Centrální logování Windows + Linux + netflow GDPR

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #30 kdy: 22. 11. 2017, 10:19:05 »
Jak prosim resite centralni logovani pod windows + linux + netflow?  My pro Linux + Net Flow pouzivame logoavani do ELK a je to fakt pekny ikdyz relativne narocny na HW -na to ze je to "jen logovani". S ohledem na GDPR  se nas klienti ptaji na logovani  do Windows. Pouzivate nekdo nejaky centralni logovani pro Win ci mate nejakou alternativu pro ELK?

Co je na tom presne narocny na hardware, sber a parsovani logu a upload logu, nebo post analyticky procesy?

Ja delam ted na spise objemove malem projektu v microservice architekture, vse loguju pres log4j2 primo do elastiku, pro sber dat ze systemovych logu (vse na Linuxu) pouzivam syslog-ng a opet pres server primo do elasticu. Takze v tomto pripade zadny logstash a kafka clustery nepotrebuju.

Ale napr. v pripade sberu dat ze sitovych zarizeni pro real-time bezpecnostni analyzu(intrusion detection system pro nemeckou banku) uz elastic nebyl option (1000+ sitovych zarizeni po celym svete), takze se to stavelo na hadoop filesystemu, kafka spark streaming, apod. Ale tady neslo o vykon, nebo hardware, ale jednoduse o to, ze elastic neni databaze ale search engine, a data, ktery do nej pumpujes, zejmena v nejakem complexnejsim clusteru, se ti muzou jednoduse ztratit :-), coz je ale taky duvod, proc je tak rychlej na druhou stranu
Urcite uz zde probehlo spousta vylepseni a stabilizaci, ale posud sam
https://www.elastic.co/guide/en/elasticsearch/resiliency/current/index.html

Kdyz za mnou prijde nejaky clovek a rekne mi, ze jde stavet highly secure system nad elasticem, tak ho bohuzel uz povazuju predem za idiota, kterej vubec nevi co dela. Ukazal jsem jim 30 cases (vetsina uz nejak zafixovana), kdy proste dojde ke ztrate dat, ale oni tomu nemohli vubec uverit :-))) a proste jeste nekolik mesicu jim trvalo, nez pochopili, ze elastic je super rychla weapon, ale nema nic spolecnyho s durable storem, ackoli se elastic snazi.... nemluvim o use cases, ktery jeste nebyly odhaleny...

Urcite bych se kouknul na InfluxDB, ma velmi dobrou kompresi dat. V pripade elastic searche bych take organizoval indexy jako casove partitions v databazi, elastic ma curator, takze ve svem zivem clusteru budes mit jen indexy dat za obdobi, ktere te zajima, vsechy ostatni vyexportuj, zalohuj (pokud to smernice definuji) a v zivem clusteru je znic. Takto se da velmi dobre organizovat zatez. Dalsi vec je optimalizace dotazu do elastiku, nejak ho limituj, aby neprohledaval vsechny indexy apod. ale spise definuj dynamicky indexy pro scope pri tezbe informaci.

Z pohledu limitu dat pro analyzu, to same plati pro sber. At uz pouzijes flume, nebo logstash, tak si tam odfiltruj data, ktera te doopravdy zajimaji, pokud musis drzet vsechna log data stejne, tak je presmeruj do nejakeho archivu mimo ELK cluster, tj. nezasirej si cluster bordelem k nicemu.

Urcite by me zajimaly vysledky tveho postupu v konkretnim pripade.


Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #31 kdy: 22. 11. 2017, 10:40:38 »
Zatímco vy patříte k těm, kteří od zákonů neočekávají vůbec žádné stanovené postupy a říkají soudům, ať si to samy nějak rozhodnou? Neočekávám od zákonů jasně stanovené postupy, ale očekávám nějaké základní limity, a třeba nějaký návod, podle čeho se řídit.

Právě proto jsem psal, že jsem zvědavý, jak bude soud posuzovat maximální rozumné zabezpečení.

