Názory k článku Regulace podle NIS2: Klamali jste, stěžuje si operátorské sdružení APMS na NÚKIB

Souhlasim, ze odmitani evropskych nebo americkych bezpecnostnich certifikaci je problem. Ale myslet si, ze lidi u operatoru jsou schopni a hlavne nezavisli je naivni. Lidi u operatora jsou relativne spatne placeni, ridi je operator a ten hledi na zisk, tudiz na naklady a nejaka bezpecnost statu je mu u zadele.

Nepravdy ve vyrocich budou predevsim z neznalosti. Ono na urade zapomeli, ze u operatoru pracuje dost schopnych lidich, co rizika posoudi u dane krabice lip, nez nejaky urednik - jehoz znalost je omezena leda tak na zemi puvodu. Jednoduse proto, ze vetsinu tech skatuli urednik ani nevidel... natoz aby si na ne sahnul.

Kdyby chytraci z Brna alespon neodmitali evropske ci americke bezpecnostni certifikace. Pak by to take pusobilo jinak. Dodnes nikdo z NUKIBu poradne nevysvetlil, proc kdyz je neco dost dobre pro NIST nebo ENISA tak to porad neni dostacujici v nasich kotehulkach.

problém rizik je, že to jsou rizika, tj. nějaká předpověď do budoucna, míra pravděpodobnosti. Operátor a jeho technicky mohou skvěle posoudit současný stav, ale jak posoudit stav budoucí? Vždyť ani věhlasná laboratoř O2/Cetin, kde ty krabičky několik týdnů tvrdě testují (jejich slova), je testují jen před uvedením do provozu a nikoliv při každé aktualizaci, jak by se slušelo.

Asi stát by mě mít možnost nějak do toho zasáhnout, pokud jde produkt dneska zranitelný a je to známo (či by mohlo být) už to pokrývají současné zákony, pokud ale u produktu existuje riziko, že může být zneužitý politickou mocí v budoucnu, tak operátor nemá zpravodajské informace, nemusí znát a orientovat se v politice, to mu logicky nepřísluší.

Netroufám si ale posoudit, že současný návrh v ZoKB2 je správný či není, jestli to operátorům (a jiným subjektům) udělá problémy či nikoliv. Vím, že APMS umí velice dobře využít každou zkulinku, aby lobovala na svoji stranu a už několikrát lobovala pro zisk operátorů.

A kolik testu ze udelali na urade? ;-) Moc ne... co? A to je rozdil mezi rizenim bezpecnosti statnimi slozkami u nas a na zapade. U nas se obligatne hleda cesta, jak se u toho moc nepredrit. A hlavne za nic taky nenest zodpovednost (coz by v pripade aktivni certifikace zarizeni pro KII samozrejme museli)...

Pritom FIPS podobne funguje - certifikuje se nejen hardware, ale i konkretni verze software. Takze ne ze by to neslo... ono se (tady) jenom nechce. Bezpecnostni standardy pise primo NIST a na certifikace ma nezavisle laboratore, ktere si sami vybrali. A funguje jim to. Pokud by to NUKIB s bezpecnosti KII myslel opravdu seriozne, postupoval by obdobne.

Porad jsme u toho, ze NUKIB ma potrebu vynalezat kolo a vymyslet veci, ktere jinde davno funguji. Proc systematicky opovrhuji tim, co je i pro americkou vladu dobry je proste zahada. A ano, v takovem prostredi je zadouci hledat kazdou skulinku a ukazovat, ze ta "specificka ceska cesta" je proste blbost. Kdyby na NUKIBu prevzali model z USA, tak by ani APMS nemohla nic namitat.

Z Brna nikdy nepřišlo nic dobrého.
Měli bychom se z toho konečně poučit

Jenze tady se bavime o jedne konkretni znacce, co uz je proflakla. Ale to fakt neni systemove reseni, ze budeme podle samolepky na skatuli nejaka zarizeni zakazovat. Delat se to ma jinak - proste definovat kriteria, ktera to ma splnovat - aka ten FIPS viz vyse. A certifikovat si zarizeni, ktera budou v KII akceptovatelna. Jenze ono nic takoveho poradne nemame - protoze proc? Protoze to je moc prace...

Stavajici urednicke reseni "pres brand" ma jednu zasadni vadu - ona ta znacka se muze dost rychle zmenit, i kdyz ostatni veci okolo zustanou (vcetne tech vyhodnych cenovek). A i pokud se na to pujde stylem "vse s Ciny", tak to v globalni ekonomice prekazka taky nebude.... proste tam tu spravnou samolepku nalepi... treba nekde v Dubaji, kde to bude mistni sejk vydavat za sve reseni vymenou za nejake vsimne od cinske vlady. Co predvadi NUKIB proste neni systemove reseni, nebude to fungovat...

