.1. rokovanie PS2 bolo 31.5.2017.
Zhruba takéto veci sa preberali:
- Zákon o kybernetickej bezpečnosti:
Návrh zákona je v MPK. Bolo ohlásené že to príde odprezentovať niekto z NBÚ, prišlo cca. 15 ľudí čo o tom chceli diskutovať. NBÚ nakoniec neprišlo.
Viacerí prezentovali veľmi kritické pohľady na tento návrh zákona, pamätám si najmä diskusiu zástupcu MFSR, CSIRT.SK a vedúceho PS:
-že v zákone o KyB mali byť vložené aj veci zo zákona o InfB, ale táto verzia zákona sa tým nezaoberá, teda nie je v súlade s koncepciou KyB, napr. vypadla problematika vzdelávania
-NBÚ sľubovalo zjednodušenie byrokracie - napr. OOÚ/GDPR, krit. infra. atď. - zjednotenie povinností, to však v návrhu zákona chýba
-MOSR dostáva príliš veľké kompetencie, napr. z dôvodu prevencie môže vkladať zariadenia do IS
. týka sa to aj súkromného sektora!
-povinnosť hlásiť aj bezp. nastavenia pre niektoré IS
-nerieši sa bezpečnosť ISVS, chýbajú prvky bezpečnosti na národnej úrovni, chýba sektor pre VS
-zástupcovia vacerých rezortov deklarovali, že v MPK podajú zásadné pripomienky
Takže sa dohodlo že vedúci PS skúsi vybaviť ešte jedno stretnutie ku zákonu o KyB na ÚPPVII (za účasti NBÚ), ešte pred koncom MPK. Najlepšie by bolo tam riešiť konkrétne otázky, ktoré treba poslať vedúcemu PS do pondelka (5.6).
- Vyhláška o tom, sprístupnenie ktorých informácií môže/nemôže ohroziť bezpečnosť IS
Toto je stará tema: do infozákona je plán vložiť výnimku pre sprístupňovanie informácií z dôvodu ohrozenia bezpečnosti IS. Keďže to by samo o sebe umožňovalo príliš široký výklad (napr. aj “prezradenie” že organizácia vôbec nejaké PC vlastní zvyšuje riziko), preto je plán súčasne k tomu vydať vyhlášku, kde sa to konkrétnejšie upraví.
Draft je takýto: Vyhlaska_IKT_bezp_udaje_2017.pdf (344.8 KB)
-Toto je kompromisný výsledok viacerých rokovaní z minulosti, preto by sa už do toho nemalo principiálne zasahovať.
-Boli otázky k niektorým konkrétnym veciam: napr. či info o verziách ako “úplné komerčné označenie produktu” nie je príliš veľké riziko, ako toto súvisí so zákonom o kritickej infraštruktúre.
-V tomto znení PS odhlasovala návrh vyhlášky.
-Zákon 211/2000 je pred MPK, pripomienky k tejto vyhláške je aj tak lepšie riešiť v tejto PS.
-Táto vyhláška sa má týkať doplnenia §11 zákona o novú výnimku, mechanizmus pre opakované použitie údajov nebolo zatiaľ plánované riešiť.
-Dodatočne som po preštudovaní vyhlášky navrhol vypustenie §1 písm.h) “vecné údaje databáz a registrov”, keďže sprístupňovanie vecných údajov sa nijakým spôsobom netýka ohrozenia bezpečnosti IS v zmysle tejto vyhlášky, je teda úplne mimo jej zmocnenie. Umožnenie/odmietnutie prístupu k vecným údajom sa riadi inými časťami zákona 211/2000 a ani nie je dôvod riešiť to v tejto vyhláške.
- Formáty elektronického podpisu a pečate
O tomto už rokovala PS4. Od PS2 sa očakávali “iba” pripomienky z pohľadu bezpečnosti.
-Klasická téma je požiadavka na jednoznačnú vizualizáciu a absenciu aktívnych prvkov v podpisovaných dokumentoch. V podstate k záverom z PS4 nebola žiadna zásadná pripomienka alebo doplnenie.
Podľa mňa hlavný problém pri KEP v súčasnosti nie je či sa do vyhlášky vloži veta “softvér musí dodržiavať WYSIWYS princíp”, ale to že:
-mnohé OVM vydávajú KEP, ktorý nie je v súlade s eIDAS, ľudia to nevedia otvoriť, ani ďalej použiť, po čase tieto dokumenty nebude ani nikto akceptovať
-podateľne OVM častokrát odmietnu overiť podpis “od iného výrobcu”, obzvlášť vážne je to pri CEP ÚPVS, keďže má byť centrálna
-overovanie podpisu nesmie byť spojené s overovaním formátu dokumentu a pod.
-v certifikátoch je vyžadované rodné číslo
O tomto sme aj stručne hovorili, zástupcovia ÚPPVII deklarovali viaceré aktivity na riešenie týchto vecí. Ja som navrhol, aby PS žiadala ÚPPVII, ktorého úlohou je koordinácia VS v oblasti informatizácie, aby zverejnil zoznam problémov v tejto oblasti a plán ich riešenia aj s termínmi. Tento návrh bol aj PS odhlasovaný (ale vôbec nie jednomyseľne).
- Doplnenie metodického pokynu k výnosu o štd. ISVS, že SHA-1 je odporúčané nepoužívať.
Tento návrh bol odhlasovaný.
Zároveň zástupca SISp poukázal že vo výnose v §4,6,7 a 10 sa uvádza ako povinná podpora " SSL minimálne vo verzii 3.0", čo už je z bezpečnostného hľadiska úplne mimo. Asi by bolo vhodné buď takéto veci vo výnose neriešiť, alebo to poriadne sledovať/aktualizovať.
Pikoška: riaditeľ CSIRT.SK povedal, že všetci správcovia zariadení zraniteľní WannaCry cez internet boli varovaní 2 týždne pred útokom.
@stefan.szilva prípadne ma doplň/oprav