Fórum Root.cz
Hlavní témata => Server => Téma založeno: MP 07. 03. 2018, 17:36:29
-
Ahoj,
neresil nekdo kvuli GDPR sifrovani disku s HW raidem na serverech? Napr. HP G7 s P410 radicem, nedohledal jsem zatim zadne info. Akorat, ze je od G8 moznost mit HP Secure Encryption. Jak realne je nasazeni pripadne SW sifrovani dm-crypt/LUKS (ci jine) na Debian7, slouzici jako hypervizory, kde VM obrazy jsou nad LVM?
-
Je to opravdu nutné? Opravdu existuje pravděpodobnost, že padouch získá současně všechny disky z toho raidu a zároveň nezíská ten server, který by je uměl rozšifrovat? Řešil bych to novým zámkem u serverovny a klíčky proti podpisu...
-
Sifrovani samo o sobe je ti knicemu, pokud nezaridis, ze se dotycny nedostane k desifrovani disku. Tzn napriklad budes pri kazdym restartu manualne zadavat heslo od klice. A ani to ti nemusi pomoct, protoze kdyz ti to hackne, tak si ten odemcenej klic precte v RAMce.
GDPR po tobe nic takovyho nechce. GDPR po tobe chce, abys mel papir = smernici, ktera trebas zakaze vsem zamestnancum vynaset jakykoli data z firmy, vcetne jejich predavani mailem a jinak. Das to vsem podepsat, idealne vcetne toho ze takovy jednani bude povazovany za hruby poruseni pracovnich povinosti s okamzitym ukoncenim pracovniho pomeru, a mas znacnou cast GDPR vyresenou.
Ta druha cast spociva v tom, ze podle toho musis realne jednat = jak sem uz psal, je to stejny jako BOZP. Nechas lidem podepsat ze maj nosit prilby, a kdyz nenosej, davas jim dutky a vypovedi. Pokud to nedelas, jde puser za tebou, pokud to delas, jde za nima.
-
ach jo, tady je zase chytrej..
gdpr šifrování NEnařizuje..
je to jedna z vhodných technických opatření když ti v analýze rizik (kterou snad má každej bez ohledu na gdpr a jen to doplní o pohled na OU) vyjde vysoko a musíš to nějak snížit
např. u notasů který choděj mimo firmu je riziko krádeže celkem velké (kecy že si naši lidi dávají pozor nestačí)... takže jestli jsou na nich kopie OU, je šifrování (i blbým bitlockerem) dost vhodné a sníží riziko..
šifrování samotných serverů nutné apriori není, když:
máte fyzickou bezpečnost - nikdo se tam nedostane aby si na konzoli sjížděl svoje USB
máte přístup k datům řešen aplikačně - práva, zabezpečná komunikace - (ted jen příklady) https, vlany....
NE, jen blbý papíry nestačí, firma je povinna dělat "PRIMERENE" aktivni opatření - takže i technická...
-
...
NE, jen blbý papíry nestačí, firma je povinna dělat "PRIMERENE" aktivni opatření - takže i technická...
Budova se zamyka ... staci? Sifrovanej disk na nb je ti opet khovnu, kdyz ten nb je porad zapnutej(a maximalne uspanej) a tudiz disk desifrovanej. Funguje to uplne stejne jako cedule "kradez notebooku se zapovida" nalepena na viko. Ve finale bude mit dotycnej to uberbezpecny heslo nalepeny na tom notesu zespoda.
-
ach jo, s frustrovaným trolem se nemá cenu bavit, ale zkusím nakrmit ještě jednou..
ne, NEstací.. jestli tušíš co je analýza rizik tak tam je i skupina "interní zaměstnanci".. tzn. neoprávnění lidé, uklízečí čety ti mohou(když mohou) vlézt do serverovny... třeba (když mohou, musíš to mít proti nim rozumn ě zabezpečený..
ale jak říkám, šifrování disků na serveru není z pohledu GDPR a "must" protože bys měl mít zabezpečenou serverovnu fyzicky..
což u přenosných zařízení - mobilů, notasů není, navíc většinou to taháš všude takže riziko "velké"..t zn. šifrování ti to pomůže snížit celkem dost a z hlediska auditu je to dost a dost...
takže bys to měl mít popsané a přiměřeně zajištěné i proti "isiderům co nejsou admini" ... třeba...
co se týče notebooků..
politika zamykání a usínání... neříkám že je to stopro, napíšes si dopředu proti jakým rizikům - krádeže a do zastavárny to šifrování stačí...
samozřejmě jestli si někdo nalepí heslo na notas, porušil směrnici a můžeš ho vyhodit...
ale musíš to v rámci gdpr i kontrolovat - tzn. mít zápisy z kontrol, nastavit si (sám) třeba 2x měsíčně kontrolu kanclu, to oprávněná osoba - bezpečák, někdo.. projde, uvidí heslo na víku a šup .. porušení, zápis a jedu
a mít někde šanon že ty kontroly probíhaly.. a ne to fejkovat..
když o tom víš how... tak radši nikoho nemat..
