na stromy a dívejte se na les. Cele je to primárně té metodice a implementace se pak může samozřejmě měnit v čase. A ona se bude měnit, svět se vyvíjí.

Nechcete u nás vyučovat oslí můstky? Od lingvistiky pojmu přeskákat na zálohy, revizáka, elektriku, řsd, právní rozbor odpovědnosti. Fakt slušný. My tyhle příklady ze života rádi ukazujeme studentům. ;-)

Je to nutná, nikoliv postačující podmínka. ;o)

Resit veci systematicky a automatizovane jde ruznymi zpusoby a prekvapive i z druhe strany to poskytne data o spravovane infrastrukture. Vse co zminujete zvladne treba i Ansible, jen kolem toho nebudete mit takove omalovanky kolem. Ale z toho nejde dovozovat, ze by v takove infrastrukture byla rizika vyssi.

Ti chytrolini sedi na NUKIBu a vy ve svem energetickem odvetvi take odrazite (musite) - kdyz po lidech mj. chcete, aby periodicky nucene menili hesla. Spickovi specialiste ve svete rikaji, ze toto je z pohledu bezpecnosti naprosta blbost a odrazi se to mj. i v NIST SP 800-63B ci doporuceni NCSC. Ale jasne, snadno se to nastavuje a radoby-bezpecaci vykazou cinnost a moc se u toho nenadrou, ze? :D

Ten pojem je zažitý a normálně vyučovaný na vejškách, jen zdejší známí rejpalové slovíčkaří a vytvářejí neexistující problém.

Krasny priklad zvanila, ktery o bezpecnosti nevi zhola nic ...

A presne totez jsou ti "specialisti", "odbornici" a vsemozna dalsi verzbez. Kdyby mne tak nekdo nazval, nejen ze se urazim, ale fyzicky jej inzultuji.

Slovní spojení "řídit riziko" je z pohledu jazyka českého nesmyslné. Riziko mohu hodnotit, snížit, zvýšit apod., ale řídit ne.

Jasne, to se vam pak zucastneni skrze nejake formalni papiry a lejstra tvari tak, ze veci skvele reguluji a ridi a pak vam jednoho dne proste oznami, ze maji vsechny data proste fuc a to vc. zaloh... a oklepavaji se z toho nekolik mesicu... :D

Jenze tady nastupuje tradicni "softwarovy" alibismus, kdy nikdo za nic vlastne neruci. Zatimco revizaka podle dnes uz-ex-padesatky bude nekdo hnat k odpovednosti za to, ze nejaka rizika v ty elektrice podcenil a nekde neco shori, tak auditor udelujici certifikat dle ISO 27001 bude porad v suchu a bezpeci - a nikdo ho popotahovat nebude. Nebo snad mame nejake post-mortem z RSD, kdy by onen auditor, co jim ten certifikat dal byl nejak popotahovan za ten mega-prusvih, co se tam stal? ;-)

Auditori v tyhle oblasti zadnou extra odpovednost (a sankce) vlastne nenesou a to je principialni fail v tyhle oblasti. A podle toho ty vystupy jejich prace taky vypadaji. Ono se to vzdycky nejak alibisticky okeca, ze? ;-)

Na to hodnocení rizik byl kdysi kreslený vtip. Teď ho nemůžu najít. Dělal se v něm audit lidského těla a auditor nutně potřeboval seřadit orgány podle jejich důležitosti. A od kohosi chtěl vědět, zda je pro život důležitější mozek nebo srdce. Nenechal si vysvětlit, že oboje je důležité stejně. A ten druhý nakonec rezignoval s tím, že důležitější bude srdce. Protože auditor je důkazem toho, že zjevně lze žít i bez mozku.

Již jsem za život několika audity na bezpečnost SW prošel. Když zpracováváte údaje o občanech USA, tisknete v předstihu výroční zprávy pro velké společnosti, ukládáte údaje o kreditních kartách apod., tak se to docela nastřádá. Na tomhle nařízení mě nic moc neděsí, není tam nic extrémně nestandardního. Jen se přidám k některým diskutujícím v tom názoru, že jakmile je to takhle legislativní povinnost, tak se na to nabalí mraky auditorů, co budou prodávat razítka za peníze. Šablona, vyplnit pár políček, vytisknout, podepsat, za rok nashledanou. Asi jako revize komína prováděná pracovníkem v obleku.

Vlastně si ani nedokážu představit, že by to většina firem mohla dělat jinak. Takový audit zabere ohromné množství času, hází vám svými požadavky klacky pod nohy, vyškoleni a auditováni musí být všichni a celé je to ohromně drahá záležitost. Tedy, pokud to berete vážně.

Inu, sláva zbytečným auditům!
Právě trávím příplatkovou noční směnu instalací nesmyslného formálního nastavení na serverech - protože to auditoři mají v jakémsi seznamu jako nutné. Nikoho nezajímá, že nemáme žádnou komponentu, která by na to nastavení byť jen narazila. (S výjimkou auditního software.)
Jestli to takhle bude vypadat s celým NIS2... - tak firma líp zabezpečená nebude, ale já si víc vydělám, takže bude na alimenty, až se se mnou žena kvůli ustavičné noční práci rozvede.

Pocasi se da zcela jiste pozorovat, a zcela jiste i regulovat, chci videt, jak ho ridite.

Chápu, že pro experta na oslí můstky je těžké zaregistrovat, že podvlákno má jiné téma. Nejlépe tu dokázat v dalším elaborátu. Naši studenti vás budou milovat. ;-)

Ta diskuze je o te (ne)odpovednosti. A prave treba ty bezpecnostni audity to odrazi... sankce pri pochybeni tam moc nehrozi a podle toho to i vypada, ze? :-) Prinejhorsim se to proste svede na nejakeho hackera placeneho cizi vladou... a za to schovate vlastne vsecko. I to, ze jste naprosty diletant, co sam podcenil co mohl...

Vyse mate priklad toho, co pouziva NUKIB... software, co devet let nikdo neaktualizoval a co obsahuje zname diry. Urad, ktery sam ma byt ten state of art, spicka v oboru.

Co tu chcete vyucivat? ;-) Jak se vsichni naucili hlavne delat slunickove PR, ale pritom realny stav je tristni? Jako jasne, muzete uhnily tram prelakovat, aby vypadal jako novy... ale hnilobu tramu barvou nevyresite. Nebo ta vase edukace upadla tak hluboko, ze tu stetku s barvou na ten hnijici tram sami doporucujete? ;-) Jasne, u toho se nenadrete tolik... ono ucit se problemy odsouvat je jiste jednodussi, nez je fakt resit.

Ze vy si jako ten auditor privydelavate, ze vam tak vadi poukazani na fakt, ze auditori v oblasti kyberneticke bezpecnosti nenesou prakticky zadnou realnou odpovednost v pripade, kdy dojde k nejakemu bezpecnostnimu incidentu, a tak tu sam hykate jako osel...? ;-)

A teď si představte že borci na STK nenesou žádnou zodpovědnost za to, že vám půl roku po STK selžou brzdy! A nebo ještě horší, prodavačka nenese zodpovědnost za to, že prodaný rohlík za 2 dny ztvrdnul! To je šlendrián, tahle republika!

To mate ovsem zcela mylne informace, STK samozrejme zodpovida za to, ze vozidlo odpovida stavu, a predpisum umoznujici jeho provoz. Takze kdyz ty brzdy selzou a zjisti se, ze byly vadne uz v dobe prohlidky, klidne za to nekdo v base skoncit muze.