Red Flags: Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT)

toto je inak dobry priklad, ktory ílustruje problem s cba, aky je finacny dopad takehoto incidentu? okrem ceny za posielanie listov tam ziadny priamy finacny dopad nie je, ohrozuje to doveryhodnost systemu. zrejme existuje hranica vydavkov na bezpecnost, a potom je uloha za dane peniaze postavit co najlepsiu ochranu.

Nerozmýšľaj, odpoveď je predsa jasná - ani zďaleka. Podstatou toho príbehu je prístup ľudí - zo štátnej správy i z iných inštitúcii, nie to, aký SW a HW kúpili.

1 Like

Tajne dúfam že v rámci projektu dôjde aj setupu a štartu procesov, v dôsledku ktorých sa začne meniť prístup zainteresovaných strán. Aspoň základné procesy. Lebo bude blbé keď sa u nás stane niečo podobné a štát nezaeraguje správne. To bude fakt zle.

Rád by som bol taký optimista, ale nevidím nič, od čoho by sa taká nádej dala odraziť. Väčšina opatrení toho singapurského príbehu je zameraná smerom k občanom, k tomu, aby na nich nedopadli, resp. aby sa zmiernili, negatívne dôsledky incidentu. To je o nastavení zmýšľania “decision-makers” v štátnej správe. Naše doterajšie “koncepčné” materiály i samotný zákon o KyB sa sústreďujú na CERTy/CSIRTy a na ochranu systémov kritickej infraštruktúry, na občanov, na ich záujmy, na ich informovanie kašlú. Ak sa takýto prístup systematicky prejavuje vo všetkých kľúčových materiáloch, na základe čoho očakávaš nejaký setup, ktorý začne meniť prístupy “zainteresovaných strán”.

Skôr či neskôr nás nepripravenost dobehne. A najhoršie bude keď sa naozaj začne situácia riešiť za jazdy, keď už nejaký masívny incident nastane. To je každému jasné. Nuž, keď nie skôr (v rámci projektu) , tak najneskôr vtedy sa to bude musieť zmeniť. A zrazu nejaké adhoc procesy vzniknú. Zdá sa mi preto logické pripraviť sa kým je kľud. A tento projekt je na to ideálny. Veď tie csirty musia mať pripravené scenáre riešenia zásadných incidentov, kvôli tomu sa zriaduju.

Teoreticky by už tá trápna reakcia na problém s eID kartami mala upozorniť ako biedne je naša štátna správa pripravená reagovať na krízové situácie súvisiace s IT … akosi som nepobadal, že by bola snaha (či vôbec záujem) sa z toho poučiť a okrem nákupu HW/SW sa zamerať na procesy a prípravu ľudí na úrovni “decision-makers”.

Máš pravdu, akurát sa zdá, že NBÚ ako ústredný štátny orgán pre kybernetickú bezpečnosť to vníma po svojom - pripravuje sa len na technickú úroveň prípadných incidentov a ich riešenia, akosi som nepobadal že by predmetom záujmu boli aj dopady incidentov na občanov ktorých údaje môžu byť cieľom útokov. Pripomínam, že v tom singapurskom príbehu to bol podpredseda vlády, kto zdôraznil, že “je nevyhnutné ísť za hranice implementácie technických riešení a zaoberať sa transparentným informovaním a vysvetľovaním smerom k znepokojenej verejnosti” - náš podpredseda vlády sa evidentne uspokojí s tým, že projekt pripravovali údajní “špičkoví odborníci …certifikovaní špecialisti s medzinárodnou akreditáciou” a tým to je pre neho vybavené.

Poriadna DPIA pre niektoré štátne IS tiež môže ukázať priame potreby ktoré by tento projekt mohol naplniť . GDPR hype by v tomto mohol byť užitočný.

Áno, ale to by museli prevádzkovatelia takých IS chcieť si (dať) urobiť poriadnu (naozaj PORIADNU) DPIA … a to je len prvý krok, lebo potom by ešte museli presvedčiť predkladateľa toho projektu aby sa nesústredil len na nákup HW a SW a zohľadnil čo z tej analýzy vyjde. Ešte stále si optimista?

No v prípade napr ezdravia to vypadá že poriadna DPIA prebieha. A snažím sa dúfať v to ze nastane nejaká bazalna synergia s týmto projektom.

Pre informáciu, tento projekt bude 7.8. “prerokovaný” v PS K9.8 KyB. Úvodzovky preto, že mi nie jej jasné čo to prerokovanie má znamenať - v najhoršom iba to, že sa podiskutuje a úloha sa odškrtne ako splnená.

Len tak informačne, ITAS práve verejne vyhlásili, že oficiálne pripomienkovanie ignoruje, lebo má priame protekčné možnosti na ÚPVII. Hoci za Slovensko.Digital sme pripomienky podali v riadnom termíne a vo viacerých bodoch sa zhodujú s pripomienkami ITASu, keď sme (na verejnom prerokovaní, kde za ITAS nezaznelo ani slovo) žiadali možnosť naše pripomienky s ÚPVII prerokovať, boli sme odmietnutí.
https://itas.sk/vyjadrenie-itas-k-studii-uskutocnitelnosti-projektu-riadenia-incidentov-kybernetickej-bezpecnosti/

1 Like

V pôvodnom texte štúdie uskutočniteľnosti Asociácii chýbali niektoré podstatné informácie a s pôvodným znením štúdie uskutočniteľnosti sme neboli celkom stotožnení. Úrad podpredsedu vlády SR pre investície a informatizáciu aj na základe našich podnetov k spomínanej štúdii pripravil rozsiahly dodatok a k výhradám, ktoré ITAS vzniesol, sa v období od 19. 7. do 26. 7. uskutočnilo niekoľko expertných diskusií. Počas nich sme so zástupcami úradu hovorili o výhradách ITAS voči pôvodnému zneniu štúdie uskutočniteľnosti. Výsledný dokument, ktorý bol distribuovaný všetkým členom riadiaceho výboru, podľa nášho názoru poskytol uspokojivé odpovede na naše pripomienky. Asociácia zároveň akceptovala obmedzenia vyplývajúce zo skutočnosti, že niektoré informácie sú limitované z dôvodu utajenia.

Zapisy su kde?

By ma zaujímalo, keď teraz Nases prechádza pod ÚPVII, či je stále fakt nevyhnutné aby boli dva CSIRT tímy…

Vyssie spomenuty Lukas Hlavicka ako sef jednotky pre kyberneticku bezpecnost odisiel?
vcera bolo vyhlasene nove vyberove konanie na generalneho statneho radcu/veduci zamestnanec pre sekciu kybernetickej bezpečnosti (plus 11 dalsich sefov v ramci uradu podpredsedu pre inf)

V rozhovore pre HN z 28. 1. 2019 vystupuje Lukáš Hlavička stále ako šéf CSIRTu.

Pokiaľ viem tak GR sekcie Kybernetickej bezpečnosti ÚPVII je Ján Majtán, riaditeľ CSIRT.SK je Lukáš Hlavička.

Pokiaľ viem zase ja, GR je Jan Majtan (nie Ján Majtán).

1 Like

V súvislosti s projektom Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT) podáva NKÚ trestné oznámenie! Viac si prečítajte TU.

2 Likes

zaujimave informcie v uzneseni 1. namestnika GP Kanderu. Na strane 10. su anonymizovane informacie z uradnych zaznamov NAKA a vyera to na byvaleho riaditela NASES X.X, hovori sa tam o tom ako sa “riesil konkurecny boj o projekty kyberbezpecnosti”

https://www.genpro.gov.sk/spravy-2ed7.html?id=2955

1 Like