Vlákno názorů k článku Regulace podle NIS2: Papírování pokračuje, velké podniky budou muset pravidelně řídit rizika od MarekIM - Je absurdní psát o nějakém papírování. V korporátním...
-
Je absurdní psát o nějakém papírování. V korporátním sektoru je asset management dávno automatizovaný a vůbec to nesouvisí jen s bezpečnosti ale s plánováním a evidencí aktiv, obměnou hw, sw, řízení nákladů atd. Software jako ServiceNow, Atlassian CMDB a moře dalších řešení tohle umí a desetiletí se to tak dělá a jsou plně integrované do firemním procesů a schvalování.
Na to navazují systémy pro risk management, kde vám automatizovaně vybíhá reporting dle aktiv. V ČR je známé řešení RECu s jejich RAMSESem, ale jinak je plno dalších jako Diligent, Crisam a plno dalších. Dělá se to takhle desetiletí a jde o standardní činnost. A při auditu ISO 27001 je to základní report, který běžně předkládáte. Fakt nechápu, co se tady řeší a že se řeší tahle zcela základní a standardní záležitost.25. 7. 2023, 14:50 editováno autorem komentáře
-
Jinymi slovy se bude vytvaret dalsi vektor mozneho utoku, protoze s kazdym pouzivanym softwarem rizika logicky rostou. A ten se bude pouzivat jen proto, aby se splnila nejaka byrokraticka povinnost. Pricemz ten software casto pro svou cinnost potrebuje sam o sobe vyssi opravneni...ze? ;-)
Audity a rizeni bezpecnosti dle ISO 27001 melo i v clanku zminovane RSD. Jak to navzdory te byrokracii dopadlo ale take vime. Tohle jsou presne veci, kdy sice na papire muze vsecko vypadat bezpecne, ale v realu to bude dira vedle diry. Ostatne vyse mate i priklad s NUKIBem, co pouziva software, co uz devet let (!) zjevne neaktualizovali a co obsahuje zname chyby...
Troufam si rict, ze na svych vlastnich serverech i bez nejakych lejster dle ISO 27001 ridim bezpecnost lepe nez tyhle instituce, co se ohani splnenym checklistem do auditu...
-
To je zase bramboračka míchající páté přes deváté. Takže když to budu parafrázovat, máme zůstat u psacích strojů a nepoužívat žádný další sw, protože nám "roste vektor útoku". Úsměvné. Pochopitelně žádné ISO nezaručí neprůstřelnost a nikdo to netvrdí a ani neočekává. Celé je to o systématickém přístupu, snižování rizika, porovnatelnosti a automatizaci. A vůbec to není o žádných checklistech, protože to je přesně ten špatný přístup v rozporu s těmi standardy. ukazující jejich nepochopení. Prostě na světě jsou všichni hloupí, ale my máme českého chytrolína, který si myslí, že ví všechno nejlíp a ty zkušenosti a znalosti tísíců špičkových specialistů z celého světa, odrážejících se v těchto standardech, jsou nic. Proč mne tihle lidé v ČR už nepřekvapují.
-
Resit veci systematicky a automatizovane jde ruznymi zpusoby a prekvapive i z druhe strany to poskytne data o spravovane infrastrukture. Vse co zminujete zvladne treba i Ansible, jen kolem toho nebudete mit takove omalovanky kolem. Ale z toho nejde dovozovat, ze by v takove infrastrukture byla rizika vyssi.
Ti chytrolini sedi na NUKIBu a vy ve svem energetickem odvetvi take odrazite (musite) - kdyz po lidech mj. chcete, aby periodicky nucene menili hesla. Spickovi specialiste ve svete rikaji, ze toto je z pohledu bezpecnosti naprosta blbost a odrazi se to mj. i v NIST SP 800-63B ci doporuceni NCSC. Ale jasne, snadno se to nastavuje a radoby-bezpecaci vykazou cinnost a moc se u toho nenadrou, ze? :D
-
A už jsme zpátky u hesel a kruh se uzavřel. Dokola tady hartusí parta dědků jak to kdysi bývalo super a jak to fungovalo doteďka bezvadně. Kristova noho, přestaňte se dívat na stromy a dívejte se na les. Cele je to primárně té metodice a implementace se pak může samozřejmě měnit v čase. A ona se bude měnit, svět se vyvíjí.