FIPS resi krom jineho i tu bezpecnost, o kterou prece jde. A zrovna co se sitoveho software tyce, tam je to krasne videt... verze s FIPS certifikaci vychazi pozdeji a rozhodne ne s kazdou verzi. I blbe openssl ma FIPS mode, ze? ;-) To neni nic, co by neexistovalo, to funguje uz davno.

Ano, nekdo musi rict, co se ma dodrzovat. NIST tohle umi a dela, NUKIB moc ne (a i to malo co vypotili nezvladaji vynucovat ani u statni spravy) a podle toho to tady taky vypada.

Argument cilene cilene zneuzitelnosti je fajn, ale bude to fungovat stejne pitome jako blokace online hazardu - takze vubec. Nez se urad rozkouka a slavnostne vyda ten svuj "zakaz", vedle vzniknou dalsi dve znacky a muze se zacit znovu. Uredni psi z kyberuradu zastekaji, cinska karavana bude vesele kracet dal. A kdyz se zakaze vsecko stylem src=China, vsak on se uz nejaky prostrednik z nejake treti zeme najde. Zhusta se takle obchazi i ruzne sankce, ze? Jestli ma nekdo pocit, ze tyhle zakazy budou fungovat, tak je fakt naivni. Pokud bude mit nekdo cil uskodit, tu skulinu si najde.

Jádro pudla, alespoň dle současných vyjádření představitelů úřadu, je už v tom, že úřad chce dělat geopolitická rozhodnutí a ne technologická. '
Navíc mají (a velmi často používají) ten luxus schovat se "tajné" informace. Kolikrát jsem slyšel "my víme, co vy nevíte, ale kdybyste věděli, tak s náma souhlasíte".
Úřad už nepokrytě a bez jakýchkoli dopadů či sebereflexe lhal v dopadové studii k zákonu a není jediný důvod se domnívat, že dále bude chovat jinak. Je to hodně smutný příběh od začátku až do teď.

Mluvím spíše o infrastrukturním IT, tam peníze nejsou přece tak zlé, 2,5 průměru je za mě dobré. Sítě a telco infrastruktura nikdy tak netáhla, aby tam bylo více peněz.

Nebo máš čísla, která nemluví o IT jako o celku? Ono to je vlastně jedno :)

Kdyz na to nemam budget, tak vezmu co maji jinde. Tak proste to je ;-) Coz ale nas urad tak nejak odmita, zjevne si tam mysli, ze jsou naopak chytrejsi nez v NISTu. A hlavne nikdo nedokaze vysvetlit, proc veci co jsou dobry i pro americkou vladu nejsou dobry pro nas stat...

A nesrovnaval bych jen absolutni castky, per capita uz to rozhodne tak "skarede" taky nevypada, to jsme na nejakych 92 vs 56 Kc per obyvatel. Kdyz uz chceme srovnavat...

No ale srovnávat NÚKIB s NIST je dost nefér myslím, že ty rozpočty se kterými NIST pracuje oproti NÚKIBu...

NÚKIB - 560 Milionů Kč
NIST - $1,24 bil = 31 Miliard Kč

Samozřejmě NIST má širší zaměření než NÚKIB, ale chci pokukázat na to, že mají mnohem více zdrojů na to, aby popsali konkrétněji to, jak má ten soulad vypadat oproti NÚKIBu. Jinak ano napříč EU by mohla ta spolupráce vypadat lépe a i samotná NIS2 by mohla být nařízení, a to významě lépe popisné, než to obecné povídání, které z toho vzniklo.

Vsak tohle by mel byt schopen rict urad, vyspecifikovat pozadavky. Proste by melo byt definovane, co maji zarizeni splnovat, pokud se maji vyskytnout jako soucast KII. Proste jasne popsany opt-in. Model zakazu ala NUKIB je jednoznacny opt-out, kdy prostredi fakt predikovatelne moc neni - a ze je neco "hrozba" se dozvime az ex-post na zaklade neprilis jasnych kriterii (aka na urade si nekdo neco vycte asi z kavove sedliny). To je myslim i jadro sporu, pokud jde o APMS.

Proc to chteji delat tak jak to je navrzene je nasnade... je s tim min obecne prace. A soucasne se na urade nenese odpovednost za to, ze kdyz neco jakoze doporuci (nedejboze certifikuje) a ono se to doporuceni ukaze jako chybne.

