To se potom musím zeptat, proč je zařízení B důvěryhodnější oproti zařízení A, když o zařízení A někdo tvrdí, bez jakýchkoli hodnotitelných důkazů, že je možná nebezpečné, zatímco o zařízení B neříká, taktéž bez jakýchkoli hodnotitelných důkazů, nic.
Z hlediska logiky jsou zařízení A a B stejně bezpečné. Nebo ne?
Takže co? Takže pokud jde o bezpečnost, musím k zařízení A i B přistupovat tak, že každé z nich může být nebezpečné.
A popíchnutí: když je to tak, není lépe koupit to levnější, a ušetřené peníze věnovat na opatření, které rizika co možno eliminují?
Nemáte pravdu, hrozba se "jen" zohledňuje v analýze rizik jako jeden z faktorů. Pokud pak s tím rizikem správně pracujete nebo vám vyjde nízko, není to špatná implementace bezpečnostních opatření a není to porušení zákona ani vyhlášky.
Asi ano, ale tak jak já to chápu, musí analýza rizika vyplývat z hodnocení známých faktorů. Pokud neexistuje veřejná znalost detailu tohoto rizika, tak nejsem toto riziko schopen hodnotit a pokud má být např. pořizována nová součástka, měl bych dát přednost součástce, která nehodnotitelné riziko nemá. Jinými slovy, mám-li dáno, že něco je nedůvěryhodné, což je současná situace a já přesto chci věci důvěřovat, musím být schopen vyhodnotit a zdůvodnit, proč tak činím. Pořád mi z toho vychází, že tyto dvě značky, pokud nebude jejich software postaven na roveň open-sourcu, nemají v kritické infrastruktuře co dělat. Ale víte jak, co já vím. Moje rozhodnutí to nejsou.
No tak jistě, lze k tomu přistoupit i z hlediska ideologického.... a třebas i náboženského (dodavatel má nějakou, třeba majetkovou, spojitost s náboženstvím, jež považuji za nepřátelské, je haram).
Já ale psal pouze o případu, kdy k tomu přistoupíš výhradně logicky. Žádné ohýbání k "žádoucímu" výsledku. Čistá logika, hodnocení rizik bez emocí a nátlaku.
Vy to pořád nechápete. Politiky, úředníky, policisty, GIBS, státní zastupitelství, soudy a další. To vše máme docela často zkorumpované, neodborné či jinak nedůvěryhodné. Ale pak tu máme kluky z NUKIB a čučkaře. A to je úplně jiná liga. Sice je také do jejich křesel dosadili ti zlí politici či jejich úředníci, ale vybrali je pečlivě a svědomitě a tito kluci to s námi myslí dobře a jednají, nikoliv ve prospěch cizí moci, nikoliv ve prospěch nějakých preferovaných firem a vlád, ale jen a výhradě v zájmu našeho státu a proto jim bezmezně důvěřujme a po důkazech se neptejme. A kdyby nám to nešlo, pomodleme se.
Pryč s huawei!
Ale je to stopka. Pokud bude tohle varování v platnosti, tak žádný provozovatel kritické infrastruktury není v souladu s požadavky na kybernetickou bezpečnost.
Jenomže to úplně logicky nejde brát. Subjekt provozující kritickou infrastrukturu je v postavení, kdy to takto vyhodnotit nemůže. On má stanoveno, že zařízení A je nebezpečné, protože to o zařízení A řekl orgán, který je k tomu podle zákona oprávněn. No a protože provozovatel je podřízen takovémuto orgánu, tato zařízení pro něj nemohou být stejně bezpečná.
Ano, půjde to ohnout v hodnocení rizika, ale bude to velké ohýbání rovnající se ignorování odůvodněného nezbytností a nemožností zajistit jiné řešení. Varianta by byla také odůvodnit, že zařízení A není pro jeho provoz nebezpečné z nějakých konkrétních a specifických důvodů, např. těch, že se jedná o wifi router v kanceláři.
ok, tak logicky:
1. zarizeni slouzi pro provos VIS popripade KII.
2. u ZTE a Huawei mam bezduvodovou zpravu nadrizeneho NUKIB ze je nevhodne pro provoz na techto bezp. urovnich...
3. pro ostatni zarizeni/dodavatele tato zprava neexistuje.
Jak logicky s tim chcete pracovat jinak nez ze zarizeni ZTE a Huawei proste vyradite ze souteze, popr. z provozu a nahradite (za potlesku danovych poplatniku - pokud jde o statni spravu) jinym dodavatelem?
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