No to je právě ono: žádný zákon a žádný zákonodárce nedokáže podchytit všechny situace, a už vůbec ne s výhledem na budoucí vývoj. Co Vy víte, kam se bude ubírat například digitální zpracování dat za dalších 10 let? Proto je naprosto správné nechat zákonem položený cíl, nějaké obezřetně položené požadavky vyjmenovat. Zbytek se musí nechat na tom, jak se bude situace vyvíjet a nechat soudy, ať takový vývoj reflektují.

Hezkým příkladem takového správného vývoje aplikace zákona je např. péče o děti. Zákon stanoví, že soud rozhoduje v nejlepším zájmu dětí s přihlédnutím k zájmu rodičů. V minulosti převažoval názor, že jednotné výchovné prostředí je pro děti nejlepší, a proto soudy rozhodovaly o výlučné péči jen jednoho rodiče. Teprve desetiletí praxe ukázaly, že i toto přináší určité nevýhody a páchá to ve společnosti zase jiné křivdy. A soudy se postupně začaly přiklánět k tomu, že neexistuje jen právo dítěte "být vychováván", ale i právo rodiče "smět vychovávat". Ukázalo se také, že ten rodič, který získal děti do péče, velmi často situaci zneužíval a druhého rodiče z života dětí vytěsnil a omezil ho jen na "platiče alimentů" a "víkendového rodiče na zážitky". Na to všechno ale byl potřeba čas a ponechaný prostor pro přirozený vývoj.

To samé je v případě GDPR. Jste podnikatel, musíte umět nést rizika (spočítat je, ocenit je, eliminovat je nebo je aspoň mitigovat). Před 15 lety bylo dostatečné mít firewall na modemu a stanici Windows s heslem. Dnes už víme, že převažují hrozby ransomwaru, a je na jednotlivých firmách, nikoliv na zákonodárci, aby tu situaci sledovaly, a reagovaly na ni.

Jako manažer firmy tedy musíte sednout ke stolu, vypsat si rizika a napsat si, jak je budete hodnotit a řešit. Tento postup pak zopakujete např. každého půl roku, či rok. Vyjde Vám patrně to, že budete muset školit personál - a perioda školení se bude lišit podle toho, jak velká část zaměstnanců pracuje s informacemi a jakou máte fluktuaci - zákon to za Vás neurčí. Pak zjistíte, že máte veškeré doklady firmy uložené ve skříni na společné chodbě - vymyslíte tedy, že ve vašich podmínkách necháte běžné faktury od obchodních společností v té skříni, zatímco na faktury živnostníků - podnikatelů založíte jinou číselnou řadu a uložíte je na bezpečnější místo. Samozřejmým opatřením bude přestěhování šanonů se mzdovou agendou. V jiných firmách může být nutné oddělovat od zaměstnanců i faktury s obchodními korporacemi, protože může být předmětem plnění něco, co se dotýká důvěrných informací - např. faktury od agentur práce, nebo faktury za školení lidí, či za vstupní lékařské prohlídky. Některé firmy takové doklady mají, jiné třeba ne.

Pak musíte stanovit kontrolní mechanismy. Cokoliv, co zavedete, může být považováno za opatření jedině za předpokladu, že vymyslíte a dodržíte mechanismy kontrol plnění.

To všechno jsou jen příklady, jak musí manažer přemýšlet během zavádění GDPR - a z celého odstavce se IT týkalo jen zavedení číselné řady pro určitý typ dokladů.

Nic z toho nemůže stanovit zákon jako mantinely. Jinak to dopadne tak zoufale, jako to, že vstupní lékařskou prohlídku dnes musí mít i kancelářský zaměstnanec, a školení BOZP v kancelářích vypadá tak, že bezpečák vysvětluje, že je potřeba varnou konvici pohlídat, aby se vypnula a nevzplála - to jsou oproti tomu příklady dvou norem, které firmám nařizují jasné mantinely, ale vůbec nedávají smysl.

GDPR je v podstatě jít s atomovkou na data. Důsledky jsou zřejmě podobné, že se musel využít takový institut?

Proč? Pokud máte pocit, že není potřeba ve Vaší firmě nic měnit, tak Vás nikdo nebude postihovat. Postih nastane teprve ve chvíli, kdy dojde k bezpečnostnímu incidentu, a tím se prokáže, že Vás odhad, že se jedná o atomovku, byl mylný a měl jste ji opravdu zavést.

...firmy budou mít v ruce papír o GDPR auditu a budou se tvářit, že "vše rozumné" udělali (hlavní je mít tu kategorii, co všechno nevyhovuje ukrytou někde v šuplíku), nebo třeba budou ty data někam outsourcovat a tvrdit, že (zvlášť když to nění IT firma) to rozumné udělali...

Právě od toho je ta objektivní odpovědnost. To, že jste to outsourcoval Vás nezbaví odpovědnosti, Vaše odpovědnost je v tu chvíli de facto o tom, abyste vybrali správnou, opravdu kvalitní firmu. Soud nebude řešit, jestli to dělal Váš zaměstnanec, nebo externí firma. Soud dokonce nebude ani zajímat, že Vám ta externí firma nepředala dobrou dokumentaci. Prostě to Vy musíte doložit soudu, jinak nesete odpovědnost. Pokud tu dokumentaci nemáte (ať už od Vašeho zaměstnance, nebo externí firmy), ocitnete se rázem v tzv. důkazní nouzi, kdy nejste schopen prokázat svá tvrzení.

Zdá se mi, že princip objektivní odpovědnosti vs. proces tvrzení-dokazování příliš nechápete.

Měl jsem možnost dostat pár informací jak z bank tak ze zdravotnických zařízení a tohle je ale totální nesmysl. V bankách je to (výrazně) lepší, ale pokud se bavíme o maximální rozumné míře zabezpeční, tak tam rozhodně nejsou (bavíme-li se o minimální-rozumné, tak tam banky celkem jsou). Ve zdravotnictví nic takového neexistuje. Lidi z UK mi říkali, že tam unikají zdravotnická data tak ob týden, u nás moc neunikají, ale zabezpečení je tragédie.

Ono nejde o to, že by nebylo potřeba krok tímto směrem udělat. Spíš jde o to, že je to ve stylu "něco je potřeba udělat; tohle je něco; tak to uděláme". Kvůli spamům (čímž se tady pořád argumentuje) zavádět zákon, který se chová k datům jako k atomové elektrárně mi připadá poněkud přehnané.

Moje firma má šanony pod zámkem, citlivé informace mám hlavně já a dva další lidi. Ostatní zaměstnanci mají přístup jen k datům a informacím, které potřebují ke své práci. Udělal jsem, jako malá firma, maximum, co jsem mohl.

Co je na tom tak složitého a nejasného?

stan

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #32 kdy: 22. 11. 2017, 13:41:40 »
No já si nemyslím, že každá firma je až tak unikátní. A ordinace už vůbec ne. Fungují tam víceméně ty symé procesy. Takže pokusy vnutit každému subjektu analýzu na míru považuji za snahu se napakovat na panice ze změny prostředí. Očekávám, že třeba pro ty lékaře budou nějaké pokyny, standardy a vzorové dokumenty zpracovány jejich komorou.

Zrovna ve zrdavotnictví bude opravdu největší boj na úrovni přístupu personálu, ještě teď se červenám při vzpomínce, kdy jsem ležel v nemocnici, na stěně nad hlavou moje jméno, na dveřích do pokoje moje jméno, na posteli připevněná složka s mým aktuálním tlakem, a několikrát za den do pokoje vstoupila krásná mladá sestřička a na celou místnost hlásí "tak co, pane inženýre, měl jste dnes stolici?". Oni jsou už otupělí a na nějakou lidskou důstojnost nebo anonymitu se tam nehraje, vždyť je to přece lidské... ...

