Centrální logování Windows + Linux + netflow GDPR

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #15 kdy: 21. 11. 2017, 07:26:38 »
Nebo ještě jinými slovy: Vaše firma si musí určit, nebo najmout osobu, která bude za GDPR zodpovědná. Tak projde procesy a definuje požadavky na IT oddělení. V první fázi bude asi chtít popis systémů, uložení a zabezpečení dat. Pak ta osoba vytvoří první nástřel požadavků na IT úpravy tak, aby to sedělo do procesů firmy a zabezpečení se zlepšilo. Teprve v ten moment nastupuje práce IT oddělení.

Nevím, jestli je to případ i u vás, ale setkávám se s obrovskou mýlkou, že firmy si myslí, že GDPR je něco, co má řešit IT oddělení. Nikoliv.


andy

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #16 kdy: 21. 11. 2017, 10:22:06 »
Citace
Každý by měl přemýšlet a vykonat rozumné maximum, co může.

Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.

j

Re:Centralni logovani windows + linux + netflow GDPR
« Odpověď #17 kdy: 21. 11. 2017, 10:25:42 »
Kdy bude odpovědný ten, co ta data ukradne? Kdy se začne přemýšlet tak, aby to nekomplikovalo práci. Kdy se přestane mrhat prostředky?

Lidská hloupost nezná mezí. Ach jo.
Kdyz ti nekdo slohne auto, a zjisti se, ze nebylo zamceny, nebo ze si dokonce nechal klicky v zapalovani, tak prvni kdo dostane pokutu budes prave TY. Tohle je stejny.

...K Gdpr:  nevite o nejakych pripravenych vzorech procesu ci smernic. Nebo nejakem foru?
Nic takovyho neexistuje a ani nexistovat nemuze. Protoze to zalezi na tom co delas, s cim to delas a jak to delas.

Pricemz z 99% GDPR nema s IT spolecnyho zhola nic.

j

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #18 kdy: 21. 11. 2017, 10:33:58 »
Citace
Každý by měl přemýšlet a vykonat rozumné maximum, co může.

Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.
Soud to resit nebude, ten to jednoduse spocita ... flastr je pokud vim 4% celosvetovyho bratu. Takze se vemou 4%, coz u pidifirmy hodi 4M, a v tom pripade je 1M naprosto oduvodnitelnej naklad, takze se ti ulozi sankce (napoprvy) 2M, abys nemel pocit, ze to vyslo nastejno, nebo ze si dokonce usetril.

Trebas u takovy Skodovky to pak bude +-stejny, jen misto M tam budou G.

andy

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #19 kdy: 21. 11. 2017, 10:40:54 »
Citace
Každý by měl přemýšlet a vykonat rozumné maximum, co může.

Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.
Soud to resit nebude, ten to jednoduse spocita ... flastr je pokud vim 4% celosvetovyho bratu. Takze se vemou 4%, coz u pidifirmy hodi 4M, a v tom pripade je 1M naprosto oduvodnitelnej naklad, takze se ti ulozi sankce (napoprvy) 2M, abys nemel pocit, ze to vyslo nastejno, nebo ze si dokonce usetril.
Takže když by to stálo 5M a firma usoudí, že do toho nepůjde, protože radši zaplatí flastr 4M než vydat tyhle náklady, tak soud usoudí, že to odůvodnitelné nebylo a firmu tu pokutu nedostane?


Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #20 kdy: 21. 11. 2017, 11:16:41 »
Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.

Soud rozhodně nebude řešit, jestli by to bylo ekonomicky smysluplné - od toho má každá firma mít spočítanou svoji ekonomiku. Soud vyjde z předpokladu, že nesete odpovědnost, a na Vás bude prokázat, že jste víc nemohli udělat. Trochu drsně řečeno, je jen Váš problém, že máte firmu organizačně tak špatně nastavenou, že zavedení GDPR bude stát tolik peněz.

