Vlákno názorů k článku Regulace podle NIS2: Incidenty bez úmyslného zavinění nebude nutné hlásit od Uncaught ReferenceError: - no a to bezpečnostní opatření může být i...

no a to bezpečnostní opatření může být i jako text, nemusí se jedna hned o nějaký technický mechanimus.

Když je druhá strana **, tak pošle trestní oznámení na nahlášenou zranitelnost, což se reálně děje a bounty programy jsou v našem prostředí vyloženě na dobré slovo. Málokdy se daří najít zranitelnost pouze pasivně.

To opravdu neni tak jednoznacne. §230 TZ je pomerne gumovy, hovori o jakemkoliv prekonani bezpecnostniho opatreni. Aneb kdyz ten paket projde nekam, kam nema treba i jen diky chybe v software onoho bezpecnostniho prvku, porad je to problem i pro toho, kdo ten paket posle. Proc myslite, ze je potreba pro jakoukoliv aktivitu tohoto typu mit souhlas cilove strany? Pokud takovy paket tu infrastrukturu sejme, problem mit rozhodne budete. Na toto tema existuje spousta textu, nastudujte si to.

a jak jinak probíhají útoky než "posíláním nějakých paketů na nějaké IP adresy"? Když budeš zvonit na všechny zvonky v ulici, tak už to může být přestupek, v IT s tím již můžeš mít také problémy.

Už jen pohnutka, že potřebuješ na nějaké porty posílat nějaká data je sama o sobě nestandardní použití systému.

Ehm ... nikoli. Posilani nejakych paketu na nejake IP a porty rozhodne neni trestny cin. Trestne by mohlo byt zneuziti ziskaneho pristupu. To ze takovy paket pripadne sejme celou infrastrukturu by pak bylo trestnym cinem na strane spravce takove infrastruktury. Je to totiz exaktne stejne jako kdyby pouziti zvonku vyhodilo dum do vzduchu.

Cimz se dostavame k tomu, ze odlisit umyslny utok a neumyslny se nijak neda, a kazdy jeden pravnik rekne "hlaste vse".

Jen tyhle testy se dejou i automatizovane stylem "nekdo si dela vyzkum". A tem ze zahranici bude nejaka nase mistni legislativa... ehm... naprosto ukradena.

tak pokud takový test děláš interně či pro smluvního partnera, tak to je v pořádku, takové případy mám třeba osobně ošetřené ve smlouvě. Když toho děláš třetí straně, s kterou nemáš vztah, tak se pořád jedná o bezpečnostní incident a on by ho musel hlásit nukibu, pokud by měl povinnost hlásit incidenty. Poté si koleduješ trestní čin a bohužel už jsem takové oplítačky s policií také měl.

Cas od casu delam takove veci jako treba scan site. Ucelem (tedy umyslem) neni tu sit hacknout. Ucelem je presny opak = overit, ze v siti nejsou zname diry. Presto se to pomerne pravidelne povede. A ano, nekdy na to staci otevrit spojeni na nejaky port a poslat na nej jediny paket.

jak se neúmyslně někdo hekne? To jako udělám překlep v adrese, na kteoru útočím?

To samozřejmě je občas také oříšek, ale už to dává vodítka jaká pravidla pro to stanovit a je to velice podobné jako současné pravidla v ZoKB.

To jiste, ted jeste jen zjistit, jaky je rozdil mezi umyslnym a neumyslnym incidentem

... To jako ze kdyz neumyslne nekoho hacknu, a ziskam pristup k datum i loginum, tak je to OK, a hlasat se to nemusi (namoudusi i psi usi to bylo neumyslne) chmm ...

jeden velký strašák v podobě, co vlastně hlásit zmizel a konečně tam je explicitně řečeno, že incidenty, kde lze čekat nějaký úmysl, skvělé, to výrazně zjednoduší nastavení vnitřních předpisů a hlavně usnadní evidenci v prvních vlně integrací.