Názory k článku NÚKIB trápí velké množství odchodů málo placených zaměstnanců. Situaci zachraňují srdcaři
-
V určitých situacích pak může dojít k nedorozumění či nepochopení, protože tito lidé jsou v zácviku
Chápu. "Promiňte, já všemu ještě nerozumím, jsem v zácvilku, s tím potřebujete pomoc?" To asi není zrovna věc, kterou povinná firma očekává od NÚKIBu, který vystupuje jako dozorový orgán, jako autorita, která má v gezci poměrně hlubá témata, velkou odpovědnost a exekutivní práva.
Rozumím ale tomu problému, že tady existuje a musí se tím stát vypořádat. Bohužel při jednání s NÚKIBem se tváří, jak vše mají pod kontrolou.
-
A ted si vyberte. Na MPSV platy problem pry nejsou, na NUKIBu pry ano. Tak nam nekdo bud lze... a nebo je nekdo neschopnym manazerem a ma spatne nastavene vnitrni priority. Aneb procpak to nekde jde a jinde ne?
A rekl bych, ze tady si pan Kintr moc nevidi do vlastnich ust. Fnuka, kterak lidi je malo a pritom se soucasne i pod jeho vedenim vymysli zpusoby, jak tech regulovanych subjektu a agend mit co mozna nejvic. Urad se nikterak nesnazi o to, aby v mantinelech NIS2 tech regulovanych subjektu bylo co mozna nejmene a agendy redukovane na ty opravdu nezbytne. Naopak, urad prahne po moci a nad ramec NIS2 si pridava dalsi veci a agendy - a ani to navenek neskryva.
Aneb misto toho, aby delali mene veci a ty delali poradne to na urade smeruji presne opacnym smerem. A pak jeste maji tu drzost brecet, jak chudinky maji na sve vymysly malo lidi. Ale 370 lidi na v budoucnu cca 6000 regulovanych subjektu fakt neni zas tak malo... to mame jednoho ouradu na asi 16 regulovanych organizaci. Ted tech regulovanych subjektu je jeste min. Aneb ta efektivita prace na urade take nebude nikterak vysoka.
-
Dobrý den, dle vašeho komentáře je naprosto jasné, že komentujete bez jakékoliv znalosti toho, jak to v instituci funguje. Každá instituce, stejně jako jakákoliv jiná fungující společnost, totiž potřebuje i personalisty, provozní zaměstnance, komunikační oddělení, apod. Váš přepočet 16 subjektů / ouřada je tedy naprosto smyšlená představa. Pro vaše dobro bych si příště zjistila něco o problematice, kterou chcete komentovat, než se zesměšníte na internetu.
-
To samozrejme mate pravdu, ale tim spise je Kintrovo fnukani mimo misu. Prumerny plat na urade neni zas tak nizky (treba v porovnani s CTU) a samozrejme prumer tady snizuje cela rada onech podpurnych profesi. A neni neobvykle prumerovat kdeco - nejen ty platy. O (ne)efektivite ve statni sprave ten prepocet vypovidajici hodnotu ma, at uz se vam to libi ci nikoliv. Do vyjadreni efektivity a naplneni primarniho ucelu uradu se ta zminena rezie uradu pocita. Ostatne tu organizacni strukturu si urad vytvari sam, ze? A samozrejme libovolny urad vam zvladne utratit (spolknout) libovolne mnozstvi penez, zvlast kdyz podobne prepocty delat nebudete...
-
Tohle se tu už několikrát vysvětlovalo. MPSV jednoduše vezme každému zaměstnanci pár korun a může za ně zaplatit odborníka, protože zaměstnává přes deset tisíc lidí. Stejný postup používá i MV nebo MF.
Problém mají menší úřady typu ČUZK, DIA, NÚKIB, ČTU apod, kteří nemají tisíce zaměstnanců dělající jednoduché administrativní činnosti, ale mají hlavně odborné zaměstnance.
