WebSupport.sk
UnlimitedHosting
|
CustomHosting
|
FreeWeb.sk
Základné axiomy sú nasledovné:
Ako áno, ako nie, na vyhradenom serveri, na ktorm sa objavujú nové (a prevratné, prípadne zvrátené) legislatívne pociny a potraty sa objavilo toto: https://lt.justice.gov.sk/Material/MaterialDocuments.aspx?instEID=-1&matEID=1459&langEID=1
.
Ide o návrh zákona, v ktorom sa NBÚ snaží dostať pod kontrolu casť pocítacových sietí (našťastie nie všetky). Kybernetický priestor definuje návrh zákona takto:
u) kybernetickým priestorom elektronický priestor tvorený
1. utajovanými systémami,
2. komunikacnými a informacnými systémami, v ktorých sa spracovávajú, ukladajú alebo prenášajú informácie Európskej únie oznacené EU Limité alebo informácie Organizácie Severoatlantickej zmluvy oznacené NATO Unclassified,
3. komunikacnými a informacnými systémami kritickej infraštruktúry, )
4. dalšími komunikacnými a informacnými systémami, ktoré urcí osobitný zákon alebo ak ide o komunikacné a informacné systémy prevádzkované štátnymi orgánmi, o ktorých rozhodne vláda Slovenskej republiky (dalej len systém kybernetického priestoru)
A co chce NBÚ robiť ? Toto:
TRETIA HLAVA
KYBERNETICKA OBRANA
§ 86
Základné ustanovenia
(1) Kybernetickou obranou je súbor bezpecnostných opatrení, mechanizmov a procedúr na prevenciu, detekciu, odozvu a obnovenie po bezpecnostných incidentoch v systémoch kybernetického priestoru na úcely zachovania alebo obnovenia ich funkcnosti a aplikácia bezpecnostných opatrení na ochranu prvkov infraštruktúry systémov kybernetického priestoru proti kybernetickým útokom. Kybernetická obrana sa nevzťahuje na jednoduché zariadenia a jednoduché systémy.
(2) Bezpecnostným incidentom je udalosť, ktorá vedie k narušeniu dôvernosti, integrity alebo dostupnosti systému kybernetického priestoru, alebo jeho casti. Ide najmä o neautorizovaný prístup alebo prienik do systému kybernetického priestoru, pôsobenie škodlivého kódu na systém kybernetického priestoru, neautorizované použitie služieb systému kybernetického priestoru, znefunkcnenie alebo narušenie služieb systému kybernetického priestoru.
(3) Kybernetickým útokom je cinnosť, pri ktorej je zámerom útocníka získať informácie, negatívne ovplyvniť alebo prevziať kontrolu nad prvkami infraštruktúry systému kybernetického priestoru.
(4) Základom kybernetickej obrany systémov je dohľad prvkov infraštruktúry systémov kybernetického priestoru, manažment bezpecnostných incidentov, pravidelné vykonávanie auditov, hodnotenia zraniteľností systémov kybernetického priestoru alebo penetracných testov.
(5) V systémoch kybernetického priestoru v stanovených intervaloch úrad vykonáva audit, penetracné testovanie alebo hodnotenie zraniteľností. Na vykonávanie auditu, penetracného testovania a hodnotenia zraniteľnosti sa primerane použijú ustanovenia § 173 až 178.
(6) Detekcným prvkom je zariadenie, súbor zariadení alebo mechanizmus urcený najmä na detekciu útokov alebo neautorizovanej cinnosti v systémoch kybernetického priestoru.
(7) Prevencným prvkom je zariadenie, súbor zariadení alebo mechanizmus urcený najmä na prevenciu pred útokmi alebo neautorizovanou cinnosťou v systémoch kybernetického priestoru.
(8) Dohľadom prvkov infraštruktúry systémov kybernetického priestoru je zber, analýza a korelácia bezpecnostných udalostí najmä v detekcných a prevencných prvkoch a ostatných prvkoch infraštruktúry systémov kybernetického priestoru, ktoré obsahujú údaje o bezpecnostne relevantných udalostiach.
(9) Varovným systémom kybernetického priestoru je informacný systém urcený na vcasné varovanie o potenciálnych bezpecnostných incidentoch, kybernetických útokoch, zraniteľnostiach systémov kybernetického priestoru a šírenie prislúchajúcich bezpecnostných informácií.
§ 87
Spôsob obrany kybernetického priestoru
(1) Každý systém kybernetického priestoru musí byť vybavený najmenej jedným detekcným prvkom a jedným prevencným prvkom ochrany kybernetického priestoru.
