Vlákno názorů k článku
Benešovská nemocnice byla napadena kryptovirem
od Martin P. - Zpráva v mainstreamovém tisku je značně zjednodušená a...
-
Což může v praxi znamenat: jeden firewall na hraničním routeru (packet filter), druhý firewall formou proxy pro HTTP přístupy. Dva antiviry mohou znamenat: na polovině ESET, na polovině Avast, oba bez centrální správy. Taková informace většinou vzniká tím, že se položí dotaz adminovi, který v tom dotazu cítí svoji odpovědnost a proto dá kulantní až spektakulární odpověď. Takové situace by měl zhodnotit nezávislý bezpečnostní pracovní, který nemám nejmenší motivaci ji zahlazovat, ale naopak nezávisle zhodnotit slabá místa.
11. 12. 2019, 11:29 editováno autorem komentáře
-
Já v tom čtu, že měli celý špitál v jednom segmentu sítě a na Widlích. Bez jakýhokoliv zabezpečení. Pak stačí, když pacoš přinese flash disk s obrázkama z CT z jinýho špitálu, kde je i nějaká potvora, kterou si MUDr stáhne, a je vymalováno.
To o hackerovi a překonání firewallu je jenom pohádka, aby nemuseli přiznat, že to zvorali oni a zdálo se, že za to může někdo zvenčí...
Přitom by stačilo, kdyby měli několik oddělených LAN + sdílení přes server v DMZ na jiné platformě a sestřelí to maximálně jedno oddělení. A kolik by to dalo práce? Kolik miliard by to stálo, když jenom doma používám tři LAN? Fakt je při těchhle nákladech nutný, aby problém jednoho stroje sestřelil celou firmu?
-
Přesně takto fungují admini, kteří si koledují o podobný průšvih.
Jedním jediným opatřením bezpečnost nevyřešíte, maximálně vyřešíte jeden druh rizik.Ale začněme:
1. musí mít uživatel oprávnění místního správce (na svůj počítač)?
2. musí mít možnost spouště něco víc, než podepsané programy?
3. musí mít ze svého počítače neomezené prostupy ven?Na všechny tři otázky by ve specializovaném prostředí měla být odpověď NE.
Bohužel v praxi zjistíte, že kdejaký přístroj má specifické požadavky na NEzabezepečení a musel byste vyměňovat staré, funkční přístroje za novější, plnící stejný úkol.
Dále zjistíte, že polovina informačních systémů potřebuje prostupy na licenční servery, na sdílená úložiště, do neomezeného internetu (cloudové služby, aktualizace, ...) atd.
Ve výběrových řízeních na dodavatele techniky IT oddělení selhávají. Nejsou schopni popsat podmínky běhu - např. požadavek na běh bez pověření správce, požadavek na izolaci od síťových služeb, ... A když už se to koupí, tak se po IT oddělení chce aby to "JEN" zprovoznili.
I když vypíšete výběr správně, do pěti let už máte IT požadavky jinde - a těžko prosadíte obměnu starých, funkčních přístrojů.
Takže děláte kompromisy a kompromisy - protože Vás nic nenutí je nedělat. Odpovědnost z Vašeho pohledu nese vedení, které to dalo jako pokyn i přes Vaše varování. Vedení má zase doporučení od dodavatele, který tvrdí, že má bezpečnost navrženou jinak.
Pak nastupuje řešení compliance - zkombinovat různé křížící se požadavky. Máte na to čas a rozpočet? Chcete budget na bezpečnostní audit? Ten možná ještě vyškemráte. Chcete budget na řešení hrozeb? Ten už zřídka kdy dostanete.
Často jsou v ambulancích lékaři na vlastní účet. Mají vlastní vybavení, ale potřebují přístupy k centrálním službám (evidenci). Tam jste ještě víc v háji, protože byste přikazoval soukromníkům, co smějí a co nesmějí dělat na počítači, který si zaplatili.