-
Pritom jediny (pseudo)duvod, proc zmenu formalne vynucuji je hypoteticky unik hashe hesla a nasledny offline utok hrubou silou. To, ze v pripade takoveho incidentu je jiny a vetsi prusvih jinde se neresi, protoze samozrejme tohle kontrolovat je uz sakra pracne. Stejne tak se neresi format aneb ne kazda hash se lame i hrubou silou snadno. A v neposledni rade i zabyvat se tim, ze namisto tupeho vynucovani zmen je zadouci mit systemy, co naopak sleduji podezrele prihlaseni a zmena se aktivne vynuti jen v pripade realneho incidentu... zase moc prace. Oni proste voli cestu, ktera je pro uredni kontroly jednodussi a boharovne u toho ignoruji i to, co rikaji z agentur, kde nemaji problem ty mozky zaplatit (aka NIST).
-
ano, řeší se tím únik hashů (nechci objahovat, jestli není lepší řešení).
V počátku ale chtěli ten formát řešit, na konzultacích jsme ale třeba my byli striktně proti, protože běžná infrastruktura není webová aplikace a u řady reálných zařízení a SW mi neznáme formát uložení hashe hesla, natož abychom ho mohli ovlivnit.
Bohužel NÚKIB mi občas připadá, že člověk má webovku s login formulářem a to je jediné místo, kde jsou hesla. Nějak mu dlouho nedocházelo, že tady máme různé HW tokeny, trezory, KMS krabice, různé SW, které používají vlastní algoritmus a na to vše se to vztahuje.
NÚKIB je ale posedlý řešit únik hashů, místo, aby jasně řekl, u kterých služeb a systémů to dává smysl, tak pravidlo nastaví plošně a řekne, že pokud vám to nejde technicky realizovat, odůvodněte si to, my si to přečteme a pak se rozhodneme, jestli vám dáme pokutu a nařídíme nápravu nebo nikoliv (parafrázují jejich slova).
Holt dobrý vztah s úřadem a rozumný úřad není jen tak, to si musíme vydřít.
-
U kazdeho (udrzovaneho) SW by ale jeho tvurce mel byt schopen tyhle informace sdelit a samozrejme v case system nekam posouvat. Pokud tuhle informaci jako provozovatel nevim a nezajimam se, pak klidne riskuji to, ze v tom software budou hesla v plaintextu... v lepsim pripade "aspon" zasifrovana nejakym v aplikaci natvrdo zadratovanym klicem... a nebo taky ne.
Jenze to jsou presne systemy, kde by se to heslo muselo menit casteji nez spodni pradlo a beztak by to ke zvyseni bezpecnosti toho systemu nevedlo. Bezpecak se o tyhle low-level veci proste zajimat musi a nejde to substituovat vynucovanou zmenou hesel - vede to akorat k tomu, ze si to lidi pisou na papirky, tedy fakticky se ta bezpecnost naopak vyrazne snizuje. Je potreba brat v potaz i to, ze maloktery uzivatel ma jen jedno heslo - a hromada systemu, kazdy s jinou politikou ten konco-uzivatelsky overhead jen dale zvysuji.
I tahle komplexita sveta kolem se musi brat v potaz a nejde resit "jeden system" s klapkama na ocich... a nevidet ten zbytek kolem (naopak je treba dohlednout i ven mimo korporat). A to jsme zpet u toho, ze urednici pri konstrukci vyhlasek ty klapky proste maji a i ve firmach se tu a tam najdou borci, co maji "moc" podobne nesmysly tlacit. Zakrneli mentalne v minulem tisicileti.
