Vlákno názorů k článku
Garmin napadl WastedLocker a zřejmě bylo zaplaceno výkupné 10 miliónů dolarů od Ondra Satai Nekola - Platit výkupné za ransomware by mělo být nelegální.

Myslíte, že cena, kterou zaplatili, je přímo úměrná tomu, kolik čeho selhalo? Nezdá se mi, že podle toho se počítá výkupné.

To jsem se ani nesnažil říct. Technické zabezpečení může selhat. Nevysvětluje mi to ale např. kde mají zálohy?

Technicky mohli mít zálohy na mimo síť (např. LTO knihovna). Protože musíte počítat s tím, že pokud vám ransomware organizovaného zločinu napadne síť, zašifruje celou síť, a to včetně všech "online" záloh. (pokud to je organizovaná skupina, tak ta nejdříve síť prověří a zajistí šifrování/smazání i online záloh do té doby šifrovat produkční data nebude)

Zbydou vám pak jen offline zálohy např to LTO, jenže přečíst X Tb dat z LTO trvá x dní (dešifrovat to na online/produkci je většinou rychlejší...). Navíc se LTO zpravidla zálohuje méně často, a tak při obnově přijdete o větší množství dat.

A přijdete dost možná i o logy (ty se zpravidla nezálohují), které by vám řekly, jak k incidentu došlo - jak něčemu obdobnému v budoucnu předcházet.

Tedy i v případě, že máte "dobře" udělané zálohy, může se v určitých situacích stát, že raději zaplatíte než ty zálohy využít.

Některé společnosti to ale vše postaví na "online" zálohách ty pak útočník může zašifrovat. Jenže zapojit do zálohovacího systému třeba to LTO, stojí X milionů na pořízení HW a poměrně dost práce lidí, kteří to nastaví a budou pravidelně zálohovat (tam je to včetně fyzické výměny a přenášení). Pak když si spočítáte náklady vs přínosy může se stát, že dospějete k názoru, že bude snadnější to nedělat a pokud k tomu napadení hackery/ransomware dojde, tak zaplatíte a nic měnit nemusíte. Je to o posouzení pravděpodobnosti, že k tomu dojde (ta není vysoká, ale není zanedbatelná), nákladech, pokud k tomu dojde $10M a náklady řešení, které tomu umožní předejít.

@Jaromír Veber

To je právě o odpovědnosti IT. Vzhledem k rizikům, jaká jsou, může být vhodné mít např. zálohy na RDX místo LTO. Můžete využívat snapshoty na datastorech a mít nastavenou potřebnou retenci. Můžete zálohovat VM obrazy - je to sice online, ale nehrozí zašifrování dat na záloze.

Možností je spousta, jsou drahé, ale ne tak nepředstavitelně drahé vůči hlavní infrastruktuře.

Pokud někdo dnes nepočítá s kryptoviry, rizikem zašifrování včetně online záloh, tak je to prostě trouba. Ať už to zanedbal ajťák (nesdělil rizika), nebo jestli ty rizika zanedbalo vedení svým rozhodnutím, měla by existovat přímá odpovědnost. Poškozeny jsou miliony osob, které se každá jednotlivě nebudou (ani nemohou) soudit.

Si si istý že projektant nemá žiadnu priamu zodpovednosť?

Odpovědnost má zhotovitel, revizní technik, statik, mechanik letadla atp. Za jejich pochybení padají vysoké tresty.

Ale pořád odpovědnost někdo má a padnou na konkrétní lidi konkrétní tresty. V IT se nestane nic, maximálně někdo přijde o práci a najde si rychle novou. Je úplně jedno, kdo a jak odpovědnost ponese, ale neúnosný je stav, kdy ji nenese nikdo.

A kdo má tu odpovědnost mít? V podstatě ve všem jsou bezpečnostní chyby a existuje trh s exploity na ještě nezáplatované chyby. V zásadě je to o tom, kolik je do toho útočník ochoten vrazit, ale když se se "odměny" pohybují v takových cifrách, tak i náklady nemusí být úplně při zemi.

A kdo má tu odpovědnost mít?

Podle mě by si to měla určit firma a takového člověka najmout. Podobně to v ČR funguje. Musíte mít garanta odbornosti (v oborech, kde není živnost volná), dokonce musíte mít i odpovědného maníka pověřeného za GDPR. Jen za IT neexistuje nic.

V podstatě ve všem jsou bezpečnostní chyby a existuje trh s exploity na ještě nezáplatované chyby.

Odpovědnost se poměřuje k tomu co mohl a měl předpokládat.

když se se "odměny" pohybují v takových cifrách, tak i náklady nemusí být úplně při zemi

Ano, zcela logicky by náklady vyletěly nahoru a zaplatili by je zákazníci. Jenže oni je teď stejně platí - např. formou škod, které vzniknou při takovém průšvihu. Může jít o nedostupné služby, ale taky i o únik osobních dat nebo stažení peněz z platební karty.