-
To fungovalo bezvadne je v pripade tech hesel reprezentovano prave tou vynucovanou zmenou, ktera je ostatne ve vyhlasce uz od roku 2014. Driv to vsem prislo jako skvely napad to jednou za X mesicu vynutit zmenit, tak proc v tom nepokracovat, ze... Nova metodika, ktera tenhle pozadavek pozaduje implementovat v roce 2023 je koncepcne na prvni pohled zastarala a nereflektuje trendy, ktere rikaji i spicky v oboru (NIST, NCSC, SANS...)
Vasim slovnikem tu metodiku v Cesku tedy musi zakonite psat prave ti dedci ;-)
Samotnym NIS2 se jako nitka prolina i to, ze se ma resit primerenost a ucelnost opatreni vzhledem k dopadum atd. I to si ti dedci na urade zjednodusili, protoze skutecne hodnoceni miry rizika da o dost vic prace a treba posuzovat individualne, zatimco placnout nejaky cislo vycucany z prstu s tim, ze pak je to automaticky vic kriticky tak narocny neni. A o tom presne je ta narodni transpozice. Pak se bude nadavat na nesmysly z EU, ale skutecny problem vytvari dedci na nasich uradech, kteri s tou prisnosti jdou zcela nesmyslne dal... a pritom sami na sebe moc prisni nejsou ;-)
-
Na to hodnocení rizik byl kdysi kreslený vtip. Teď ho nemůžu najít. Dělal se v něm audit lidského těla a auditor nutně potřeboval seřadit orgány podle jejich důležitosti. A od kohosi chtěl vědět, zda je pro život důležitější mozek nebo srdce. Nenechal si vysvětlit, že oboje je důležité stejně. A ten druhý nakonec rezignoval s tím, že důležitější bude srdce. Protože auditor je důkazem toho, že zjevně lze žít i bez mozku.
Již jsem za život několika audity na bezpečnost SW prošel. Když zpracováváte údaje o občanech USA, tisknete v předstihu výroční zprávy pro velké společnosti, ukládáte údaje o kreditních kartách apod., tak se to docela nastřádá. Na tomhle nařízení mě nic moc neděsí, není tam nic extrémně nestandardního. Jen se přidám k některým diskutujícím v tom názoru, že jakmile je to takhle legislativní povinnost, tak se na to nabalí mraky auditorů, co budou prodávat razítka za peníze. Šablona, vyplnit pár políček, vytisknout, podepsat, za rok nashledanou. Asi jako revize komína prováděná pracovníkem v obleku.
Vlastně si ani nedokážu představit, že by to většina firem mohla dělat jinak. Takový audit zabere ohromné množství času, hází vám svými požadavky klacky pod nohy, vyškoleni a auditováni musí být všichni a celé je to ohromně drahá záležitost. Tedy, pokud to berete vážně.
-
Inu,
sláva zbytečným auditům!
Právě trávím příplatkovou noční směnu instalací nesmyslného formálního nastavení na serverech - protože to auditoři mají v jakémsi seznamu jako nutné. Nikoho nezajímá, že nemáme žádnou komponentu, která by na to nastavení byť jen narazila. (S výjimkou auditního software.)
Jestli to takhle bude vypadat s celým NIS2... - tak firma líp zabezpečená nebude, ale já si víc vydělám, takže bude na alimenty, až se se mnou žena kvůli ustavičné noční práci rozvede.
ČLÁNKY DO MAILU