Proc by se Huawei nemohlo zitra jmenovat treba DubaiSheikNetworks ci IndiaShinyNet? Ne, tohle fakt neni az neresitelny problem, jak se na prvni pohled jevi. Ostatne i kdyz si clovek proleze portfolio u Cisca, tak se tam najde kdeco, proste proto ze si to v minulosti nekde koupili. Pokud bude mit cinska vlada silny motiv nasalatit se do KII a budou se ji do toho hazet klacky stylem "nesmi to byt cinske", tak si problem s patenty treba s tim sejkem nebo indianem vyresi. Tomu prostrednikovi z toho taky neco kapne. Funguje tak proste obchazeni sankci (vsak i do Ruska se dostavaj veci, co by nemely), fungovalo to tak odjakziva... a je naivni si lhat, ze tyhle mezinarodni (zakulisni) vztahy si uhlidame, zvlast se ten indicky ci saudskoarabsky vyrobce bude tvarit, jakoze to vyrobil on. Prachy nesmrdi...

Tohle fakt neukocirujeme skrze nejake post-portem zakazy, to je fakt naivni predstava. Jedina sance jak to ukocirovat je mit system certifikaci a hlidat si ten proces. Urcit, ze prvky KII musi splnovat to ci ono. A tady proste jde vzit to, co mame od NISTu (tzn. pozadovat FIPS certifikace). Opet, kdyz je to dobre i pro americkou vladu, nevidim duvod, proc by to nemelo byt dobre pro nas... :-) Nemusime furt vynalezat kolo...

špatně placení? Aspoň v našich končinách ty platy mají v sektoru vyloženě nadprůměrné, aspoň co jde o HW nebo infrastrukturu.

Oni budou operátoři také rádi, ikdyž APMS křičí. Ono je objektivně těžké obhájit nákup dvojnásobně dražšího řešení, jak píšeš, jdou primárně za nízkými náklady a bezpečnost řeší jen tady a teď, když ti jeden dodavatel jde cenou tak extrémně nízko a používá ho i konkurence, nechceš mít zbytečně vyšší náklady než ostatní. Ta volba H je vyloženě pragmatická.

Pokud myslite ceske operatory tak ty jsou az polovinu pod prumerem v IT v nasich luzich a hajich. V telco skoncila zlata era pohadkovych platu. Ceske telco je chude.

Neco jineho je pokud pracujete jako subdodavatel. Tam se lze dostat k zajimavejsim castkam. Ale to neni predmetem diskuse.
Na part/full time je to mizerie. .

Minimalne jeden ze trech tech velkych mobilni operatoru proverku na tajne ma (a dalsi nemobilni okolo). Zbyli dva alespon na duverne. Takze cesta, jak tu informaci k operatorum dostat existuje, pokud by o to "souzneni" skutecne stali.

při zakázání nějakého dodavatele se ale přece nejedná jen o to, že SW může být zranitelný, ale že může být také cíleně zneužitelný. Ono třeba i takové poskytnutí informace o zařízeních, které jsou zranitelná dříve než zákazníkovi pošleš patch může způsobit velké problémy. Nebo prosté umělé omezení dodávek. V tom ani FIPS nepomůže. To je o politické důvěře, jestli daný dodavatel nemůže být nepřítelem.

Nekombinuješ náhodou hrušky, jablka a banány?

FIPS je ale pěkná řádka standardů, některé končí jako různé ISO normy či RFC a dostávají se k nám i oficiálně, někdo ti musí říct, co přesně z toho a kdy máš dodržovat. Proti NIS2 ale přece stojí částečně FISMA a hlavně nově vznikající CSF2. NÚKIB ale kolo vynalézat musí, FISMA je povinná pouze pro vybrané státní úřady a pro jejich dodavatele, nereguluje soukromý sektor a náklady na její dodržení jsou prostě vysoké. CSF2 kopíruje NIS2 a je to dost horké zboží, těžko se v tom můžeme inspirovat.

Jaký jiný model mají v USA na regulaci IT bezpečnosti v soukromém sektoru?

FIPS je ale celá řada standardů, někdo ti musí říct, který konkrétně musíš dodržet pro jaké případy.

Openssl FIPS je konkrétně FIPS 140 a znamená to, že openssl bude generovat certifikáty pouze s povolenými algoritmy a budou obsahovat povinné atributy. Bude se správně řešit zdroj náhodných čísel atd. atd. Někdo ti ale musí říct, že tvůj SW musí konkrétně projít FIPS 140. Těch fipsů jsou stovky. Zrovna fips variantu štědře sponzorovalo právě NIST.

NIST to ale dělá pouze pro státní správu, NUKIB to dělá i pro soukromý sektor.

Ano, ta implementace pro zakazování dodavatelů není teď nešťastnější. Síťové core prvky ale nemůžeš tak snadno rebrandovat, máš na tom navěšených miliony patentů a nelze to jek tak přelepit a využít stejný dodavatelský řetězec a pokračovat v dodávkách do infrastruktury. To můžeš udělat u retailu. Nemám pocit, že budou fungovat, chápu důvody proč to chtějí řešit, to je celé.