Názory k článku
Neakceptováno a neakceptováno. NÚKIB rozeslal 600 stran vypořádání připomínek ke kyberzákonu
-
Tak napriklad
Takovéto stanovení poskytovatele regulované služby je odpovídající, neboť národní právní úprava může (i v souladu se směrnicí) stanovit okruh povinných subjektů šířeji, než jak stanovuje směrnice.
...aneb se vubec netajime tim, ze na narodni urovni budeme zatezovat firmy nesmyslne vic, nez po nas pozaduje EU...Máme za to, že poslat prvotní hlášení prostřednictvím elektronické pošty lze i bez funkční infrastruktury regulované organizace.
...pravdepodobne mate na urad psat ze soukromeho freemailu, kdyz vam firemni infrastruktura klekne tak, ze nepujdou ani maily... :DVariantou je zachování pohotovostní telefonické linky, nicméně při počtu regulovaných subjektů není možné zajistit dostatečnou dostupnost takové linky, navíc by šlo těžko dodržet obsahové náležitosti hlášení.
.... ale pro urad o 300+ zamestnancich je problem zajistit nekoho na telefonu, kam by se slo v pripade prusvihu ad vyse obratit... -
příkladem je třeba ŘSD vloni, na několik dní přišly i o emaily a veškerou možnost komunikace.
Ty odpovědi jsou poměrně dobrý bizár, chybí tady jakákoliv snaha se stotožnit s problémy lidí, kteří píší připomínky a mám pouze svůj jediný pohled, to je špatně, zákony jsou z principu kompromisem.
Úlevy pro regionální poskytovatelé internu a služeb defakto žádné, takže ty komunitní sdružení o pár lidech narazí na zeď. Doplnění RIA o dopad na malé podnikatele žádný, takže ani nikdo netuší jaký to bude mít vliv na ty malé firmy, které do toho spadnou.
Ty požadavky na 24/7 v případě hlášení problémů jsou dost vražedné pro kohokoliv, kdo dnes nemusí řešit takový provoz, tj. pro kohokoliv malého. Argument, že časový limit se váže k datu, odkdy se o tom zaměstnanec dozví je absurdní, neprůkazný a ze textu zákona nevyplývá.
-
Jenze tohle na te realne bezpecnosti nic nezmeni. Naopak, bude to vyrazne horsi. Velice casto to totiz ted dojizdi na penize, ktere IT nedostane. A kdyz se ty penize budou muset utrati za manzera ... a generovani papiru, tak na realne veci uz nezbyde vubec nic.
On osatne ten ourad stejne nic jineho nez ten sanon papiru kontrolovat nebude, nemuze a neni schopen.
-
No, principy "dobre spravy" se tam v odpovedich urad ohani taky, tohle spojeni tam najdete casto :-) Treba kdyz pripominkova mista chteli uzakonit povinnost spolupracovat s ostatnimi institucemi v nejakych situacich, tak se z NUKIBu z toho vykrucuji prave s touto vymluvou. Aneb zjevne chteji sami mit prostor pro to rict "tohle nemusime delat, to nam zakon prece neuklada". Tak trosku vyc*rany system - mit sami co nejmene povinnosti, ale ulozit co nejvice povinnosti vsem okolo.... :-) Holt kdyz si pise regulator/urad legislativu sam pro sebe... tak jak to asi tak muze dopadnout... dobre pro urad, blbe pro vsechny okolo.
-
Vsak to tam mate odprezentovane taky - komentar borcu z NUKIBu k § 18, odstavec 3 k tomu, ze by meli hradit naklady spojene s tim, ze si neco vyzadaji...
Rozumíme tomu, že povinnost poskytnout součinnost CERT při zvládání všech incidentů představuje pro dotčené osoby přinejmenším zvýšenou administrativní zátěž či potřebu alokovat na tuto součinnost personální zdroje, byť dočasně.... S plněním povinnosti součinnosti podle tohoto ustanovení návrhu zákona se nepředpokládá zvýšená finanční zátěž povinných orgánů a osob, proto není řešena ani případná úhrada nákladů.
