Názory k článku Regulace podle NIS2: Poznatky o útocích je potřeba včas dostat k dalším možným cílům

No k tomu FENIXu a taktice... nejdriv si bylo (30.8.) postezovano, ze banky tam nejsou, ale druhy den se tercem kritiky naopak staly GeoIP blokace (ktere jen tak mimochodem v nekterych medialnich vystupech doporucuje i sam NUKIB). Jenze on ten ostrovni provoz konkretni instituce ve FENIXu ale spolehlive odrizne od takove sluzby mnohem vic koncovych uzivatelu i v Cesku nez jen prosta GeoIP blokace - protoze tam proste spousta koncovych siti proste vubec neni pripojena.

Jak uz pisu vyse, mitigace na zaklade dat ziskane z aplikacni urovne je reseni, ktere ma nejmensi negativni dopady na legitimni uzivatele sluzeb. Problem je, ze musite vedet, co vlastne hledat. A jsme u toho sdileni informaci, sdileni poznatku o utocich. Tahle cast bohuzel moc nefunguje. A uz kolem toho byly i zde dohady, ze NUKIB ty poznatky moc sdilet nechce a krasne to dokazuji i nektere komentare zde. Nase transpozice se zvrhla do tradicniho hlavne regulovat.... ale uplne ze pozapomelo na ducha te nadnarodni legislativy, na jeji cile - a tim je prece schopnost ty utoky odrazet. A to bez onoho sdileni informaci nepujde.

Ostatne i NIS2 tomu venuje vic textu, nez NUKIB ve sve transpozici. Obligatne v duchu nasekat co nejvic povinnosti vsem okolo, ale co nejmim povinnosti sam sobe - to je tak, kdyz si urad pise legislativu pro sebe. Neni dulezite, aby byl urad verejne prospesny a uzitecny k cilu, kvuli kteremu byl zrizen - tedy k obecnemu zvysovani kyberneticke bezpecnosti.

Vtipne je, ze na NUKIBu asi uz zapomeli i na to, co obsahovala duvodova zprava k ZoKB uz v roce 2014...
Zkušenosti ze zahraničí ukazují, že spolupráce s národními dohledovými pracovišti přináší podnikatelským subjektům i akademickému nebo neziskovému sektoru vysoce pozitivní efekty a že zájem o tuto spolupráci bývá velký - správci soukromých nebo akademických informačních systémů, sítí nebo služeb mají v takových případech možnost vzájemně sdílet poznatky o hrozbách v oblasti kybernetické bezpečnosti a díky metodickému působení národního dohledového pracoviště mohou vlastní infrastrukturu daleko účinněji bránit před kybernetickými bezpečnostními incidenty. Zákon tedy v tomto směru počítá s možností dobrovolného zapojení do systému národní kybernetické bezpečnosti i pro subjekty mimo okruh orgánů a osob.
- dnes jen poslouchame vymluvy, proc to "nejde", ze Jakube? :-) Kam se nam ztratil ten duch zakona z roku 2014...?

Jinak nejaky portal uz dokonce asi maji, rikaji mu neweb. Ale koho si tam NUKIB zapoji si vybiraji sami podle ne zcela transparentnich kriterii... a samozrejme registrace probiha tradicni byrokratickou cestou - tedy vyplnenim docx, tedy kdyz vas oslovi... jinak to pry nema cenu ani zkouset... :-)

A jak se diskutovalo i minule ... mr Filip si to predstavuje jako hurvinek...

Jednak se banky jednoduse nemuzou odriznout od sveta, druhak zasah do aplikaci si muze dovolit nekdo, kdo provozuje zcela nezajimavy system, ktery kdyz umre, tak se vlastne nic nedeje. Tomu ostatne presne odpovida mojeid.

Jakykoli zasah do bankovni aplikace bude na mesice, kdyz to pujde rychle.

Jedine co mohlo nastat a nenastalo bylo zverejneni maximalne podrobnych informaci, ale ty se misto toho utajuji. To aby utocnik nahodou nevedel na co a jak utoci.

BTW: Pokud url ktere vylova zatez serveru lze blokovat, proc tam takove vubec je?

Myslím, že toto šlo filtrovat na WAFce (nebo Reverse Proxy), kterou bych předpokládál, že všechny banky před svými aplikacemi mají. Tzn. zásah přímo do aplikace nebyl nutný.

Hlavne resit to fakt az v ty koncovy aplikaci by tu aplikaci umlatilo zrovnatak (protoze to je misto, kde ty zdroje dojdou nejdriv). Ono kdyz se rekne reseni na aplikacni urovni, tak to neznamena nutne zasah do kodu aplikace - proste se jen mluvi o sedme vrstve dle referencniho ISO/OSI modelu, ktere spousta lidi nezna ci neumi aplikovat. A http(s) je samozrejme na te aplikacni vrstve... a minimalne se z ni hodi informace, co pripadne nasledne zablokovat i na nizsich vrstvach.

Určitě je lepší optimalizovat obojí. Jak ten backend pro autorizaci tak samozřejmě ten endpoint prostě shapovat na WAF (extrémně nízký bitrate a omezení na IP apod tak aby normální provoz ještě prošel) a tak se to běžně dělá.

Umřít už na aplikační úrovni je smutné...

banky umí dnes dělat u řady svých systémů rolling release a změnu zpropagovat do desítek minut, hodin. Problém je, že bankovní systémy jsou složeny ze stovek, z tisíců různých aplikací a databází, vždy se najde nějaká neprůžná, ale vše směřuje k daleko větší pružnosti.

Dokonce se pracuje i na možnosti, aby bezpečnostní oddělení mohlo některé zásahy provést samo bez nutnosti, aby u toho byly vývojáři, některé banky jsou v tom už dál, některé o tom zatím přemýšlí.

To je drobny detail, stejne musite nejak overit a nechat si 148 razitky potvrdit, ze to reseni je specielne v bankovni aplikaci nasaditelne. A to neudelate v radu hodin. To byste na neco takoveho musel byt pripraven predem.

Zatimco proste zablokovani komunikace z nejakych rozsahu je vicemene nic proti nicemu. Tedy az na tu drobnost, ze to je presne to, co utocnik chce.