A ano, urad na ruznych frontach predvadi, ze bezpecnost jako uceleny system resit vlastne ani neumi. Z bezpecnosti si ti pseudo-experti delaji jednoduche odrazky, ktere se na check-listu dobre zaskrtavaji a jde vykazat cinnost. Ale system jako celek posoudit zjevne neumi. Bezpecnost je vzdy o souboru opatreni, kdy jedno slabsi misto obvykle doplni v danem prostredi racionalni dalsi doplnkove opatreni. Posuzovat to komplexne je ale pro urednicka moc prace, musel by u te prace myslet... a jednoduchy system na rozdavani pokut by to mohlo narusit...
-
Co o to, on ti to sdělí, ale viz třeba Informatica nebo Thales a jeho FPE/AES/CARD62, problém je, že tomu NÚKIB nerozumí, ikdyž ten systém prošel FIPS 140-3 L3 a místo toho si NÚKIB nějak udělal vlastní výčet jím "schválených" algoritmů.
Tyhle servisní hesla snad na papírkách dnes už běžně nejsou a je na to odpovídající systém. Za mě je problém, že taková změna zpravidla znamená výpadek služby, což v případě kritické infrastruktury není jen tak a i naplánování výpadku je občas nelehká úloha. Stejně tak změna klíče u některých typů HW vůbec není možné a je nutné ten HW prostě vyměnit, protože klíč má napevno (různé přístupové karty a bezpečnostní tokeny).
Ano, přesně tak, komplexita světa, která již nějak funguje se musí (měla by) se brát v potaz, aby adaptace byla co nejsnažší a mohlo se pracovat na případném jeho zlepšní do budoucna. NÚKIB tohle jede prostě po svém a snad ke všemu přistupuje, že to je webová služba s přihlašovacím formulářem, kde mohu řešit pokusy, udělat interval mezi pokusy atd.
-
No minimalne v jiste ordinaci v Thomayerce... jsem takhle heslo k necemu videl napsane na papirku a prispendlene na nastence nad stolem sestry pred par tydny. Asi pred rokem na jednom pracovisti CHMU... to meli dokonce vyrobene stitkovackou a nalepene, stejne jako na jednom dispecerskem pracovisti CDC. Ano, trosku profesionalni deformace si podobnych drobnosti vsimat :-) Zvlast kdyz nekam nekdo pusti verejnost... a nebo se "jen" chlubi fotkama na socialnich sitich.
A souhlas - systemovym problemem NUKIBu je jeho snaha byt jakoby "chytrejsi" a ignorovat u toho poznatky z ekvivalentnihch zahranicnich organizaci. "Srdcar" Jakub ten uz radsi davno mlci, protoze k tomu samozrejme fundovanou vymluvu uz nevymysli. Pritom tohle jsou v obecne rovine veci, ktere by urad mel zvladnout i oduvodnit, proc se mu to nelibi... tupy odkaz na nekde vytvoreny seznam opet neni zadna "kvalifikovana" prace, co by se mela lepe platit... to je prace pro cvicenou opicku :-)
No zjevne na urade vladne ego a nekdo ma potrebu budovat sve soukrome pomnicky - takze z NUKIBu hejti staty, kde si jen NIS2 "prelozili" a nesnazili se o vlastni kreativitu "navic", nejsou ochotni proste vzit a prevzat smernice NISTu, zpochybnuji certrifikace FIPSu... a tak dale. Ale beda jak se poukaze na nedostatky u nich samotnych, to se krouti jak slizkej had (opet zdravime, Jakube) :-)
-
"neznáme formát uložení hashe hesla, natož abychom ho mohli ovlivnit."
Coz by ale mel byt ucel te legislativy, narozdil od generovani novych hesel. Tzn donutit dodavatele prave takove informace poskytovat a znemoznit pouzivaji HW/SW kde ty informace nejsou.
A ovlivnit to samozrejme muze snadno kazdy, nereknete? Nekoupim!
-
jedná se např. o odemikací kód do mobilního telefonu. Dohledat u jednotlivých výrobců jakou hashovací funkci používají je zhola nemožné, změna taktéž, evidovat to musíme. Ono se prostě nejedná jen o běžné IT systémy.