-
Sifrovanej disk na nb je ti opet khovnu, kdyz ten nb je porad zapnutej(a maximalne uspanej) a tudiz disk desifrovanej. Funguje to uplne stejne jako cedule "kradez notebooku se zapovida" nalepena na viko.
Právě proto se dělá analýza rizik. Není cílem eliminovat rizika do nuly, ale mitigovat je na dobrou úroveň za přijatelnou cenu. Patrně velmi složitě se budete bránit cílené krádeži notebooku pro data. Na druhou stranu, docela lehce se dá bránit náhodnému ukradení (nějakým loserem), který notebook hned vypne (aby nebyl vystopován) a už data nerozšifruje. Tedy, dvě různá rizika, jedno je mitigovatelné lehce, druhé obtížně. K druhému riziku patrně přibudou politiky domény na vypnutí obrazovky po X minutách nečinnosti a povinně zadané heslo.
A hopla, prakticky s nulovými náklady a pár kliknutími do politik domény máte na světě poměrně účinnou ochranu.
Na co ochranu nevymyslíte je např. loupežné přepadení a vydírání k zadání hesla. Tam už nemáte jinou možnost, než snižovat datovou nálož, kterou si zaměstnanec s sebou nosí, přístup k datům mít přes systémy bránící rychle stažení objemu dat (např. DMS) a auditování přístupů, případně vyhodnocování podezřelého chování. Ale myslím, že zrovna toto riziko se moc firem netýká.
-
2root redaktor:
Nebylo by lepší udělat článek řešící danou EU směrnici + ČR legislativu jenž ji implementuje? Obsahem článku by byl podrobný popis paragrafů, výkladů apod..
Zjevně zde chodí na root i lidé co jsou líní nebo neschopní to najít a přečíst.
-
2root redaktor:
Nebylo by lepší udělat článek řešící danou EU směrnici + ČR legislativu jenž ji implementuje? Obsahem článku by byl podrobný popis paragrafů, výkladů apod..
Zjevně zde chodí na root i lidé co jsou líní nebo neschopní to najít a přečíst.
To by byl podle mě tak rozvláčný článek, že by nikomu nepomohl. V každé firmě je potřeba GDPR uchopit úplně jinak. Zatím jsem našel jediné průnikové téma ve firmách, a to jak hospodařit se mzdovou agendou a účetními doklady - tím myslím nejedn v elektronické podobě, ale i v hmotné.
-
Sifrovat cele disky ci raidy je zbytecny. Akorat si tim hazite polena pod nohy pri pripadnem recovery. Postaci zasifrovat LVM partisnu kde mate data ci databazy.
-
Sifrovat cele disky ci raidy je zbytecny. Akorat si tim hazite polena pod nohy pri pripadnem recovery. Postaci zasifrovat LVM partisnu kde mate data ci databazy.
I to je nesmysl, pokud máte zajištěnou fyzickou bezpečnost. To se provádí jen v případech, že data jsou takové hodnoty (resp. tak citlivá), že ani fyzická bezpečnost není dostatečná. Obecně platí, že zajistit fyzickou bezpečnost je levnější a spolehlivější, než to dohánět šifrováním - např. vybudováním bezpečnostních dveří do serverovny, nebo klec na servery je jednorázová investice a není potřeba udržovat žádné recovery plány, zamýšlet se nad uložením a distribucí klíčů a hesel, ...
Tedy, pokud šifrujete (jakýmkoliv způsobem), stejně musíte řešit a pravidelně kontrolovat kde jsou klíče, kde jsou recovery klíče, kdo k nim má přístup, jak často se mění - a aby se změněné dostaly i do místa, kde máte uložené recovery atd. Recovery klíče se dost často ukládají v bankovních schránkách - protože pokud si je odnese majitel domů a strčí si je za pološtář, tak zavádíte hi-tech technologii na to, aby nejslabším článkem bylo uložení klíčů. (Málokterá firma má taky nonstop ajťáka, aby po každém rebootu zadával klíče - a dát klíče každému, je nesmysl).
Po zavedení šifrování zase v analýze rizik musíte počítat jak se snížením výkonu (riziko = vyšší náklady i na hardware do budoucna), tak s umenšením spolehlivosti (rizika při recovery poškozeného oddílu).
Na konec budete muset se stejnou pečlivostí, ale jiným způsobem zajistit, aby byla šifrována i data na zálohách - tedy se vším, co k tomu patří, tedy správa klíčů a recovery klíčů.
