WebSupport.sk
UnlimitedHosting
|
CustomHosting
|
FreeWeb.sk
No tak jsme se zase dockali... Pani poslanci neveda co delat a zase vymysleli nesmyslny zakon, ktery z administratoru, vzhledem k realne situaci, dela prakticky univerzalni, instantni obeti.
Predstavte si napriklad nasledujici situaci...
Nastvany zamestnanec pan XY si vytiskne citliva data z informacniho systemu, ke kterym ma pristup byt "legalne". Jelikoz pan XY je nastvany, vezme zminena citliva data a proda je konkurenci, pote pan XY zmizi, dejme tomu treba do oblibene destinace Seychely. A ejhle ona neexistuje ve firme smernice, ktera zakazuje vynaseni dokumentu ven z firmy. Proc? Protoze "feeelky paaan siditel" chtel praci delat doma a takovato smernice by ho preci znacne omezovala v jeho super kreativni praci, jejimz dusledkem je treba soucasna "Kriiize(C)". A co zmuze "ajtik" v porovnani s panem "feeelky siditel"? Vubec nic... Nicmene mame tu novy legislativni zaprtek z ceske kotliny, ktery rika, ze vzhledem k tomu, ze probehlo jednani a "ajtik" vznesl namitku (je si nebezpeci vedom) a ze odpovida za bezpecnost dat v IS, copak je vysledkem? ...
Odpovednost nese "ajtik", protoze dle tohoto ultra debilniho zakona, odpovida "IT staff" v podstate uplne za vse a trada jde si sednout na dva roky do vezeni... Dalsi dusledky asi nemusim rozvadet.
Obavam se, ze jedinou moznosti je zalozeni profesni komory a TVRDE VYDIRANI zamestnavatelu do doby, nez se nezasadi o zmenu legislativy, nebo nepusti penize na vychytani veskerych bezpecnostnich rizik (coz je nerealne).
"Vydirani" tohoto typu se mi nelibi a nesouhlasim s nim, ale obavam se, ze to jinak dopadnout nemuze.
Je docela mozne, ze muj priklad neni uplne ten spravny, takze pokud tu nekdo ma hlubsi znalosti prava atp nez ja, prosim postnete vecny komentar, lepsi priklad, whatever.
Dekuji za pozornost a omlouvam se za ponekud (s prominutim) nasrany ton.
Odkaz na clanek na lidovkach.
<sixeR> KURVA
<sixeR> zaspal som na posteli, zaspal
<sixeR> a zobudil som sa tak, ze pod sebou vidim kaluz krvi, nadomnou otec
<sixeR> a rozjebay xicht
<kab-el> ??
<kab-el> ti rozbil ksicht ked zistil, ze si buzerant?
<sixeR> kabel ty kokot :D
<sixeR> ja tu mam ohrozenie zivota 3000, strata krvi
<sixeR> lahky otras mozgu pomaly
|
webhosting by:
WebSupport.sk
|
UnlimitedHosting | CustomHosting | FreeWeb.sk |
Comments
Re: Dalsi legistativni zaprdek z Cechistanu, aneb administratori
Nevidím v takom zákone problém :) Ak máš na zodpovednosti informačnú bezpečnosť ako celok, je predsa nutnosť mať všetky riziká primerane ohodnotené a ku kritickým rizikám patričné plány na ich zníženie alebo aspoň na elimináciu ich dopadu. To ťa ako tvoja práca predsa kryje. Ak manažment na tvoje návrhy a opatrenia nedá prostriedky, alebo ak nejaký riaditeľ žiada výnimku z bezpečnostných pravidiel, tak ju proste povolíš a zachytíš to do patričných dokumentov. Keď už máte tie bezpečnostné smernice a majú určitú úroveň, existuje určite aj proces, ktorým sa toto dá ošetriť a zaznamenať tak, aby si bol krytý. Navyše zákon má podľa odkazovaného článku hovoriť o "hrubej nedbanlivosti" čo je kategória, ktorá by ťa fakt trápiť nemala ak *seriózne* riadiš informačnú bezpečnosť firmy.
Re: Dalsi legistativni zaprdek z Cechistanu, aneb administratori
No v prvni casti mas velmi obecne vzato pravdu, nicmene to co rikas uz v dnesni dobe vic nez dostatecne osetruje pracovni pravo. To by totiz byl ten lepsi spatny pripad - jen dalsi nadbytecny komplikujici zakon. Situace je jak se zda horsi. Odlisuje IT od ostatnich zamestnancu s tim ze IT staff ma vetsi hmotnou odpovednost a ruci za veci za ktere z principu nemuze nest odpovednost. Cekame na vysledne zneni zakona pote co projde senatem.
Re: Dalsi legistativni zaprdek z Cechistanu, aneb administratori
To odišovanie IT správcov od iných zamestnancov som v článku nepostrehol, rovnako ani návrhy na riešenie hmotnej zodpovednosti. Ak máš o tom nejaké info, skús napísať viac, prípadne daj link, zaujíma ma to. Čo sa týka zodpovednosti zamestnancov v IT za niečo čo nemajú šancu ovplyvniť, IMHO zákon nemôže nič vyžadovať, bolo by to protiústavné.