Ona vlastně definice technických aktiv je (ať už podle současného zákon, tak i jeho novelizace) velice volná a je na organizaci, jakou zvolí úroveň. Odpovědnost je na ní, ale NÚKIB k tomu neposkytuje moc informací. Jeden klient se rozhodl zahrnout do technických aktiv i osobní automobily, mají mobilní aplikace, síťové spojení, ale myslíš, že nám škodovka poskytla všechny informace? :)
Teď do kritické infrastruktury spadá relativně málo společností a ještě interně si to osekali jen na kritické části, nově to bude ale pěkný šrumec, viz i odhad nákladu u ČEZu. Nově ale začínám řešit i spousty dalších společností a tam třeba řešíme, jestli výtah do toho spadá a jak vlastně ukládá hesla. Stejně tak jsou vtipné elektroměry, protože ty se řídí i jinými předpisy a dnes se jedná už o dost chytré krabičky se vzdáleným přístupem a mohou ovlivnit celou infrastrukturu (dává rozhodně smysl je zabezpečit).
V první řadě se musí udělat evidence, z pohledu úřadu je relativně v pořádku, když o daném zařízení vím, znám jeho techická omezení a věrohodně si interně zdůvodním, že povinnost splnit z toho a toho důvodu nemohu, nemusím ho přestat používat. Jak nám řekli, počítají s takovým stavem. Nj. ale ono vůbec sepsání a zdokumentování všeho je pěkný oříšek, protože ikdyž zvolíš detail dostatečně obecný, spadá tam spousta věcí, doteď se to vyčlenilo a byl klid, nově to musíme sepsat a říct, že to vlastně nebudeme řešit. On to je i problém pokud člověk třeba jede podle inventárních karet a chce evidovat vše, co má v sobě i malý počítač, je toho prostě hodně ne ke všemu máš informace.
-
"jedná se např. o odemikací kód do mobilního telefonu"
No vidite, a prave toto by davalo smysl resit tou legislativou. Tedy ne to, zda nejaka konkretni firma nakupuje neco od nejakeho konkretniho vyrobce a vykazuje vykazy o vykazech vykazu ...
Ale prave treba povinost veskere pro bezpecnost podstatne informace dodavat s tim produktem, a kdyz ne, tak tu proste nic prodavat nebudete. Jenze to by bylo treba pouziti te jedne mozkove bunky, kterou v NUKIBU nikdo nema.
Protoze v soucasne situaci proste ani pri nejlepsi vuli zadnou realnou bezpecnost resit nemuzete, treba prave proto, ze jednoduse neznate parametry tech veci, ktere kupujete/pouzivate.
-
Zrovna NIST je jako každá vládní agentura brutálně podfinancovaný a mají úplně stejný problém - lidi se tam naučí a pak jdou radši pryč. Kongres sice schválil peníze navíc třeba pro CMVP, ale aktuální fronta FIPS 140-3 je nějakých 690 dní. To je totální hrůza a vede to k tomu, že fipsové certifikáty teď nemá nikdo a pokud ano, tak na staré děravé verze plné CVE.
-
To je jeste vlastne docela dobre, a bezpecne. Mnohem typictejsi byva situace, ze to chodi nekdo kontrolovat (sacuji se suplata atd), coz pak vede k tomu, ze si lide vytvori hesla na tema "Pepi$ek202404".
Jak vidite, heslo vpohode projde libovolnym overenim, ma velke pismeno, ma nealfanumericky znak i cisla ... a umim vam rict jake bude mit dotycny heslo kdykoli v budoucnosti.