Takže, pokud nestačí na data obyčejná zamykaná a třeba střežená kancelář, pak bych uvažoval v prvním kroku na napojení alarmu na PCO (nejjednodušší, co se dá udělat), v druhém kroku nad stavebními úpravami (drátěná klec nebo místnost s bezpečnostními dveřmi) a teprve nakonec nad nějakým šifrováním.
-
přesně - u serverů..
největší vtip je, že nejvíc kec.. proti gdpr mají frustr... kteří netuší nic o řízení rizik, aktivech, busines continuity..
každý kdo to bere trošku vážně tohle má už dávno zpracované (ne ve smyslu gdpr - OU).. ale z hlediska svých IS, aktiv, hrozeb....
takže má popsané procesy, zpracované postupy atd..
no a když gdpr, tak tam přidá další "záložku" protože osobní údaje fyz. osob (které třeba tolik do té doby neřešili..)
a má to za chvíli "zpracované".. pak třeba trochu pozmění některé procesy, zavede nějaká technická menší opatření směrem k "osobám"...
ale nejvíc prudí lidé co nic nemají, nic neví a ted najednou se hrozně diví..
jak může firma 300 lidí plus v nonstop rpovozu která dodává do automotive a má podepsaný brut sankce nemít zpracovaný analýzy rizik, mít recovery a disaster plany, TO mi hlava nebere (ne kvůli gdpr..)
jak maj podchyceno že jim shoří přes veškerá slabá opatření serverovna? do kolik hodin budou opět živí, kolikrát to testovali?
-
jak může firma 300 lidí plus v nonstop rpovozu která dodává do automotive a má podepsaný brut sankce nemít zpracovaný analýzy rizik, mít recovery a disaster plany, TO mi hlava nebere (ne kvůli gdpr..)
Mimochodem, celý obor automotive je krásná ukázka reálného rozmělnění neodpovědnosti. Automobilky dávno zjistily, že udržet vlastní výrobu a splnit všechny tyto jakostní požadavky je nepředstavitelně drahé. A tak draží a kontrahují subdodavatele, požadují dodávky just in time a zavádějí brutální saknce při nedodržení. Jenže zde je jeden okamžik hodný zamyšlení: automobilka VÍ, že subdodavatel nemůže být ve skutečnosti levnější, než by byla jejich interní výroba. Automobilka VÍ, že subdodavatel může dodávat levněji jedině za té okolnosti, že sice brutální smlouvu podepíše, ale interně rizika nemá zpracována na patřičné úrovni.
...jenže, když se stane průser, tak automobilka má vždy na každý díl dva dodavatele, takže JIT dodá to samé ten druhý... A všichni v tomto řetězci se navenek tváří, jak se rozdělením té samé práce z jednoho subjektu na tři! (automobilka+dodavatel 1+doavatel 2) šetří peníze, což je samozřejmě pitomost...
No a tak se tu všichni tváříme, jak je vše OK, ale ve skutečnosti ti, kteří to vedou, vědí opak, ač to NIKDY nepřiznají.
-
určitě:-)
tak si založ jinou firmu a ukaž všem že to dělají blbě :-)
zatím ty miliardy zisku mají automobilky a ne ti co tvrdí že to dělají blbě (osekání skladů, jit, ždímání dodavatelů)...
-
určitě:-)
tak si založ jinou firmu a ukaž všem že to dělají blbě :-)
zatím ty miliardy zisku mají automobilky a ne ti co tvrdí že to dělají blbě (osekání skladů, jit, ždímání dodavatelů)...
To jste mě špatně pochopil. Mě nevadí, že to tak dělají, ale to, že se tváříme, že je vše super sluníčkovaté. Vznětové motory také do předminulého roku plnily ty nejpřísnější normy, které se daly ve vesmíru vynalézt, ale byla jen otázka času, kdy se to zhroutí. A nemáme ani dost velké koule na to, abychom řekli: tak, milá automobilko, nadrobila sis, tak teď vyměň všem lidem auta či motory tak, aby byli všichni spokohjení. To né, my hledáme s automobilkou politický kompromis!!!
Daleko bližší je mi USA, kde je méně pravidel, méně se kecá o tom, jak se všechno plní, ale to, co se plnit má, tak se plnit opravdu musí, jinak je to schopné položit (třeba i tu automobilku) na kolena.
Kdyby byla automobilka opravdu odpovědná i za své subdodavatele (čistě teoretiky!), viděl byste, jak by si raději vše vyráběli sami.
