Odpověď na názor
Odpovídáte na názor k článku Regulace podle NIS2: Poslanecké výbory volají po dohodě s vládou a NÚKIBem. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Dám ti příklad: nějaká aplikace v organizaci, která se musí řídit zákonem o kybernetické bezpečnosti ukládá hesla bez soli v použitím MD5 v jedné iteraci. Je to špatně a má za to organizace dostat pokutu? Selským rozumem ano, ale třeba je to systém, který z objektivních důvodů nelze nahradit a byly přijaty opatření, které zneužití této zranitelnosti zabrání.
A právě k tomu slouží bezpečnostní dokumentace, kde si sama organizace definuje co je pro ni přijatelné a co už ne a případně za jakých podmínek.
Takže první musíš mít dokumentaci, pak řešit jestli dokumentace dává smysl a až nakonec řešit, zda dokumentace odpovídá i technické realitě.
Jasně, regulace se může ubírat směrem závazných norem, kde se automaticky zakáže používat určité algoritmy a zavede se systém povinných certifikací. Ale předpokládám, že by firmy křičely o to víc. Nastavení vlastních pravidel (byrokracie) je určitá daň za volnost, kterou regulace firmám dává.
ČLÁNKY DO MAILU