Důvodem pro liberaci je nepředpokladatelnost následku. Např. neponesete odpovědnost, pokud Vám zdi archivu / spisovny naruší zemětřesení a v důsledku toho se lejstra dostanou volně na ulici. Naopak ponesete odpovědnost, pokud je nezabezpečíte přiměřeně. Pokud to budou méně důvěrné informace a v malém množství, bude stačit třeba jen zabezpečení dveří. Pokud by šlo o spisovnu advokáta nebo zdravotnického zařízení, tam už by soud asi očekával zabezpečení pomocí PCO, případně hlídací agentury apod.

Ještě nutno poznamenat, že GDPR neklade o moc větší požadavky na ochranu informací, než současné zákony. Jediné, co se změnilo je, že byla stanovena objektivní odpovědnost. Tedy firmy, které braly vážně i dosavadní zákony, jsou z větší části připravené. Firmy, které podle současných zákonů dělali vyčůraně jen nutné minimum, mají teď problém.
« Poslední změna: 21. 11. 2017, 11:25:48 od Miroslav Šilhavý »

Re:Centralni logovani windows + linux + netflow GDPR
« Odpověď #21 kdy: 21. 11. 2017, 11:40:20 »
Kdyz ti nekdo slohne auto, a zjisti se, ze nebylo zamceny, nebo ze si dokonce nechal klicky v zapalovani, tak prvni kdo dostane pokutu budes prave TY. Tohle je stejny.

Když nezamknu auto, a do auta sedne moje nezletilé dítě, a někoho přejede, tak nezaplatím jen pokutu, ale dokonce ponesu odpovědnost i za ten následek. Protože mezi nezabezpečením auta a přejetým člověkem je nezpochybnitelný řetězec příčiny a důsledku (kauzální nexus). (V případě prosté krádeže převáží příčinná souvislost se zločinem krádeže, maximálně bude část spoluviny).

Maroš

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #22 kdy: 21. 11. 2017, 12:53:55 »
Jak prosim resite centralni logovani pod windows + linux + netflow?  My pro Linux + Net Flow pouzivame logoavani do ELK a je to fakt pekny ikdyz relativne narocny na HW -na to ze je to "jen logovani".
Prečo je náročné na HW? (pýtam, lebo ELK neprevádzkujem).
Máte aj nejakú analytiku nad tými dátami, napr. notifikácia pri prekročení určitej download/upload kvóty per IP, alebo prekročený počet flow per src/dst IP?
Viem niečo takéto spraviť (jednoducho) priamo v ELK?

andy

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #23 kdy: 21. 11. 2017, 13:11:22 »
Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.

Soud rozhodně nebude řešit, jestli by to bylo ekonomicky smysluplné - od toho má každá firma mít spočítanou svoji ekonomiku. Soud vyjde z předpokladu, že nesete odpovědnost, a na Vás bude prokázat, že jste víc nemohli udělat. Trochu drsně řečeno, je jen Váš problém, že máte firmu organizačně tak špatně nastavenou, že zavedení GDPR bude stát tolik peněz.
Jasně, takže tvrzení "Každý by měl přemýšlet a vykonat rozumné maximum, co může." je nesmysl, protože pojem "rozumný" v kontextu firmy je z velké části v podstatě ekvivalentní "ekonomické smysluplnosti".....

andy

Re:Centralni logovani windows + linux + netflow GDPR
« Odpověď #24 kdy: 21. 11. 2017, 13:24:13 »
Kdyz ti nekdo slohne auto, a zjisti se, ze nebylo zamceny, nebo ze si dokonce nechal klicky v zapalovani, tak prvni kdo dostane pokutu budes prave TY. Tohle je stejny.

