Názor k článku Regulace podle NIS2: Poslanecké výbory volají po dohodě s vládou a NÚKIBem od Danny - Tak ano - my vime, ze pseudoargumentace z...

Tak ano - my vime, ze pseudoargumentace z uradu jinde prozmenu vynucujici periodicke zmeny hesel je oprena prave o argument, ze ty hashe muzou treba i uniknout. Ale ta vyhlaska z pera (vaseho) uradu uz nijak meresi, ze i ta password hash tam muze byt lepsi. Jinymi slovy v tomhle bode ten urad uz tu svobodu zhodnoceni rizik na te organizaci nenechava. Tedy ani v tomto nejste ani nazorove konzistentni ;-)

Napsat si do dokumentace, ze to heslo je ulozene pomoci Argon2 a tudiz ze je vynucovani zmen zbytecnost i s ohledem na soucasnou uroven poznani proste a jednoduse nemuzu, protoze ta moje dokumentace bude mit vzdy mensi silu, nez kriteria ve vyhlasce.

A samozrejme, uradu se lip vyhodnocuje existence te password politiky, to zvladne kdejaka cvicena opice. Ale hodnotit, ktera hash je bezpecnejsi a ktera min, to uz je pro urednika moc prace ;-) Stejne jako zhodnotit, jestli ta opatreni okolo efektivne riziko snizi.

Ne, to neni o nejakych pokutach - to je dalsi strasak, ktery se do legislativy dostal a urad si ty pokuty naopak obhajuje, ze? Ale to zase bezpecnost nezvysi, zase to povede akoeat k tomu, ze vsichni budou resit ty papiry... a stylem, aby se koza (urad) nazrala. To bude stat nejaky balik penez, co ale zas bude chybet jinde... na reseni tech realnych problemu, tedy obmeny zastaralych systemu, programatory co archaicke hashe z kodu vykosi atd...

A v jedne zasadni veci ten urad selhava - a,to je edukace a osveta. A ano, uz jsme tu kolikrat meli "vyzblept", ze to prece neni v jeho konstituenci. Takze v porovnami se zapadnim svetem mame c Cesku paskvil... protoze ti jeho partneri tu osvetu pro sirokou odbornou verejnost delaji mnohem lip. NUKIB je jako zdroj prakticky nepouzitelnej, hodne te prace supluje treba Cesnet. Ale takovy CIRCL ci CISA nebo NCSC funguji jako zdroj lip.