-
... to je problém těch dodavatelů že ty smlouvy podepíšou..
automobilky si hlídaj a šlapou po L1 nejvíc..
to že "l2 a l3" jsou zoufalci co podepíší cokoli a mají jednoho admina bez disazstr plánů.... a doufaj že to nějak upytlíkujou..
do té doby než je právníci sejmou - ale je fakt že l2 a l3 taový likvidační věci podepsaný obvykle nemívaj...
-
... to je problém těch dodavatelů že ty smlouvy podepíšou..
do té doby než je právníci sejmou - ale je fakt že l2 a l3 taový likvidační věci podepsaný obvykle nemívaj...
Jasně, ale takový stav společnosti moc neprospívá. Automobilky se tváří, že o ničem takovém ANI NETUŠÍ :)).
Ale to už jsme hodně off topic.
-
Vznětové motory také do předminulého roku plnily ty nejpřísnější normy, které se daly ve vesmíru vynalézt, ale byla jen otázka času, kdy se to zhroutí. A nemáme ani dost velké koule na to, abychom řekli: tak, milá automobilko, nadrobila sis, tak teď vyměň všem lidem auta či motory tak, aby byli všichni spokohjení. To né, my hledáme s automobilkou politický kompromis!!!
Tak určitě... nejlépe bude automobilky vymýšlením nesmyslných nesplnitelných norem zkrachovat a nakoupit koloběžky.
-
ale.. prostě podvod..
zadání bylo nějaké (emise atd.).. když to neuměli, neměli to dělat.. prostě podváděli jak zloději a chytli je..
v usa z nich stáhnou kůži, u nás...
když vzniklo zadání b29 tak taky všichni říkali "to nejde postavit"... a hele, šlo to... (dolet, dostupnost, rychlost, nosnost...)..
vše ostatní jsou jen kecy zlodějů..
fakovat zadání a pak dělat "ono to nešlo splnit" - no nešlo, tak to nemělo vzniknout..
-
zadání bylo nějaké (emise atd.).. když to neuměli, neměli to dělat.. prostě podváděli jak zloději a chytli je..
To není tak jednoduché. ŘJ motoru mění profil palivové mapy podle zahřátí, zatížení, zpětné vazby z lambda sondy. I kdyby přímo nepodváděli, tak emise na zkušebním stroji vyjdou úplně jinak, než ve skutečném provozu. Jenže: celý problém byl, že EU nestanovila jen cíle ke splnění, ale ještě určila metodiku, jakou se to měří. Tím pádem dala všem do ruky zbraň: když projdete tímto testem, dostanete razítko. Druhá vlna dieselgate není o tom, že automobilky mají přímo detekci testovacího běhu, ale o tom, že i auta bez tohoto podvodu stejně ve skutečnosti normu nemění.
Každý nadřízený (ať už je to osoba nebo orgán) by měl stanovovat pouze cíle. Podřízení by měli ty cíle plnit a umět si obhájit svůj postup. Tak to funguje v USA a proto automobilky v USA musí odškodňovat. U nás se úspěšně hájí tím, že jen splnily to, co jim bylo určeno.
Technické opatření NIKDY nenahradí odpovědnost na jedné straně, a správní uvážení na druhé straně.
-
ale.. prostě podvod..
zadání bylo nějaké (emise atd.).. když to neuměli, neměli to dělat.. prostě podváděli jak zloději a chytli je..
Ehmm... mě se líbí jak z "nařízení" se udělá "zadání" a sdělí se jim, že když to neuměli, neměli to dělat... že by mohlo třeba to nařízení být poněkud nevhodné ať už cílem či způsoby, to je vlastně jedno....
-
To není tak jednoduché. ŘJ motoru mění profil palivové mapy podle zahřátí, zatížení, zpětné vazby z lambda sondy. I kdyby přímo nepodváděli, tak emise na zkušebním stroji vyjdou úplně jinak, než ve skutečném provozu. Jenže: celý problém byl, že EU nestanovila jen cíle ke splnění, ale ještě určila metodiku, jakou se to měří. Tím pádem dala všem do ruky zbraň: když projdete tímto testem, dostanete razítko. Druhá vlna dieselgate není o tom, že automobilky mají přímo detekci testovacího běhu, ale o tom, že i auta bez tohoto podvodu stejně ve skutečnosti normu nemění.
Každý nadřízený (ať už je to osoba nebo orgán) by měl stanovovat pouze cíle. Podřízení by měli ty cíle plnit a umět si obhájit svůj postup. Tak to funguje v USA a proto automobilky v USA musí odškodňovat. U nás se úspěšně hájí tím, že jen splnily to, co jim bylo určeno.
Metodika měření je samozřejmě stanovena i v USA, proto tak dlouho trvalo, než se na to přišlo. Bez stanovené metodiky jaksi nejde mít jakékoliv porovnatelné výsledky. A samozřejmě se jedná o podvod, když auto mění palivovou mapu podle toho, jestli detekuje, že je měřeno (neotáčí se volantem, točí se jen hnaná náprava).
