NÚKIB vydal metodiku ke svému varování, zranitelnost se stále hledá
NÚKIB včera vydal metodický pokyn k varování před kybernetickou bezpečnostní hrozbou v podobě produktů čínských společností Huawei a ZTE.
Tuto hrozbu NÚKIB hodnotí v souladu s metodikou uvedenou ve VoKB jako velmi pravděpodobnou až více méně jistou, tedy hrozbu kritickou, kdy předpokládaná realizace hrozby je častější než jednou za měsíc.
Je otázka, co NÚKIB k takto přísnému hodnocení hrozby vedlo, když za posledních pět let nebyl zveřejněn jediný případ, který by potvrdil přítomnost backdooru v produktech těchto společností, kromě těchto.
Pravda je, že se od prvního obvinění zveřejněného v roce 2012 prakticky nic nezměnilo. Občas se objevila nějaká zpráva, ale je otázka čemu věřit, obzvlášť když se dočtete toto.
Poukazovat na aplikace sbírající údaje je irelevantní, protože ty lze čas od času nalézt v podstatě ve všech komerčních OS a telefonech různých značek, kdy byl třetí stranou modifikován firmware anebo do nich byla nainstalována škodlivá aplikace a v ohrožení byli po určitou dobu téměř všichni.
Uvedené projevy hrozby popsané v metodice nebyly zatím nikde v souvislosti s těmito technologiemi hlášeny, ale na druhou stranu je otázka, jestli vůbec by si jich byl schopen, snad kromě odepření služby, někdo všimnout.
Nicméně je třeba je brát vážně, stejně jako u jakýchkoliv jiných closed source řešení. I když on ani ten open source neskýtá úplnou záruku. Ovšem argumentovat, že ČLR požaduje po svých firmách součinnost, nestačí, protože stejnou součinnost požaduje snad každý vyspělý stát, i USA.
Hrozba, jak NÚKIB správně zmiňuje, musí zneužívat nějakou zranitelnost, kterou je ke stanovení velikosti rizika rovněž nutné do výpočtu zahrnout, a tu NÚKIB neuvádí. Nejspíš proto, že ani on sám o žádné konkrétní zranitelnosti, backdooru nebo trojském koni v těchto produktech neví.
To samozřejmě neznamená, že by tyto produkty žádné zranitelnosti nikdy neobsahovaly nebo neobsahují. Obsahují, ale v zásadě jsou na tom podobně jako produkty jiných společností, mají přidělena CVE ID a jsou hodnoceny podle CVSS.
Jak by měl správce zranitelnost hodnotit, se v metodice nedozvíme, a už vůbec ne, jaké úrovně by měla zranitelnost nabývat. Bývá zvykem, že ten, kdo objeví nějakou zranitelnost, tak ji popíše, ohodnotí a případně předloží i nějaký exploit, aby bylo možné zranitelnost otestovat a ověřit, že přijaté opatření je účinné. A může na tom i slušně vydělat.
Zde se v zásadě jako jediné opatření jeví tyto technologie nepoužívat a to bez toho aniž by byly předloženy konkrétní důkazy. U soukromého subjektu je to na něm, ale ve státním sektoru by to měl být stát, který by měl rozhodnout a neměl by přenášet odpovědnost na podřízené subjekty, kde často ve výběrovém řízení rozhoduje cena.
Stát by měl mít nějakou koncepci rozvoje své informační infrastruktury a snažit se budovat bezpečné homogenní prostředí postavené na otevřených standardech a technologiích, a tato situace tomu moc nepřispívá.
ČERMÁK, Miroslav, 2019. NÚKIB vydal metodiku ke svému varování, zranitelnost se stále hledá. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/nukib-vydal-metodiku-ke-svemu-varovani-zranitelnost-se-stale-hleda/. [citováno 07.12.2024].
K článku “NÚKIB vydal metodiku ke svému varování, zranitelnost se stále hledá” se zde nachází 4 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
„Stát má právo rozhodnout, jaké technologie bude používat a nemusí nikomu vysvětlovat, že přechází z jedné technologie na jinou. Ale když jeho orgán veřejně řekne, že jsou nebezpečné, pak to musí také nějak zdůvodnit.“
https://dvojka.rozhlas.cz/andor-sandor-vsechno-co-se-deje-proti-huawei-je-ve-smyslu-ochrany-applu-7721538
https://www.novinky.cz/internet-a-pc/bezpecnost/503707-vodafone-zarizeni-huawei-mela-zadni-vratka-ktera-mohla-byt-zneuzita.html
Tak to byla zpráva od Bloomberg, a teď pro změnu ta od BBC: https://www.bbc.com/news/business-48103430. Je třeba si uvědomit, že v této oblasti probíhá litý konkurenční boj o získání dominantního postavení na trhu, do kterého se nechali zatáhnout i čelní představitelé a bezpečnostní služby. V rámci tohoto boje dochází i k záměrnému šíření nepravdivých a značně zavádějících informací, které lze obtížně ověřit, psal jsem o tom, např. zde: http://www.cleverandsmart.cz/nova-media-nazorove-bubliny-a-profesionalni-zurnalistika/. Je třeba se vždy zamyslet i nad tím, kdo danou zprávu vydal, a kdo vlastní a ovládá dané médium.
China Accuses U.S. of Decade-Long Cyber Espionage Campaign Against Huawei Servers:
https://thehackernews.com/2023/09/china-accuses-us-of-decade-long-cyber.html