Když nezamknu auto, a do auta sedne moje nezletilé dítě, a někoho přejede, tak nezaplatím jen pokutu, ale dokonce ponesu odpovědnost i za ten následek. Protože mezi nezabezpečením auta a přejetým člověkem je nezpochybnitelný řetězec příčiny a důsledku (kauzální nexus). (V případě prosté krádeže převáží příčinná souvislost se zločinem krádeže, maximálně bude část spoluviny).
Když nezamkneš auto a do auta sedne zletilý a odpovědný člověk a šlohne ti ho, tak jsi taky zodpovědný? A když někdo vyrobí nůž, někdo si ho koupí a zabije, tak je taky výrobce zodpovědný? Tohle je nesmysl, jediný proč to vypadá důvěryhodně je to "dítě". Jakmile do toho dáš dospělého, tak to tak vůbec nefunguje. A pokuty v německu jsou nesmysl, dneska auto bez klíčku stejně nenastartuješ (a i tak by tak pokuta byla právě za to "co kdyby tam vlezlo dítě", pokud ti tam vleze svéprávný dospělý, tak za případnou nehodu může on).

Citace
Trochu drsně řečeno, je jen Váš problém, že máte firmu organizačně tak špatně nastavenou, že zavedení GDPR bude stát tolik peněz.
Tak můj osobní názor je, že pokud někdo chce udělat "rozumné maximum", tak je 1M jenom na zpracování logů a úplně minimální revizi zabezpečení drsně málo. Pokud máte nějaké systémy s daty a je to připojené do internetu, tak na tom je možné vyhodit "rozumně" vcelku libovolné množství peněz. V podstatě by člověk měl mít "rozumně" SIEM, na SIEM tak minimálně jednoho full-time člověka - a to je v podstatě jen "rozumný" začátek.

Re:Centralni logovani windows + linux + netflow GDPR
« Odpověď #25 kdy: 21. 11. 2017, 14:08:24 »
...

Ale to je přesně, jak píšete. IT-lidé rádi posuzují zákony binárně - pravda/nepravda. Ale tak to není. Zákony se aplikují podle situace. Když pojedete autem a dostanete smyk a vyletíte do pole, dostanete maximálně pokutu. Pokud ale budete mít smůlu, a zrovna v tu chvíli a v tom místě půjde po krajnici chodec a Vy ho zabijete, dostanete podmínku nebo si půjdete sednout. Stejná chyba => jiný důsledek (stochasticky) => (pro stejný důsledek = +/- stejný trest | pro jiný důsledek = jiný trest). Soud pak posuzuje, jak moc to bylo zaviněné, na kolik hraje roli náhoda a jestli jste jednáním nešel průseru vstříc.

Pak je tu něco, čemu se říká objektivní odpovědnost. To je zákonem poměrně řídce využívaný institut, který v případech, kdy běžné posuzování / prokazování viny/zavinění (vs. presumpce neviny/břemeno důkazní) není dostatečné k ochraně zájmů společnosti. Pak se zavádí něco, co by se v trestním právu nazvalo "presumpcí viny", ve veřejném právu pak "přenesením důkazního břemene". Současný zákon na ochranu osobních údajů se ukázal jako nedostatečný. Ku příkladu, lidé jsou spamováni a nemají obranu. Proto bylo usouzeno, že je vhodnější (a praktikovatelnější) přenést toto břemeno na ty, co s informacemi hospodaří. Na tom není nic nelogického, jen musíte přemýšlet mimo soustavu 0-1.

Účel zákona je pak jednoznačný. Nemáte se pouštět do činností, kde pracujete s citlivými údaji, a nemáte zakalkulovanou jejich ochranu. To, že informace lze chránit, je zřejmé. Banky či velká zdravotnická zařízení to praktikují a zvládají. Nyní jde o to, že si to musí uvědomit i ti menší.

Peníze nejsou měřítkem. Pokud ochrana informací není ekonomicky realizovatelná, neměl by pak takový byznys patrně existovat.

Z Vaší reakce je zřejmé, že patříte k těm, kteří od zákonů očekávají jasně stanovené postupy.
« Poslední změna: 21. 11. 2017, 14:13:51 od Miroslav Šilhavý »

M.

