Názor k článku Regulace podle NIS2: Poslanecké výbory volají po dohodě s vládou a NÚKIBem od JVr - "Napsat si do dokumentace, ze to heslo je...

  • 14. 11. 2024 8:36

    JVr

    "Napsat si do dokumentace, ze to heslo je uložené pomoci Argon2 a tudíž ze je vynucovaní změn zbytečnost i s ohledem na současnou úroveň poznaní proste a jednoduše nemůžu"

    Naopak, jednoduše můžu, jak jsem, tak pročítal vyjádření úřadu k různým požadavkům v mezirezortním, ale i jiných připomínkových řízení, je to tak, že úřad spoléhá na využití prohlášení o aplikovatelnosti. V tomto prohlášení o aplikovatelnosti k ZoKB a VoKB mohu jko povinný subjekt napsat, že toto opatření neaplikuji, a to z toho důvodu, že v daném kontextu systému nedává smysl, protože... a zdůvodním to. Toto zdůvodnění pak musí dávat smysl jak auditorovi kybernetické bezpečnosti, tak samozřejmě i NÚKIBU při kontrole, kdy toto odmítnutí požadavku vyhlášky vám může zrušit jako nesprávně odůvodněné, ale je to tak, že nejste nucen ve všech případech plnit všechny požadavky vyhlášky.

    K tomu jen doplním, že to heslo rozhodně nemusí uniknout jen tak, že se útočník dostane k databázi hash hesel a tyto bude lámat ;) přece jen to heslo se dá získat jak ze špatně zabezpečené komunikace in transit (například špatně nastavené HTTPS) ještě než se dostane na server, ale ten útočník může to heslo z uživatele vylákat i za pomoci phishingu nebo mu zkrátka hacknout PC a vytáhnout ho z password manageru v prohlížeči apod....

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).