Re: Dalsi legistativni zaprdek z Cechistanu
Fajn ze o tom informujes, ale ked uz si sa na to podujal, namiesto emotivneho prejavu si mohol radsej rozobrat ktore zakony kde toto vynucuju. Pripadne aj bonusy: zoznam poslancov/stran ktori to navrhli, ktori boli za/proti.
Mozno som prilis skepticky, ale asi tak od doby co som si precital Ficov medialny zakon, ktory vsetci hurapraviciari komentovali ako cenzuru, uz ziadnym takym komentarom zakonov neverim, dokym mi dotycny neda aspon odkazy na konkretne pasaze ktore hovoria to co tvrdi.
Zodpovednost adminov
Tak mozno urcita zodpovednost adminov by nebola na skodu pri sposobeni vaznych skod. Dnes je situacia taka, ze siete administruju aj uplni analfabeti. Ked taky clovek sposobi miliardovu skodu tak je prakticky nevymahatelna.
Co sa tyka vysky skody (neratajuc mrtvych a ranenych) niekedy sa da porovnat s "plynarom amaterom" alebo "domacim elektrikarom". Keby velkym sefom ukladal zakon najimat na dane pozicie len ludi s nejakou prislusnou kvalifikaciou a pokial by najal niekoho so zakladnou skolou bez preukazatelnej praxe a cojaviem nejakej certifikacie a ten by sposobil nejaky unik osobnych dat alebo skodu isiel by aj sef sediet. Vtedy by sa tym vzdelanejsim adminom otvorila zakonna zlata bana. Je rozdiel ked clovek nieco spravi omylom, hrubou nedbalostou, alebo nebodaj umyselne. Samozrejme ze sa to tyka systemov bank, alebo statnych institucii a pod. Zrejme system pocitacovej ucebne ZS Horna Motova moze administrovat skolnik Janko bez nejakych devastacnych ucinkov.
Co sa tyka trestnosti drzania hackerskych nastrojov o tom byva polemika v CR pravidelne. Existuje odborna skupina ktora uz v minulosti pripravila pozmenovacie navrhy k podobnym veciam. Dufam ze sa zas rozhupu a uvedu navrh do patricnych medzi.
--------------------------------------------------------------------------
Lidi delaj bejkarny, takhle to proste je a bude. Mjr. Dastych
Re: Zodpovednost adminov
Na jednu stranu ano, su institucie kde by neskuseni admini nemali pracovat. Na druhu vsak treba uvazovat aj o tom, kde by, po prijati takehoto zakona, ziskali mladi ITckari prax. Ono, skola a citanie si dokumentacii je sice zlate, ale skutocny skill ziska clovek jedine v praxi. A neviem si celkom zivo predstavit situaciu, kde starsi administrator zaucuje mladeho, cojaviem, rok na beznych situaciach ktore sa vyskytnu.
--------------------
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke
cicolina.org
Re: Zodpovednost adminov
S lepsim vymahanim kvalifikace stoprocentne souhlasim. Opravdu je neuveritelne kdo a co spravuje, ale opravdu se mi nelibi myslenka nest odpovednost de-facto za veskerou informacni bezpecnost ve firme...
Re: Dalsi legistativni zaprdek z Cechistanu
Napisane dost nasranym a zmatocnym tonom ale v podstate vychytava to, ze ten zakon je jemne chory. Uz z clanku na lidovkach je jasne, ze zakon je nepouzitelny. To aby som uz nemohol mat doma ani soft na brute force ked zabudnem heslo (co sa mi obcas stane :D ) alebo aby som isiel do basy za to, ze sa stala nejaka chybicka (co sa proste obcas stane kazdemu). Neviem, pride mi to ako zbytocna snaha o tvrde tresty. A uz len predstava ITckara v base plnej vrahov je dost psycho.
--------------------
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke
cicolina.org
Re: Dalsi legistativni zaprdek z Cechistanu
Jenom jemne? :) Tohle je zrale na Strasbourg. A kdyz ani to nepomuze tak ozbrojene povstani.
Re: Dalsi legistativni zaprdek z Cechistanu
Viem si zivo predstavit ako budu ITckari niekde na namesti strngat s klavesnicami ;)
----------
tommyhot@hackingmachine:~$ microsoft &> /dev/null
Re: Dalsi legistativni zaprdek z Cechistanu
To je sice celkem humorna predstava, nicmene samozrejme v praxi by byla daleko ucinejsi stavka, kdyby se k ni dokazalo pridat dostatek lidi, mel by to pomerne znacne nasledky a dopady na ekonomiku, coz by treba konecne znamenalo zlepseni podminek.
Re: Dalsi legistativni zaprdek z Cechistanu
A co teprv stavka typu "# halt" ? :-D
Re: Dalsi legistativni zaprdek z Cechistanu
Ty si z toho delas legraci ale predstav si ze by skutecne doslo na stavku tohoto typu a pripojili by se k ni lide od telekomunikacnich operatoru, u kterych by tento zakon mohl vest snadno k tomu ze se dostanou do vezeni nebo budou odpovidat za miliardove skody ktere nezpusobili.
No zkratka predstav si ze skolabuji telekomunikacni site, kontroli systemy elektricke rozvodne site (bez kterych se automaticky zastavuje distribuce proudu), systemy ktere ridi metro, vlaky atd.