Názory k článku
Několika tuzemským bankám nefungovalo internetové bankovnictví a web [AKTUALIZOVÁNO]

Myslim ze nechapes smysl bezpecnostni proverky.

Tak me poucte, se jak takova hostingova firma ci ISP, co nedodava sluzby primo pro kritickou infrastrukturi se k te proverce dostane... mozna zacnete u toho, komu tu proverku stat da... ;-) Nebo snad podle vas utoky na komercni sektor nejsou problem? Ja jen ze spousta veci, ktere lidi bezne pro svuj zivot vyuzivaji opravdu nespada do rezimu, ktery by resil zakon o utajovanych informacich...

Úplně normálně. Stačí se podívat na web NBÚ, jak o ni zažádat - https://www.nbu.cz/cs/ochrana-utajovanych-informaci/prumyslova-bezpecnost-osvedceni-podnikatele-certifikaty/1058-jak-pozadat-o-osvedceni-podnikatele

Kdysi jsem pracoval pro firmu, která to potřebovala a normálně jsme jako zaměstnanci museli získat osvědčení na stupeň tajné, aby to i firma dostala osvědčení.

Zakopany pes je v tom ktera to potrebovala. Potrebnost se neurcuje tim, ze se ja coby podnikatel o sve libovuli usnesu, ze bych rad nejake utajovane informace z uradu. V tom formulari viz policko a4.

A co by Vám asi tak měli napsat? Většina informací od nich bude v režimu utajení. Takže pokud nemáte prověrku, tak se s vámi nebudou bavit.

Pak se bnemuzou divit, ze vysledek bude jaky je, tedy nic nebude fungovat, protoze polovina zucastnenych nebude tusit ze se neco deje, a druha to bude mit na haku.

To se ale děje dlouhé roky. Tajné služby vždy budou mít informace, které se do veřejnosti nedostanou. Asi mají důvod, proč zrovna nějakou informaci, nějaký útok, utají a ne, jak si to přejeme, informuje veřejnost.

A rusaci se smeji a dal vesele utoci na weby, co jsou u komercnich hosteru. No co, lidi si nevyhledaji spojeni... ale hlavne, ze jsme to dobre vsecko utajili :D

Je pouze na úřadech, zda zveřejní nějakou informaci. Ne všechno se dá zveřejnit. Takže pokud vás pošlou do háje, tak prostě tu informaci nevydají. Jestli usoudí, že tu informaci mohou zveřejnit, tak zveřejní.

Mimochodem rusáci by se smáli a útočili i kdyby NÚKIB něco zveřejnilo. Takže čeho byste tím docílil, kdybyste po nich požadoval nějakou informaci. Ničeho.

Tomu konkretnimu ruskemu svabovi se ted smeju naopak ja, protoze <en>moje mitigace funguje :-) A z netflow ja vim, ze to obcas jeste nekam zkusil, naposled dnes. A ano, jak je libo - tak at si ty informace urad nacpe do mist, kde svetlo nesviti. Jenze ono zrovnatak opadne ochota tomu uradu poslat cokoliv "navic", co by mohlo pomoct nekde nekomu jinde. Urcite timhle zpusobem a hranim si na uredni formalismy vybudujeme kyberneticky odolnejsi Cesko... zkuste se zamyslet nad tim, co tu vlastne obhajujete :D

No moc nechápu v čem vidíte problém. Vy jste NÚKIBu napsal svou radu. Co čekáte od nich za informaci? Třeba vaši radu předali dál, ale to už vám snad říkat nemusí.

Ja jim predal v dane dobe cast zjisteni, ktere jsem v dany cas mel. To ze moje analyza v dalsich dnech pokracovala a dospeli jsme s kolegy k dalsim zjistenim, ke kterym se ale musel pri analyze logicky dopidit i nekdo pred nami. Z uradu nevypadlo nic, ceho by se slo chytit a nebo aspon pomohlo vyloucit nejake slepe ulicky, do kterych chte nechte pri zkoumani podobnych veci vlezete.

Aneb ano, potvrzuje se toliko to, ze urad neni schopen byt napomocen tomu, aby se rozumne odrazely kyberneticke utoky, resp. si zacne delat akorat PR na sockach, kdyz uz se neco deje a je opravdu prusvih. A podle toho, ze dneska umlatili i CzechTrade spadajici pod MPO muzeme usuzovat, ze tu komunikaci moc nezvladaji ani smerem ke statnim institucim a slozkam, ktere stat ovlada.

Inu funguje nam to tu skvele, to nemuzeme rict... :D

NÚKIB tu fakt není od toho, aby odrážel útoky. Dokonce i nějaké rady a doporučení jsou spíše vedlejší činností. A spadá vůbec vaše firma pod regulaci zákona? Pokud ne, tak se nemůžete divit, že se s váma nikdo nebaví.