Jde o to, že na trhu existuje spousta ajťáků i velkých firem, které vědí, že bezpečnost zanedbávají. Kdyby to nedělali, přijdou s moc vysokou cenou a nedostanou zakázku. Dostane ji druhý, který ohledy nebere. Ten "druhý" to může klidně udělat, protože nic neriskuje. Proto jsme v začarovaném kruhu.

Rád bych zdůraznil, že by to ničemu nepomohlo... Přehnaně restriktivní zákony už nic nepřinášejí a kazí společnost.

A vtipná je ta představa, jak házíš celé IT do jednoho pytle. Jak tetka, co chce o Vánocích vyřešit tiskárnu, protože synovec programuje.

@Ondra Satai Nekola

Restriktivní zákony a odpovědnost jsou něco jiného.
Restriktivní zákony diktují každou pitomost taxativně - a vždy něco nedomyslí, nebo naopak něco přeženou, už jen kvůli tomu, že není síla, co by je neustále novelizovala.

Odpovědnost proti tomu přenáší úsudek na odpovědnou osobu. Ta si pak musí zajistit dostatek informací k tomu, aby mohla učinit kvalifikované rozhodnutí v konkrétní situaci. Takto fungují prakticky všechny odborné profese (kromě IT - takový nevýznamný obor, že).

To je všechno pěkné, ale když ta firma ty prachy nemá, teď nemyslím Garmin, ale obecně, tak to poslední, do čeho chce investovat, je IT, když to "nějak" funguje. To je bohužel běžný stav.

To je všechno pěkné, ale když ta firma ty prachy nemá, teď nemyslím Garmin, ale obecně, tak to poslední, do čeho chce investovat, je IT, když to "nějak" funguje. To je bohužel běžný stav.

A přesně proto by pomohla změna v oboru. Představte si, že by Vás lékař operoval špinavým nástrojem, protože mu prostě přišlo finančně rozumější mít raději víc obvazů, než sterilizovat.

Tak velké firmy už dnes kromě pověřence pro ochranu osobních údajů často mají i někoho, kdo se má starat o kybernetickou bezpečnost...

> V IT se nestane nic, maximálně někdo přijde o práci a najde si rychle novou.

Teda, protiřečit si v rámci jedné krátké věty, to je opravdu umění hodné mistra demagogie :-D :-D :-D Samozřejmě pokud někdo něco pos..., tak na něj padne trest. Buď ho vyhodí z práce, nebo pokud třeba ohrozí životy, tak je normálně (trestně) odpovědný jako v každém jiném oboru.

Vy totiž "přehlížíte" jednu zásadní věc: V těch jiných oborech totiž "bojujete" proti přírodním zákonům. Když projektant blbě vyprojektuje most a ten ve velkém větru spadne, není to vina toho větru. Je to vina toho projektanta.

Na druhou stranu v IT bezpečnosti bojujete proti lidem. Když vám někdo napadne síť, je to primárně jeho vina, on je zodpovědný za trestný čin, který spáchal a nikdo jiný. Podobně když most spadne proto, že pod ním nějaký terorista detonuje nálože, tak to bude vina toho teroristy, ne projektanta.

Když už hledat analogie, tak s fyzickou bezpečností. Je TAM daná nějaká zodpovědnost, po které voláte? Když se někdo vykrade kancelář a odnese nějaké věci, tak si jde někdo sednout za to, že kanceláře "špatně zabezpečil"? Ne, nejde, žádná taková obecná odpovědnost tady neexistuje, stejně jako neexistuje v IT bezpečnosti. IT není v tomto směru výjimka, jak se pokoušíte tvrdit, naopak, funguje stejně jako jiné analogické obory.

@L.

Vaše příklady jsou sugestivní, ale nesouhlasím s nimi. Pomíjíte dvě zásadní věci:
1. na provozu IT a ochraně (osobních) dat už dnes existuje veřejný zájem,
2. osoba nemá nejmenší možnost před objednáním služby zjistit nebo odhadnout, jestli se poskytovatel chová k datům a bezpečnosti zodpovědně.

V oborech, kde je dochází k souběhu těchto dvou faktorů existuje prakticky vždy zákonný rámec. Analogicky to jsou např. lékaři, advokáti, soudní znalci, notáři, projektanti, ... Všechny tyto obory jsou náročné, laik nemá možnost posoudit, jestli každý úkon lékaře, advokáta, notáře je ve všech souvislostech de lege artis. Právě proto jsou regulovány.

IT je dnes pro společnost stejně nezbytné, stejně důležité.

Proto také máme GDPR, které osobní data chrání. Tedy vyřešeno. Další téma?

Proto také máme GDPR, které osobní data chrání. Tedy vyřešeno. Další téma?

Trochu mě fascinuje, jak jsou ajťáci nadutí. Mzdy chtějí a mají obrovské, ale k odpovědnosti se chovají jak malí kluci. Když někdo ajťáka označí za uklízečku dat a oprašovače systémů, kteří vymysleli jiní (což je asi osud 90 % ajťáků v budoucnosti), cítí se uražení.

5. 8. 2020, 08:27 editováno autorem komentáře

Závist?

A co bys asi tak čekal? :facepalm: