Vlákno názorů k článku Regulace podle NIS2: Kyberzákon nabírá zpoždění, prověřování dodavatelů v něm zůstane od Danny - Zpozdeni ma NUKIB jeste vetsi. I ten listopad...
-
Zpozdeni ma NUKIB jeste vetsi. I ten listopad byl az druhy termin, puvodni vize byla, ze na vladu ta jejich transpozice NIS2 pujde uz v zari. Ono uz i puvodni termin pro podani pripominek se o 20 dni natahnul.
Pripravny proces se natahuje a pak se spechat se schvalenim ve Snemovne s argumentem, ze uz neni cas a hrozi sankce z EU. Mozna i to je soucast taktiky uradu... stejne jako vyuzili "prilezitost" tam propasovat onu regulaci, ktera z NIS2 vubec nevyplyva.
-
Ve vzduchu je jen otázka, jestli to odloží nebo osekají o ty třecí plochy.
Nelze předpokládat, že to stihnou, když ty největší problémy, které zaberou k řešení nejvíce času ještě tahají před sebou a už s těmi menšími udělali pěkné zpoždění.
Nemyslím si, že NÚKIB takhle taktizuje s časem, prostě zatím to řeší jen podle svého nejlepšího svědomí a vědomí (ať je jakékoliv) a a zapomínají na nutnou politickou shodu napříč všemi zúčastněnými.
Z pohledu dodavatele hodnotím současný veřejný návrh transpozice NIS2 jako nerealizovatelný, z pohledu rozpočtu, času a současných procesů. Primárně jde o hlášení všeho přes email, dopad na všechny ISP/samosprávy, dopad na celý dodavatelský řetězech bez vertikálního a horizontálního řezu.
Oni i potřebné náklady ministerstev, které teď nejsou v rozpočtu budou obrovský problém, protože je NÚKIB dopředu nevyčíslis, neudělal analýzu dopadů a trhu (ten obecný žvást není analýza), nemohlo to jít teď do rozpočtu.
-
§ 17, odstavec 4 navrhu noveho zakona email jako moznost explicitne zminuje. Pod nelze-li vyuzit portal se technicky vzato schova hromada vselimoznych duvodu a je naivni tam dovozovat jen duvody na strane uradu, nejaky duvod muze byt i na strane povinne osoby. Navic pokud ten portal bude fungovat stejne uzasne jako jine portaly statni spravy (oblibene nekolikadenni odstavky), tak se u toho emailu se skonci tak jako tak...
-
Ano. Ten portál ještě nikdo neviděl, ostatní webové výtvory NÚKIBu dávají tušit, že nic extra nelze čekat.
Firmy a implementátoři půjdou cestou nejmenšího odporu. Email lze automatizovat, lze logovat a evidovat, že k poslání došlo (jak budu vést evidenci poslaných hlášení přes portál je ve hvězdách), lze to poměrně snadno napojit na existující infrastrukturu, lze to dobře škálovat pro velké množství hlášení (představa NÚKIB, že chtějí vše je zcestná) atd.
-
Naopak, jejich predstava ze chteji vse je naprosto genialni, budete emaily odesilat maximalni rychlosti kterou vam server a konektivita dovoli, coz par milionu kusu denne hodi i na HW z popelnice a lince pres mobil.
Jen ja sam sem schopen za sekundu zaznamenat i nejakou tu tisicovku ruznych pokusu, ktere lze naprosto s klidem vyhodnotit jako utok. Specielne dle predstav nukibu.
-
Tak se prosím podívejte na definici kybernetického bezpečnostního incidentu.
A mimochodem, u každého incidentu existuje povinnost nejen vést jejich evidenci, ale taktéž instituce „prošetří a určí příčiny kybernetického bezpečnostního incidentu” a „vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.”
Kybernetický bezpečnostní incident je výjimečná událost, které se i ve velkých organizacích objeví v jednotkách ročně.
-
"Tak se prosím podívejte na definici kybernetického bezpečnostního incidentu."
Piosete hezky, ale nepravdive. Prectete si laskave ty navrhy legislativy, pripadne asi tak 30 clanku zde na to tema.