Odškodňuje se i u nás, ale odškodnění je o dost složitější, protože u nás musí kupující prokázat, že kdyby o tom podvodu věděl, tak by to auto nekoupil. V USA mají class action lawsuit, které tohle hodně zjednodušuje.
-
Bez stanovené metodiky jaksi nejde mít jakékoliv porovnatelné výsledky.
To je ale jen jedna část toho, jak se to má dělat.
Má být stanovený cíl - ten cíl má být obecný, nevázaný na metodiku.
Pak má být stanovena metodika, ale s tím, že není jediná, kterou se bude měřit. Tedy: zavedu metodiku měření na stroji simulujícím provoz. Když zjistím, že simulační běh není blízký realitě, změním metodiku. Stále se bude měřit ale tatáž veličina: tedy např. hmotnost škodlivin na kilometr.
Výrobce tedy bude ve vlastním zájmu hledat nikoliv cesty, jak projít testem, ale naopak bude sám hledat slabiny v měření, aby snížil svá rizika, že se zjistí, že neplní stanovený cíl.
Tedy běžný princip objektivní odpovědnosti s možností liberace.
Když řeknete, že rozhodující je metodika A, pak se výrobci zcela logicky vykašlou na to, aby se snažili snížit emise, ale budou se soustředit na splnění testovacího běhu.
(O podvodu s detekcí ani nemluvím, tam je zcela mimo diskusi nelegálnost takového chování).
-
Sifrovanej disk na nb je ti opet khovnu, kdyz ten nb je porad zapnutej(a maximalne uspanej) a tudiz disk desifrovanej. Funguje to uplne stejne jako cedule "kradez notebooku se zapovida" nalepena na viko.
Právě proto se dělá analýza rizik. Není cílem eliminovat rizika do nuly, ale mitigovat je na dobrou úroveň za přijatelnou cenu. Patrně velmi složitě se budete bránit cílené krádeži notebooku pro data. Na druhou stranu, docela lehce se dá bránit náhodnému ukradení (nějakým loserem), který notebook hned vypne (aby nebyl vystopován) a už data nerozšifruje. Tedy, dvě různá rizika, jedno je mitigovatelné lehce, druhé obtížně. K druhému riziku patrně přibudou politiky domény na vypnutí obrazovky po X minutách nečinnosti a povinně zadané heslo.
A hopla, prakticky s nulovými náklady a pár kliknutími do politik domény máte na světě poměrně účinnou ochranu.
Na co ochranu nevymyslíte je např. loupežné přepadení a vydírání k zadání hesla. Tam už nemáte jinou možnost, než snižovat datovou nálož, kterou si zaměstnanec s sebou nosí, přístup k datům mít přes systémy bránící rychle stažení objemu dat (např. DMS) a auditování přístupů, případně vyhodnocování podezřelého chování. Ale myslím, že zrovna toto riziko se moc firem netýká.
Admini budou fasovat ampule s kyanidem?
-
Admini budou fasovat ampule s kyanidem?
Jak pohlídáte, aby ji měli u sebe a opravdu rozkousli?
-
Admini budou fasovat ampule s kyanidem?
Jak pohlídáte, aby ji měli u sebe a opravdu rozkousli?
Budou namátkové kontroly a bude se testovat ochota admina se orávit? Lidí je jak sraček!
-
Budou namátkové kontroly a bude se testovat ochota admina se orávit? Lidí je jak sraček!
Jojo, a dobrýho admina, abyste pohledal. Jsem taky pro testování.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
Ano, já dlouhodobě kritizuji odtržení postoje "odborníků", kteří chrání soukromí víc, než si lidé ve skutečnosti přejí. Stojí nás to miliardy, máme vše zabezpečenější na to, abychom stejně nechávali hlavní dveře dokořán.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
-
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Srovnáváte nesrovnatelné. Za jedno, lidské zdraví je hodnota požívající mimořádnou ochranu - zdraví je mnohdy nevratné a jeho poškození zkracuje či ukončuje život člověka. Za druhé, čistou vodu potřebujeme, pití vody se nevyhneme.
Internet a soukromí si ale můžeme hlídat sami. Dokonce lze žít i úplně bez internetu.
Proto je v tom velký rozdíl.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Ne, to není dobré přirovnání. Spíš: Většina lidí se "preventivně léčí" tím, že si doma nechávají plesnivět potraviny - dělaj si doma penicilin (oni si to myslí) a jí je. Ale budeme zavírat prodavače v obchodě, když jim najdeme v regálu nahnilou bramboru nebo jablko.
