Vlákno názorů k článku
NÚKIB vydal dokument Ransomware – doporučení pro mitigaci, prevenci a reakci
od anonym - Z pohledu člověka, který o bezpečnosti něco už...
-
Z pohledu člověka, který o bezpečnosti něco už slyšel, se na všechny dokumenty vydané NÚKIB dívám také jako na překonané.
ALE! Je třeba si uvědomit, že tyto dokumenty by měly mít dopad na masové publikum. Necílí na odborníky, ani na lidi, kteří se bezpečností již zabývají, ale na jejich doplněk.
A jak tak chodíme po firmách, kdyby 100% společností a nemocnic mělo ALESPOŇ to, co NÚKIB vydává, mohli bychom se zabývat skutečnou bezpečností. Toto je spíše poukázání na typické hříchy správy. Které jsou ale všude, a to bohužel nejen v malých společnostech. -
Přesně takhle jsem ten dokument pochopil - po přečtení každému soudnému musí být jasné, že jsou to jakási základní opatření, která dokážou výrazně zvýšit bezpečnost sítě takovým, co tomu nerozumějí a mají zavedeno úplné h***o. A takových je mraky v různých firmách či nemocnicích (že?), to je skutečnost, nad kterou nemá smysl dlouze dumat. A tady se z toho dělá aféra.
-
J ouda (neregistrovaný)
Jak to jen říct. Ano, je třeba psát i učebnice pro prvňáčky že jedno jablíčko a dvě jablíčka dají tři jablíčka a je to velmi užitečné, pokud se to umí dobře a pochopitelně vysvětlit. Ale pokud by se taková učebnice objevila na arxivu bez jasného označení o co jde, tak by taky vzbudí jistou pozornost.
Edit: Navíc u NUKIBu to není první přešlap. Ta s prominutím šaškárna s Huawei (dejte si na ně pozor ale neřekneme vám proč, ale máme razítko tak nám věřte) byla přesně příklad, jak se to dělat nemá. Pokud už dělám nějaké opatření nebo doporučení, tak je třeba ho hodnověrně zdůvodnit (a pokud ty důvudy byly neveřejné, tak i to doporučení mělo být neveřejné).
4. 12. 2020, 11:26 editováno autorem komentáře
-
Ta s prominutím šaškárna s Huawei (dejte si na ně pozor ale neřekneme vám proč, ale máme razítko tak nám věřte) byla přesně příklad, jak se to dělat nemá.
Vidíte, ale zrovna toto považuji za příklad, jak se to dělat má. Jsou oblasti, kde důkaz existovat nemůže - nemůžete prokázat, že riziko neexistuje, pouze to, že jste žádné (doposud) neobjevili. V takovou chvíli nastupuje politika (státu): pokud víme, že systémové nebezpečí existovat může, pak je na místě neřešit riziko samotné (nevyřešíte), ale to, kdo by z něj mohl mít jaký prospěch. Tu je naprosto na místě preferovat technologie spojenců před zeměmi, které považujeme za potenciální riziko.
Pochopitelně, NÚKIB by mohl jít hlouběji, např. se zabývat otázkou, jak rizika mitigovat, např. kombinací různých technologií. V tomto případě vnímám, že takový návrh, jak vyloučit rizika, by měl být spíš na dodavateli. Ten by měl přijít a říct: rizika pro vás nejsou, protože naši technologii můžete kompletně odizolovat od internetu (a popsat, jak by vypadalo technické řešení).
Je samozřejmě taky možné, že úřad dojde k tomu, že rizika mitigovat nelze; cenné důvěrné informace a případně i pokyny pro vzdálené ovládání (např. v případě války) lze u mnoha technologií předávat mezi metadaty běžného provozu (telefonního hovoru, v hlavičkách packetů, ...); to je hodně podobné průšvihu Intelu s AMT.
-
J ouda (neregistrovaný)
Počkejte, vy bez důkazu, jen podle podezření někoho vyřadíte z výběrka? To asi ne, že. Tohle by mohl udělat konzultant pokud se ho zeptáte na názor (a i ten to bude muset zdůvodnit), ale rozhodně ne úřad starající se o kybernetickou bezpečnost.
pro porovnání - ES rozhodl že safe harbor nebude - sice to mělo přijít dřív, ale i tak se dá říct že takhle nějak má vypadat rozkaz. Na základě toho rozsudku a zdůvodnění už můžete vyřadit firmu se sídlem v USA bez rizika potíží. -
Počkejte, vy bez důkazu, jen podle podezření někoho vyřadíte z výběrka? To asi ne, že. Tohle by mohl udělat konzultant pokud se ho zeptáte na názor (a i ten to bude muset zdůvodnit), ale rozhodně ne úřad starající se o kybernetickou bezpečnost.
Pochopitelně. Je to uchazeč, a ten se musí snažit prokazovat. Pokud máte dostatečně silné podezření, že Huawei jedná ruku v ruce s vládou ČLR, pak je na nich, aby podnikli kroky, kterými zadavatele přesvědčí, že riziko neexistuje. Cest je víc, včetně předání dokumentace a ověřitelnosti stavu.
Kdo jiný by to měl dělat, než úřad, který má za úkol chránit zájmy státu na poli kybernetické bezpečnosti (ať už jsou v té které době jakékoliv)?
