Pry staci sepsat ctyri A4... u nizsich povinnosti. Takze ano, o kybernetickou bezpecnost Kintrovi nejde, asi ani na jeho urade zhodnotit faktickou (ne)bezpecnost neumi a proste pujdou po tech ctyrech A4kach. Aneb sice podnik muze mit technicke zabezpeceni na dobre urovni - to je o lidech, co dane prostredi resi, ale bude mit v neporadku papiry a bude mit s uradem problemy. A pak se najdou ti, co si pro klid pred uradem daji dohromady tech par lejster - ale jinak pojedou vesele ve starych kolejich...spokojene na archaickych verzich software, ktere jsou derave uz od pohledu a casto i cumici volne do internetu. Ale to uz urad trapit asi nebude...
regulaci děláš buď papírováním nebo normami, v rámci IT prostě ty normy ještě nemáme dospělé, takže se začíná s papíry.
Už teď by firma měla brát IT systémy odpovědně, protože odpovědnost už teď má nepřímou. V rámci NIS2 bude muset prokazatelně vědět, v jakém stavu má IT, to jsou ty papíry. Dokdy a jak reálně vyřeší samotnou opravu/zabezpeční/uzavření/mitigaci je už na jinou pohádku a to NÚKIB u těch nižších povinností řešit nebude.
Vlastně nevím, na co si stěžuješ. Na jednu stranu ti vadí, že NÚKIB něco specifikuje příliš konkrétně (změna hesla po X měsících), na druhou stranu ti vadí, že toho spousty nespecifikuje a nechává to volně.
Ale stát tady není moc o toho (a jsem za to rád), aby pořád chodil ke mě do firmy a vše kontroloval, poskytuje návody, požadavky, ale realizaci nechává na firmě. Zpravidla to firmy začnou řešit, až si všimnou, že za pochybení nesou plnou finanční odpovědnost a není ani potřeba, aby někdo z NÚKIBu se mi přihlašoval na servery a kontroloval, jestli jsem aktualizoval SW nebo restartoval službu po aktualizaci.
Tak ano - my vime, ze pseudoargumentace z uradu jinde prozmenu vynucujici periodicke zmeny hesel je oprena prave o argument, ze ty hashe muzou treba i uniknout. Ale ta vyhlaska z pera (vaseho) uradu uz nijak meresi, ze i ta password hash tam muze byt lepsi. Jinymi slovy v tomhle bode ten urad uz tu svobodu zhodnoceni rizik na te organizaci nenechava. Tedy ani v tomto nejste ani nazorove konzistentni ;-)
Napsat si do dokumentace, ze to heslo je ulozene pomoci Argon2 a tudiz ze je vynucovani zmen zbytecnost i s ohledem na soucasnou uroven poznani proste a jednoduse nemuzu, protoze ta moje dokumentace bude mit vzdy mensi silu, nez kriteria ve vyhlasce.
A samozrejme, uradu se lip vyhodnocuje existence te password politiky, to zvladne kdejaka cvicena opice. Ale hodnotit, ktera hash je bezpecnejsi a ktera min, to uz je pro urednika moc prace ;-) Stejne jako zhodnotit, jestli ta opatreni okolo efektivne riziko snizi.
Ne, to neni o nejakych pokutach - to je dalsi strasak, ktery se do legislativy dostal a urad si ty pokuty naopak obhajuje, ze? Ale to zase bezpecnost nezvysi, zase to povede akoeat k tomu, ze vsichni budou resit ty papiry... a stylem, aby se koza (urad) nazrala. To bude stat nejaky balik penez, co ale zas bude chybet jinde... na reseni tech realnych problemu, tedy obmeny zastaralych systemu, programatory co archaicke hashe z kodu vykosi atd...
A v jedne zasadni veci ten urad selhava - a,to je edukace a osveta. A ano, uz jsme tu kolikrat meli "vyzblept", ze to prece neni v jeho konstituenci. Takze v porovnami se zapadnim svetem mame c Cesku paskvil... protoze ti jeho partneri tu osvetu pro sirokou odbornou verejnost delaji mnohem lip. NUKIB je jako zdroj prakticky nepouzitelnej, hodne te prace supluje treba Cesnet. Ale takovy CIRCL ci CISA nebo NCSC funguji jako zdroj lip.