Aneb ten cas lidi, jejichz jina prace stoji proto, aby vyhovel zadosti z uradu prece vubec nic nestoji... :-)
-
Resime situaci, kdy vam chcipne treba cela infrastruktura, a vy mate radove dulezitejsi veci na praci, nez jak meldovat nejakym tupcum z nukibu co se stalo, na coz mate 24 hodin. Pricemz ta infrastruktura muze byt nefukcni klidne i par mesicu. Viz prave treba RSD.
RSD jen tak mimochodem (a samozrejme zcela nahodou) prislo o data, ktera chtel kontrolovat NKU.
-
Ale ano, ze je neco ve stavajicim ZKB zasahujicim mnohem mensi spektrum subjektu neznamena, ze to je dobre - a to presto, ze vy v NUKIBu se tim, ze "tak to prece bylo vzdycky" ohanite take radi ;-) To je ale koncepcne spatny pohled v principu... ze se neco vymyslelo nejak pred deseti lety fakt neimplikuje, ze se to musi znovu stejne zkopirovat i dnes. Chapu, ze vymyslet to znovu a lepe je moc prace, u metody Ctrl-C - Ctrl-V ze staryho zakona se tolik nenadrete (ci vyhlasky, viz ty debaty politikach kolem hesel, kdy na uradu si cherry-pickujete z NISTu jen to co se vam hodi do kramu a na zbytek kaslete) ...
Co se skryva pod tim jakykoliv email? ;-) Takze bude cajk si s uradem dopisovat z nejakeho generickeho freemailu, nebo co ze nam to sdelujete? ;-) S tema datovkama jste pobavil, zrovna letos dokonce par dni taky vubec nefungovaly, ze? ;-) A samozrejme to obcas i vypadne i jindy... a tak hlavne, ze tam jsou ostre lhuty a sankce, ono kdyz resite incident, tak u toho mate cas zkouset to opakovane, kdyz to zrovna na strane statu nefunguje nebo se v tom zrovna nekdo vic jak 24 hodin hrabe. Vy na tom urade jste fakt odtrzeni od reality toho, jak statni systemy dnes (ne)funguji...
Za domaci ukol se muzete zamyslet, proc se treba ve FENIXu vyzaduje, aby existoval taky telefonicky kontakt, co se neodmlci, kdyz je dany subjekt pod utokem. Ono to tam opravdu neni samoucelne... a to, ze by vas to na NUKIBu obtezovalo nedejboze taky zvedat telefon kdyz je nejaky prusvih opravdu neni relevantni argument.
-
Jestliže odhady mluví o cca 6k regulovaných subjektech, docela by mě zajímalo, kde se najednou vyloupne odpovídající počet manažerů kybernetické bezpečnosti s požadovanou praxí (viz stavající požadavky ZoKB na roli MKB).
Na druhou stranu ten tlak na regulaci vítám, protože upřímně - v tyhle zemi se systematicky ojebává všechno a velké množství českých firem s certifikací ISO27k má bezpečnost akorát popsanou v šanonu, ale tím to hasne.
-
Nerozumím tomu, jak mohu firemní email poslat bez funkčního firemního emailového serveru. Tohle není hypotetický problém, to se děje poměrně běžně, že úspěšný útok sestřelí i emaily.