Re:Centralni logovani windows + linux + netflow GDPR
« Odpověď #26 kdy: 21. 11. 2017, 16:41:18 »
Když nezamkneš auto a do auta sedne zletilý a odpovědný člověk a šlohne ti ho, tak jsi taky zodpovědný? A když někdo vyrobí nůž, někdo si ho koupí a zabije, tak je taky výrobce zodpovědný? Tohle je nesmysl, jediný proč to vypadá důvěryhodně je to "dítě". Jakmile do toho dáš dospělého, tak to tak vůbec nefunguje.

Zřejmě neznáte znění zákona o provozu na pozemních komunikacích, který Vám nařizuje zabezpečit auto proti neoprávněnému užití a pokud je vybaveno nějakým zabezpečovacím systémem, tak jej máte povinnost použít při vzdálení se od vozu. To je rozdíl proti tomu výrobci nože. Pokud se ukáže, že tuto povinnost jsem nesplnil, už se vezu na spoluvinně. Takže přirovnání s GDPR je u toho auta relativně vhodné. :-)

A poznámka bokem: je lepší, pokud Vám to auto zneužije cizí dospělý. Protože když to udělá vlasní dítě a budue k tomu aktivní svědek, tak hrozí, že způspbenou škodu celou zaplatím ze svého a pojišťovna udělá dlouhý nos. To je dopad zákona o povinném ručení, kdy je ručení za škody zbavena k okamžiku, kdy se auta zmocní někdo jiný, koho jsem k užívání nepověřil (a blbě budu obhajovat, že souhlasím s tím, aby se můj nezletilý syn bez řidičáku v autě potuloval po městě). Pokud čas není znám, tak je to k času, kdy se to nahlásilo na Policii. Takže pokud se při vyšetřování pak najde aktivní soused a vypoví, že viděl 14:05 nasedat nezletilého syna do auta a odjíždět, tak k tomu 14:05 končí povinnost pojišťovny hradit škody způsobené daným vozem a škodu z přejetí důchodkyně na přechodu v 14:15 už tak za něj platím ze svého a v plné výši, pokud toho synátora na tom přechodu v tom autě odchytí...

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #27 kdy: 21. 11. 2017, 17:02:32 »
Zpět k GDPR. Moje praxe mě vede k tomu neustále vysvětlovat, že GDPR není o IT. Citlivá informace totiž může vypadat i úplně nevinně. Např.: "kolegyně Jana má dvě děti". Pokud sama neuzná za vhodné to říkat, je to její soukromí, a zejména zaměstnavatel musí dbát, aby se tato informace nedostala ze mzdové účtárny ven. Nejde jen o data na počítačích, ale i o školení a neustálé doškolování zaměstnanců a úprav předpisů nejnovějším poznatkům. Dalším příkladem citlivé informace, která vypadá na první pohled nevinně je: "To je Jiří, ten co pracuje u firmy ACME Tools, a bydlí v Radlicích" - taková informace už vede (často) k identifikaci konkrétní osoby a je tedy chráněná. Neměla by se např. objevit na webu zaměstnavatele, jakkoliv vypadá neškodně.

...a to vše nemůže hlídat IT manažer...

j

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #28 kdy: 21. 11. 2017, 17:09:04 »
... protože pojem "rozumný" v kontextu firmy je z velké části v podstatě ekvivalentní "ekonomické smysluplnosti".....
Ale kdeze ...

Mas rekneme kartoteku s papirovej sanonama. Je ti uplne jedno, kdo si co precte nebo odnese - pro firmu to neznamena zadny naklady, ani ztraty nebo skody. Tudiz je ekonomicky nesmyslny, tam davat dvere nebo na ty dvere zamek. To sou proste zbytny vydaje, ktery firme ekonomicky nic neprinesou, naopak, poskodi ji (ty penize muze vynalozit jinde).