-
Neboj, mučící systémy, které používáme tě za takovéhle heslo vytrestají s chybou "frequently used words" a nedovolí takové heslo použít :)
Jinak souhlas, požadavky na složitost hesla jsou nesmyslné, protože už dvacet vidíme, že vedou jen do absurdních rovin, bývalo to 6 znaků, nedávno ještě 10, teď po nás někde chtějí i 16 znaků, ideálně do každé služby unikátní heslo, nikde nezapsané. Nevím, proč si někteří myslí, že člověk je počítač, který je schopný ty pravidla dodržet a heslo si pamatovat, není a bude prostě hledat zjednodušení.
-
Tak nově budete mít hesla 12/17/22 znaků dlouhá, s maximální délkou 64 znaků, se změnou minimálně po 30 minutách a s vynucenou obměnou po 18 měsících.
6-10 znaků je možné hrubou silou rozlousknout v řádu sekund (podle variability), takže buď mějte aktivované MFA nebo opusťte hesla (passwordless) nebo silná komplexní hesla a na všechno manažer hesel. Není v silách nikoho si pamatovat hodně komplexních hesel, to je prostě nesmysl.
-
Ba co hur, nekteri "taky-vyvojari" projistotu fakticky blokuji moznost pouzit nejaky password-manager. Treba uz jen tim, ze svymi uzasnymi javascripty blokuji moznost vlozit nejaky string ze schranky, ti aktivnejsi blbci blokuji i ty doplnky prohlizecu, co to jinak bez obtizi zvladnou zprostredkovat i bez te schranky.
Blbce, co tohle naprogramuje by meli privazat ke kulu... a nekde, kam prazi slunce :-)
-
Jednou z příčin nedostatku skutečných odborníků ve veřejné správě jsou tabulkové platy. A zdaleka se nejedná jen o IT (právníci, stavaři a celá řada dalších profesí, kdy ti schopnější pohodlně najdou práci v soukromém sektoru). Peněz na platy ve veřejné správě není málo, ale jsou nesmyslně distribuovány. Zatímco pro méně schopného zaměstnance to nejsou špatné peníze, (nota bene když má "odpracovaná léta") pro ty schopnější to může být frustrující. Přitom co já bych dal v době, kdy jsem tam pracoval, za to, že bych mohl nahradit nepříliš schopné podřízené za jednoho schopného, který by jich nahradil několik...
-
https://www.twobirds.com/en/trending-topics/cybersecurity/nisd-tracker
Z pohledu NIS2: Pár měsíců zpět ještě 90 % států nezačalo vyvíjet činnost. To jsme byli na špici. Teď už to skáče aspoň do konzultačních fází.
-
Někde mají kyberúřad pod zpravdojskými službami, jinde pod armádou, na Slovensku jsou jejich zaměstnanci považovány za bezpečnostní sbor a mají podobné podmínky jako policisté. V Polsku mají státní IT zaměstnanci vyšší plat, než je průměr trhu. V Pobaltí po útoku na Ukrajinu navýšili rozpočet kyberúřadů na dvojnásobek. Jen v Česku se v bezpečnosti škrtá.
-
Cele je to blamaz a saskarada.
Pry 55-tilety jsou platove mnohem jinde a pak se tu pise o 55 K v prumeru.Takze bud napiste natvrdo kolik za kolik nebo prestante mazat med kolem pusy.
V realu to je, ze ty projekty dodavaji externi firmy za platy konzultantu na trhu (tj vysoke), ale interni lide maji prd a jeste nekdy delaji tu praci co ten externi konzultant.
Do tohodle systemu radeji nikdy nechodit
-
To byla výchozí představa, kolik je to bude stát...
Jinak klasická historie - první slušná práce = první slušnější peníze = jsem král světa = odchod z VŠ. Takže tabulkově maturita. Praxe se započítala pouze ta na zcela identické pozici. Takže tabulkově opět prd.