To skoro vypadá, že úředníci NÚKIB znají jen e-mailové služby od MS nebo Google a nepočítají s tím, že někdo může mít vlastní e-mailový server... V tom případě by asi bylo dobré pracovníky na NÚKIB (aspoň) trochu dovzdělat, aby byli aspoň na úrovni studentů SŠ...14. 9. 2023, 15:16 editováno autorem komentáře
-
Urad predpoklada nejaky postup, ktery nezbytne nutne vyzaduje funkcni prostredky elektronicke komunikace. Nenabizi alternativu treba pro pripad neco nam zasifrovalo vsechny disky. Zrovna na tenhle typ incidentu je ten telefon dobrej, ale tomu se branite na NUKIBu jako cert krizi, ze? ;-)
A jsme zas u hesel, predstava ze si lidi vsechna hesla pamatuji je nesmyslna sama o sobe (notabene, kdyz se nuti k jejich periodicke zmene). Kdyz bude mit dotycny zasifrovane disky, kde ma i svuj password manager, asi se asi neprihlasi ani do te datovky. A nepomuze mu ani to, kdyz si na Alze koupi skladovej notebook jen proto, aby do vaseho uradu rychle poslal nejaky report - protoze proste to heslo z hlavy neda. Nebo ho ma mit pro sichr napsany na papirku a nosit ho v penezence? :D
-
Vytisknout klicenku na papir? :-) No to snad neeeeee... celej internet se smeje, kdykoliv se nekde objevi listecek s napsanym heslem (naposledy u policajtu pri nejaky predvadecce) a tady kyberexpert z NUKIBu by to rovnou tisknul... :D To tady vymyslime komplexni password policy, nutime lidi periodicky menit hesla... a pak do toho vyrobime takovou kvalitni diru, kdy bezne pouzivane credentials (coz udaje nutne k prihlaseni k datove schrance bezpochyb jsou) ani nepiseme v ruce, ale rovnou vytiskneme, aby se to jeste lepe cetlo... :D
A jen tak mimochodem, uz vidim, jak si nekde z kontrolovaneho prostredi nahravate neco jen tak volne na cloud... to by byl bezpecnostni incident sam o sobe, ze? :-) I kdyz je to zdanlive "jen" klicenka na hesla. Jenze ono i v ty klicence jde uvnitr "vynest" ledacos, treba tam jde vepisovat ruzne poznamky, pripadne i vkladat cele soubory jako prilohu.... ze? A pak s tim sup do cloudu nebo na flashdisk do kapsy...
Cim vic do toho zabredavate, tim vic jen dokazujete, ze skutecnou bezpecnost na urade neresite, jen vymyslite metody, jak s minimem vynalozeneho usili na strane uradu buzerovat co mozna nejvic lidi okolo - a casto i s nesmysly, co realnou bezpecnost rozhodne nikterak nezvysi, spise naopak. A kdyby ty problemy neexistovaly, jak pisete... tak tu dnes nemluvime o prusvizich typu RSD, spitaly v Benesove a Pelhrimove ci o smazanem obsahu webu Rozhlasu. A casto se bavime o infrastrukturach, ktere ma urad v "dosahu" uz dnes... apropo, kdy vyresite ten spackany DNSSEC, co je v realu o mnohych infrastrukturach kvalitnim zdrojem informaci o infrastrukture ;-) Nebo tomu taky nerozumite, pane kyber? ;-)
-
Na papire v trezorech (a v zapecetenych obalkach) byvaji nouzove pristupove udaje - ale nikoliv to, co se pouziva bezne kazdy den a (ne)pouziti se audituje. Vsak na to pamatuji i dnesni vyhlasky (a vubec zazita praxe), ze takove pristupove udaje se obratem zneplatnuji a po pouziti se hesla meni... tady se bavime o tom, ze Kubik z NUKIBu nam doporucuje vytisknout si obsah defacto cele klicenky aka password-manageru... <facepalm>... jen proto, aby ev. mel zpusob, jak nareportovat "vcas" incident do uradu, potazmo jak obhajit ten blabol z vyporadani.
A snazi se u toho obhajit, ze prece nebudou provozovat nejaky telefon, na ktery se pujde dovolat - aspon tak vyznela i argumentace z vyporadani pripominek. A vsimnete si, ze Kubik selektivne komentuje jen neco - a zrovna tomu telefonu se porad vyhejba - i kdyz je to bezna soucast kontaktu na CSIRT/CERT tymy. Zase ten jejich oblibeny cherry-picking, kdy si selektivne vyberou jen neco a idealne tak, aby to zas tak moc neobtezovalo (mysleno borce na urade). Oni dnes nejaky telefon i dnes maji... ale v tom vyporadani se tvari tak, ze ho vlastne "mit" moc nechteji o dost vic - mj. i v dusledku toho, ze tech povinnych osob budou mit i kvuli tomu, ze toho chteji vic, nez pozaduje NIS2...
Tak at krecovite nevymejsli kraviny (s argumentaci, ze NIS2 stanovi jen minimalni pozadavky) a postavi to tak, ze to bude i pro ne zvladnutelne. Jsou gestor... sami si vymysleli nesmyslne velky okruh povinnych osob, ale pak fnukaji, ze na to nemaji zdroje...
-
Poskytovatel regulované služby musí dopředu nahlásit úřadu kontaktní údaje fyzických osob, které za něho mohou před úřadem jednat. To jsou jediné oprávněné osoby, které mohou udělat hlášení bezpečnostního incidentu. Jejich kontakty (vč. emailových adres) musíš nahlásit dopředu.