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #33 kdy: 22. 11. 2017, 13:49:09 »
No já si nemyslím, že každá firma je až tak unikátní. A ordinace už vůbec ne. Fungují tam víceméně ty symé procesy. Takže pokusy vnutit každému subjektu analýzu na míru považuji za snahu se napakovat na panice ze změny prostředí. Očekávám, že třeba pro ty lékaře budou nějaké pokyny, standardy a vzorové dokumenty zpracovány jejich komorou.

Ale to co píšete, je přeci dost dobře možné, to nikdo nevylučuje. Nemusíte dělat anlýzu, můžete klidně převzít jiné zkušenosti, když usoudíte, že jsou pro Vás použitelné. Příklad s komorou je myslím dokonce přiléhavý.

Jediné, co se změnilo je, že za to nesete odpovědnost, musíte se prostě nad tím zamyslet. (Tomu zamyšlení se se říká "analýza").

Dovedu si dobře představit, že - ať neuvádím jen citlivé obory - např. autoservisy budou mít brzy připravené jednoduché postupy a jejich software bude mít doporučené nastavení tak, aby řešení GDPR napomáhal.

Vždyť se proboha nic nemění, GDPR je v podstatě to samé, jako dávno platný Zákon na ochranu osobních údajů, jen už je jasné, kdo nese odpovědnost.

Marek

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #34 kdy: 22. 11. 2017, 20:01:09 »
GDPR je absurdní kokotina.


František Koudelka

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #35 kdy: 22. 11. 2017, 21:42:35 »
Princip objektivní odpovědnosti nemusí být generálně špatný, pokud legislativa okolo něj není nechutně vágní. Problém kolem GDPR není o tom, že autoservisy použijí SW a postupy pro autoservisy a gynekologové postupy a SW pro gynekology. Problém je, že nikde jasně není řečeno, co je osobní údaj. Jméno "Jan Novák" asi nebude osobní údaj, "Jan Novák z Prahy"  taky ne, ale méně obvyklé jméno z menší obce už jednoznačně určí konkrétní osobu. Prodejci leštěných prdů vytušili možnost, jak vyvolat strach a vystrašené ovce podojit o spoustu peněz za nepotřebný SW (na blokaci a evidenci tisků, blokaci a evidenci přenosných médií, šifrování, tzv. digitální skartaci) a konzultace. Je jedno, jak moc vážně to firma vezme, ale jakýkoliv případ firmě zvedne náklady bez užitku pro zákazníka. Sami vlastním firmám takto zase o nějaký kousek snižujeme konkurenceschopnost oproti mimoEU konkurenci.
GDPR na odpovědnosti za škodu vzniklou únikem citlivých dat nic nemění. Na tohle by měla být aplikovatelná standardní legislativa (nedbalostní trestný čin, nedovolené nakládání s osobními údaji, apod.). Je to stejné jako s auty a stočeným tachometrem, nebo nesprávně udaným stavem (svařenec ze 2 kusů vs. nebourané) - zde jde zkrátka podvod. Není důvod vynalézat extra novou legislativu.

Vemte si třeba absurdní situaci, kdy zákazník může požádat o zapomenutí. Představte si, že jste autoservis, máte jednoduchý systém pro evidenci zakázek (vedete informaci o autě - VIN, ujeté km, provedené úkony a o majiteli - adresa, jméno, telefon, email), tento systém není nic sofistikovaného, nějaký bastl nad *.mdb na síťovém disku, zálohovaný Cobianem do ZIPu na USB disk, který teda někdo jednou za týden vymění a točí se tam takto 4 disky. Jak zajistíte zapomenutí těchto dat dnem podání žádosti o zapomenutí? Budete mazat v zálohách? Představte si to ve větším systému ve firmě, např. virt. server - zálohy snapshotem a na pásky - jak budete v takových zálohách mazat?
Na jedné z konferencí přednášel jeden z prodejců cloudových služeb, jak že je jejich cloud na GDPR připraven. GDPR a cloud se logicky vylučují. Představte si, že namísto vlastního serveru (který mi i při vynaložení přiměřeného úsilí - EZS, zamčená místnost s mříženi někdo může ukrást a data zneužít, ale na druhou stranu mi data nemůže vynést poskytovatel HW/SW/cloudu) si data nahraji do cloudu (vyřeším tím otázku fyzického odcizení, ale vystavím se riziku, že data utečou poskytovateli cloudu. V obou případech je cíl jasný, a v obou případech se míjí účinkem.

