Blabol :-) No, ale vecne - STK u automobilu mi umozni projit i s 30-let starym automobilem podle pravidel platnych v dobe jeho vyroby a to i kdyz nahradni dily budou sehnatelne maximalne nekde na vrakovistich.
U SW to principialne problem bude - v momente, kdy vyrobce sam prestane vydavat bezpecnosti aktualizace proste neni jak aktualizovat. A to je problem i u sitovych zarizeni/serveru. A nebavime se o beznem SW - casto je "stare" prostredi vyzadovane specifickymi aplikacemi (prumysl, zdravotnictvi,...). Je opravdu dost naivni predpokladat, ze nekdo pujde fungujici aplikaci rozvrtavat tim, ze tam nacpe novy OS s novymi chybami - kdyz kvuli tomu bude mesic stat fabrika, tak to problem bude mnohem vetsi...
Pokud by šlo o zařízení, který mají veřejnou I adresu a jsou přístupný zvenčí, nevidím s STK problém. Stejně životnost zařízení ve firmě bývá tři roky a pak se mění, protože už nedostačuje (větší toky dat, změny služeb, ...) Kdyby někdo zvenku odhalil, že je díra ve firewallu a na routeru je login admin s heslem 1234, bezpečnosti to rozhodně neublíží.
Co ze týká specialit (PLC, ...) ve firmě, tak tam se dá provozovat cokoliv - za routerem, NATem, v IPv4 když ven jde čistá IPv6... Kdyby STK byla po nějaký interface server, který má za sebou na druhé síťovce specialitky, tak není problém ani s tímhle. Tam už je to v kompetenci firmeních IT odborníků.
Stale stejne zvraceny pohled. Clovek, co ma doma router/internet na cteni mailu jej opravdu nepotrebuje co tri roky obmenovat. To je specifikum "geeku", ale u normalnich lidi... dodnes se daji najit funkcni Win2k, deset let stare routery (ktere jsou casto paradoxne spolehlivejsi nez dnesni vyrobky - nejsou tak odflakle pri vyrobe). Specifikace TCPIP/SMTP/IMAP/HTTP je pomerne stara - argument zmen je tudiz vcelku lichy... ono dost veci funguje dodnes i s archaickym SW :-) A v neposledni rade - ani komercni ISP nebudou cpat co tri roky nove CPE k zakaznikum - protoze by jim to v realu dost prodrazilo poskytovani sluzby (oni sami od sebe casto ani nezvedaji ty rychlosti)...
Je třeba to vidět tak, že nějaká nařízení na evropské úrovni už jsou. Např. existuje tzv. Digital Agenda for Europe:
Member States, in cooperation with the Commission should carry out large scale attack simulation and test mitigation strategies as of 2010
Cyber security exercises are still at an early stage in the EU. Member States should therefore develop national contingency plans to deal with cyber-attacks. They should also organise regular exercises for responding to large scale networks security incidents and implementing disaster recovery. These measures should be adopted as steps towards closer pan-European coordination.
Obdoba STK se může dělat v rámci těchto opatření. Pokud by zařízení na straně zákazníka bylo pro významnou komunikační infrastrukturu potenciálně nebezpečné, pak zákazník může být přinucen to zařízení opravit, vyměnit ...
O pravidelných kontrolách typu STK (navržených v článku), případně o pravidelné obměně zařízení, se, pokud vím, v dokumentech na úrovni EU nepíše. Pokud by se to zavedlo v ČR, tak je vysoce pravděpodobné, že by takovou legislativu některé české firmy napadly na úrovni EU. Z důvodu, který uvádíte: zvyšovalo by jim to náklady.
