Názory k článku Regulace podle NIS2: Přísnější režim zvýší personální nároky, nebude stačit jeden pracovník vyčleněný na celou kyberbezpečnost
-
Nějak mi uniká, jak ten byrokratický aparát reálně pomůže chránit síť.
V současnosti se nám o bezpečnost staráteam paranoiků
, kteří mají poměrně dost vysoké technické znalosti - a dokážou si prosadit u managementu pravidla, která fungují. (Že na to všichni nadáváme, protože to neskutečně komplikuje ajtáckou práci, to je jiná věc.)
Ale podle toho, co se tu píše, budeme buď muset přidat pár úředníků nad ně - čímž fakticky budou poníženi a nebudou mít takové možnosti směrem do firmy - nebo je zavalíme papírováním, takže na reálnou práci jim zbyde méně času. -
NIS 2 pro povinné subjekty s vyššími povinnostmi nepřináší z pohledu personálního obsazení nic nového. Role manažer bezpečnosti, architekt, garant aktiv a auditor přikazuje povinným subjektům již vyhláška č. 82/2018 Sb. § 6 odst. 3 viz. https://www.zakonyprolidi.cz/cs/2018-82. A to včetně vyjmenování jejich povinností a kvalifikace, které jsou v té samé vyhlášce uvedené a povinné subjekty je již po mnoho let mají. A jsou v souladu s NIS 2. V případě bank dokonce několik desetiletí a to v mnohem větším rozsahu, než ZoKB určuje.
Kromě toho NIS 2 jen kodifikuje to, co drtivá většina firem z kategorie vyšších povinností tvrdí, že má a to jsou auditované certifikace dle standardu rodiny ISO 2700x. Takže NIS 2 jen umožní to, aby často pouhá papírová shoda nebo audit pochybné kvality měl oporu v zákoně a tyto povinnosti nebyly definovány vágně a nedocházelo tím k svévolného výkladu u povinných subjektů. Což je často běžná praxe s cílem zjednodušit si život a na bezpečnost nevydávát tolik peněz a splnit povinnosti jen papírově obvykle kvůli chlubení se nějakým auditem, který ale neodpovídá reálnému stavu a není zákonem vynutitelný. Typicky se to týká vulnerability managementu, supply chain managementu, risk managementu atd., kdy mnohdy je ten reálný stav katastrofický. Takže NIS 2 snad pomůže tohle narovnat a papírovou shodu přenést do reálného života. -
Přesně toho, že mnohdy
reálná bezpečnost bude na horší úrovni než nyní.
se obávám.
Ona ta nařízení vznikají kvůli institucím/firmám, kde zatím mají žádná či minimální bezpečnostní pravidla a zabezpečení vázne. Tak je teď riziko vysoké - a je dobře, když dostanou nějaké noty, podle kterých si to mohou dirigovat.
Jenže na druhé straně jsou firmy, které to mají už dnes nastavené kvalitně - a těm to pouze přidělá práci, zvýší náklady a nahází klacky pod nohy, takže tam je opravdu reálné riziko zhoršení. -
jde-li o banky, nevěřím, že NIS 2 bude mít jakýkoliv dopad na reálný stav (ať už ho hodnotíme jakkoliv).
Ale jinak ano, sjednocení formálních postupů, kategorizací a procesů je hlavní přínos NIS 2. Nově ale do toho spadnou i společnosti, které zatím měli IT na háku, i pro ně to může být přínos, budou mít vylajnovanou cestu jak postupovat, jaké dodavatele využít a co požadovat.
-
Ale vůbec ne. Pokud to mají nastavené kvalitně, tak se pro ně nic nemění a všechny z NIS 2 vyplývající požadavky si dávno plní. Jsou to fakticky přenesené požadavky z ISO 27001 aspol. a jsou to správné bezpečnostní požadavky. A ty bezpečnostní role musí mít již mnoho let, pokud se jich to týká a spadají pod stávající ZoKB.