Ja si stezuju na to, ze to milovymi kroky smeruje akorat k te kontrole papiru. Stejne jako funguji jine urady v Cesku u jinych agend. Smyslem vzniku NIS2 je fakticke zvyseni bezpecnosti - cehoz ale nedocilime tim, ze nabehne urednik a zkontroluje, zda jsou v poradku nejaky papiry. Ve finale ono i ISO dost casto jen o tech papirech... aneb obcas se clovek sam divi, co vsechno tou takzvanou certifikaci vlastne dokaze projit, kdyz z druhe strani ma nejake poneti o realnem stavu. A jak znamo, papir snese vsechno... aneb na papire vsechno muze vypadat dobre. Takze se pak budou vsichni opijet rohlikem? ;-)
Myslím že tímto odpovídal pouze na otázku kolik to bude admnistrativy. Je třeba znát kontext.
To že s tou administrativou bude spojena i další práce na úrovni bezpečné konfigruace, aktualizace, nebo pořízní a nasazení technologií buď nebyla odpověď na otázku, nebo o tom takně pomlčel, aby ve výboru prodal ten návrh tak jak je.
Je vidět, že NÚKIB opravdu netouží na stávajícím stavu toho návrhu nic měnit.
Dám ti příklad: nějaká aplikace v organizaci, která se musí řídit zákonem o kybernetické bezpečnosti ukládá hesla bez soli v použitím MD5 v jedné iteraci. Je to špatně a má za to organizace dostat pokutu? Selským rozumem ano, ale třeba je to systém, který z objektivních důvodů nelze nahradit a byly přijaty opatření, které zneužití této zranitelnosti zabrání.
A právě k tomu slouží bezpečnostní dokumentace, kde si sama organizace definuje co je pro ni přijatelné a co už ne a případně za jakých podmínek.
Takže první musíš mít dokumentaci, pak řešit jestli dokumentace dává smysl a až nakonec řešit, zda dokumentace odpovídá i technické realitě.
Jasně, regulace se může ubírat směrem závazných norem, kde se automaticky zakáže používat určité algoritmy a zavede se systém povinných certifikací. Ale předpokládám, že by firmy křičely o to víc. Nastavení vlastních pravidel (byrokracie) je určitá daň za volnost, kterou regulace firmám dává.
"Napsat si do dokumentace, ze to heslo je uložené pomoci Argon2 a tudíž ze je vynucovaní změn zbytečnost i s ohledem na současnou úroveň poznaní proste a jednoduše nemůžu"
Naopak, jednoduše můžu, jak jsem, tak pročítal vyjádření úřadu k různým požadavkům v mezirezortním, ale i jiných připomínkových řízení, je to tak, že úřad spoléhá na využití prohlášení o aplikovatelnosti. V tomto prohlášení o aplikovatelnosti k ZoKB a VoKB mohu jko povinný subjekt napsat, že toto opatření neaplikuji, a to z toho důvodu, že v daném kontextu systému nedává smysl, protože... a zdůvodním to. Toto zdůvodnění pak musí dávat smysl jak auditorovi kybernetické bezpečnosti, tak samozřejmě i NÚKIBU při kontrole, kdy toto odmítnutí požadavku vyhlášky vám může zrušit jako nesprávně odůvodněné, ale je to tak, že nejste nucen ve všech případech plnit všechny požadavky vyhlášky.
K tomu jen doplním, že to heslo rozhodně nemusí uniknout jen tak, že se útočník dostane k databázi hash hesel a tyto bude lámat ;) přece jen to heslo se dá získat jak ze špatně zabezpečené komunikace in transit (například špatně nastavené HTTPS) ještě než se dostane na server, ale ten útočník může to heslo z uživatele vylákat i za pomoci phishingu nebo mu zkrátka hacknout PC a vytáhnout ho z password manageru v prohlížeči apod....
Ty firmy to v pořádku rozhodně nemají a to pravidlo má za cíl, aby to konečně začaly dokumentovat a v případě budoucí kontroly mohly současný a budoucí stav doložit.
Vždyť mohou změny plánovat, rozvrhnout si je v čase, na základě Analýzy rizik mohou s ohledem na přiměřenost některá opatření odložit nebo nedělat vůbec, pokud by cena převyšovala výši rizika...
Jen v poradku to casto nemaji proste jen proto, ze na to nemaji prachy (a lidi). Analyza rizik taky zadarmo nebude. Kvizova otazka zni, kolik penez pak zbude v takovem prostredi na reseni tech skutecnych problemu - kdyz se prachy utopi v tvorbe papiru. Brano touhle optikou se fakticka bezpecnost specielne u malych organizaci zase snizi. Strasi se pokutama... ale nehledaji se moc zpusoby, jak tem organizacim realne pomoct.
Uredni pojeti (a je to videt i z duvodove zpravy) moc neresi, co to bude stat - a je to realne videt z odporu na ruznych frontach, a to nejen ze soukromeho sektoru. Pripadne ty naklady s tim spojene se boharovne bagatelizuji. A vznika zivna puda pro to, aby vznikla spousta "konzultantu", co v technicke rovine kyberneticke bezpecnosti moc nerozumi, zato vam skvele daji dohromady tu "omacku", ze ktere vypadne klidne i to, ze resit se to nevyplati.
