Názory k článku Jak se staví největší české kybernetické cvičení Cyber Czech

O cem je tento clanek? Obycejna plejada technologickych zkratek, u kterych neni vubec jasne, zda jsou zvoleny spravne. Nikde totiz neni napsano jake konkretni pozadavky maji naplnit, ani z jakych predpokladu vychazeji. Bylo by myslim mnohem zajimavejsi, kdyby nekdo predstavil scenar, ktery se nad tim odehrava. Kazdy at si pak posoudi do ceho jdou jeho dane, a jestli brnenska cviceni maji nenulovy efekt pro realnou praxi.

Protože je to o infrastruktuře a ne o zadáních? Scénář minulého cvičení (hodně po porchu bez detailů) byl zalinkovaný: https://www.nukib.cz/cs/informacni-servis/aktuality/1345-v-brne-probehlo-mezinarodni-kyberneticke-cviceni-cyber-czech/

To je tím, že v ČR nemá žádnou koncepci ani obrana jako taková, natož pak takový detail jako je třeba kybernetické bezpečnost. Chybí definice cílů a nepřítele. Kdybychom se chtěli bránit proti tomu, aby organizovaný zločin kradl informace z ministerstev (i prostřednictvím lidí uvnitř), struktura obrany by musela být úplně jiná. Zaměřená na analýzu chování jednotlivých uživatelů.

Kdyby stát chtěl mít bezpečné aplikace např. pro státní správu, aby je nenaboural náhodný hacker zvenčí, nenajímal by si firmy, které neumí ani provést migraci z jednoho systému na jiný, a zaseknou se v polovině kvůli špatnému formátu dat, a dbal by především na "secure by design", spíš než jen na pentesting, jak je naznačeno v tomhle cvičení.

Kdybychom se chtěli bránit proto útokům cizích států, museli bychom si vyjasnit kdo by na nás měl vlastně útočit. Úřad vlády používá telefony z Číny, všude běží routery ze Spojených Států, a jaderné elektrárny nám staví Rusové. (takže bez nich nebudeme mít nejen ropu, ale ani jaderné palivo). Kdo očekáváme, že na nás bude útočit?

Přitom s těmi desítkami miliard co se běžně pumpují do ministerstva obrany by se daly dělat věci...

23. 7. 2019, 18:17 editováno autorem komentáře

Myslim, ze jste tu tristni situaci musel videt zevnitr. Podle prvniho odstavce bych si dokonce tipnul, ze mate vojenskeho ducha. Mne primarne vadi, ze se to nelepsi a asi ani nemuze - je v tom tolik vazeb a tolik miliard a tolik expertu v uvozovkach, ze si uz kapri ten rybnik sami nevypusti. Mohl bych nad tim mavnout rukou, ale kdyz vidim jak treba popis infrastruktury pripomina spise nakupni seznam z OBI, tak mi to pripomene jaky je stav toho vseho a nemuzu to nekomentovat.

"nemuzu to nekomentovat"

To musí být peklo mít takové puzení...

Tak spatne to snad nebude, protoze to by bylo pouze na urovni psychotestu pro pracovniky technicke podpory. Urcite tam delaji neco tajuplnejsiho, jen je otazka co. Protoze to dosud nikdo z nich neodkryl, predpokladam, ze je to neco daleko sofistikovanejsiho, co musi zustat pred verejnosti navzdy utajeno.

Neblábol.

Opravdu by země kde vzniko AVG a Avast neměla machrovat tím, že její bezpečnostní experti umí najít SQL Injection a aktualizovat SSH na bezpečnou verzi.
Pokud to dělá, ukazuje tím, že pohrdá vlastními schopnými lidmi, a že postrádá motivaci dělat něco smysluplného.

Není to špatný článek, jsem rád že už to prostředí nikdo nevytváří ručně :-)

Zúčastnil jsem se jednoho z předchozích ročníků - ochrana fiktivního letiště - a byla to trochu nuda. Bylo nás na to hodně, takže nakonec všechny týmy řešily všechno a trochu soutěžily mezi sebou kdo najde problém jako první.

Scénář byl jinak moc pěkný, doprovázený fiktivními CNN news v profi kvalitě a některé exploity byly hodně dobré. Za přípravou byla vidět odvedená práce, nevím jestli odpovídala nákladům, ale v pohodě. Nejvíc mi dalo setkání s lidmi z dalších firem, kdy jsme si vyměnili zkušenosti a pokecali.

Pokud vam opravdu dalo nejvic povidani s dalsimi lidmi, tak vas obsah cviceni evidentne minul. Jiste by bylo casove i odborne efektivnejsi, abyste si s klukama z jinych firem rovnou popovidali nekde v mistni restauraci. Tak negativni a pritom jiste uprimne hodnoceni urovne brnenskeho polygonu (ve verejnem prostoru) me ponekud prekvapuje.

Zvláštní, vůbec jsem nechtěl být negativní. Není to školení, nejsou osnovy co by se účastníci měli naučit, každý dělal co uměl. Takže to že jsme potkali nové lidi a vyměnili si vychytávky mezi sebou fakt pokládám za největší přínos.

V hospodě by to asi taky šlo, ale takhle jsme se bavili o řešení konkrétních problémů. Akorát jsme byli rychlejší a vznikaly prostoje, celé bych to sfouknul za jeden den místo dvou a večer to zakončil dobrovolným pivkem.

Uniklo mi něco co jsem měl pochytit?