Z nášho pohľadu je to presne naopak: zverejnené nie je skoro nič, čo je zjavne oveľa menej ako je možné.
Rád sa vrátim ku konkrétnej argumentácii, pravdepodobne v nejakom vhodnejšom topicu, tu len jeden príklad, ktorý sa spomína aj v relácii o ktorej tu začala diskusia: áno, som absolútne presvedčený, že odborná diskusia o riešeniach bezpečnosti eGov musí začať analýzou potrieb, t.j. koľko akých služieb, v akom rozsahu, akej kapacite verejná správa (resp. jej civilná časť) potrebuje, napr. v roku 2019, v 2020 atď. A nie je žiadny dôvod nič z toho utajiť.
Chápem, je pohodlné žiť si v bubline do ktorej nikto nevidí a je do nej možné naliať ľubovoľne veľa peňazí s odôvodnením že “bezpečnosť musí byť” (toto prosím neberte osobne).
Btw. čo je na tomto “ideologické a politické”? V časoch OPIS bolo z veľkej časti celé štátne IT čierna diera do ktorej veľmi slabo vidno, výsledky sú známe. Čiže áno, S.D vzniklo aj kvôli tomu a verím že sa to postupne podarí zmeniť, aj v bezpečnosti.
Viď. hlasovanie v PS2. Vedenie sekcie bolo informované a s postupom zjavne súhlasilo.
Reagoval som na vyjadrenie, že so S.D sa nedá odborne diskutovať, ktoré je evidentne nepravdivé a tipujem že si to ani nemyslíte.
Btw. od posledného kola pripomienkovania SP KyB som mal ozaj nízke očakávania - vzhľadom na predošlé skúsenosti, ale prebiehalo celkom konštruktívne, kým sa to teda opäť nezastavilo. (Prosím všimnite si tú pochvalu v predošlej vete. )
Aha, čiže už nie “z druhej strany (SD) bola snaha iba o politicku a ideologicku diskusiu”, ale “k jednému dokumentu nám nedali pripomienky”. Prosím upravte svoje vyjadrenia, aj keď sa rozprávate s vedením úradu, aby potom zbytočne do rádia nehovorili ako “S.D nemá odborné zázemie”.
Chcel som tu zavesiť porovnanie štúdie pred a po pripomienkovaní, ale nemôžem, lebo na MetaIS je stále verzia z pred pripomienkovania. Vychádza mi to teda tak, že sa v štúdii nezmenilo nič.
Ešte aj tú akože podmienku z Riadiaceho výboru, že štúdiu treba prerokovať na PS, ste odbili totálne formálne, bez záujmu o akúkoľvek spätnú väzbu.
Že chýbajú zdroje na IT počujem prvý krát. Pol miliardy Eur každoročne (priemerne) je zrejme málo…
Mýlite sa. Jednak nie sme v S.D až tak naivní, ako si asi myslíte - čiže nie, nehovoríme o tých istých. Dvak, našim cieľom nikdy nebolo zrušiť tento projekt, nieto ešte CSIRT. Chceme “iba”, aby sa vychádzalo zo skutočných údajov, aby projekt dával čo najväčší zmysel a bol aj ekonomicky efektívny. Trak, čítam si novú rámcovú zmluvu v tomto utajenom projekte a mám neodolateľný pocit, že “niekoľko miliónov ročne” je zaistených.
Ale že všetky aktivity dodávateľov budú viditeľné ma iba teší. Len dúfam že nie je myslený nejaký špeciálny význam slova viditeľnosť, napr. že verejne nebude viditeľné nič.
Naopak, do tejto neplodnej diskusie som sa odhodlal len preto, že som niektoré absurdné výroky nechcel nechať úplne bez reakcie. Ako si robíte svoju prácu neviem, keďže z “dobrých dôvodov” je skoro celá utajená. Ináč ja si stále myslím, že práve zverejnenie viac informácií môže bezpečnosti (a CSIRTu) iba pomôcť.
Ale no tak, prosím neulietajte, zostaňme pri faktoch. Čiže: 1) Uznávate, že k tomu diskusia žiadna nebola. 2) Keďže ten zákon dobre poznáte, viete že príslušný §15.2 sa vzťahuje iba na nové projekty, ktorých VO začne po účinnosti zákona. 3) Bez snahy nejako zmenšovať zásluhy, CSIRT nenesie zodpovednosť za nič, ani za kontrolu kódu. Zodpovednosť je na objednávateľovi a dodávateľovi. Dodávateľ má povinnosť dodať bezpečný kód. Za vady má mať pokutu. O tom, že kód bude zverejnený, má samozrejme vedieť vopred. 4) Pozrel som nejaké verejné repozitáre veľkých svetových projektov. Nenašiel som tam žiadne miesto s poznámkou “tuto sme kód nezverejnili, lebo by to mohlo byť zneužité na činnosť smerujúcu k narušeniu alebo k zničeniu informačného systému.” 5) Pôvodnú požiadavku (bez bezpečáckej výnimky) sme do zákona nedali my, ale ÚPVII, v takejto verzii to prešlo aj cez VPK. 6) Netrpezlivo čakám na detaily, ako podľa Vás túto myšlienku implemenovať správne a včas.
Fair enough.
Takže želanie číslo 1: pracovná skupina, nech funguje.