Kdyz se resila transpozice stare NIS, tak tehdejsi BIS s komunitou skutecne aktivne spolupracovala a vzniknul skutecny konsensus. Ale pri transpozici NIS2 si nastupnicky NUKIB rekl, ze si proste na silu prosadi svou. Takze sice vypsali "konzultaci" asi aby se nereklo, ale vysledkem vyporadani vetsiny pripominek je toliko, ze si mame trhnout nohou.... a tohle se v mnoha iteracich opakuje.
Nebavíme se o tom, že to ty firmy mají zastaralé/neaktuální nebo, že by dělaly aspoň elementární úroveň bezpečnosti bez dokumentace a nějakého řádu, ale ony to v drtivé většině nemají a nedělají vůbec! Čest výjimkám, i ty jsem viděl... V drtivé většině nemají ani alokované peníze, aby je na tu bezpečnost vyčlenily, takže jsme úplně na začátku, neví co mají dělat, protože ani neví co a kde chránit. Lidi mnohdy ani nehledají nebo to delegují na zaměstnance co bezpečnost neřeší nebo jí ani nerozumí. Pokud nemají peníze vůbec a byl by to argument proč bezpečnost nedělat, to je velký red flag s takovou firmou spolupracovat, pokud má zpracovávat moje data. Příklad největšího letošního Rasomware ve firmě se stavebninami, kde bylo špatně snad úplně všechno, žádná segmentace, nedostatečné zálohy, mrtvé duše v AD, nulová dokumentae, a to měli 200mil roční zisk, ukazuje, že to není jenom o penězích, ale i tom, zda se na to vůbec vyčlení a bude se to udržovat. A tito ani do nového ZKB nespadnou,byť mají 7Mld obrat a 500+ zaměsnanců, protože nespadají do definovaných oborů...
Nemám pocit, že někde NUKIB aktivně straší pokutama, ano, je to tam, stejně jako je to v jiných nařízeních, zákonech nebo vyhláškách a jsou mnohe přísnější zákony, kde žádná přiměřenost není a kde je podnikatel s 3 zaměstnanci na stejné úrovni plnění zákonných ustanovení jako nadnárodní firma s tisíci zaměstnanci.
Stále je to ohýbáno, že je někdo bude nutit, pokutovat, likvidovat a odvolávat statutáry, ale vůbec se neřeší, že mají tu bezpečnost dávno dělat a ne čekat, až to s velkým zpožděním nařídí EU/stát.
A tak ono i do rezimu vyssich povinnosti muze spadnout i relativne mala firma? Proc? Protoze DNS. Kriterium 10k domen vam naplni treba i smudla, co provozuje webhosting na dvou-terch serverech. Spadne tam vysoce pravdepodobne i kdejaky regionalni wifinar s 10+k klienty - protoze resolvery...
V obou pripadech se bavime o oborech, kde zas tak velke marze nejsou. Proste neni kde brat. OK, na resolvery se jde mozna vykaslat a nasypat to na nejaky public. Ale ten maly webhosting? To ma teda zabalit, nebo kde ma ty prachy vzit?
Co se bezpecnosti tyce, failuji i velke organizace s rozpocty, kde fakt o penize neni nouze (zdravime treba do RSD). Druha vec je to, ze proste... ehm, nejsou lidi. Zkuste si sehnat admina, co treba i te bezpecnosti aspon trochu rozumi. A tohle se "nevyresi" za rok-dva. A neni to jen o adminech - na to, abyste byl schopny provozovat aktualni system potrebujete take aktualizovane aplikace - a to pri "hekticnosti", s jakou funguji nektere jazyky (se spoustou nekompabilit) vede v realu k tomu, ze se provozuji stare systemy, co uz nedostavaji aktualizace. No, ale vyvojar je nedostatkove zbozi zrovnat a ty naklady jsou proste velke. Ale co s tim? Jo, v teoretickem uhlu pohledu je to spatne, ale co s tim prakticky chcete delat? Je potreba vnimat realitu jaka je. A ten zacina uz u tech kapacit na trhu prace...
Pokutami NUKIB strasi i na svem osvetovem portalu. Ale treba nejaky infoservis o tom, jaky je kde bezpecnostni problem, o ktery by se mohly povinne osoby oprit? Podivejte se na kadenci, s jakou informace publikuji. To proste neni realne pouzitelne. Kdyby uradu o bezpecnost opravdu slo, tak i ten infoservis proste vypada jinak.