To opravdu GDPR vzniklo kvůli spamu, nebo google a facebooku, jak nám snaží nalhat? Opravdu věříte, že když 1.6.2018 pošlu žádost facebooku, aby vše o mě zapomněl, tak že se tak stane a že orgán když provede kontrolu a shledá, že se tak s jistotou stalo? Tenhle zákon je socansko-chůvičkovský paskvil - budeme generálně chránit osobní údaje každého, sebemrskačsky si budeme zvedat náklady a generovat marnou práci, a obratem ruky o sobě kdejaký trouba kdeco vytroubí na facebook.

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #36 kdy: 22. 11. 2017, 21:56:08 »
...

Ode mě jen tři malé poznámky:

1. Velcí hráči si své cloudy nechali auditovat GDPR compliance velkou čtyřkou, tam patrně nebude problém s liberací.
2. Současná legislativa je nedostatečná, většina incidentů končí na neprokazatelnosti odpovědnosti konkrétní osoby (podle zásady in dubio mitius / pro reo).
3. Je naopak správné, že legislativa okolo není příliš rigidní, aplikace normy se může ustálit během doby. Příkladů, kde je  v zákoně stanovena objektivní odpovědnost, a nejsou určená pravidla jak ji vykonávat, je mnoho. BTW, kdyby bylo možné tato pravidla stanovit, nebylo by potřeba objektivní odpovědnost zavádět.

František Koudelka

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #37 kdy: 22. 11. 2017, 23:03:53 »
Velké hráče bych se nezdráhal označit za spoluautory GDPR paskvilu. Jak mohu v případě provozu v cloudu zajistit vymazání osobních údajů, když nemám kontrolu nad tím, kde data jsou a v jaké jsou podobě?

Současný stav, kdy existuje ÚOOÚ a platná legislativa, ale žádné OÚ ten ÚOOÚ neochránil není problém té legislativy ale nečinnosti orgánu. To máte jako ÚOHS, ale při tom dnes zjistíte, že prakticky celé zemědělství ovládá STBák. Kde pak ÚOHS byl?

Objektivní odpovědnost můžete aplikovat, ale musíte pečlivě vymezit mantinely. Analogie s auty a zbraněmi dává smysl, jde o fyzické předměty a když si v trezoru mobilem vyfotím pistoli a půjdu s fotkou mávat do banky, tak se nestane nic, pistole v trezoru nechybí a fotka nestřílí ale když vyfotím z monitoru/spisu (v jinak perfektně GDPR compliant prostředí) osobní údaje, tak údaje ze systému nezmizí, ale k úniku dojde.
In dubio pro reo je naopak správné. Orgán musí postavit obvinění na hmatatelných a nezpochybnitelných základech. Nechť si vytvoří legislativu takovou, která k tomu dá prostor. Nechť své postupy orgán v tomhle směru zlepšuje.
Vyrobit paskvil a za provozu jej možná opravit je nejhorší možné řešení.
Otázkou je, zda je nutné vytvářet pravidla, která budou danou problematiku zkoušet podrobně popsat, nebo zda využít stávajících elementárních pravidel. Koneckonců, říkáte, že kdo se doposud choval odpovědně - tzn. určité normy dodržoval - ten nebude mít s GDPR problém (teda krom nějakých nemalých nákladů na analýzu změny prostředí ... žeano).

Zkuste pochopit problematiku GDPR i tak, že např. mě, nebo mým dodavatelům či zákazníkům to vygeneruje náklady a zkomplikuje fungování - musí odůvodnit sběr každého konkrétního osobního údaje. Přičemž se pro mě s ohledem na můj komfort a bezpečí nic nemění - pro google a facebook se nemění nic, kamer na každém kroku přibývá, přibývá registrů, stát si zvesela sleduje a zaznamenává. Vidíte ten rozpor? Stát má na sběr generální pardon.