-
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Srovnáváte nesrovnatelné. Za jedno, lidské zdraví je hodnota požívající mimořádnou ochranu - zdraví je mnohdy nevratné a jeho poškození zkracuje či ukončuje život člověka. Za druhé, čistou vodu potřebujeme, pití vody se nevyhneme.
Internet a soukromí si ale můžeme hlídat sami. Dokonce lze žít i úplně bez internetu.
Proto je v tom velký rozdíl.
Bullshit. Poskozeni soukromi je take nevratne. A ano, v Maslowove pyramide je vys.
Hlidat si ho sam z principu nemuzes. Dokonce i kdyz danou sluzbu nepouzivas, tak muze poskozovat tve soukromi (shadow profil na FB)
Ne, problem je v tom, ze z "dost lidi na to kasle" neplyne "tak se nemaji chranit lidi implicitne".
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Ne, to není dobré přirovnání. Spíš: Většina lidí se "preventivně léčí" tím, že si doma nechávají plesnivět potraviny - dělaj si doma penicilin (oni si to myslí) a jí je. Ale budeme zavírat prodavače v obchodě, když jim najdeme v regálu nahnilou bramboru nebo jablko.
Ale my ty prodavace naprosto bezne pokutujeme a je to dobre. Ne za jedno nahnile jablko, ale za to, ze vzadu ve skladu, kam zakaznik nevidi, maji potkany.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Ne, to není dobré přirovnání. Spíš: Většina lidí se "preventivně léčí" tím, že si doma nechávají plesnivět potraviny - dělaj si doma penicilin (oni si to myslí) a jí je. Ale budeme zavírat prodavače v obchodě, když jim najdeme v regálu nahnilou bramboru nebo jablko.
Ale my ty prodavace naprosto bezne pokutujeme a je to dobre. Ne za jedno nahnile jablko, ale za to, ze vzadu ve skladu, kam zakaznik nevidi, maji potkany.
Tak ale srovnávejme podobné. Potom by to odpovídalo situaci, kdy by data byla veřejně přístupná na netu.
-
Ale my ty prodavace naprosto bezne pokutujeme a je to dobre. Ne za jedno nahnile jablko, ale za to, ze vzadu ve skladu, kam zakaznik nevidi, maji potkany.
To ano, ale neposíláme mu tam kontrolora a nezavádíme online kamery na každou přejímku zboží. Je zákonem vyjádřeno, co se smí a co se nesmí, jsou za to postihy. Ale ty postihy jsou přiměřené a kontroly namátkové.
-
Hlidat si ho sam z principu nemuzes. Dokonce i kdyz danou sluzbu nepouzivas, tak muze poskozovat tve soukromi (shadow profil na FB)
Ne, problem je v tom, ze z "dost lidi na to kasle" neplyne "tak se nemaji chranit lidi implicitne".
Proč? Absolutní většina naší planety nikam svoje údaje nezadává, nikam je neuvádí. Internet, nebio FB nepatři mezi lidské potřeby či práva. Chránit naše soukromí musíme implicitně tam, kde se jedinec není schopen vyhnout expozici dat. Tedy např. při jednání na úřadech. Ale jestli vyplní přihlášku do nějakého klubu, nebo jestli poleze na internet, to už je opravdu jeho věc.
-
Řeší se ochrana OU s drakonickými tresty a na druhé straně na sebe lidi všechno vyžvaní na FB.
A? To je jako bys nadaval na to, ze se investuje do cisteni vody, kdyz dost deti sni zizalu v parku.
Ne, to není dobré přirovnání. Spíš: Většina lidí se "preventivně léčí" tím, že si doma nechávají plesnivět potraviny - dělaj si doma penicilin (oni si to myslí) a jí je. Ale budeme zavírat prodavače v obchodě, když jim najdeme v regálu nahnilou bramboru nebo jablko.
Ale my ty prodavace naprosto bezne pokutujeme a je to dobre. Ne za jedno nahnile jablko, ale za to, ze vzadu ve skladu, kam zakaznik nevidi, maji potkany.
Tak ale srovnávejme podobné. Potom by to odpovídalo situaci, kdy by data byla veřejně přístupná na netu.
Data pristupna na internetu jsou, kdyz kvuli tem potkanum vypukne epidemie.
GDPR proste vyzaduje nejakou hygienickou uroven prace s citlivymi materialy. Je to prevence. A nevidim duvod, proc by zrovna nas obor mel byt neco extra a nemeli bychom mit povinnosti resit problemy driv, nez nastanou.
