@Jozef_Ivanic: Aj ked som na Teba vcera negativne a expresivne reagoval, v konecnom dosledku Ti dakujem, ze si vysvetlil, ako to objednavanie deti na ockovanie funguje… Ja som to tiez nevedel, ze su niektore ockovacie miesta bez pediatra + je velmi uzitocna info, ze na “malych” ockovacich miestach sa nemusis dockat terminu ockovania.
1 Like
neuveríš, ale ten check tam je.
V IT by mali platit take iste pravidla ako v inych oblastiach. Aj najlepsie zabezpecena banka sa da vykradnut, ale je to trestny cin. Ukradnuta data ma byt tak isto trestny cin. Teda policia ma ma konat, ak ho vypatraju, ma ist pred sud a dostat takisto trest ako ked niekto vykradne banku. Aj najlepsie chranene data sa daju ukradnut presne ako oeniaze z najlepsie chranenej banky. Ale keby rocne poslali 2-3 ludi do vazby na 10 rokov za kradez dat …
Banka si platí zabezpečovacie systémy, alarmy, sbs. Ak niekto zlyhá, tak bude tvrdo pykať. Tu niekto zlyhal a moja otázka znie, bude za to pykať?
A navyše, banka ti nepodhodí heslo pred vstup do banky.
zabezpecena znamena trezor, ochranku, pravidla, postupy …
NCZI uz minimalne druhy krat predviedlo, ze to u nich nefunguje.
Tu je drobny rozdiel
- ak niekto ukradne fyzicke peniaze/majetok, tak To po case urcite zistis a mozes zacat konat.
- ak niekto ukradne data, tak to nezistis, dokial sa s tym nepochvali.
Ak vykradnu banku v ktorej mas peniaze, tak dostanes svoje peniaze spat z bankovej poistky a navyse mozes banku vymenit za inu, ktorej budes doverovat viac. Statne systemy, ktore prevadzkuje NCZI, si vsak priamo/nepriamo donuteny pouzivat zo strany statu a nemas moznost si vybrat.
Podla tych clankov Nethemba vyuzila existujuce verejne dostupne sluzby, aby preukazala nefukcnost zabezpecenie dat v NCZI. NCZI neprislo na to, ze niekto tie udaje odcudzil. Neprisli na to ani ti politici, ktorych udaje boli odcudzene. Oznamila to Nethemba a dala NCZI dostatok casu na napravu chyb.
NCZI namiesto “dakujeme za upozornenie”, poda trestne oznamenie za odcudzenie dat…
Vo fyzickom svete na priklade banky by to znamenalo : Zlodej pride do banky, ktora ani nezistila, ze jej nieco chyba. A oznami jej co/kedy/kde ukradol. Banka zabetonuje dane miestnosti a poda trestne oznamenie na zlodeja.
Ja si myslim, ze konat by mal Urad pre kontrolu osobnych udajov voci prevadzkovatelovi tych systemov za opakovane zistene nedostatocne zabezpecenie.
2 Likes
Myslím, že nie je potrebné používať argumentačné chyby (v tomto prípade min. klamnú analógiu). 
Proti argumentu, že aj najlepšie zabezpečená banka sa dá vykradnúť, nemožno mať nič. Len to nemôže byť legitimizujúci argument pre zanedbanie povinnosti ochraňovať dáta a predchádzať škodám. Aj ja mám povinnosť zamykať si byt, a tým robiť opatrenia (v mojich možnostiach) proti krádeži.
2 Likes
NCZI trepe piate cez deviate. Su tu dve veci ktore spolu sice suvisia ale kazda je samostatny problem:
- Niekto sa pomocou existujucich verejnych sluzieb dostal k citlivym udajom, ktore mali byt chranene.
- Ten niekto si tie data stiahol.
U pripadu cislo jedna nemozeme povedat ze vsetko je v poriadku. Ak takto niekto zodpovedny co i len trochu uvazuje, nesmie ani sekundu zostat na svojom mieste. Tu je treba skumat co vsetko zodpovedni urobili preto aby tato diera nevznikla. Urobili vsetko co boli povinni urobit? Nezda sa… Minimalne nieco nedocenili. Hlavne okamzite system zabezpecit a preverit ci podobnych moznosti neposkytuje viac.
Napadnut toho kto ich na dieru v ich systeme upozornil je to najhorsie co mohli urobit. Druhy krat moze byt nebezpecnejsia diera a oni sa o nej nedozvedia. Lebo ten kto data bude chciet zneuzit to nikomu na nos vesat nebude.
Dufajme ze to prislusne organy posudia najma podla toho za akym ucelom tie udaje boli stiahnute a ci ich chcel dotycny zneuzit. Ked najdem peniaze na zemi, tak ma mozu stihat len v pripade ak ich neodovzdam. Ked sa cez verejne sluzby doklikam niekam kde sa pre do mnou naraz otvoria tajne udaje, nemoze ma nikto postihovat za umysel data odcudzit.
Na priklade banky to je nieco ako ked vojdem do banky a dozviem sa ako sa dostanem k pootvorenemu trezoru. Zoberiem od tial zvazok bankoviek a pridem k prepazke s nim v ruke a poviem pozrite nemate to zabezpecene! A oni na mna zavolaju policiu ze som im nieco ukradol.
Co je horsie ide o nase najcitlivejsie udaje ktore o nas stat zbiera. Nam nezostava nam nic ine len dufat ze uz sa zacne niekto dosledne zaoberat ich bezpecnostou na profesionalnej urovni. Radsej nerobme elektronicke zdravotnictvo ak nedokazeme zaistit bezpecnost toho s com tento system ma pracovat - udaje!!!
