Názory k článku Regulace podle NIS2: Úřad usiluje o možnost nařizovat mlčenlivost o incidentu

No bude zase uzasny paskvil :-) Aneb podle GDPR tu mame povinnost oznamovat pripadny unik udaju subjektum, kterych se subjekt tyka - a do toho vleze jiny urad, ktery vam to muze zakazat. Pricemz unik je samozrejme (vazny) bezpecnostni incident. A ted cim se ma teda subjekt ridit? Protoze zakony samozrejme budou platit oba. Kdyz porusite povinnost danou NUKIBem, zacne se po vas vozit UOOU, a kdyz splnite povinnosti vyplyvajici ze zakona 101/2000, zacne se po vas prozmenu vozit NUKIB - pokud se jejich "zakazem" ridit nebudete.

Timto mimo jine NUKIB prokazuje, ze bezpecnosti proste a jednoduse vubec nerozumi. Ti radoby-experti razi security through obscurity. Protoze i ono neinformovani zasazenych subjektu je obycejna obscurita - co ve vysledku z pohledu incidentem zasazenych entit muze napachat vic skod nez uzitku.

Obávám se, že NUKIB tomu naopak rozumí velice dobře, a že je to opatření pro případ, že by zdrojem incidentu byla nějaká státní nebo EU organizace. Případně NATO.

To ale moc neresi problem kolizni narodni legislativy. A ten problem nevytvari EU, ale kreativni cesky clovek svymi prilepky. I ta statni instituce se zakony ridit musi.

V tomto se konkrétně nechci nijak zastávat NÚKIBU a pokud dojde ke kolizi zákonů tak tipouji, že LRV to NÚKIBu vyčte a ten to zapracuje.

Jinak k "Ti radoby-experti razi security through obscurity" tak co je prosím 30 denní lhůta k napravení identifikované zranitelnosti výrobcem. Jestli ne "security by obscurity"? A přesto je to celou komunitou uznávaný postup. Myslíte, že by bylo ideální to hned dát všem vědět detaily a nejlépe i PoC, protože "security by obscurity" je blbost? To by bylo úniků, než to někdo zaplatuje už by toho útočníci zneužívali ve velkém.

Obecně i "security by obscurity" má své místo (nedostatek informací zkrátka komplikuje útok, to vám poví každý útočník). Nelze na to bezmezně spoléhat, ale...

V případě, že na mě někdo útočí a já zveřejním "všem, hned", jak to provedl, jsem sice transparentní a ostatní mají možnost se vůči tomu ochránit, ale v krajním případě hrozí, že toho zneužije někdo jiný jinde. To bude nejslíš to proti čemu chtěl autor toho textu bojovat. NÚKIB to chce nejspíš (samostatně) sdělit pouze omezené skupině (dotčených/kri­tických) subjektů, čímž se mu podaří snížit riziko zneužití dalším škodlivým aktérem.

11. 6. 2024, 13:00 editováno autorem komentáře

U te lhuty predpokladate, ze na tu zranitelnost prijde jen nekdo s bilym kloboukem na hlave a uz nikdo okolo. Ve skutecnosti ale nevite, kdo vsechno o ni vi a jak dlouho o ni kdo vi. Takze ti vsichni "okolo" maji tech X dni diru, o ktere vubec nevedi a nemuzou prijmout ani zadne protiopatreni - i kdyby se treba meli jen zamerit na to, zda to nekdo opravdu aktivne nezneuziva. A do te doby, nez informace jde ven jsou proste zranitelni...

A neni to nutne o tom, ze o tom musite psat verejne na internet. K cemu pak mame TLP? K cemu mame vsechny ty CSIRT/CERT teamy, kdyz se i pred nimi ty informace v praxi tutlaji a NUKIB je v tom doslova prebornikem?

Moje zkusenost s NUKIBem pri treba odrazeni utoku Noname57(16) je asi takova, ze vas v tom proste nechaji vykoupat a hledejte si informace jak chcete, z nich zadne uzitecne info stejne nedostanete. Nastesti v zahranicnich organizacich takovi zabednenci jako u nas nepracuji a informace poskytuji.

Nebojte, podle zákona číslo 101/2000 Sb. nic plnit nemusíte, ten už roky neplatí. ;)

To na meritu veci nic nemeni, v zakone 110/2019 je ta informacni povinnost zakotvena taky. Ono se jen navazalo, v tomhle se nic fakticky nezmenilo.

v tomhle ale není rozpor, povinnost mlčenlivosti ti musí úřad nařídit a jedná se o nařízení s větší specializací, tedy má před GDPR přednost. Takovýhle rozporů je v legislativě celá řada, tady máš ještě v ruce dokument, který ti to jasně nařizuje a k tomu ho zpocňuje zákon.

Neřeším, jestli tohle je správně.

Tot prave otazka, GDPR je preci narizeni EU a ty povinnosti jsou vicemene uz tam - nas zakon je v tomhle smeru spis uz jen "provadeci vyhlaskou". Narizeni jsou podle me narodnim zakonum naopak nadrazena, ne? A to i tem "specialnim".

tohle je složitá kaskáda pro mě nepochopitelných pravidel.

Ano, nařízení platí pro všechny, ale máme tady adaptační zákon, který přidává potřebné vyjímky, v něm je třeba par. 12, který trochu zjemňuje článek 34 GDPR.

Tohle nemám ze své hlavy, mám tady spousty poznámek od legislativců, stejně nám to totiž platí v kritické infrastruktuře, oznamovat dotčeným subjektům defakto můžeme jen, když nám to úřad povolí.