NIS 2 obecně míří na firmy, co to mají na háku a bezpečnost řeší jen papírově a formálně vykazují, ale reálně neplní. Proto je NIS 2 více explicitní než ZoKB, aby se zamezilo svévolnému výkladu a "kreativitě" firem, jak ZoKB očůrat a na bezpečnosti fakticky ušetřit. Tím dojde ke srovnání podmínek na trhu a ty, kteří to mají nyní dobře a dávají do toho peníze nebudou znevýhodněné proti těm, co to plní jen formálně. Což je aktuální stav. Pokud tedy při transpozici NIS 2 nevykuchají a lobování neprosadí plno výjimek a zase z toho udělají českého Potěmkyna. -
Něco podobného se stalo v oblasti výroby potravin a pokrmů - HACCP (hazard analysis critical control points). Nastoupili mlamojové (mlamoj = mladý moderní jinoch, (c) Ondřej Neff) s barevnými tabulkami v Excelu a lide zvraceli a průjmovali dál. A někde byli staří praktici, lucidní v oblasti potravinářské mikrobiologie, kteří to neměli tak načančané (takže měli různé problémy s inspekcemi), ale to, co prošlo přes jimi nastavený HACCP, bylo pro strávníky bezpečné.
-
Jenze ono ten rezim vyssich povinnosti spadne i na subjekty nove, co do toho rezimu vyssich povinnosti dnes nespadaji a objektivne pro to neni duvod. Verze z NUKIBu je podana tak, ze mate-li jakykoliv DNS server s 10 tisici domenama a vic rovna se automaticky rezim vyssich povinnosti a vubec se u toho neresi to, co samo NIS2 v clanku 21 rika, tedy se kasle na nejake zhodnoceni realnych dopadu - jakoze treba muzu provozovat sekundar pro desitky tisic domen, co maji primar nekde jinde... a i kdyz takovy sekundar sam o sobe vypadne, dopadu si navenek ani nevsimnete. Nebo muzu mit DNS, kde mam leda tak desitky tisic blogu s minimalni navstevnosti. Ale vedle toho mate DNS, kde tech domen je naopak treba jen deset, ale jejich vypadek bude dost velky prusvih.
Urad si to tady zjednodusil, protoze tam zjevne sedi individua, co temto low-level vecem ani moc nerozumi. Protoze kdyby ano, uz davno by tepali treba MSp za to, ze jejich DNS cela ignoruje RFC 2182... a to po celou dobu, co NUKIB existuje. A ackoliv uz cele roky prokazatelne vedi i o zmatlane implementaci DNSSEC, nezvladli s tim take udelat nic - a to presto, ze ZoKB tu uz nejaky patek plati. Aneb urad, co cele roky nezvlada kyberbezpecnost u statnich instituci chce rozsirovat okruh tech, kterym by rad velel a urcoval, jak maji bezpecnost delat... kdyz nezvladl ani to malo, co mohl resit doted.
A dabel se neskryva v zakone - ale ve vyhlaskach, co NUKIB plodi. To, co s ISO 2700x problem byt nemusi z pohledu jejich vyhlasek najednou problem bude. Bezpecnost fakt neni o tom, ze si stanovite nejaka snadno kontrolovatelna kriteria typu ten pocet domen ci periodicky vynucovane zmeny hesel jen tak z pleziru. Takova kriteria vymysli diletant, co si na bezpecaka jen hraje. Ty skutecne prusvihy (treba zmatlany DNSSEC) NUKIB neresi, protoze tomu uz holt asi nerozumi...
-
Pokud se ovšem nenajdou závažné námitky typu "máte to vyplněno do špatných formulářů" apod. Uvědomte si, že o té NIS 2 a jejím plnění rozhodují počítačově naprosto negramotní úředníci, kteří bezpečnostní či naopak rizikový prvek nejsou s to rozpoznat, a tak se budou točit na bezvýznamných podružnostech, které zabijí vše pozitivní, co v tom případně je.
-
Ale to jsme opet u toho, ze je treba hodnotit i to, jake domeny tam doopravdy jsou (coz rika i NIS2) a nestaci resit nejake hausnumero dle poctu domen. A i to vyse pisu. Aneb nektera ministerstva maji sva DNS buhvikde, ale ti poskytovatele do vyssiho rezimu dle te vyhlasky od chytraku z NUKIBu nespadnou, protoze metrikou cisla tech domen provozuji malo. Ale resit se budou treba provozovatele blogu, protoze mit domenu druhe urovne na kazde uprdnuti je takovy fetis... urad si to zjednodusil do cisla 10000, pac jim to prislo jako asi pro ne uz velky cislo - pritom .cz domen mame dnes vic jak 1,4 milionu a samozrejme mate X dalsich pod ostatnimi TLD (a ty se pocitaj taky).
