Informatika: koncept bodu

[Ivor.Kollar]

Ahoj,

prikladam slubeny draft prilohy "kyberbezpecnost". Pokusil som sa tam zapracovat pripomienky z utorku. Posledny bod je problematicky, neviem ako ho jednoducho vysvetlit tak aby zaroven daval zmysel (a nie som si ani isty ako by to slo najlepsie legislativne podchytit). Ked tak ho mozeme uplne vyhodit. Nakolko som v skole nemal cesku gramatiku, tak to prosim po mne este skontrolujete (spellcheckerom to preslo). Pri precitani netechnickymi osobami som dostal spatnu vazbu ze je to prilis "programatorske".

Zatial vysledkom nie som uplne nadseny, ale nech sa aspon rozbehne diskusia/pripomienky.

=====

- Stát by měl v první řadě zabezpečit vlastní infrastrukturu. Zastáváme názor, že současná situace ve stavu zabezpečení státní infrastruktury je velice neuspokojivá. Rozšiřování pravomoci bezpečnostních složek bez schopnosti zjednat pořádek v organizacích které stát sám kontroluje nebo je vlastní je pro Piráty nepřijatelné.

- Provoz státních systémů by neměl záviset na cizích službách nebo infrastruktuře.

- Při řešení bezpečnosti je dobrým zvykem dodržovat princip minimálních nutných privilegii. Pro minimalizaci možnosti zneužití by bezpečnostní a zpravodajské složky měly mít minimální dostatečné pravomoci pro výkon své práce, nikoli maximální možné.

- Všechny systémy s potenciálem způsobit značné škody materiálního charakteru (elektrárny, vodárny, rozvodné sítě, atd) by kromě jiných opatření měly být důkladně fyzicky izolované od veřejné sítě.

- Technicky kompetentní státní složky by měly mít možnost vynutit si praktickou kontrolu zabezpečení státem provozovaných systémů, a tuto možnost také hojně prakticky využívat. Kromě možnosti samotné kontroly je žádoucí i možnost vyžadovat odstranění nalezených problémů.

- Bezpečnostní výzkum by měl byt dle možnosti podporován, nikoli kriminalizován.

- Součástí záruky na elektronický výrobek by měla být explicitně i povinnost výrobce odstraňovat nalezené bezpečnostní chyby (tedy vydávat bezpečnostní aktualizace). V případě dlouhodobého neřešení situace výrobcem by mělo být možné prodej výrobku zakázat.

- Zavést možnost jednoduchého a anonymního nahlášení bezpečnostního problému u libovolného státem provozovaného systému.

- XXX Zavedení povinné kontroly nových projektů nebo zásadních změn kritické infrastruktury bezpečnostním architektem. Jinými slovy, každý kritický IT projekt by měl vidět (a v případě problémů moct zamítnout) aspoň jeden technicky i teoreticky zdatný jedinec, který bude za svůj posudek osobně zodpovědný, což u mnohých projektů v současnosti bohužel nebylo splněno. XXX diskuze, právní aspekty, cech ?

[torrespondent]

Že to má ve specifikaci "ochranu proti DOS" je sice hezké, ale reálně to bude umět blokovat jenom 4 věci:

• Pakety se zfalšovanou adresou odesílatele
• SYN flood
• ICMP flood
• příchozí UDP flood

Pokud ten odchozí DDOS bude dělat třeba kompletní HTTP dotazy včetně přijetí odpovědi, tak není šance to strojově odlišit od normálního provozu. Stejně tak nejde rozumně detekovat odchozí UDP flood, pokud na něj protistrana aspoň občas odpovídá.

Naprostá většina ddosů jsou validní pakety, takže kdo neumí layer7 s aktualizacema anomálií, je out of business. UTM5 je pravda už stará krabice, ale Cisco má layer7 IPS v modulu, zhruba za $2000/Gbps, umí ho i další jako Sonicwall, fakt sorry, ale je to realita, a není to nic co by si Tier-3 ISP nemohli dovolit, přeháníš.

Jinak ohledně toho co lze nebo nelze detekovat se zeptej lidí co na detekci anomálií dělaj, budeš překvapen.

Ondrej.Profant: Vulnerabilities Equities Process pořád nechceš? #Vault7 ...