Stiahnut cudzie data je kradez, presne tak ako zobrat cudzie peniaze. Vobec nic na tom nemeni, ze tsn kto ma v sprave cudzie peniaze ako aj te co ma v sprave cudzie data su povinny zabezpecivat bezpecnost dat ci penazi
A dokazat ze system ma dieru sa neda bez stiahnutia vzorky dat. Keby nic nestiahli tak system je v poriadku.
Cize aj dovod ich stiahnutia je velmi dolezity pri posudzovai veci.
Otazka je ci nestacilo menej “vzoriek”. Ale nieco stiahnut bolo nutne aby sa dalo dokazat ze tam diera je.
Keby sa bol system riadne skontroloval mohla sa tato operacia vykonat v ramci penetracnych testov a nebolo by o com pisat. Takto je cierny peter na strane prevadzkovatela.
1 Like
Dokazivat civsystem ma diery, mize tak akurat specializovany bezpecnostny subjekt na to urceny, inak je to ako sim povedal kradez
urcite nie, kradez je umyselny TČ, rovnako ako zneuzitie dat. tu o ziadnom umysle nemozno hovorit. pre toto je maximalne tak zatajenie veci TČ v hmotnom priestore a vo virtualnom taky TČ neexistuje.
Mas pravdu, ale nikto nie je dokonaly a ani ten specializovany bezpecnostny subjekt nemusi byt zarukou ze tam nezostane neosetrenie miesto. A v takom pripade je dobre ak na to pride niekto kto to robi s dobrym umyslom. Lebo ten co to robi so zlym a pride nam na tu dieru ten bude cusat a tahat data, ktore potom zneuzije.
1 Like
Zbytocne sa dohadovat, k datam sa predsa dostali umyselne, nie nahodne …
NCZI umožnilo prístup k citlivým dátam ktoré malo chrániť pre neoprávnené osoby. Sprístupnili takto dáta úmyselne, alebo z nedbalosti?
Povedzme si to ta, odides z domu a nezavries, okolo pojde “priatel”, zoberie si zo suflika zlate sperky a z pocitaca obsah disku. Obe veci su kradez a he to trestny cin, aj ked sperky da charitu a data si len pozrie a nic s tym neurobi. Takze inak ako kradez to nenazyvajme a kym nebudu za to normalne trestne sadzby a nevznikne kultura, ze kradnut sa nema (ani data) tak poriadok v krajine nebude. Predstav si, ze su vo svete krajiny, kde domy su standardne otvorene a nic z nichnikdy nezmizne (kym yam nezabludia ludia “z nasich krajin”). Este jedna poznamka, kazda ochrana, bezpecnostne opatrenie sa da prelomit (akurat to chce viacej prace a skusenosti) a kradez to je ci mas vsetko otvorene alebo ci mas bezpecnostne dvere, mreze a elektronicke zabezpecenie. Ano organizacie maju byt nejakym standardom chranene ale hlavne zlodeji by mali byt postihovani
Niekto tie data ukradol (netrepte o spristuneni, ale nedostatocnom zabezpeceni)
Viete preco eHealth je takmer nepouzitelny? Preda pre prehnanu a zrejme aj noe celkom spravne implementovanu bezpecnost. Co chcete radsej pouzitelny a menej zebezpeceny system ale perfektne za nezmyselne drahe peniaze zabezpeceny, ale nepouzivatelny system?
Únik dát o pozitívne testovaných na covid.
Povedzme nechávaš niekoľko mesiacov neuzamknuté dvere do garáže, lebo ti tam kuriéri nosia balíky, listy a je to pre teba takto pohodlné ako riešiť pre každého prepravcu kľúč.
Okolo pôjde “priateľ” dostane sa dnu, prezrie celý dom, odfotí si balíky a prečíta tvoje listy. Upozorní ťa, že máš nezamknuté dvere a pošle ti o čom si píšeš v niekoľkých listov, všetky fotografie následne zmaže.
Tvoj strážnik potom zamkne dvere a bude tvrdiť, že to je klamstvo a nikto ti nikdy po dome nechodil, možno pár listov odfúkol vietor na záhrade a tak si to prečítali. Zatĺka, že nechával odomknuté dvere aby nemusel chodiť stále otvárať. Ale nemáš uložené ani zábery z kamerového systému (logy servra) lebo bol v zlom stave, ani ti nefungoval alarm aby ťa upozornil, že niekto chodí po dome takže to je tvrdenie proti tvrdeniu.
Mohli po dome chodiť predtým viacerí ktorý ťa neupozornili.
Únik certifikátov
Tentokrát zase “priateľ” objaví otvorené okienko na pivnici, vlezie do domu odfotí si všetko čo tam máš a upozorní ťa, že máš otvorené okno. Tentokrát fotografie nezmaže. Ty okno zavrieš a obviníš ho z neoprávneného vstupu do domu. Zase ti nefungoval alarm, aby ťa upozornil, že niekto chodí po dome ani 11 nových strážnikov si nič podozrivé nevšimlo až kým ťa “priateľ” neupozornil na otvorené okno.
Iné by bolo ak by sa tam vlámal násilím a premohol by 11 strážnikov (aj najlepšie zabezpečená banka sa dá vykradnúť). Ale ty opakovane nechávaš odomknuté a tvoji strážnici počas služby spia.
Ako navrhuješ nabudúce postupovať ak ostatne znovu odomknuté a aby 11 strážnikov nezatĺkalo, že v dome niekto bol?