Domény se prodávají i pod velkoobchodní cenou nebo na první rok zdarma, 10k+ žádného "šmudlu" neuživí ani s hostingem... Nehledě na to, jak se ten trh za poslední roky poskupoval, viz Webglobe. My jsme měli před 8 lety 7000+ domén a všechno jsme prodali, protože nešlo konkurovat hráčům se 100k-400k doménami a vy tady řešíte 10k u malých firmiček v roce 2026, kdy to vzejde v platnost... Je to vtipný, místo abyste bojoval za to, aby firmy poskytující digitální služby měly co nejbezpečnější služby, tak hledáte malichernosti, proč to nejde a koho to ovlivní, když už teď prodělává na nízkomaržových službách. Je málo lidí v securitě, ano je. Ale kde jinde by si měly firmy vychovat lidi na bezpečnost nez v ICT?? Fakt vám nerozumím.
Ale on ten trh nejakou diverzitu prece potrebuje. Pokud prijmeme tezi, ze je lepsi vse prodat do velkych, nejlepe nadnarodnich korporatu... no, OK, pak ale vedle taky nebrecme, ze zisky konci v zahranici. Co rikate vy je v podstate o tom, ze ve jmenu bezpecnosti obetujete male hrace na trhu.
To je mimochodem dalsi z veci - ty nase "narodni specifika", ktera ve vysledku zvyhodnuji zahranicni hrace ze zemi, kde si nehraji az na takovou prisnost. Internet hranice nema a u mnohych sluzeb je fuk, jestli si je vezmete v CR nebo z nejakeho jineho statu v ramci EU. Prostredi, ktere je nepratelske k malemu podnikani si tu ale vyrabime sami... ne, pri reseni narodni regulace nemuzeme ignorovat to, jak to je okolo v ramci jednotneho evropskeho trhu.
Ona i ta bezpecnost je taky dost o kompromisech. Nemame nekonecne mnozstvi zdroju a penez, nikde... nema je ani stat. Z druhe strany u te bezpecnosti musite resit take praktickou pouzitelnost - bezpecak nemuze byt BOFH - a ano, nekteri se tak chovaji, vidi jen tu svou oblast.
A znovu - bezpecnost fakt neni o papirech, za tim si proste stojim. Bezpecnost je predevsim o spravnem nastaveni a o tom, ze systemy udrzite aktualni. O nejake osvete, ktera i tem malym hracum opravdu pomuze s tim delat veci spravne. O taky o tom, ze se treba i vyvojari trosku uklidni a namisto hektickeho vyvoje s plno nekompabilitama se vic zameri na dlouhodobou udrzitelnost sveho kodu. Spousta zdanlivych malickosti z praxe, o kterych papirovi skritci znajici teoreticke fraze casto ani nemaji pometi.
A ne, do roku 2026 si ty lidi (pre)vychovat nestihnete. Pokud budeme nutit firmy utapet prostredky v papirovani, tak i na skutecne reseni bezpecnosti tech zdroju bude taky min. Cesta k lepsi bezpecnosti fakt nevede pres mrtvoly...
16. 11. 2024, 07:05 editováno autorem komentáře
No, napsat teoreticky muzu co chci kam chci... ale muze z toho byt ve vysledku zajimava pravni bitva. Ono i urednik, co se dostavi na kontrolu muze byt jineho nazoru nez urednik, co psal to vyjadreni... a porad vyhlaska je dokument, co ma pravni silu vyssi. Finalni verzi vyhlasek nicmene nezname...
Co se toho uniku skrze spatne zabepeceny transport tyce - ehm, pokud mam takovy problem, tak to periodicka zmena hesel fakt nezachrani. To heslo pak neprekvapive znova utece chvili po tom, co ho zmenim...
Ve finale to heslo z uzivatele muzete dostat se i zeleznou tyci v ruce, pokud pujdeme ad absurdum, co se hypotetickych problemu s uniky tyce. Ale porad to nic nemeni na tom, ze bezpecnostni opatreni maji byt vymyslena tak, aby to uzivateli zivot zbytecne nezneprijemnovalo. Ze periodicky nucene zmeny hesel vedou ke spatnym navykum (typu hesla na papirkach) je davno prokazany fakt. Z mnoha mist soucasne zni, ze nutit uzivatele periodicky menit hesla je proste blbost.
A jeste vetsi blbost je to u uctu technickych aktiv (aka treba aplikacni heslo do databaze; tuhle blbost take urednici "nove" vymysleli). Vysledky budou spis takove, jako kdyz jinde meni certifikaty. Ona uz predstava, ze v jedne desetine vteriny se vymeni hesla ve vsech komponentach (distribuovane) aplikace je proste smesna... i kdyz to krasne zautomatizujete, proste to navenek bude generovat (zbytecne) problemy...