Několik ustanovení je rozumných (například právo být zapomenut, nutnost přiměřenosti sběru osobních údajů a nutnost si tento sběr obhájit), ale zbytek je jen vata. Na jednu stranu minimalismus směrem k objektivní odpovědnosti a na druhou stranu snaha o vytvoření normy na vyřešení všech problémů světa.

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #38 kdy: 22. 11. 2017, 23:17:30 »
...

Na každé normě je co vylepšovat. Podle mě je GDPR krok správným směrem, vede víc k odpovědnosti každého jednotlivě. Myslím, že je správné, když se firma zamyslí, jestli nějaká citlivá data sbírá, a pokud ano, jestli je nesbírá zbytečně, a pokud ne, tak jestli je správně chrání.

In dubio mitius je zásada z trestního práva, ve správním se také uplatňuje. Bohužel, dává nepřiměřený prostor pro vyhnutí se odpovědnosti v určitých případech. Spamy a prodeje databází osobních údajů byly jen příkladem. ÚOOÚ nikdy nikoho nepotrestal, protože každý databázi e-mailů "legálně" koupil i s prohlášením o jejich využitelnosti. My se můžeme jen dovtipovat, jak velká část těchto tvrzení byla pravda. Úřad však musí stavět důkazy nad veškerou pochybnost, a nemůže rozhodnout jinak.

V případě např. přestupků v dopravě, kdy například prosté překročení rychlosti (bez dalších následků - nehody) nemá prakticky žádný další negativní dopad na společnost, a kdy je nutné dodržet souvislost mezi zaviněním a postihem, tam je na místě udržovat právo "čisté" a raději nechat jednoho hříšníka běhat po světě, než trestat někoho možná nevinného.

V případě ochrany údajů je tato odpovědnost realizovatelná. Každý o ní ví a může udělat opatření. V tomto případě jsou škody nevratné - zásah do soukromí je poměrně zásadní záležitost, která se začala rozmáhat v druhé polovině devadesátých let. Do té doby nebyla žádná společnost takové situaci vystavena, a nyní, po cca 20 letech je potřeba už reagovat úpravou norem. A právě kvůli tomu, že chráněný zájem (soukromí) je tak důležitý, je podle mě zcela na místě zavádět objektivní odpovědnost.

(Celé si to srovnejte s životem třeba na začátku devadesátých let - tenkrát bychom vůbec nesnesli takové zásahy do soukromí, jaké musíme strpět nyní, a na jaké jsme si postupně, během té doby zvykali, až jsme je skoro přestali vnímat).

grg

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #39 kdy: 23. 11. 2017, 00:24:55 »
3. Je naopak správné, že legislativa okolo není příliš rigidní, aplikace normy se může ustálit během doby.
To práve (minimálne v systéme kontinentálneho práva a ešte zosilnené východoeurópskou nízkou vymáhateľnosťou práva, nedajbože ešte spravodlivosti) vôbec správne nie je, lebo mašinéria podporená vágnymi predpismi mnohých na začiatku zomelie.
A domáhaj sa odškodnenia po tom, keď ťa orgán poslal pod most zlikvidovaním dovtedy úspešnej firmy, keď sa po čase ukáže, že "aplikačná prax" bola akosi "nie celkom primeraná". Veľa šťastia!!! (myslím ironicky)

Z pohľadu nejakej pomazanej hlavy vo vedení štátu môže tento iteratívny vývoj vyzerať pekne, veď všetko sa dostane do správnych koľají. Len tí postihnutí týmto procesom vývoja si túto krásu môžu akurát tak votknúť hrubším koncom do...