-
Úplně se mi vrátila vzpomínka na rok (tak nějak asi) 1998 a
sotwareový audit
na našem pracovišti: dorazili prověření auditoři s přesným manuálem a koukali mi přes rameno, jestli píšu přesně to, co měli v papírech - tedy výpis všech souborů na síťovém disku do souboru a poté tisk souboru na rychlotiskárnu Genicom. Následně pak odnesli stoh papíru do své kanceláře a s dlouhým pravítkem asi tak šest týdnů projížděli řádek po řádku, zda tem náhodou není nějaký nelegální software... (Nemohl být, protože mezi výpisem do souboru a tiskem by to kolega stačil profiltrovat.)
Dnes je jiná doba, úředníci budou mít mnohem lepší nástroje - ale utopí se ve formálním kontrolování podle nějakého checklistu úplně stejně, jako tenkrát, obávám se. Najdou řadu formálních pochybení, ale reálný stav jim zůstane utajen; nebo naopak ověří, že je vše dle předpisů vyplněné, ale reálný stav... -
Systematicky ignorujete to, ze ty povinnosti dopadnou i na nove subjekty, kterych se to ted netyka. Treba na hostingy, co delaji low-cost sluzby za par kacek, ne-li skoro zadarmo. Zrovna kriterium postavene na poctu domen je tady bullshit. Nehodnoti se ty dopady, jak NIS2 predpoklada. Ono proste nejde dat rovnitko mezi deset tisic blogu o kovkach a deset webu ustredni spravy...
-
Ano, tohle může být relevantní námitka a já jí neřeším. Hostingy neznám a ani mne nezajímají, protože je nepokládám za kritickou infrastrukturu státu, která já se věnuji v energetice. A ano, o rozsahu povinných subjektů je určitě správné diskutovat a zdali není příliš široký. Za mne? Já nevím, protože k tomu mám málo podkladů a věnuji se jinému sektoru.
-
Uplne se mi vraci ... situace zhruba 1/2 roku stara. Dosla auditorka. Tedy financni auditorka aby si firma (a.s) splnila svou povinost. A prisla s tim, ze po ni komora chce, aby delala audit bezpecnosti IT. S tim, ze prvni co vysvetlovala, ze ona, ktera nevi ani jak se pocitac zapne (libuje si v papirech) je ted "nadrizena" IT.
A ten pozadavek byl prakticky exaktne stejny, ona chtela treba vypis prav, coz by bylo asi tak nekolik desitek kilometru potisteneho papiru. A stejne by z toho nebyl nikdo schopen rict, co kdo vlastne muze.
Nakonec si sepsala nejaky blabol na hromadu papiru, a tim to bylo odbyto.
Toto nedopadne jinak.
-
"Tak zrovna tohle stat ovlivni snadno..."
Neprijdou, penize nejsou vsechno. Je to sice nejaky rekneme predpoklad, ale nikoli postacujici.
Kdo normalni by se chtel "podepsat" pod buzeracnenefunkcni systemy statu? Kdo normalni by se chtel chlubit napriklad tim, ze se podilel na eshopu s jednim produktem(dalnicky) za miliardu?
Dale je treba k tomu pridat typicky naprosto neschopne nadrizene. Chcete s nekym takovym spolupracovat?
Chcete pracovat pro stat, kde jeden urednik nezvladne spocitat* jeden duchod za 1/2 roku? Pry je jich chudaku malo ... (CSSZ ma pres 8k zamestnancu). Tech duchodcu bez duchodu bylo(a mozna stale je) pokud vim +-20 000.
*Zcela pomijim fakt, ze nic nepocita, jen zmackne tlacitko v pocitaci, a spocitat to, i v ruce, zvladne kazda svepravna mzdova ucetni.
ČLÁNKY DO MAILU