-
Proč? Absolutní většina naší planety nikam svoje údaje nezadává, nikam je neuvádí. Internet, nebio FB nepatři mezi lidské potřeby či práva. Chránit naše soukromí musíme implicitně tam, kde se jedinec není schopen vyhnout expozici dat. Tedy např. při jednání na úřadech. Ale jestli vyplní přihlášku do nějakého klubu, nebo jestli poleze na internet, to už je opravdu jeho věc.
Absolutni vetsina planety - vsimnul sis, ze to neni planetrarni zakon? (Btw - vetsina planety uz davno udaje uvadi. Mobil ma vic lidi, nez zachod.)
A vsimnul sis, ze GDPR neresi primarne prihlasky do klubu?
Jinak ta tva argumentace se da pouzit i obracene - nikdo te nenuti zadne udaje zpracovavat.
-
Jinak ta tva argumentace se da pouzit i obracene - nikdo te nenuti zadne udaje zpracovavat.
My si nerozumíme! Já jsem všema deseti PRO GDPR a jsem i pro to, aby držitelé informací měli co nejvíc povinností.
Jsem však PROTI tomu _nařizovat_ či uměle zavádět nějaká konkrétní technická opatření. Úroveň své ochrany by si měl zvolit hlavně držitel dat a pak také osoba, jejíž zájmy jsou chráněny.
Role státu není to, aby dělal četníka (tedy stál za zády jedněm s pendrekem a druhé chlácholil). Stát má dát pouze právní rámec a zajistit, aby právo bylo vykonatelné. V případě GDPR jde o stanovení objektivní odpovědnosti. Dále má stát vždy preferovat civilní spory nad správními zásahy. Zatímco v případě hygieny je na místě, aby správní orgány konaly preventivně, protože zdraví nelze navrátit. V případě ochrany soukromí se nic moc nestane (viz dosavadní praxe), když necháte, aby skutečné zájmy obou strany soupeřily - jak v pozitivním smyslu, tak v tom negativním, na volném trhu. Bude už jen na osobě, jestli dá přednost funkcím facebooku, nebo svému soukromí.
Co bohužel ale děláme, co dělá naše civilizace moc ráda, vzbuzujeme v lidech dojem, že lze splnit obojí, že se o to postará stát, a že to lidi nestojí ani korunu. Monžá byste se divil, jak by dopadlo referendum, ve kterém by lidé viděli účet za svoje registrace kdovíkde všude.
-
Zatímco v případě hygieny je na místě, aby správní orgány konaly preventivně, protože zdraví nelze navrátit. V případě ochrany soukromí se nic moc nestane (viz dosavadní praxe), když necháte, aby skutečné zájmy obou strany soupeřily - jak v pozitivním smyslu, tak v tom negativním, na volném trhu.
Soukromi jde navratit? Kdyz to zvelicime, co kdyz se rozhodne tesco snimat kazdemu otisky prstu a tyhle data se pak diky vasemu souhlasu budou prodavat? Preci jde o volny trh, muzete nakupovat treba v albertu, ne? Gdpr neurcuje zpusob jak mate data zabezpecit, ale urcuje jake mate povinnosti a moznosti. Pred gdpr ztrata vasich osobnich udaju treba z t-mobilu znamenala ze muzete se soudit o nejakou skodu s pravnim tymem a prakticky za x let se dostanete k odskodneni. Tohle pro firmy nebyl duvod navysit treba zabezpeceni, nebo vubec resit zabezpeceni a procesy... ted kdyz ztrati data, dostanou pokutu ktera je citelna i pro t-mobile a zaroven musi resit i pripadne skody. Ne pasivne cekat na vas navrh, ale aktivne. Jako zakaznik je vase pozice o neco silnejsi diky gdpr.
-
Soukromi jde navratit? Kdyz to zvelicime, co kdyz se rozhodne tesco snimat kazdemu otisky prstu a tyhle data se pak diky vasemu souhlasu budou prodavat? Preci jde o volny trh, muzete nakupovat treba v albertu, ne? Gdpr neurcuje zpusob jak mate data zabezpecit, ale urcuje jake mate povinnosti a moznosti. Pred gdpr ztrata vasich osobnich udaju treba z t-mobilu znamenala ze muzete se soudit o nejakou skodu s pravnim tymem a prakticky za x let se dostanete k odskodneni. Tohle pro firmy nebyl duvod navysit treba zabezpeceni, nebo vubec resit zabezpeceni a procesy... ted kdyz ztrati data, dostanou pokutu ktera je citelna i pro t-mobile a zaroven musi resit i pripadne skody. Ne pasivne cekat na vas navrh, ale aktivne. Jako zakaznik je vase pozice o neco silnejsi diky gdpr.
Ano, opravdu si myslím, že první, kdo by měl něco udělat je zákazník. Otočit se na podpatku a jít do Alberta. Zákony mají následovat mínění lidí, ne ho předbíhat. Zásah shůry je potřeba tam, kde se nemůžete vyhnout sběru dat - tedy právě např. úřady.