S vysokou školou a 15 let praxe se dá dostat i kousek nad 40 tisíc hrubého. ;-)
-
NÚKIB nejspíš začínal jako parta srdcařů, ale poslední dobou se profiluje jako tradiční úřad, kterému jde hlavně o maximalizaci vlastního rozpočtu a s tím související moci. Kdyby to bylo jen na nich, určitě by rádi měli tisíce zaměstnanců, a i absolventi humanitních oborů by brali přes sto tisíc Co je taky problém snad všude ve státním sektoru jsou účelově určené prostředky v rozpočtu, kdy úřad na jedné straně nemůže zaplatit schopné lidi, ale současně může mít balík na nemovitosti, stavbu nového baráku nebo na školení – z NÚKIBU se třeba jezdí na SANS školení, což jsou předražené srandy za čtvrt milionu, kdy dost lidí po roce stejně odejde pracovat jinam.
-
Peníze na platy, investice (budovy) a vzdělávání jdou z jiných kapitol rozpočtu, které nejde kombinovat a přelévat z nich do jiných. Kdyby ano, nebyl by ten problém s placením lidí takový jaký je. Za toto NÚKIB skutečně nemůže. Navíc si umím představit, že právě SANS školení jsou motivačním nástrojem. Navíc není v soukromém ani veřejném sektoru výjimkou, že kdo absolvuje nějaké dražší školení, upíše se zaměstnavateli na nějakou úměrnou dobu.
-
No ale porad se najdou "benefity", na kterych vydelate i kdyz se to neprojevi na vyplatni pasce. A nejsou to jen ta skoleni (kde ale i ta delka uvazku je legislativne omezena) - jsou to i vylety po svete, kde samozrejme krom nejake prace se prostor pro soukrome vyziti najde a tam uz si nikoho upisem nezavazete. A benefit, ze se nekam podivam a letenky a hotel plati chlebodarce je svym zpusobem taky. A nehrajme tu hru, ze na NUKIBu se do sveta necestuje - tim se chlubi i na sockach... :-) At cestuji, to je v poradku... ale at u toho nelzou, jake tam jsou chudinky.
-
To je benefit pro mlady lidi. Kdyby mi zamestnavatel nabizel pracovni cesty misto penez, (diety z to asi nezachrani) jdu o dum dal. A opet, jde to z jine rozpoctove kapitoly nez platy. Cenim ze se drzite sve zaslepene nenavisti vuci nukibu, ale sam asi uznate ze 1-3 pracovni cesty rocne nevynahradi 20-30% navyseni platu.
-
Vsak ja netvrdim, ze to je ideal pro otce a matky od rodin. Ale ucast na konferencich pise sam urad jako benefit. Asi cili spis na ty mlade... no co, az se budou chtit usadit, pujdou o dum dal.
-
No nebylo myšleno jako cokoliv nenávistného spíš názor na to, kde vidím problém ve státní správě a naopak mám NÚKIB docela rád :-P Určitě se shodneme na tom, že pracovní cesty na drahá školení nemůžou nahradit navýšení platu, což je problém zkostnatělých rozpočtových kapitol, navíc kdyby se prostředky přelily na platy, nebyl by takový problém s tím, že se do někoho naivestují statisíce na školení a on za rok odejde jinam, kde mu nabídnou podstatně víc.
-
Tim trpi statni sprava i nektere korporaty. Na jedne strane se nesmyslne utraci (zvlaste konce roku byvaji v tomto vtipne), na strane druhe je problem v zasade zbytny vydaj z jedne hromadky penez presypat... no treba do tech platu a premii.
Na druhou stranu - i to je uloha reditele uradu, aby za tu zmenu na miskach vah bojoval. Problem nekterych "manazeru" je i v tom, ze za sve lidi vlastne moc bojovat neumi a ani nechteji, jen aby meli klid. A novinovy clanek, co zmizi v pene dni fakt neni znamka nejakeho boje. Problem karierniho rustu v institucich casto je i o tom, ze do ridicich funkci se vysvihnou lidi, co to moc neumi. Pritom to je disciplina sama o sobe...
ČLÁNKY DO MAILU