Vlákno názorů k článku Správa základních registrů nedbá základních bezpečnostních pouček od Necris - Otevřenost určitě není jediná cesta k absolutní bezpečnosti,...

Absolutní bezpečnosti se dá dosáhnout maximálně odpojením od sítě a lokálním systémem se zavřenými dveřmi. U všech ostatních riziko napadení existuje, je ho potřeba ale všemi silami snižovat na minimální úroveň.

Plně souhlasím s tím, že otevřenost je jediná slušná cesta k solidnímu zabezpečení tohoto systému. Zvláště u tohoto projektu je, nebo by mělo být, zainteresováno příliš velké množství lidí, než aby šlo informace důvěryhodným způsobem tajit. Pokud byste chtěl utajit způsoby napojení a fungování tohoto systému, jak byste se dožadoval zpřístupnění k dokumentaci, a na základě čeho by ministerský úředník rozhodl, jestli máte nebo nemáte právo ji vidět? Tvrzení, že pracuju na úřadě XY jako správce můžu podat taky, byť to není pravda. Jak to úředník ověří, že nekecám? Nebo chci vyvinou systém pro úřad. Jak se prokážu, že mi můžou dát popis API? Smlouvou s úřadem, ještě než jsem něco začal dělat? Dobrým slovem, nebo známou značkou výrobce sotfware pro úřady? A opět, jak úředník ověří, že nekecám? Certifikátem na čí jméno?

Bezpečnost by primárně měla stát na skutečnosti, že víme, co potřebujeme, ale nejsme schopni to získat bez oprávnění. Doplňkové zabezpečení, že nemáme kudy se tam dostat, je pořád jenom doplňek. (Tohle myslím pro IZSZ už neplatí). Zabezpečení už není, že nevíme kam a jak se chceme dostat. To je spíš ochrana před nenechavými prsty útočníků, kteří nemají dostatečnou výdrž. Nepochybuju o tom, že by zůstala tajná dlouho, na rozdíl od myšlenky, že oni to přece nevědí.