(2) Správu a dohľad prvkov podľa odseku 1 vykonáva úrad, ak tento zákon dalej neustanovuje inak. Dohľad ostatných prvkov infraštruktúry systémov kybernetického priestoru môže na základe písomnej dohody s prevádzkovateľom systému kybernetického priestoru vykonávať úrad.
(3) Správu a dohľad prvkov podľa odseku 1 v pôsobnosti Policajného zboru v súvislosti s plnením úloh kriminálneho spravodajstva, Slovenskej informacnej služby a Vojenského spravodajstva vykonáva ministerstvo vnútra, Slovenská informacná služba a ministerstvo obrany.
(4) Urad je oprávnený požadovať informácie a súcinnosť od orgánov verejnej moci potrebnú na plnenie svojich úloh; orgány verejnej moci sú povinné takúto súcinnosť poskytnúť.
(5) Pre úcely riešenia bezpecnostných incidentov a kybernetických útokov je úrad oprávnený požadovať informácie a súcinnosť potrebnú pre riešenie bezpecnostného incidentu od fyzických osôb a právnických osôb vrátane osôb, ktoré sú oprávnené poskytovať sieť, službu alebo sieť a službu v oblasti elektronických komunikácií; ) tieto osoby sú povinné takúto súcinnosť a informácie poskytnúť.
§ 88
Povinnosti na úseku kybernetickej obrany
Každý prevádzkovateľ systému kybernetickej ochrany, ktorý podlieha kybernetickej obrane je povinný
a) hlásiť bezpecnostné incidenty a kybernetické útoky úradu,
b) poskytnúť súcinnosť pri riešení bezpecnostných incidentov a kybernetických útokov,
c) odstranovať následky bezpecnostných incidentov a kybernetických útokov,
d) prijímať preventívne opatrenia na ochranu kybernetického priestoru,
e) aplikovať bezpecnostné štandardy v systémoch kybernetického priestoru, ktoré prevádzkuje.
Z hľadiska jednotnej úpravy stratégie bezpecnosti SR sa mi zdá takéto riešenie kybernetickej bezpecnosti dosť nevhodné. Z dôvodu, že budú existovať dve stratégie - jedna pre utajovanú casť kyberprpestoru a druhá pre nás normálnych smrteľníkov. Tá prvá bude pod kontrolovou NBÚ, tá druhá pod kontrolou niekoho iného. Dúfam, že to nedopadne tak, že kde sa dvaja bijú tretí víťazí. Lebo tým tretím môže byť zas nejaký vypecený hakerózny hacker s heslom konciacim sa na obľúbenú numerickú sekvenciu .
Len na ilustráciu, ked sa niekto chce hrať na ochranu kyberpristoru, tak skúsme kuknúť co z dokumentu možno zistiť...
Pôvodcom je "Sekcia legislatívy a práva" a dokument má nadpis "ZoOUIaKP verzia SLP 5 marca 2009". Nic co by bolo zaujímavé. V dôvodovej správe je však v document properties jedna zaujímavá vecicka. Dokument je odvodený od šablóny normal.dotm a ako spolocnosť je tam uvedené "Abyss".
Na to obchodný register povie toto:
http://www.orsr.sk/hladaj_subjekt.asp?OBMENO=abyss&PF=0&SID=0&R=on.
Žeby sa aj už legislatíva outsorcovala (toto je hodnotiaci súd)? A keď tak kde ? Netuším, lenže podľa predmetu podnikania to možno typnúť. Žeby šablóna dokumentu vznikla v Košiciach?
V dovodovej sprave je celkom humor... k § 86 sa docitame: "Základnými piliermi kybernetickej obrany sú dohľad prvkov kybernetickej obrany, audit systémov, penetračné testovania a hodnotenie zraniteľností systémov kybernetického priestoru, manažment bezpečnostných incidentov." Keď si niekto nevie zmenežovať vlastný bezpečnostný incident, ako bude na takého niečo dohliadať ? Toť záhada....
Najdôležitejšie ale je, že NBU si v zákone robí priestor na to, že podľa § 87 ods. 5 mohol záskavať informácie od každého providera, dokonca aj od fyzických osôb, keď nastane prúser... A to to hlavne išlo, no nie ?
<sixeR> KURVA
<sixeR> zaspal som na posteli, zaspal
<sixeR> a zobudil som sa tak, ze pod sebou vidim kaluz krvi, nadomnou otec
<sixeR> a rozjebay xicht
<kab-el> ??
<kab-el> ti rozbil ksicht ked zistil, ze si buzerant?