-
J ouda (neregistrovaný)
Ten úřad má vydat vyhlášku: "Z moci úřední se zakazuje používat zařízení Huawei pro kritickou infrastrukturu státu a pro zpracování utajovaných informaci D a výše."
O to se může člověk v rozhodování opřít, dotyčný dodavatel se může odvolat/obrátit na správní soud etc. ale je jasno. "bububu tenhle je ošklivej, nekamaráďte s ním" pro úřad správně není. -
O to se může člověk v rozhodování opřít, dotyčný dodavatel se může odvolat/obrátit na správní soud etc. ale je jasno. "bububu tenhle je ošklivej, nekamaráďte s ním" pro úřad správně není.
Myslím, že to už jsou jen nuance politiky. Každý tak má srozuměno, že s Huawei technologiemi může mít se státem problém (ale taky nemusí). Úřad nemá pravomoc něco zakazovat, ale že hintuje politiku státu je v pořádku.
Chápu, že Češi potřebují mít ke všemu binární pokyn - povoluje se / zakazuje se, ale tak se svět netočí.
-
J ouda (neregistrovaný)
Miroslav Šilhavý: Úřad nemá co hintovat a nemá řešit politiku. Úřad má v rámci zákonného zmocnění stanovovat pravidla a kontrolovat jejich dodržování.
Zkuste si to transformovat do jiné oblasti: "v rezervaci by opravdu nebylo hezké stavět rodinné domky." "Není nejlepší vypouštět kyanidy / fenoly do Bečvy". To ty úřady můžeme rovnou zrušit.
-
Filip JirsákStříbrný podporovatelProblém je v tom, že my se pořád tváříme, že ekonomika nemá mít nic společného s politikou a to, že na nás někdo útočí, nemá být překážkou našeho obchodu s ním. Jenže státy, které na nás útočí, třeba Rusko nebo Čína, to chápou absolutně opačně – že je možné proti nám použít cokoli, co mají po ruce. A když jsme tak hloupí a něco od nich nakupujeme, proč by to nevyužili k prosazování svých politických zájmů. Rusko a jeho dodávky plynu jsou krystalicky čistým příkladem. Nemůžeme ale být takhle naivní věčně.
-
J ouda (neregistrovaný)
Jistě že není. Nicméně úřad si nemůže schizofreně hrát pod obojí, že současně je naprosto volný trh a volný přístup na něj, a druhak prosazovat nějaké politickoekonomické zájmy.
Takhle - rozhodně nemám nic proti tomu říct "tenhle je nepřítel, nebudeme ho podporovat." Ale takové rozhodnutí musí být právně dotažené do důsledků, jako metodický pokyn, závazná vyhláška, případně určení dovozního cla etc.
Ale v situaci kdy je každý kdo pořádá nějaké výběrové řízení jednou nohou v kriminále ještě před jeho vyhlášením je "důrazná prosba dejte si na ně pozor" opravdu hodně mimo mísu. -
@J ouda
Jenže politika, zejména ta mezinárodní, se dělá spíš v náznacích, a nechávají se otevřené dveře na cestu zpět. To, co popisujete, je tradiční postup v nedemokratických systémech - vše "jasné", jasně označený nepřítel, řízení podle direktiv. Západní svět toto nezažil, a jsou tam poměrně uvyklí tomu, že politika státu vstupuje do obchodních vztahů právě tím neurčitým způsobem.
Mně tedy situace přijde jasná: do kritické infrastruktury Huawei nepatří. Velcí telekomunikační hráči musejí tu politiku nikoliv respektovat, ale spoluutváří ji. Nikdo nezakazuje Huawei používat u telekomunikačního operátora - a to může mít dvojí důsledek: buďto se na oplátku podaří něco ze státu vyrazit, nebo se naopak odepíše ze státních tendrů.
S podobnou nejistotou žije spousta oborů, třeba zbrojaři - ti taky nikdy neví, jestli zakázku budou smět dokončit.
Jistě, je to celé podnikání už velmi blízko klientelismu a korupci, ale nikdo nic lepšího nevymyslel.
-
Tady vidím dva velké nedostatky. Činnost, kterou popisujete, by měla být jen doplňková a dokumenty tak označené. NÚKIB v lidech - a nezapomeňte, že i významní manažeři jsou IT-laikové - svojí činností spíš vzbuzuje pocit, že stačí splnit pár doporučení a vše je v pořádku. Druhý nedostatek je, že se stejným úsilím neposkytují svá stanoviska ani těm, kteří by chtěli / by měli na bezpečnost dbát mnohem víc.
Podle mě by hlavně mělo být základem stanovit, jakých cílů chce bezpečnost docílit. Nevyjmenovávat přesné postupy, ale říct: očekává se, že všechna zařízení a všechny externí služby jsou chráněny před: <vyjmenovat>. Měla by být vedena dokumentace o: <vyjmenovat>. Minimálně jednou za <dobu> by měla být provedena tato ověření: <vyjmenovat>.
Dále by měli vést osvětu směrem k vedením společností a upozornit, za co odpovídá vedení - např. GDPR a vysvětlit, že řádné provádění bezpečnostních postupů může firmu efektivně vyvinit z průšvihu (který se nevyhýbá nikomu).
Na to, aby nám někdo řekl, že máme mít silná hesla a zálohovat, na to opravdu nepotřebujeme celý úřad.