A co se týče navrácení soukromí, bez pochyby lze daleko víc a definitivněji, než u zdraví. Na to stačí udělat jednoducý test. Asi ho nemusíte ani dělat, stačí se nad ním zamyslet. Zeptejte se nemocných, jestli by byli raději zdraví za cenu ztráty soukromí. A zeptejte se těch, kteří soukromí ztratili, jestli by ho chtěli zpět za cenu ztráty zdraví. Myslím, že si odpovíte sám.
-
Neřešte to do zásoby, pokud zatím nemusíte. Dohodněte se s šoumenama, co vám po firmě kvůli GDPR běhají, zda se to vůbec bude dělat. Držím palce, ať tu přípravu v pořádku zvládnete. Někdy kvůli GDPR řešíme neskutečný ... (doplnit sprosté slovo)
-
Soukromi jde navratit? Kdyz to zvelicime, co kdyz se rozhodne tesco snimat kazdemu otisky prstu a tyhle data se pak diky vasemu souhlasu budou prodavat? Preci jde o volny trh, muzete nakupovat treba v albertu, ne? Gdpr neurcuje zpusob jak mate data zabezpecit, ale urcuje jake mate povinnosti a moznosti. Pred gdpr ztrata vasich osobnich udaju treba z t-mobilu znamenala ze muzete se soudit o nejakou skodu s pravnim tymem a prakticky za x let se dostanete k odskodneni. Tohle pro firmy nebyl duvod navysit treba zabezpeceni, nebo vubec resit zabezpeceni a procesy... ted kdyz ztrati data, dostanou pokutu ktera je citelna i pro t-mobile a zaroven musi resit i pripadne skody. Ne pasivne cekat na vas navrh, ale aktivne. Jako zakaznik je vase pozice o neco silnejsi diky gdpr.
A co se týče navrácení soukromí, bez pochyby lze daleko víc a definitivněji, než u zdraví. Na to stačí udělat jednoducý test. Asi ho nemusíte ani dělat, stačí se nad ním zamyslet. Zeptejte se nemocných, jestli by byli raději zdraví za cenu ztráty soukromí. A zeptejte se těch, kteří soukromí ztratili, jestli by ho chtěli zpět za cenu ztráty zdraví. Myslím, že si odpovíte sám.
.
Motáš subjektivní důležitost (a o Maslowově pyramidě už jsem tu psal) s otázkou reversibility ztráty.
-
Motáš subjektivní důležitost (a o Maslowově pyramidě už jsem tu psal) s otázkou reversibility ztráty.
Já Vaši připomínku četl. Za jedno, zdraví je v této pyramidě větší hodnotou než pocit bezpečí a jistoty.
Za druhé, netuším, co to má společného s úvahou, jestli se o své bezpečí a jistotu máme starat v prvé řadě sami, nebo jestli je nutné, aby nám ten pocit byl dáván shůry.
Myslím, že se shodujeme v otázce nezbytnosti existence GDPR, lišíme se jen v tom, že já říkám, že v prvé řadě se má o své soukromí zajímat každý zvlášť.
-
Motáš subjektivní důležitost (a o Maslowově pyramidě už jsem tu psal) s otázkou reversibility ztráty.
Já Vaši připomínku četl. Za jedno, zdraví je v této pyramidě větší hodnotou než pocit bezpečí a jistoty.
Za druhé, netuším, co to má společného s úvahou, jestli se o své bezpečí a jistotu máme starat v prvé řadě sami, nebo jestli je nutné, aby nám ten pocit byl dáván shůry.
Myslím, že se shodujeme v otázce nezbytnosti existence GDPR, lišíme se jen v tom, že já říkám, že v prvé řadě se má o své soukromí zajímat každý zvlášť.
Neodbíhej.
Kritizoval jsem tvé tvrzení o reverzibilitě ztráty soukromí.
To jsi podepřel naprosto nesmyslným argumentem.
-
Kritizoval jsem tvé tvrzení o reverzibilitě ztráty soukromí.
To jsi podepřel naprosto nesmyslným argumentem.
Ano, narozdíl od zdraví je soukromí navratitelné, zhojitelné. Je možná i naprostá zákonná změna identity.
-
Kritizoval jsem tvé tvrzení o reverzibilitě ztráty soukromí.
To jsi podepřel naprosto nesmyslným argumentem.
Ano, narozdíl od zdraví je soukromí navratitelné, zhojitelné. Je možná i naprostá zákonná změna identity.
Takže zatímco salmonelózy už se nikdy nezbavíme, změna identity je nejspíš rutinní zákrok. Jako vážně?