Názory k článku
NÚKIB je pranýřován a nový zákon o kyberbezpečnosti i kvůli lobbingu vázne, uvedl šéf armády Řehka

Stat dlouhodobe soutezi primarne na cenu - pro hodnoceni je to pro uredniky pohodlnejsi - a tohle vsechno jsou jen dusledky. U zadani vyberovych rizeni/soutezi to zacina. Aneb co dnes brani statu si v ramci svych poptavek zohlednit sve i bezpecnostni potreby? Jenze to by panove a damy ty kriteria museli umet sepsat a obhajit.

To je stejne jako s transpozici NIS2 - cele se to toci u toho, ze urednici svou praci nedelaji poradne. A namestek z NUKIBu namisto omluvy vytvari dojem, ze jinak to nejde. Ale jisteze jde. Jenom se mechce na uradech nikomu makat. A nedotazena RIA je toho jasnym dukazem.

Nobody ever gets fired for bu.ing IBM

(originál slova nakupovat je prý spam a tak nejde vložit)

No tak treba se odkazat na nezavisle bezpecnostni certifikace zarizeni (treba FIPS, pripadne dalsi relevantni). Mas... ne? No tak smula. To fakt neni o konkurencnim boji.

S těmi dodavateli je to strašně vtipné třeba u státní organizace. Primárně má být totiž dobrý hospodář a vybírat nejlevnější (většinou na to co stojí víc ani nedostane prachy) řešení. Takže teď tu máme třeba antivir Kaspersky, který je fuj, ale je levný, nebo antivir co není fuj, ale stojí 2x tolik. Tak co má koupit?

Uvedu jako priklad vyber IPS… zakladni veci jako pocet portu, zakladni funkce umis popsat ale pak jsou veci typu 20tis signatur vs 15tis signatur a nejaka AI/analyza provozu… jak vyberes z tehle dvou reseni? Obe reseni jsou vicemen srovnatelne ale popsat tohle do vyberoveho rizeni a obhajit si neumim ani po 25+ letech praxe.

"zohlednit sve i bezpecnostni potreby" - myšlenka dobrá, ale jak ji realizovat? Resp. jak odlišit, zda se jedná o skutečné bezpečnostní riziko, nebo o formu konkurenčního boje? A netřeba si dělat iluze, velmoci nemají přátele, jen své zájmy.

Dobry hospodar se neposuzuje jen podle cenovky. To ne rozsireny mytus. Ono je treba umet zohlednit mozne skody toho levneho reseni... aneb ne nadarmo se rika, ze nejsem tak bohaty, abych kupoval levne veci. A u bezpecnostnich reseni to plati dvojnasobne. Vzniklou skodou tady muze byt treba unik dat a nebo jina kompromitace systemu.

A motiv to udelat zeme, co si nas oficielne pise na seznam svych nepratel asi bude mit, ze? Nebo ono si nas Rusko z toho sveho seznamu uz vymazalo? :-)

U nadlimitních zakázek jste omezen zákonem na co se může a nemůže odkazovat. FIPS je národní standard USA a na něj by se ve veřejných zakázkách nemělo odkazovat. Resp. je to možné napadnout. Nebo zvolit postup podle § 91

§ 90 Normy nebo technické dokumenty

(1) Pokud zadavatel stanoví technické podmínky prostřednictvím odkazu na normy nebo technické dokumenty, použije je v tomto pořadí

a) české technické normy přejímající evropské normy přijaté evropskými normalizačními orgány a zpřístupněné veřejnosti,

b) evropské technické posouzení,

c) obecné technické specifikace v oblasti informačních a komunikačních technologií podle čl. 13 a 14 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES,

d) mezinárodní normy přijaté mezinárodními normalizačními orgány a zpřístupněné veřejnosti,

e) technické dokumenty vydané evropskými normalizačními orgány postupem přizpůsobeným vývoji potřeb trhu, který není evropskou normou.

§ 91
(1) Jestliže zadavatel stanoví technické podmínky s využitím odkazu na normy nebo technické dokumenty podle § 90 odst. 1 nebo 2, nesmí odmítnout nabídku z důvodu, že nabízené dodávky, služby nebo stavební práce nejsou v souladu s takto stanovenými podmínkami, pokud dodavatel prokáže, že nabízené dodávky, služby nebo stavební práce splňují rovnocenným způsobem požadavky vymezené takovými technickými podmínkami. Tuto skutečnost dodavatel ve své nabídce vhodným prostředkem prokáže, a to zejména technickou dokumentací výrobce nebo dokladem podle § 95.

Procpak jste preskocil § 89, odstavec 1, pismeno a)? ;-) Mimoto, evropske ekvivalenty k FIPSu existuji take. U KII je na miste jit striktne po bezpecnosti. FIPS vam naplni vic dodavatelu, nez ty specialni evropske normy, coz ve svych materialech zminuje i ENISA.

od toho jsou standardy, certifikace a měkká kritéria, podle technických parametrů se dají vybírat max. různé verze od stejného výrobce a ne mezi výrobce mezi sebou. Stejně to funguje i v ostatních oborech, málokdy máš tak hluboké znalosti, abys porovnání mohl udělat sám, to i sám potvrzuješ, že praxe s používání ti ty znalosti nepřinese.

Přesně - problém marketingu výrobce napíše AI, ale nikdo se nikde nedozví co to dělá a z čeho vychází, takže ani fakticky nejde posoudit užitečnost.

Pokud se budeme bavit o počtu signatur - tak ani snad nedávají jejich soupis. Snažím se statisticky trefit, že ten s vyšším počtem bude lepší a nebo se dozvím, že ten s nižším počtem má to co zejména potřebuji narozdíl od toho s vyšším počtem, který tam má věci, které jsou pro moji reálnou aplikaci nerelevantní?

U bezpečnosti, je mnohdy motivací výběru důvěra v procesy výrobce, že se produktu věnuje a zajistí mi bezpečnost v průběhu živvotního cyklu a ne, že jen vypouští produkty s velmi krátkým životním cyklem.

To co jsem uvedl, popisuje omezení paragraf. 89 1a.

Takže se nic nemění. Těch víc výrobců má problém v tom, že něco je compliance a něco certified.

Ano, o te certifikaci to ale je. Zamek na dvere taky musi tu certifikaci proste mit a nestaci jen prohlasit, ze to bezpecny je. Aneb nic nebrani cinanum si ty certifikace zajistit. A pokud je neziskaji, je to legitimni duvod je vyloucit.

Ale problém je pokud certifikaci uděluje NIST.

Není v námi uznávané hierarchii. Je to US instituce mající vliv jen na US trh v rámci zákonných předpisů.

Mohou - princip 3E : hospodárnost, efektivita, účelnost