NÚKIB vydal metodiku ke svému varování, zranitelnost se stále hledá

NÚKIB včera vydal metodický pokyn k varování před kybernetickou bezpečnostní hrozbou v podobě produktů čínských společností Huawei a ZTE.

Tuto hrozbu NÚKIB hodnotí v souladu s metodikou uvedenou ve VoKB jako velmi pravděpodobnou až více méně jistou, tedy hrozbu kritickou, kdy předpokládaná realizace hrozby je častější než jednou za měsíc.

Je otázka, co NÚKIB k takto přísnému hodnocení hrozby vedlo, když za posledních pět let nebyl zveřejněn jediný případ, který by potvrdil přítomnost backdooru v produktech těchto společností, kromě těchto.

Pravda je, že se od prvního obvinění zveřejněného v roce 2012 prakticky nic nezměnilo. Občas se objevila nějaká zpráva, ale je otázka čemu věřit, obzvlášť když se dočtete toto.

Poukazovat na aplikace sbírající údaje je irelevantní, protože ty lze čas od času nalézt v podstatě ve všech komerčních OS a telefonech různých značek, kdy byl třetí stranou modifikován firmware anebo do nich byla nainstalována škodlivá aplikace a v ohrožení byli po určitou dobu téměř všichni.

Uvedené projevy hrozby popsané v metodice nebyly zatím nikde v souvislosti s těmito technologiemi hlášeny, ale na druhou stranu je otázka, jestli vůbec by si jich byl schopen, snad kromě odepření služby, někdo všimnout.

Nicméně je třeba je brát vážně, stejně jako u jakýchkoliv jiných closed source řešení. I když on ani ten open source neskýtá úplnou záruku. Ovšem argumentovat, že ČLR požaduje po svých firmách součinnost, nestačí, protože stejnou součinnost požaduje snad každý vyspělý stát, i USA.

Hrozba, jak NÚKIB správně zmiňuje, musí zneužívat nějakou zranitelnost, kterou je ke stanovení velikosti rizika rovněž nutné do výpočtu zahrnout, a tu NÚKIB neuvádí. Nejspíš proto, že ani on sám o žádné konkrétní zranitelnosti, backdooru nebo trojském koni v těchto produktech neví.

To samozřejmě neznamená, že by tyto produkty žádné zranitelnosti nikdy neobsahovaly nebo neobsahují. Obsahují, ale v zásadě jsou na tom podobně jako produkty jiných společností, mají přidělena CVE ID a jsou hodnoceny podle CVSS.

Jak by měl správce zranitelnost hodnotit, se v metodice nedozvíme, a už vůbec ne, jaké úrovně by měla zranitelnost nabývat. Bývá zvykem, že ten, kdo objeví nějakou zranitelnost, tak ji popíše, ohodnotí a případně předloží i nějaký exploit, aby bylo možné zranitelnost otestovat a ověřit, že přijaté opatření je účinné. A může na tom i slušně vydělat.

Zde se v zásadě jako jediné opatření jeví tyto technologie nepoužívat a to bez toho aniž by byly předloženy konkrétní důkazy. U soukromého subjektu je to na něm, ale ve státním sektoru by to měl být stát, který by měl rozhodnout a neměl by přenášet odpovědnost na podřízené subjekty, kde často ve výběrovém řízení rozhoduje cena.

Stát by měl mít nějakou koncepci rozvoje své informační infrastruktury a snažit se budovat bezpečné homogenní prostředí postavené na otevřených standardech a technologiích, a tato situace tomu moc nepřispívá.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

  1. Robert

    „Stát má právo rozhodnout, jaké technologie bude používat a nemusí nikomu vysvětlovat, že přechází z jedné technologie na jinou. Ale když jeho orgán veřejně řekne, že jsou nebezpečné, pak to musí také nějak zdůvodnit.“
    https://dvojka.rozhlas.cz/andor-sandor-vsechno-co-se-deje-proti-huawei-je-ve-smyslu-ochrany-applu-7721538


K článku “NÚKIB vydal metodiku ke svému varování, zranitelnost se stále hledá” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: