Názory k článku Kyberbezpečnost bude nákladná a náročná. Proč NÚKIB tvrdí opak?

Bezpecnost je jednoducha a nenakladna, tvrdi nam tu boharovne urad... a pak sami provozuji archaicky software prokazatelne ve verzi, ktera vysla v roce 2014 a kteremu roce 2017 skoncila i bezpecnostni podpora. Inu ta kovarova kobyla kazajici o jednoduche bezpecnosti sama chodi bosa... a urcite si vymysli skvelou "objektivni" vymluvu, proc oni sami sve systemy v aktualnim neudrzuji.

From: ###### via GovCERT-RT <cert.incident@nukib.cz>
Date: ###### Nov 2024  ###### +0100
Message-ID: <rt-4.0.20-######@rt.nukib.cz>
Precedence: bulk
X-RT-Loop-Prevention: rt.nukib.cz
RT-Ticket: rt.nukib.cz ######
Managed-BY: RT 4.0.20 (http://www.bestpractical.com/rt/)

A zjevne u toho dost sazi na to, ze je samotne nikdo poradne kontrolovat nebude.

a hlavně by museli pokutovat sami sebe.

Provoz staré verze nemusí být sám o sobě špatně, pokud si jí sami udržují a backportují zranitelnosti, to asi ale v tomhle případě nemyslím a prostě jen šetří náklady, protože aktualizovat na nejnovější verze je prostě pekelně drahé.

Pohadce o lokalnim backportovani z novejsich neverim - dostat to aspon na uroven bezpecnostne podporovane 4.4.x (o 5.0.x nemluve)by byl fakt solidni pain... ;-) Navic jak uz to tak byva, zranitelnosti v nepodporovanych verzich nikdo vesmes ani neresi - aneb z tech dnesnich oznameni uz tezko nekdo pozna, jestli to afektuje i ty starsi uz nepodporovane verze. A i v tomhle svetle to levnejsi na udrzbu fakt nebude... kdyz s kazdym prusvihem v podporovanych verzich musi jit nekdo studovat prostudovat kod, jestli tam ta dira nahodou v nejake forme neni nekde taky, coz s ohledem na refaktoringy kodu take nemusi byt az tak jednoduche dohledat.

A nedelam si taky iluze o tom, ze by urad praskal ve svech, co se expertu na Perl tyce ;-) Notabene, kdyz vedle i dle smluv litaji doslova miliony za software a vyvoj okolo a vedle si platili treba i externi konzultanty na Linux (mj. na apache, nginx... ale uz ne ten Perl). Aneb ono i z registru smluv se daji vycist veci... ze kterych si jde domyslet, jak to na urade vypada... jako na kazdem urade.

Jako profesí ajťák dávám palec nahoru. Už dlouho jsem nečetl tak fundovaný článek, kde by byl autor tak v obraze. Podepisuji každou větu tohoto článku. Ukazuje se bohužel, že zavádění IT často (ne vždy) práci neubírá, naopak přidává, včetně administrativy. V IT častý jev - práce 1/4 času, zbytek zabere administrativa, následovaná obludnými neproduktivními náklady, tak jak popisuje článek. Při této příležitosti mne napadá příměr - můžeme u čehokoliv dosáhnout spolehlivosti a bezpečnosti obvyklé pro raketoplán. Ale za jakou cenu? A je to vždy účelné a smysluplné?

Jako systemovy admin souhlasim, ze kyberbezpecnost bude nakladna a narocna. Ale je to hlavne proto, ze spousta firem tento aspekt roky prehlizela. Pracoval jsem v nekolika outsourcing firmach a existuji dva typy managementu - ti co utraceji za kraviny a ti co neutraceji vubec za nic. Bohuzel, do toho co je potreba resit investuje malokdo. Doufam, ze v tomhle NIS2 pomuze a ze uz nebude stacit jenom "nasadit cisty server 2022", protoze by default se potom stejne prida do ADcka s nejakymi zastaralymi GPO a neni razem o moc lepsi nez server 2008, ktery to nahradilo.
Ano je to bic na vsechny, ale dokud management nebude mit cerne na bilem, ze jejich infrastruktura stoji za ... a porusuji tim zakon, tak se s tim nehne. A kdo ma resit komunikaci mezi serverem 2003 a ostatni infrastrukturou?

> Bude nutné mít přehled bezpečnostních opatření, která byla a nebyla zavedena a ten periodicky aktualizovat a vyhodnocovat a dokumentovat jejich účinnost. Tedy udělat základní analýzu, jejíž pracnost se bude pohybovat v normální střední firmě v řádu několika dnů kvalifikovaných člověkohodin práce, několika stran textu.

takovy dokument by mel existovat tak jako tak, jak se ma pak rozhodovat o tom, co se bude resit a do ceho pujdou penize v pristim roce? bez nej programatori budou potreti prepisovat svoji vlastni aplikaci do posledniho frameworku zatimco se na ucetnim oddeleni pouziva 15let stary software bez podpory

Tak se holt budu muset smířit s tím, že v IT skončím a přeorientuju se na něco jiného, protože na tohle nebudu mít nervy. Neustále házet klacky pod nohy a vydávat to za pozitiva … nic pro mě. Ať si to dělá někdo, koho to bude bavit. Už teď v práci buzerujou s CIS benchmarkem, rozje**vá to tunu dosavadní funkčnosti, znemožňuje to tohle a tamto, odpojování sešen, než se člověk stačí rozkoukat, zamykání vzdálených ploch na virtuálkách (to jsem nikdy nepochopil)… ať si to přeložej nadvakrát a založej mezi půlky. Dobře už bylo.

30. 11. 2024, 21:10 editováno autorem komentáře

A o jakem oboru ze uvazujete? ;-) Ja jen, ze jinde muze byt i hur... treba periodicke prezkusovani z aktualne platne verze predpisu (ktere se samozrejme neustale meni).

Periodické přezkušování absolvuji už nyní (BOZP, školení řidičů apod), zatím formou, že to není taková otrava. Samozřejmě tam, kde by to otrava byla, nepůjdu.
Hele, ve finále: já to klidně doklepu v jakémkoli zaměstnání, kde mě v mých "…sáti“ vezmou a kterého budu schopen fyzicky (to už bude trošku složitější ;). Jak říkával můj kolega, který se letos odebral na věčnost: „ono to dopadne nějakým tím směrem“. Hlavně si nenechat úplně rsát na hlavu.

2. 12. 2024, 19:37 editováno autorem komentáře

NO zrovna BOZP bych fakt nenazyval prezkusovanim ;-)

Záleží jak kde, my z toho děláme testy, byť je můžeme opakovat, kolikrát chceme. Ale to je jedno, zkrátka začnu zvažovat, jestli mi ty prachy za tu buzeraci stojí, nebo ne. A čím dál víc se přikláním k tomu, že možná ne. Každý pohár může přetéci a jak se říká: ještě se nikdy v dějinách lidstva nestalo, že by něco nějak nedopadlo.