Názor k článku Regulace podle NIS2: Řízení rizik počítá s analýzou logů, pomohou nástroje SIEM od Uncaught ReferenceError: - SIEM je abstraktní pojem, každý dělá něco jiného....

SIEM je abstraktní pojem, každý dělá něco jiného. Žádný SIEM, který jsme implementovali přímo neřeší kontrolu na úniky hesel, může to být pro něj ale jeden ze vstupů jako jakýkoliv jiný event.

Ani těch 18 měsíců není nepřekonatelný parametr, pořád tady můžeš udělat prohlášení o aplikovatelnosti, zohlednit to v systému řízení rizik a řádně odůvodnit, pak si to můžeš nastavit podle svých obhajitelných představ, tak to i děláme a dělat budeme. Ne všechny systémy, které navrhuji spadají a budou spadat pod NÚKIB.

Kdybys pozorně četl celý ten NIST, viděl bys tam poměrně rozsáhl diskuzi a odůvodně, není to jen o tom, že přestaneš expirovat hesla, ale že vyřešíš ty problémy, které vedly k nastavení platnosti hesla. Pořád to je doporučení a musíš to číst jako celek, ne si z toho vyzobávat třešničky.

Jsou tady i důvody, které NIST nepokrývá a to je třeba problém přehešování dlouho nepoužitých hesel a tak se často volí kompromis v podobě rozumného dlouhé období.

Každopádně i těch 18 měsíců dalo dost práce s argumentací a vyjednávání, bohužel tohle je spíše politická než technická otázka. Já raději energii věnuji minimalizaci systémů, kam heslo musím zadávat (čti SSO), v tomhle se udělal třeba v bankovním prostředí za poslední roky neskutečný pokrok. A také se soustředí na prodloužení délky sezení, aby každý zaměstnanec nemusel svoje hlavní heslo zadávat několikrát denně před očima spousty lidí a kamer, pak ztrácí obestřetnost, nahrazujeme to piny nebo jen 2FA pro obnovení sezení jednou za pár dní. A v tomhle jsem rád, že do toho nezačal NÚKIB víc vrtat, to má potenciál daleko více zpříjemnit prožitek pro uživatele a zvýšit bezpečnost než se hádat o expiraci hesla.

Mimochodem, u datovek to můžeš vypnout a pak ti nechají heslo neomezeně dlouho.