Názory k článku Regulace všech. Novela kyberbezpečnostní směrnice zasáhne i nejmenší operátory
-
Trosku bych polemizoval s nazorem, ze mali operatori maji bezpecnost vyresenou. Staci se podivat na to, jak (ne)implementuji BCP38/RFC2827 ve svych infrastrukturach. A pokracoval bych tim, jak moc (ne)aktualni a (ne)zaplatovany software tamtez provozuji. Rozhodne take neplati, ze by vsude meli management opravdu izolovany (ba co hure, skrze CDP/LLDP/etc se ty zarizeni jeste napraskaji). A takhle muzeme pokracovat... ona treba uz i nastaveni sifer u webove prezentace (nebo mailserveru, ze ktereho chodi faktury) o necem svedci - obcas ty verze, co se ve hlavickach napraskaji jsou prehlidka ze softwaroveho muzea :D S implementaci SPF, DKIM, DMARC se take cas neztraci :-) (ale pak budou vsichni brecet, ze phisingove kampane jsou uspesne).
Ano, je to spousta veci okolo, co je potreba taky resit (a to se bavime porad o technice, nikoliv o papirove strance veci) - protoze se bezpecnosti proste nejak tykaji. A ano, znamena to mj. i to, ze si ISP zamestnaji lidi, co tyhle veci zvladnou resit. A rozumim tomu, ze v prostredi se sluzbama za dve stovky s tim problem byt holt budou... stejne jako maji problem s nasazovanim IPv6, zejo.
-
Ale ono to omezeni i u purchasementu ma svoji logiku. Ty mozna (dost pravdepodobne) jdes po nejnizsi cene... ale to jisti nejmenovani borci z vychodu urcite moc dobre vedi a tak jdou s cenou naopak znacne dolu... a ne, to nebude nejaka dobrosrdecna charita, za tim bude nejaky jiny cil :-) A ten cil samozrejme nebude kratkodoby...
Mozna jsem paranoidni - ale jsou rizika, na ktere ti ani oddeleny sitovy management nepokryje. Nevis, co vse je skryto v uzavrenem firmware a jak dane zarizeni zareaguje na jim pruchozi paket. Nejaky "magic packet", co pri pruchodu zarizenim z nej "treba jen" udela nefunkcni tezitko neni zas az tak nerealny scenar. No a pokud takovy firmware produkuji v zemi, ktera s nama nema uplne optimalni vztahy... vazne mu jde duverovat, ze tam nejaka skryta zadni vratka nejsou? Jiste, muze padnout argument "proc by nekdo vubec utocil na nejakou malou sit"... inu treba prave proto, aby v obecne rovine narusil komunikaci v dane zemi - a kdyz vi, ze tech operatoru tu jsou stovky a ze nestaci sestrelit jen incumbenty... a vsude o kolo je mj. videt, jak se komplexita utoku zvysuje.
Me ty body (okruhy) prijdou v obecne rovine v pohode. Chapu, ze ten posledni bod asi vyradi nejake (levne a soucasne nekde oblibene) dodavatele... ale beru to tak, ze internet coby infrastruktura je z pohledu dnesniho fungovani cele spolecnosti vyrazne kritictejsi, nez tomu bylo pred 10-20 roky - a holt oblibene "nejlevnejsi" nemuze byt jedina metrika. Takze i pristup se chtenechte musi teto skutecnosti prizpusobit. A opet jsme u toho, jestli ten kdo prodava internet za dve stovky takto vubec chce (sam a dobrovolne) premyslet... ja tomu proste neverim.
PS: ...prednaset v zari reflektoru me faaakt strasne moc nebavi... :-) -
REJJAPodporovatelTo já se do polemiky klidně pustím. Neznám všechny malé ISP, ale znám jich hodně. Koho jsem se zeptal, svorně potvrdil: Izolace infrastrukturálních zařízení je základní předpoklad. Phishingové kampaně nemají s provozem telekomunikační infrastrukturou co společného, to je jiná služba. Tím netvrdím, že kašlat na bezpečnost mailového řešení je v pořádku.
Tímhle matením pojmů akorát přesvědčujete úředníka, že má na všechno vytvořit tvrdou regulaci. Vážně míněné - chcete-li přijít prezentovat chyby při obraně infrastruktury, jste vítán na KKTS. Můj mail je jakub.rejzek@vnictp.cz -
Vsak prece netvrdim, ze tomu tak je vsude (a zrovna u bubline kolem VNICTP predpokladam spise tu pozitivni zkusenost). Ale proste takove site s mene zodpovednym pristupem ke sprave kolem nas proste take existuji - tech provideru (jen poskytovatelu internetu v pevnem miste) CTU eviduje vic jak 760 (dle nove databaze, dle te stare 2527).... a nikdo nemuzeme znat vsechny :-) A jedna vec je o tom nekde mluvit (kde diskutujici muze jen chtit nebyt za blbce) a druha vec skutecny/fakticky stav - a ten z diskuze nezjistis... to bys tam musel dojet a udelat poradny testy :-)
Jisteze, zrovna phising se ISP se telekomunikacni infrastruktury primo netyka... ale zrovna ignorace 22 let stareho BCP38/RFC2827 realny problem je - a nikoliv toho poskytovatele, ktery se na to vykasle - ale pak nas vsech okolo, co se s realnymi dopady tohoto slendrianu musi denne vyporadavat... (DDoS, ktere vyuzivaji prave toho, ze jde podvrhnout zdrojovou IP v tech sitich, co na BCP38 kaslou, ze...). A nemusim byt pritelem tvrdych regulaci - ale co s takovymi tedy navrhujes udelat, kdyz dobrovolne se k tomu resit svou infrastrukturu bezpecne nemaji? Navic predpokladam, ze zrovna tahle "cilova" skupina po podobnych konferencich moc nejezdi. A vlastne je jim asi i jedno, ze pusobi problemy druhym... hlavne ze sami vydelavaji.
-
REJJAPodporovatel
Já to s tou přednáškou na KKTS myslel vážně, pojďme do toho, prosím.
BTW má to celkem 7 okruhů budoucí regulace. To co vnímám jako potencionálně velký zdroj problémů pro infrastrukturální hráče NEJSOU analýzy rizik a bezpečnostní politiky či zajišťování bezpečnosti, to je +- očekávatelné, ale přehnaná omezení v purchasementu. Už dneska nejsou menší firmy bůhvíjak atraktivní pro velké výrobce. Návrhy které jsem četl byly dost hrůzostrašné.
Okruhy:
Vytvářet analýzu rizik a bezpečnostní politiku informačních systémů
Dohlížet na řízení incidentů a vytváření eskalačních schémat
Zajistit kontinuitu podnikání a krizového řízení
Zajistit bezpečnost při pořizování, vývoji a údržbě sítí, včetně odhalování zranitelností
Vytvářet bezpečnostní audity k posouzení účinnosti opatření
Splnit povinnost používání kryptografie a šifrování
Hlídat bezpečnost dodavatelského řetězce
ČLÁNKY DO MAILU