<sixeR> kabel ty kokot :D
<sixeR> ja tu mam ohrozenie zivota 3000, strata krvi
<sixeR> lahky otras mozgu pomaly
|
webhosting by:
WebSupport.sk
|
UnlimitedHosting | CustomHosting | FreeWeb.sk |
Comments
Re: NBU chce ochraňovať kyberpriestor
Hehe to sa bezpecnost poriadne zvysi - kazde heslo bude mat povinne cislice 123, sucastou hesla bude musiet byt prihl. meno (aby bolo jasne cie je to heslo) a aby sa neplytvalo prostriedkami (kazdy bajt je dobry) tak heslo bude mat dlazku najviac dlzka prihl. mena +3. To bude super - uz sa tesim... (VAROVANIE: z technickych dovodov heslo nemoze zacinat cislicou!)
--------------------------------------
Rozdiel medzi vírusmi a windowsami je v tom že vírusy sú malé, úsporné a na rozdiel od windowsov aj niečo robia...
Re: NBU chce ochraňovať kyberpriestor
Na 1. pohlad sa mi zda, ze -- ak ho schvalia -- podla tohto zakona slovenska legislativa nebude moct byt spravovana, mozno, ani spracuvana, proste nijako obhospodarovana pomocou prostriedkov "kybernetickeho priestoru", aby nevznikol taky pravny circulus vitiosus, ze sa z toho zblaznia vsetci tuzemski pravnici. Ach jo.
Tazky to chliev... pardon: chlieb.
Re: NBU chce ochraňovať kyberpriestor
A opat sa citim bazp123ecnejsie :)
kym tam budu pracovat byvali komunisti + synovia + synovci + bratranci + ini dosadeni kokuoti a objednavat audity za miliony ktore nic nevy123riesia tak mozme kludne spavat ;)
Talent is doing things that others find difficult.
Genius is doing things that others find impossible.
Re: NBU chce ochraňovať kyberpriestor
a vlastne je aj dajaky konkretny urad na riesenie problemov v 'kybernetickom priestore' alebo to secko potiahne nbu?
_________________________________________________________________________________
konecne som si precital Hacking-art of exploitation od Jona Ericksona...je to borec ;)
Re: NBU chce ochraňovať kyberpriestor
mozno vytvoria novy kyberurad v cele ktoreho bude agent smith.
Re: NBU chce ochraňovať kyberpriestor
No... jak to tak citam hore dole, tak nemam pocit ze by sa NBU pretrhol a nebodaj prisiel sam od seba s niecim novym. Podla mna len "konecne" zacal zahrnovat oficialnu strategiu zapadnych krajin. Podobnu shcemu (delenie sprav na tajne, verejne a pod.) uz davno maju ostatne krajiny a verejne o tom hovoria (vid clanok na phracku o Australskej Navy a FISSO.
Takze podla mna je to sucast integracie SR do zapadnych struktur (ak to mam tak nazvat) no a NBU jednoducho "dostal pokyn zhora". Nic extra. To, ako to NBU aplikuje v praxi a ci to bude amaterska praca alebo nie, tak to je otazne.
Mne to pride ako nabiehanie na druh akehosi "security standardu". (Ci s nim suhlasit alebo nie to je druha vec)
major_kusanagi
/* no comment */
Re: NBU chce ochraňovať kyberpriestor
Mne sa zda zaujimavy aj §87 1). Pretoze definicia kybernetickeho priestoru je dost nejasna, mozu z toho vyliezt tony zeleza, ktore bude potrebne nakupit.
Re: NBU chce ochraňovať kyberpriestor
zeby upratovacky konecne nasli sposob ochrany? ;) neviem co konkretne tymto nbu sleduje(zeby bezpecnost?) ale dufam ze nebudu teraz muset setci provideri pri dajakom pruseri vypovedat...
_________________________________________________________________________________
konecne som si precital Hacking-art of exploitation od Jona Ericksona...je to borec ;)
Re: NBU chce ochraňovať kyberpriestor
"§ 87
Spôsob obrany kybernetického priestoru
(1) Každý systém kybernetického priestoru musí byť vybavený najmenej jedným detekcným prvkom a jedným prevencným prvkom ochrany kybernetického priestoru.
(2) Správu a dohľad prvkov podľa odseku 1 vykonáva úrad, ak tento zákon dalej neustanovuje inak. Dohľad ostatných prvkov infraštruktúry systémov kybernetického priestoru môže na základe písomnej dohody s prevádzkovateľom systému kybernetického priestoru vykonávať úrad."
Uz len toto (podla mojho nazoru) znamena neobmedzenu moc "uradu" (rozumej NBU). Znamena to, ze "urad" bude mat v kazdom urcenom systeme sondu, nad ktorou bude mat plnu pravomoc, nekontrolovatelnu nikym inym. Inymi slovami: "urad" bude mat absolutny prehlad o komunikacii v danom systeme.