Docela bych chtel videt, jak bys ten pristup obhajil.

... dneska auto bez klíčku stejně nenastartuješ...
lol ... honem upaluj pro nobelovku, protoze takovy auto jeste nikdo nikdy nevidel.

andy

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #29 kdy: 22. 11. 2017, 09:29:49 »
Citace
Citace
... dneska auto bez klíčku stejně nenastartuješ...
lol ... honem upaluj pro nobelovku, protoze takovy auto jeste nikdo nikdy nevidel.
???? asi nechápu.... a jak bych to měl asi (bez speciálního vybavení) udělat?

Citace
Z Vaší reakce je zřejmé, že patříte k těm, kteří od zákonů očekávají jasně stanovené postupy.
Zatímco vy patříte k těm, kteří od zákonů neočekávají vůbec žádné stanovené postupy a říkají soudům, ať si to samy nějak rozhodnou? Neočekávám od zákonů jasně stanovené postupy, ale očekávám nějaké základní limity, a třeba nějaký návod, podle čeho se řídit.

Právě proto jsem psal, že jsem zvědavý, jak bude soud posuzovat maximální rozumné zabezpečení.
Citace
To je zákonem poměrně řídce využívaný institut, který v případech, kdy běžné posuzování / prokazování viny/zavinění (vs. presumpce neviny/břemeno důkazní) není dostatečné k ochraně zájmů společnosti
GDPR je v podstatě jít s atomovkou na data. Důsledky jsou zřejmě podobné, že se musel využít takový institut?

Citace
Účel zákona je pak jednoznačný. Nemáte se pouštět do činností, kde pracujete s citlivými údaji, a nemáte zakalkulovanou jejich ochranu.
Tak to je právě ta ekonomická otázka. Fakt? Zcela vážně si myslím, že ne. Tohle jsou fakt vzletná slova, ale reálný dopad těch úniků je poměrně malý.

Buď bude tak, že buď to občas odnese někdo, komu sem tam uniknou data a započítá se to jako další riziko podnikání s tím, že firmy budou mít v ruce papír o GDPR auditu a budou se tvářit, že "vše rozumné" udělali (hlavní je mít tu kategorii, co všechno nevyhovuje ukrytou někde v šuplíku), nebo třeba budou ty data někam outsourcovat a tvrdit, že (zvlášť když to nění IT firma) to rozumné udělali. Posun směrem k lepšímu asi bude (někteří ti, kam to budou outsourcovat, to budou mít udělané dobře, jiní nikoliv), a soud pak bude přesně rozhodovat, jestli investovat X mega ročně do nějakých specialistů by bylo pro firmu "rozumné" či nikoliv. Protože pokud jste někdy jen trochu zkusil, tak zjistíte, že "rozumně" by se na tom dalo spálit skoro nekonečně času.

Citace
Banky či velká zdravotnická zařízení to praktikují a zvládají. Nyní jde o to, že si to musí uvědomit i ti menší.
Měl jsem možnost dostat pár informací jak z bank tak ze zdravotnických zařízení a tohle je ale totální nesmysl. V bankách je to (výrazně) lepší, ale pokud se bavíme o maximální rozumné míře zabezpeční, tak tam rozhodně nejsou (bavíme-li se o minimální-rozumné, tak tam banky celkem jsou). Ve zdravotnictví nic takového neexistuje. Lidi z UK mi říkali, že tam unikají zdravotnická data tak ob týden, u nás moc neunikají, ale zabezpečení je tragédie.

Ono nejde o to, že by nebylo potřeba krok tímto směrem udělat. Spíš jde o to, že je to ve stylu "něco je potřeba udělat; tohle je něco; tak to uděláme". Kvůli spamům (čímž se tady pořád argumentuje) zavádět zákon, který se chová k datům jako k atomové elektrárně mi připadá poněkud přehnané.