Neopravneny pokus o prihlaseni, je zcela zjevne bezpecnostni incident. Takovych umim i doma zaznamenat nekolik za sekundu. Nejaky, byt neuspesny, pokus o (d)dos je take bezpecnostni incident. Opet na dennim poradku. Atd atd.
-
Neoprávněný pokus o přihlášení téměř nikdy nebude kybernetický bezpečnostní incident (KBI), tak jak jej popisuje zákon. Dokonce ani neoprávněné přihlášení ještě stále nemusí být KBI, pokud neoprávněný přístup nevede k narušení důvěrnosti, integrity nebo dostupnosti primárního aktiva.
Chápu, že v IT prostřední se slovo incident běžně používá mnohem volněji, než jej definuje zákon, ale pro tyto účely je opravdu potřeba vycházet ze zákonné definice.
-
Ve skutecnosti je ta definice dosti gumova - a to i v tom zakone. A skvele nam tu predvadite, jak i na urade si tu gumu priohnete, jak se vam to zrovna ucelove bude hodit :-) Jen nevim co vas vede k presvedceni, ze na strane druhe se nebude dit to same. Pak treba prijde pravnik, co vam v ramci predbezne opatrnosti doporuci reportovat radsi vic veci a to i z kategorie co vy za incident treba uz nepovazujete. V duchu hesla better safe than sorry - v tomto pripade muze byt tou motivaci minimalizovat riziko eventuelni pokuty... jak znamo, prijmy z udelenych sankci jsou rozpoctovym prijmem, ze...? :-)
-
"nebude kybernetický bezpečnostní incident (KBI), tak jak jej popisuje zákon"
Takze neumite cist.
"Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události."
(d)DOS je zcela zjevne narusenim bezpecnostu sluzby. Pokusy o prihlaseni jsou zcela zjevne narusenim bezpecnosti informaci. Pokusy o shozeni https do http jakbysmet atd atd. Dokonce i scan portu je zcela zjevne bezpecnostnim incidentem, protoze zaroven ohrozuje sluzby a narusuje bezpecnost informaci, protoze utocnik na jejich zaklade napriklad zjisti, co za systemy to je, a pripadne jake diry obsahuji ze?
Jinak toto :
"Kybernetickou bezpečnostní událostí je událost, ..."
=== nekde(to plati 24/7) probiha nejaka akce, a mozna se to muze tykat i me infrastruktury, ale treba taky ne. Coz ostane presne vystihuje prave veta "v důsledku kybernetické bezpečnostní události".
Takze hlasit se nemusi to, co se subjektu nedotkne, ale to co zaznamena hlasit musi.
-
Edit: (protoze se editovat neda...)
Ad incident, vite co je to letecky incident? To je situace, kdy dojde k libovolnemu naruseni predpisu, provozu, zakopnuti, zkratka cemukoli, ale nic se pri tom nestane (zadna skoda na majetku ani zdravi). Normalne se to eviduje, ale narozdil od nehod se o tom netoci dalsi dily serie leteckych katastrof.
A presne stejny vyznam na to slovo odjakziva nejen v IT. Bezpecnostni incident na pracovisti je treba situace, kdy delnik dorazi bez prilby. A v souladu s legislativou mu tedy nesmi byt umozneno pracovat, ze?
-
A právě v tom se plete. To slovo *narušení* je podstatné a znamená, že aby se jednalo o kybernetický bezpečnostní incident (KBI), musí to mít nějaké důsledky na primární aktivum, typicky poskytovanou službu.
Např. v případě DDoS na systém, který ho ale v pohodě zvládne a služba byla dále poskytována bez omezení => nejedná se o KBI a není třeba jej hlásit.
Pokud o přihlášení opět není KBI. Ani scan portů a to ani pokud útočník zjistí potenciální slabiny. Porušení předpisů v oblasti kybernetické bezpečnosti taky není KBI, pokud nemá důsledky.
V IT se pojem „incident” používá různě. Pro tuto diskusi je ale důležitá zákonná definice a proto se v zákoně používá pojem kybernetický bezpečnostní incident, aby bylo jasné, že se nejedná o jakýkoliv incident, tak jak se třeba v odborné rovině vnímá.
ČLÁNKY DO MAILU