Názory k článku Kyberbezpečnost bude nákladná a náročná. Proč NÚKIB tvrdí opak?

Jako profesí ajťák dávám palec nahoru. Už dlouho jsem nečetl tak fundovaný článek, kde by byl autor tak v obraze. Podepisuji každou větu tohoto článku. Ukazuje se bohužel, že zavádění IT často (ne vždy) práci neubírá, naopak přidává, včetně administrativy. V IT častý jev - práce 1/4 času, zbytek zabere administrativa, následovaná obludnými neproduktivními náklady, tak jak popisuje článek. Při této příležitosti mne napadá příměr - můžeme u čehokoliv dosáhnout spolehlivosti a bezpečnosti obvyklé pro raketoplán. Ale za jakou cenu? A je to vždy účelné a smysluplné?

Bezpecnost je jednoducha a nenakladna, tvrdi nam tu boharovne urad... a pak sami provozuji archaicky software prokazatelne ve verzi, ktera vysla v roce 2014 a kteremu roce 2017 skoncila i bezpecnostni podpora. Inu ta kovarova kobyla kazajici o jednoduche bezpecnosti sama chodi bosa... a urcite si vymysli skvelou "objektivni" vymluvu, proc oni sami sve systemy v aktualnim neudrzuji.

From: ###### via GovCERT-RT <cert.incident@nukib.cz>
Date: ###### Nov 2024  ###### +0100
Message-ID: <rt-4.0.20-######@rt.nukib.cz>
Precedence: bulk
X-RT-Loop-Prevention: rt.nukib.cz
RT-Ticket: rt.nukib.cz ######
Managed-BY: RT 4.0.20 (http://www.bestpractical.com/rt/)

A zjevne u toho dost sazi na to, ze je samotne nikdo poradne kontrolovat nebude.

Jako systemovy admin souhlasim, ze kyberbezpecnost bude nakladna a narocna. Ale je to hlavne proto, ze spousta firem tento aspekt roky prehlizela. Pracoval jsem v nekolika outsourcing firmach a existuji dva typy managementu - ti co utraceji za kraviny a ti co neutraceji vubec za nic. Bohuzel, do toho co je potreba resit investuje malokdo. Doufam, ze v tomhle NIS2 pomuze a ze uz nebude stacit jenom "nasadit cisty server 2022", protoze by default se potom stejne prida do ADcka s nejakymi zastaralymi GPO a neni razem o moc lepsi nez server 2008, ktery to nahradilo.
Ano je to bic na vsechny, ale dokud management nebude mit cerne na bilem, ze jejich infrastruktura stoji za ... a porusuji tim zakon, tak se s tim nehne. A kdo ma resit komunikaci mezi serverem 2003 a ostatni infrastrukturou?

> Bude nutné mít přehled bezpečnostních opatření, která byla a nebyla zavedena a ten periodicky aktualizovat a vyhodnocovat a dokumentovat jejich účinnost. Tedy udělat základní analýzu, jejíž pracnost se bude pohybovat v normální střední firmě v řádu několika dnů kvalifikovaných člověkohodin práce, několika stran textu.

takovy dokument by mel existovat tak jako tak, jak se ma pak rozhodovat o tom, co se bude resit a do ceho pujdou penize v pristim roce? bez nej programatori budou potreti prepisovat svoji vlastni aplikaci do posledniho frameworku zatimco se na ucetnim oddeleni pouziva 15let stary software bez podpory

Pohadce o lokalnim backportovani z novejsich neverim - dostat to aspon na uroven bezpecnostne podporovane 4.4.x (o 5.0.x nemluve)by byl fakt solidni pain... ;-) Navic jak uz to tak byva, zranitelnosti v nepodporovanych verzich nikdo vesmes ani neresi - aneb z tech dnesnich oznameni uz tezko nekdo pozna, jestli to afektuje i ty starsi uz nepodporovane verze. A i v tomhle svetle to levnejsi na udrzbu fakt nebude... kdyz s kazdym prusvihem v podporovanych verzich musi jit nekdo studovat prostudovat kod, jestli tam ta dira nahodou v nejake forme neni nekde taky, coz s ohledem na refaktoringy kodu take nemusi byt az tak jednoduche dohledat.

A nedelam si taky iluze o tom, ze by urad praskal ve svech, co se expertu na Perl tyce ;-) Notabene, kdyz vedle i dle smluv litaji doslova miliony za software a vyvoj okolo a vedle si platili treba i externi konzultanty na Linux (mj. na apache, nginx... ale uz ne ten Perl). Aneb ono i z registru smluv se daji vycist veci... ze kterych si jde domyslet, jak to na urade vypada... jako na kazdem urade.

a hlavně by museli pokutovat sami sebe.

Provoz staré verze nemusí být sám o sobě špatně, pokud si jí sami udržují a backportují zranitelnosti, to asi ale v tomhle případě nemyslím a prostě jen šetří náklady, protože aktualizovat na nejnovější verze je prostě pekelně drahé.

Tak se holt budu muset smířit s tím, že v IT skončím a přeorientuju se na něco jiného, protože na tohle nebudu mít nervy. Neustále házet klacky pod nohy a vydávat to za pozitiva … nic pro mě. Ať si to dělá někdo, koho to bude bavit. Už teď v práci buzerujou s CIS benchmarkem, rozje**vá to tunu dosavadní funkčnosti, znemožňuje to tohle a tamto, odpojování sešen, než se člověk stačí rozkoukat, zamykání vzdálených ploch na virtuálkách (to jsem nikdy nepochopil)… ať si to přeložej nadvakrát a založej mezi půlky. Dobře už bylo.

30. 11. 2024, 21:10 editováno autorem komentáře

Periodické přezkušování absolvuji už nyní (BOZP, školení řidičů apod), zatím formou, že to není taková otrava. Samozřejmě tam, kde by to otrava byla, nepůjdu.
Hele, ve finále: já to klidně doklepu v jakémkoli zaměstnání, kde mě v mých "…sáti“ vezmou a kterého budu schopen fyzicky (to už bude trošku složitější ;). Jak říkával můj kolega, který se letos odebral na věčnost: „ono to dopadne nějakým tím směrem“. Hlavně si nenechat úplně rsát na hlavu.

2. 12. 2024, 19:37 editováno autorem komentáře

Záleží jak kde, my z toho děláme testy, byť je můžeme opakovat, kolikrát chceme. Ale to je jedno, zkrátka začnu zvažovat, jestli mi ty prachy za tu buzeraci stojí, nebo ne. A čím dál víc se přikláním k tomu, že možná ne. Každý pohár může přetéci a jak se říká: ještě se nikdy v dějinách lidstva nestalo, že by něco nějak nedopadlo.

NO zrovna BOZP bych fakt nenazyval prezkusovanim ;-)

A o jakem oboru ze uvazujete? ;-) Ja jen, ze jinde muze byt i hur... treba periodicke prezkusovani z aktualne platne verze predpisu (ktere se samozrejme neustale meni).