Nutnost používat soukromý email nemůžeš jako zaměstnavate vyžadovat v pracovní smlouvě a jedná se o dobrovolný akt, zároveň soukromý kontakt můžeš využít jen v situaci, kdy to je nezbytně nutné, což registrace oprávněné osoby úřadu zrovna není nezbytně nutný akt.
Zároveň lze předpokládat, že pokud použiješ soukromý email jako jednu z kontaktních možností pro úřadu, stává se tenhle soukromý email aktivem, u kterého musíš dodržet poměrně dost pravidel a jsme najednou u konfliktu, viz minulý odstavec.
V rámcí korporátní sféry máme často oddělenou záložní komunikační platformu, aby v případě nefukčnosti primární jsme zůstali jako admini v kontaktu. Tady nás NUKIB očividně žene přesně do tohoto řešení, ale obchází to přes podobná vyjádření místo, aby to řekl přímo. Přitom stačí maličkost, zřídit telefonní linku a zajistit dostatek operátorů, stejně jako povinné subjekty musí zajistit skoro nepřetržitou kontaktovatelnost.
-
Ale ono to hodne kopiruje pristup, jehoz jsme tu byly svedky zvlaste po viteznem unoru. To bylo pojate obdobne - komunisti videli nejaky majetek a mozne zisky z nej (bytove domy, tovarny a i zemedelstvi), ale tak nejak zvlast u tech baraku a fabrik neresili, ze je potreba take obcas zainvestovat. Vse bylo podrizene tezim z kategorie bohatym brat v ramci nejakeho deklaratorniho obecneho blaha.
Jenze ty firmy uz dnes dane plati a tohle je defacto dalsi dan, ktera navic neni nikde vycislena. A samozrejme, kdyz urednik neni vazan nejakym svym rozpoctem, ma moznost si navymyslet prakticky cokoliv - kdyby ten svuj omezujici rozpocet mel, byl by nucen premyslet nad tim, jestli opravdu nejaky ukon potrebuje. Tohleto z ciziho krev netece je take typicky projev toho, co se tu pred osmdesatym devatym rokem predvadelo.
A jako jasne ze takovych povinnosti je hromada, i takove formulare od CTU jsou tim take povestne :-) Na jedne strane administrativni zatez pro povinne subjekty, na druhe strane urednik, co to taky musi zpracovavat - a ten take neni zadarmo a typicky v tom mnozstvi nestaci jeden. No a ty uredniky ze svych dani nakonec zaplatite. A namisto toho, aby se stat zestihloval tech agend naopak pribyva... vsak on to danovy poplatnik zaplati. Jedina cesta, jak redukovat pocet pohodlnych urednich mist je redukce agend - pokud agendu do zakona napisete (a v podani NUKIB se bavime o tom, ze neskryvane vyzaduji mnohem vic, nez vyzaduje NIS2 z EU), nasledne budou chodit s tim, ze potrebuji lidi na vedeni danych agend... a statni sprava bude kynout a kynout. Jenom si dovolim podotknout, ze na neefektivititu dojel i minuly rezim... a dnes mame dobre naslapnuto k tomu skoncit stejne.
-
Bez ohledu na to, co si myslím o správnosti či vhodnosti toho nařízení, tak přirovnávat to ke komunismu je směšné.
Aneb ten cas lidi, jejichz jina prace stoji proto, aby vyhovel zadosti z uradu prece vubec nic nestoji... :-)
Tohle pokud vím nikdo netvrdí - jen je tam uvedeno, že tu práci vám nikdo nezaplatí.
Stejně jako vám nikdo nezaplatí práci při drtivé většině jednání s úřady, přípravě daňového přiznání nebo třeba STK na vozový park - nebo máte pocit, že kvůli tomu žijeme v komunismu? No tak to je asi komunismus úplně všude na světě :)
-
Však to v tom vypořádání připomínek jasně píšou (749):
<cite>
Variantou je zachování pohotovostní telefonické linky, nicméně při počtu regulovaných subjektů není možné zajistit dostatečnou dostupnost takové linky, navíc by šlo těžko dodržet obsahové náležitosti hlášení.
