Vlákno názorů k článku Regulace podle NIS2: Přísnější režim zvýší personální nároky, nebude stačit jeden pracovník vyčleněný na celou kyberbezpečnost od RRŠ - Nějak mi uniká, jak ten byrokratický aparát reálně...
-
Nějak mi uniká, jak ten byrokratický aparát reálně pomůže chránit síť.
V současnosti se nám o bezpečnost staráteam paranoiků
, kteří mají poměrně dost vysoké technické znalosti - a dokážou si prosadit u managementu pravidla, která fungují. (Že na to všichni nadáváme, protože to neskutečně komplikuje ajtáckou práci, to je jiná věc.)
Ale podle toho, co se tu píše, budeme buď muset přidat pár úředníků nad ně - čímž fakticky budou poníženi a nebudou mít takové možnosti směrem do firmy - nebo je zavalíme papírováním, takže na reálnou práci jim zbyde méně času. -
Přesně toho, že mnohdy
reálná bezpečnost bude na horší úrovni než nyní.
se obávám.
Ona ta nařízení vznikají kvůli institucím/firmám, kde zatím mají žádná či minimální bezpečnostní pravidla a zabezpečení vázne. Tak je teď riziko vysoké - a je dobře, když dostanou nějaké noty, podle kterých si to mohou dirigovat.
Jenže na druhé straně jsou firmy, které to mají už dnes nastavené kvalitně - a těm to pouze přidělá práci, zvýší náklady a nahází klacky pod nohy, takže tam je opravdu reálné riziko zhoršení. -
Něco podobného se stalo v oblasti výroby potravin a pokrmů - HACCP (hazard analysis critical control points). Nastoupili mlamojové (mlamoj = mladý moderní jinoch, (c) Ondřej Neff) s barevnými tabulkami v Excelu a lide zvraceli a průjmovali dál. A někde byli staří praktici, lucidní v oblasti potravinářské mikrobiologie, kteří to neměli tak načančané (takže měli různé problémy s inspekcemi), ale to, co prošlo přes jimi nastavený HACCP, bylo pro strávníky bezpečné.
-
Ale vůbec ne. Pokud to mají nastavené kvalitně, tak se pro ně nic nemění a všechny z NIS 2 vyplývající požadavky si dávno plní. Jsou to fakticky přenesené požadavky z ISO 27001 aspol. a jsou to správné bezpečnostní požadavky. A ty bezpečnostní role musí mít již mnoho let, pokud se jich to týká a spadají pod stávající ZoKB.
NIS 2 obecně míří na firmy, co to mají na háku a bezpečnost řeší jen papírově a formálně vykazují, ale reálně neplní. Proto je NIS 2 více explicitní než ZoKB, aby se zamezilo svévolnému výkladu a "kreativitě" firem, jak ZoKB očůrat a na bezpečnosti fakticky ušetřit. Tím dojde ke srovnání podmínek na trhu a ty, kteří to mají nyní dobře a dávají do toho peníze nebudou znevýhodněné proti těm, co to plní jen formálně. Což je aktuální stav. Pokud tedy při transpozici NIS 2 nevykuchají a lobování neprosadí plno výjimek a zase z toho udělají českého Potěmkyna. -
Pokud se ovšem nenajdou závažné námitky typu "máte to vyplněno do špatných formulářů" apod. Uvědomte si, že o té NIS 2 a jejím plnění rozhodují počítačově naprosto negramotní úředníci, kteří bezpečnostní či naopak rizikový prvek nejsou s to rozpoznat, a tak se budou točit na bezvýznamných podružnostech, které zabijí vše pozitivní, co v tom případně je.
-
Úplně se mi vrátila vzpomínka na rok (tak nějak asi) 1998 a
sotwareový audit
na našem pracovišti: dorazili prověření auditoři s přesným manuálem a koukali mi přes rameno, jestli píšu přesně to, co měli v papírech - tedy výpis všech souborů na síťovém disku do souboru a poté tisk souboru na rychlotiskárnu Genicom. Následně pak odnesli stoh papíru do své kanceláře a s dlouhým pravítkem asi tak šest týdnů projížděli řádek po řádku, zda tem náhodou není nějaký nelegální software... (Nemohl být, protože mezi výpisem do souboru a tiskem by to kolega stačil profiltrovat.)
Dnes je jiná doba, úředníci budou mít mnohem lepší nástroje - ale utopí se ve formálním kontrolování podle nějakého checklistu úplně stejně, jako tenkrát, obávám se. Najdou řadu formálních pochybení, ale reálný stav jim zůstane utajen; nebo naopak ověří, že je vše dle předpisů vyplněné, ale reálný stav... -
Uplne se mi vraci ... situace zhruba 1/2 roku stara. Dosla auditorka. Tedy financni auditorka aby si firma (a.s) splnila svou povinost. A prisla s tim, ze po ni komora chce, aby delala audit bezpecnosti IT. S tim, ze prvni co vysvetlovala, ze ona, ktera nevi ani jak se pocitac zapne (libuje si v papirech) je ted "nadrizena" IT.
A ten pozadavek byl prakticky exaktne stejny, ona chtela treba vypis prav, coz by bylo asi tak nekolik desitek kilometru potisteneho papiru. A stejne by z toho nebyl nikdo schopen rict, co kdo vlastne muze.
Nakonec si sepsala nejaky blabol na hromadu papiru, a tim to bylo odbyto.
Toto nedopadne jinak.
-
"Tak zrovna tohle stat ovlivni snadno..."
Neprijdou, penize nejsou vsechno. Je to sice nejaky rekneme predpoklad, ale nikoli postacujici.
Kdo normalni by se chtel "podepsat" pod buzeracnenefunkcni systemy statu? Kdo normalni by se chtel chlubit napriklad tim, ze se podilel na eshopu s jednim produktem(dalnicky) za miliardu?
Dale je treba k tomu pridat typicky naprosto neschopne nadrizene. Chcete s nekym takovym spolupracovat?
Chcete pracovat pro stat, kde jeden urednik nezvladne spocitat* jeden duchod za 1/2 roku? Pry je jich chudaku malo ... (CSSZ ma pres 8k zamestnancu). Tech duchodcu bez duchodu bylo(a mozna stale je) pokud vim +-20 000.
*Zcela pomijim fakt, ze nic nepocita, jen zmackne tlacitko v pocitaci, a spocitat to, i v ruce, zvladne kazda svepravna mzdova ucetni.
-
Systematicky ignorujete to, ze ty povinnosti dopadnou i na nove subjekty, kterych se to ted netyka. Treba na hostingy, co delaji low-cost sluzby za par kacek, ne-li skoro zadarmo. Zrovna kriterium postavene na poctu domen je tady bullshit. Nehodnoti se ty dopady, jak NIS2 predpoklada. Ono proste nejde dat rovnitko mezi deset tisic blogu o kovkach a deset webu ustredni spravy...
-
Ano, tohle může být relevantní námitka a já jí neřeším. Hostingy neznám a ani mne nezajímají, protože je nepokládám za kritickou infrastrukturu státu, která já se věnuji v energetice. A ano, o rozsahu povinných subjektů je určitě správné diskutovat a zdali není příliš široký. Za mne? Já nevím, protože k tomu mám málo podkladů a věnuji se jinému sektoru.
ČLÁNKY DO MAILU