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #40 kdy: 23. 11. 2017, 00:27:16 »
To práve (minimálne v systéme kontinentálneho práva a ešte zosilnené východoeurópskou nízkou vymáhateľnosťou práva, nedajbože ešte spravodlivosti) vôbec správne nie je, lebo mašinéria podporená vágnymi predpismi mnohých na začiatku zomelie.
A domáhaj sa odškodnenia po tom, keď ťa orgán poslal pod most zlikvidovaním dovtedy úspešnej firmy, keď sa po čase ukáže, že "aplikačná prax" bola akosi "nie celkom primeraná". Veľa šťastia!!! (myslím ironicky)

Z pohľadu nejakej pomazanej hlavy vo vedení štátu môže tento iteratívny vývoj vyzerať pekne, veď všetko sa dostane do správnych koľají. Len tí postihnutí týmto procesom vývoja si túto krásu môžu akurát tak votknúť hrubším koncom do...

Souhlasím s tím, co píšete, ale nesouhlasím s cestou, kterou byste šel. Já považuji za nutné, i za cenu "ztrát" vymanit se z našeho právního marasmu. Je poměrně zřejmé, že právo a jeho vymahatelnost kroky za posledních 20 let moc nezlepšujeme, takže podle mě je čas tím kormidlem trochu otočit.

SB

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #41 kdy: 23. 11. 2017, 12:43:32 »
...nemusí být generálně špatný...

Čo si, pán Kúdelka, predstavujete pod slovom "generálně"?

...GDPR na odpovědnosti za škodu vzniklou únikem citlivých dat nic nemění. Na tohle by měla být aplikovatelná standardní legislativa (nedbalostní trestný čin, nedovolené nakládání s osobními údaji, apod.).

Dle pana Šilhavého se mění odpovědnost. Každopádně je systém ochrany informací dnes sotva funkční. A koneckonců, jak píšete, kdo již nyní pracuje s údaji dle zákona, ten už přece GDPR splňuje a jeho zavedení jej nezatíží, ne? Nebo je to všechno trochu jinak?

Vemte si třeba absurdní situaci, kdy zákazník může požádat o zapomenutí. Představte si, že jste autoservis, máte jednoduchý systém pro evidenci zakázek ... Jak zajistíte zapomenutí těchto dat dnem podání žádosti o zapomenutí? Budete mazat v zálohách? Představte si to ve větším systému ve firmě, např. virt. server - zálohy snapshotem a na pásky - jak budete v takových zálohách mazat?

Máte zjevně problém pochopit, že nemůžete nakládat s informacemi, na které nemáte právo. A jestli nezvládáte ukočírovat svoje data, pak se na to vyserte. Pro mě osobně jako uživatele různých služeb je výhodou, když takové subjekty pochcípají. Přijde někdo jiný, kdo to zvládne.

...Opravdu věříte, že když 1.6.2018 pošlu žádost facebooku, aby vše o mě zapomněl, tak že se tak stane a že orgán když provede kontrolu a shledá, že se tak s jistotou stalo?...

Nesplňuje-li organizace zákonný požadavek, nemůže na území platnosti zákonu podnikat. Facebook není výjimkou.

...budeme generálně chránit osobní údaje každého, sebemrskačsky si budeme zvedat náklady a generovat marnou práci, a obratem ruky o sobě kdejaký trouba kdeco vytroubí na facebook.

Do toho, co si dělá trouba se svými údaji, je vám hovno, to podstatné je, jak se k jeho údajům chováte vy. A dle projevu vás tipuju na takového toho klasického českého omrdávače - není důležité, jak poškodíte něčí práva, důležité je, že se na tom dá ušetřit.

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #42 kdy: 23. 11. 2017, 13:56:07 »
Mně ještě napadá poznámka k tomu právu na zapomenutí. Samozřejmě že není nezbytně nutné, dokonce ani kvůli konzistenci dat vhodné, aby se zpětně mazaly zálohy. Je potřeba ale zavést takovou proceduru, která po natažení zálohy zajistí, že budou zapomenuta ta data, která zapomenuta měla být v mezidobí mezi zálohou a obnovením - patrně se bude jednat o interní směrnici pro IT oddělení. O tom je GDPR, ne o tom, že ajťáci budou muset mazat zálohy - to není technicky možné a záloha by nezůstala konzistentní. Právo na zapomenutí se také netluče s povinností zachovávat auditní stopu.