Vymyslíte bezpečné řešení. Zkombinujete externím lékařům přístup přes VPN, na switchích nastavíte MAC zámky, zakážete komunikaci mezi porty a rozchodíte 802.1X. Co to přinese? Z pohledu managementu jen problémy, protože při každé výměně HW bude potřeba zásah IT oddělení a provoz stojí. IT oddělení bude potřebovat víc pracovníků a kvalifikovaných v technologiích, které neumí zdaleka každý => náklady navíc.
Postavíte se k tomu statečně: řeknete vedení že buďto to bude bezpečně, nebo končíte. Kolik lidí to udělá, třeba s dětmi a hypotékou na krku? A když to někdo udělá, jak to dopadne? Prostě odejde a najde se nový, přizpůsobivější zaměstnanec, často díky tomu, že nevidí do hloubky.
-
Jasně, soukromník je v nájmu, využívá vlastní techniku a nikdo mu do toho nemá co kecat. Takže může mít RTG v místnosti, která má zdi do vedlejší ordinace z papundeklu. Tři přístroje s odběrem 20MW tam, kde je 1000VA trafo. Nebo mašinu o váze 35t v pátým patře, tavící pec na hliníkový odlitky v dřevěné boudě atd.
Pokud jsem někde v nájmu a používám infrastrukturu pronajímatele, mám někde (ve smlouvě nebo v dodatku) nějakou specifikaci. Pokud ji poruším, mám smůlu a pořízení vybavení tomu musím přizpůsobit... Platí to pro právníka, doktora i automechanika.
-
Pokud to nespecifikují ve smlouvě a něco kolem IT nefunguje, kdo to má řešit? Právnická osoba "nájemce", nebo právnická osoba "nájemník"? Co se stane, když IT od nájemce řekne, že pro podporu nájemníkova SW by musel překopat jejich řešení a stálo by to 10M + změnu SW u dalších 10 nájemníků?
Jinak jakákoliv norma je obecně právně nezávazná. Zezávaznit ji může jenom odkaz v právně závazným dokumentu. Právně závazný je zákon, nařízení vlády, vyhláška (vlády, ministerstva, zmocněného státního úřadu nebo samosprávy), smlouva nebo místní směrnice / provozní předpis. Takže pokud IT rozhodne a vydá předpis, že infrastruktura podporuje připojení zařízení standardem 10BaseT, 100BaseTx a 1000BaseT, neprotlačí si nájemce optiku ani s pomocí právníka.
A pokud je ve smlouvě takový nepodstatný detail, že "nájemce se musí řídit místními provozními předpisy" (BOZP, zamykání budovy, PO,...) a existuje místní předpis na IT schválený vedením, tak na improvizaci nájemce kaká pudl. Stejně tak když nebude kompatibilní se zbytkem špitálu. Je to jeho partyzánština a jde to na jeho triko, i když ve smlouvě konkrétne o IT není ani slovo. Tož asi tak...
-
Jinak jakákoliv norma je obecně právně nezávazná. Zezávaznit ji může jenom odkaz v právně závazným dokumentu.
Ano, ale o tom jsem psal, že je nutné do právního řádu zakotvit odpovědnost IT pravníků, podobně, jako ji mají lékaři, advokáti, notáři a další. Tvořením postupů může být pověřena profesní komora.
Nechávat to na smluvních vztazích zjevně nefunguje, případy přibývají, nehledě na to, že v mnoha smluvních vztazích nelze hovořit o rovnosti stran. To dává prostor k dalším sporům, k řešení to nevede. Zjednodušeně řečeno, ajťák by měl mít povinnost odmítnout účastnit na práci, kde je zadání mimo bezpečnostní postupy. Jedině tak se může docílit toho, že nepřijde nějaký jouda, nabídne nižší cenu, a na bezpečnost se vyprdne.
11. 12. 2019, 21:21 editováno autorem komentáře