Jasne a proto prvni co dela je PR na sockach, kdyz se neco deje o tom, jak narodu pomaha... :-) Ja zapomel, NUKIB je tu od toho, aby vymyslel nesmyslne vyhlasky o periodickych zmenach hesel, kdy na urade stale tvrdi, jak to je skvele bezpecnostni opatreni... i kdyz ve svete se od tohohle vsude ustupuje. A jestli budu osobou regulovanou zakonem uvidime podle toho, jak dopadne zpackana a v pripominkovem rizeni dost rozcupova transpozice NIS2... ale nedelam si iluze o tom, ze pak by komunikace z uradu byla lepsi... a tak hlavne, ze si na NUKIBu delaji carecky o tom, kolik utoku bylo a publikuji o tom uzasne statistiky, ktere zakon sice take nevyzaduje... ale da se u toho skvele vykazovat cinnost ;-) Nabizi se otazka, k cemu pak takovy urad vlastne je... kdyz ne proto, aby slouzil obcanum teto zeme.

Tak tím se dost vysvětluje, měl jste komunikovat s Národním CSIRT týmem a ne s NÚKIB, pokud nespadáte pod zákon.

A souhlasím s vámi, že by bylo super, kdyby NÚKIB pomohl každému, kdo o radu požádá a pro každý útok vypracoval veřejnou analýzu, jak se mu vyvarovat, ale to by vyžadovalo úplně jiné kapacity než má teď. A pokud se podíváte na stav státní poklady, tak není moc reálné, že by se to v nejbližší dobř mělo zlepšit.

S narodnim CSIRT komunikuji samozrejme take, dokonce v jejich pripade existuji lepsi komunikacni kanaly, minimalne s nekterymi lidmi... ale bud NUKIB s nimi informace nesdili zrovnatak, a nebo je ma pojate v nejakem utajenem rezimu, takze dal narodni CSIRT nic nemuze... ;-) A jen tak mimochodem, ja na ty CSIRT meetingy chodim uz dob, kdy nejaky ZoKB jeste ani neexistoval (a kdy se i tam resila jeho prvni verze)... a zrovnatak si treba dodnes pamatuji defacto-ustavujici meeting projektu FENIX v Grebovce (a dlouhodobe lpim na dodrzovani pravidel, a mnoho lidi tim urcite stvu)... a vnitrne se taky peru s tim, ze "PR" dost casto prevalcuje ty technicke veci, ktere ale jsou z pohledu kyberneticke bezpecnosti zasadni, protoze takova ta bezna provozni rutina se podcenuje a marketingove se blbe prodava. Aneb casto se prave kvuli "PR" zanedbavaji ty rutinni provozni veci, co se marketingove prodat nedaji - ale kdyz je pruser, rychle vas to dozene...

Ja necekam, ze NUKIB pomuze kazdemu a v kazde situaci za vsech okolnosti, ale tady konkretne se bavime o konkretnim utocnikovi, ktery utoci periodicky na ruzne instituce a ocividne jde o utocnika, co je dobre financovany (asi nejakou vladou), NUKIB si o tom dela statistiku, ze? :-) Dnes to byly banky, ktere sejmul a u toho sejmul treba i MojeID - ktere realne ma ten team narodniho CSIRTu defacto primo u sebe... ze? Takze si mam z toho dovozovat, ze NUKIB poradne nepredava informace ani do narodniho CSIRTu? A v minulosti to byl treba organizator prazske dopravy, co byl take obeti... no proste ten vektor utoku a potazmo utocnik je nekolik mesicu ve sve podstate stale stejny... proste se tu realne bavime o tom, ze za tech nekolik mesicu jsme nezvladli vyresit co do obrany vubec nic. Flustrace, jak prakticka komunikace pri reseni podobnych incidentu nefunguje roste geometricky.

Pokud se budete chtit tocit jenom kolem legislativy, tak rozhodne nevyresite nic. Pokud legislativu nastavite tak, ze si budete hrat na formalne utajovane skutecnosti, tak zrovnatak nicemu nepomuzete. Pokud si nekdo mysli, ze skrze formalni pozadavky na papire docili vyssi bezpecnosti, tak je zrovnatak na omylu. A ne, duch NIS2 neni spatny, jestli neco selhalo, tak je to zase NUKIB a jeho zpusob transpozice - kdy do toho prilepil veci, co NIS2 po nikom nechce - ale nekdo holt "vycitil prilezitost"... i tohle "politikareni" z pohledu prakticke bezpecnosti je proste chyba... a schovavani se za pozadavky prichazejici z EU v tomto smeru je mozna i z pohledu NUKIBu "zbabele" - procpak si ty veci navic neprosadi samostatne...? :-)

A vubec, spatne je to, jak tohle resime v Cesku. Viz i ty periodicke zmeny hesel a "pravda", co si siri NUKIB - a co popira zkusenosti ze sveta. Ja tim nerikam, ze se nemaji implementovat lepsi technologie zabezpeceni pristupu, ale napsat do vyhlasky, ze se hesla maji nucene menit co 18 mesicu je v roce 2023 proste zasadni fail. Poperte se s tim, Jakube... ja uz davno tusim, ze vy na NUKIBu sam sedite a proste se obcas projevi vase korporatni ego ;-) Jenze tam, kde bezpecnost fakt resi uz davno pochopili, ze periodicke zmeny hesel bezpecnost nezvysuji. Tam kde resi nejaky snadno kontrolovatelny check-list na podobnych ptakovinach lpi... malickosti, ze kterych ale poznate bezpecaka, co zakrnel v minulem stoleti.