</cite>By mě opravdu zajímalo, který z těch údajů nemohu do telefonu nahlásit a oni si zapsat. To je chupce. Nebo snad čekají, že jim budeme hlásit opravdu každý spam, pokus o přístup nebo port sken?
Všude jinde ty linky jsou a holt, když je provoz, tak si chvilku počkám nebo to pošlu emailem.
-
tak mohu říct, že některé citlivé údaje (různá hesla a přístupové tokeny nebo třeba hesla ke správě serverů) máme opravdu na papíře a umístěné v trezoru. Některé dokonce na tom papírku i přišly.
Stejně tak některé zálohy na páskách se umisťují také do trezoru.
Na druhou stranu součástí nejedné bezpečnostní politiky (a i doporučení z NIKUBu) je nikdy žádné heslo netisknout na papír. Přístupové údaje do NIKUB portál a do emailu jsou osobní hesla a dávat je na papír ne nesmysl.
Jinak samozřejmě tady se nebavíme u subjektech, které jsou schopné zajistit fyzickou bezpečnost takových údajů a auditovaný přístup k nim, argumentace NUKIBu je jak z jiné planety.
-
Jak chcete u toho telefonu zajistit autentizaci a autorizaci? Jak že budete registrovat oprávněná čísla? Potvrzovat na heslo? Sám NÚKIB měl myšlenku, že prý freemail funguje a každý tak může podat oznámení do 24 hodin.... To je to samé. Ale Vaše představa, že nevíte, jak na "hesla" mě děsí. Jako admin systému je máte na jednom zašifrovaném disku? Co třeba "break glass account"? Uložené na firmě v trezoru, pro případ, že Vás přejede auto... Doplněné hw tokenem (radši více, pro případ hw failure a na dvou místech).
Jakýkoliv password manager je riziko. Asi tady dostanu "čočku", ale Vás bych si na práci nenajal... To, že NÚKIB v této podobě nesmysl, se snad shodneme. Jinak na ISDS jsme napojovali agendové systémy, když jsem ještě před lety dělal pro stát a ten systém stojí pořád úplně stejně za... velké... Odborné a technické připomínky, které měli vůči MV ČR subjekty veřejné správy ještě před spuštěním, nejsou leckdy vyřešné dodnes... -
ne, opravdu být povinný využít ke komunikaci o bezpečnostním incidentu infrastrukturu, která bezpečnostním incidentem může být postižena, je nesmysl a alibismus státu.
Problém a připomínka to byla i u současného ZKB, ale díky tomu, že dopadl jen na velké společnosti, ty se s tím nějak vypořádali, teď je ale situace jiná.
-
A kde je napsáno, že pro hlášení incidentu budete potřebovat přihlášení?
Jinak pokud si někdo neumí přenést klíčenku třeba na flash disk nebo do cloudového uložiště nebo si ji v krajním případě jednou za čas vytisknout na papír, tak by asi neměl dělat bezpečáka v žádné organizaci.
Fakt hledáš problémy tam, kde nejsou.
-
ano, viz zprávička a dokument s vypořádáním připomínek, tady jde o připomínku 128 a 749 (Danny citoval v jiném vlákně),
<cite>
Máme za to, že poslat prvotní hlášení prostřednictvím elektronické pošty lze i bez funkční infrastruktury regulované organizace. Kontaktní osoba to může učinit klidně ze svého mobilního telefonu...
</cite>Nerozumím tomu, jak mohu firemní email poslat bez funkčního firemního emailového serveru. Tohle není hypotetický problém, to se děje poměrně běžně, že úspěšný útok sestřelí i emaily.
K tomu se váže i připomínka 95. kdy 24h hodinový limit platí vždy:
<cite>
Lhůta pro hlášení incidentů je vázána na okamžik zjištění tohoto incidentu, který se nemusí shodovat s reálným časem, kdy incident skutečně nastal. Pokud tedy incident nastane např. v sobotu, ale je nahlášen až v pondělí bezodkladně po tom, co se o něm příslušný zaměstnanec dozvěděl, je zákonná povinnost splněna.
</cite>Záložním řešením může být portál portálu NÚKIB, otázka je jakou formou budou řešeny přístupy, ale může se jednat o to záložní řešení, ke kterému stačí jakýkoliv připojení na internet.
ČLÁNKY DO MAILU