Vlákno názorů k článku Regulace podle NIS2: Portál NÚKIBu napoví rozsah nových povinností od JVr - Krásné povídání, ale nevíte o čem ten zákon...

Krásné povídání, ale nevíte o čem ten zákon je.

Co se hesel tyce, nejvetsi bolehlav budou hesla technickych uctu a NUKIBem vynucovane jejich zmeny. To nejde rict jinak, nez ze tohle mohl vymyslet mongol, co nikdy zadnou komplexnejsi aplikaci neprovozoval a od stolu vymyslel, ze bude cool i tohle jednou za 18 mesicu zmenit. Pomineme-li tedy uz to, ze vubec samotny pozadavek na zmenu hesel je archaismus, co tlaci kyberdiletanti z NUKIBu, zatimco jinde ve svete v cele s NISTem tuhle ptakovinu naopak vsem rozmlouvaji.

Co se tech technickych aktiv tyce, mam skvelou cerstvou zkusenost se software jedne firmy vyrabejici nikoliv levna sitova uloziste. Take tam je par technickych uctu. Jedno se da zmenit behem instalace, zbytek si to nejak vygenerovalo samo. To prvni jsem pri prvni instalaci menil. No a prisel upgrade toho cirkusu v Jave... kde mj. zmenili zpusob ukladani tech hesel... a cele to proste a jednoduse vybouchlo, a to zpusobem ze ani podpora vyrobce to nebyla schopna dat dohromady. Zmenit v tomhle hesla technickych aktiv bude jiste sranda....

ježiši.. a my se tady (v EU) budeme tak neskutečně, masochisticky střílet do nohy, mlátit důtkami do zad.. - nesnídat slaninu s toasty (to je proti klima), do práce jedině na kole (ačkoliv prší a po práci bych měl vyzvednout dítě ze školky), až po TOTALNE ICHTYLNI.. ano.. ICHYTLNI!! ustanovení tohoto typu aka "kybernetická bezpečnost"

do pr.. d.. le!! KOMU!! ?? něco takového v EU Pomůže?? copak hackují běžně systémy zaměstnanci či občane "velkololepé Říše Osvícení (čti. současná EU)" .. ??

no asi ne, že jo?? takže nějakej maník ze Severní Koreii hackne v CR počítačový sysétm firmy, která se v úrovní svých možností / schopností snaží ho mít co nejléep zabezpečený, no jo.. ale co se dá dělat.. nevydělává zrovna jako Apple, takže nemá volné desítky mil kč někde volně ležící na účtě.. nemá tedy na team "best of the best" network bezpečnostních expertů (to ostatně neměla ani Nemocnice Benešov - a tu stát měl v rámci exeplárního potrestání nejlépě ZRUSIT, aby vyslal "jasný" signál... )

- a ta chudák firma, která má pár desítek zaměstnanců a snaží se svědomitě jim přidávat tu a tam každý rok k platu pár procent, jak jí to situace umožní.. najednou bude muset plnit takovou neskutečnou kravi--- .. si doplňte.. a jakmile neohlásí ztrátu mobilu IT technika (co kdyby v něm měl něco neskutečně tajného, co ohrožuje bezpečnost REPUBLIKY).. tak dostane smahem pokutu milion korun.. - proč ne.. exemplární příklad..

MY JSME NUKIB.. my jsme STAT.. s námí se nediskutuje..

"heslem a privátním klíčem je nicotný z pohledu legislativy"

Pokud jsem dobře koukal, tak rodíl tam je docela velký. Protože hesla řídí §20 (6) vyhlášky pro vyšší povinnosti, zatímco krytpografické klíče §20 (5). Momo jiné to znamená že kryptografické klíče není potřebné každých 18 měsíců měnit.

V nižších povinnostech je to obdobné jen je to § 9 a odstavce (3) a (4).

jo jo, hesla k technickým účtům je s NÚKIBEM dobrý bizár. Změna je jedna věc, ale třeba my musíme i počítat počet pokusů a dělat mezi nimi nějaké časové pauzy. To jsou věci, které jdou dobře řešit u webových formulářů, ale jak tohle mám udělat u čipové karty nebo nějakého offline řadiče, to opravdu netuším. Nemluvě o tom, že tu změnu hesla vyžaduje (zatím pouze ústně) i u HW zařízení (čipové karty, HSM tokeny), které změnu hesla neumožňují, protože vlastně z definice rozdíl mezi heslem a privátním klíčem je nicotný z pohledu legislativy.

Podobnou příhodou teď řešíme s nástrojem Informatica, aktualizace, změna uložení hesel (používají vlastní formát v primární databázi) a najednou nelze jakékoliv heslo změnit nebo obnovit zálohy, oficiální podpora si s tím už dva měsíce neví rady, nemluvě o tom, že to nemají nikde pořád zdokumentované a rozhodně ne ve stavu, který vyžaduje nový připravovaný zákon.

bezpečnost IT systémů ale zpravidla není o velkých penězích (a určitě ne o desítkách milionů), ale dodržování vnitřních zásad. Ztráta telefonu nebo chyba zaměstnance nemusí být bezpečnostní incident, to záleží právě na vnitřních předpisech.

Firma, která dnes to dělá svědomitě, nebude mít vysoké náklady; firma, která to nedělá vůbec (což bohužel jsou takové i velké, které mají pořád všechna hesla ve sdílených excelech a přístupné vše všem), bude mí trochu bolení hlavy.