Dabel je vzdy skryt v detailech ;-) Mate jich tu rozebranych tady i okolo dost, tak si je zkuste promyslet. A klidne muzeme dat rec v rijnu na dalsim CSIRT meetingu. Myslim, ze tam najdete dost lidi, co vam cestu ke me ukazou...

PS: hadate se s clovekem, co striktni BCP38 zavadel v sitich v dobach, kdy nejaky FENIX zdaleka nebyl a kdy mu spousta lidi nadavalo, s clovekem, co mel nasazene "ostre" (filtrujici) RPKI mezi prvnimi v CR, s clovekem co HTTPS ci DNSSEC neresi jen jako fajfku "mam to", ale co se zabyva i detaily typu pouzite algoritmy, protoze nektere zpusoby nasazeni utocnikum dost usnadnuji zivot.... a kdyz jsem pred lety o tom do NUKIBu napsal, bylo z toho celkem pozdvizeni... akorat ze od te doby se toho moc nezmenilo. Ja resim bezpecnost z pohledu kazdodenni praxe, ne z pohledu nejakych teorii na papire.

chápu, tobě reálně vadí, že se na tom nikdo systematicky nepřipravuje a neřeší to dopředu. Já to beru tak, že ten systém se učíme zatím používat.

Komunikace probíhá jen face to face, to je pravda, pokud člověk nemá kontakty, tak vlastně je na to sám.

I za mě je škoda, že tady prostě nepříjde někdo, kdo ty řešení, poznatky a věci nasdílí, stejně jak to děláme při cvičení bezpečnostních incidentů.

Já využívám toho, že pracuji pro více těch subjektů, takže ty informace částečně přenáším mezi nimi, ale to je anomálie, na tom nelze stavět systém bezpečnosti.

Nejsem sam, mam spoustu kontaktu... v tom problem fakt neni. A na zacatku fakt nejsme, to jsou veci co se resi 10+ let. I projektu FENIX je tu s nami uz tech 10 let a byl jsem sam u jeho pocatku. Ceska CSIRT platforma funguje jeste dele, ostatne v minulosti se tam treba resila i dnes platna podoba ZoKB. Mame treba i mailing-listy, kde se vi kdo na nich je, takze je vcelku kontrola, kam se nektere informace dostanou... myslite, ze se nejak vic pouzivaji? :-)

Na začátku myšlením a ne časem. Ano, také se v tom oboru už nějaký pátek pohybuji, začalo to cesnetem v devadesátkách a pak se dá říct, že se bavím utíkám z firem, které koupil T-mobile.

Ano, máš pravdu, že koordinace na žádné úrovni nefunguje jinak než na osobních vztazích a to je špatně, člověk si v tom oboru připadá jak v nějaké sektě.

Nenechte se unést svými dojmy a podívejte se do zákona 412/2005.

A ted ciste pragmaticky... cim presne se ve smyslu odkazovaneho zakona naplni sledovany cil - tedy jak se treba ochrani ekonomika, kdyz se informace pomahajici mitigovat/odrazit utok oznaci jako utajovanou a nedoputuje k tem, co s danou hrozbou muzou neco doopravdy udelat...? ;-) Myslite, ze ekonomice pomuze, kdyz nejaky rusky hejhula paralyzuje systemy elektronickeho bankovnictvi? Tim, ze to pred nima podpurne informace utajite se asi moc skod neodvrati. Aneb opet jsme u toho, ze urady namysto smyslu (ducha) zakona resi hlavne lejstro.

" cim presne se ve smyslu odkazovaneho zakona naplni sledovany cil"

Primitivni algoritmus ... cim vetsi skody, tim vic bude NUKIB a spol rvat, ze potrebuje vice penez a vice lidi, a cim vice penez a lidi bude mit, tim vice bude buzerovat vsechny okolo.

Efekt na bezpecnost a spolehlivost provozu bude ciste zaporny (po splneni nejakych buzeracnich pozadavku nebude jiz nikdo ochoten resit ty realne potrebne zasahy) a to pochopitelne opet vyvola kladnou zpetnou vazbu na jeste vetsi skody a vice byrokratu pro NUKIB.