Zjednodušeně řečeno: právo být zapomenut neznamená nutně smazat fyzicky data, ale zajistit, aby se od určitého okamžiku nemohly octnout v jakémkoliv dalším procesu zpracování.

František Koudelka

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #43 kdy: 24. 11. 2017, 14:16:38 »
Dle pana Šilhavého se mění odpovědnost. Každopádně je systém ochrany informací dnes sotva funkční. A koneckonců, jak píšete, kdo již nyní pracuje s údaji dle zákona, ten už přece GDPR splňuje a jeho zavedení jej nezatíží, ne? Nebo je to všechno trochu jinak?

Systém je sotva funkční a proto jej nahradíme paskvilem. Který pak evolučně necháme dorůst, co na tom, že při tom odstřelíme pár nevinných firem. Sorryjako.

Máte zjevně problém pochopit, že nemůžete nakládat s informacemi, na které nemáte právo. A jestli nezvládáte ukočírovat svoje data, pak se na to vyserte. Pro mě osobně jako uživatele různých služeb je výhodou, když takové subjekty pochcípají. Přijde někdo jiný, kdo to zvládne.

Vyserte se psát komentáře pod text, kterému nerozumíte. To co jsem popisoval není nic nestandardního a nepochopitelného. Ani to nic nepovídá o nemožnosti ukočírování dat. Raději místo tupé rady zkuste říct, jak lze mazat v zálohách. Dejte použitelnou radu do praxe uživatelům, na které tento paskvil za půl roku dopadne.

Nesplňuje-li organizace zákonný požadavek, nemůže na území platnosti zákonu podnikat. Facebook není výjimkou.

Rád uvidím, jak tohle budou orgány aplikovat v digitálním světě. Problém spamu vyřeší tak, že ho zregulují a zakážou, a ruští spammeři si z toho sednou na zadek. BRAVO!

Do toho, co si dělá trouba se svými údaji, je vám hovno, to podstatné je, jak se k jeho údajům chováte vy. A dle projevu vás tipuju na takového toho klasického českého omrdávače - není důležité, jak poškodíte něčí práva, důležité je, že se na tom dá ušetřit.

Tak teď jste tomu nasadil korunu. Protože 90% dementů v populaci kdekomu (bez ohledu na důvěryhodnost) na potkání vydá své údaje, tak zavedeme presumpci viny pro všechny. Bravóoo, volil jste koblihu, že?
Pletete dohromady hrušky jabka a náklaďáky. Zpracovávat údaje mohu jakkoli ale poškodím něčí práva až tím, že je zneužiji a mezi tím, jestli práva poškozuji nebo ne není vztah zda ušetřím nebo ne. Spousta zpracovatelů údajů to doposud dělala správně, tak proč by měli nést vícenáklady kvůli několika zmetkům, které orgán (který bude vymáhat platnost nové normy) kašlal hnát k odpovědnosti?

Re:Centrální logování Windows + Linux + netflow GDPR
« Odpověď #44 kdy: 24. 11. 2017, 14:20:43 »
Vyserte se psát komentáře pod text, kterému nerozumíte. To co jsem popisoval není nic nestandardního a nepochopitelného. Ani to nic nepovídá o nemožnosti ukočírování dat. Raději místo tupé rady zkuste říct, jak lze mazat v zálohách. Dejte použitelnou radu do praxe uživatelům, na které tento paskvil za půl roku dopadne.

Není nutné mazat ze záloh, a kdo to tvrdí, ten nepochopil celou tu normu. Je nutné zavést ochranu záloh (aby se nedostaly do rukou neproškoleným osobám), a zavést procedury, při nichž budou data, která mají být zapomenuta, zabezpečena před použitím. Nepište tu prosím nesmysly.