10-17-2020, 08:19 AM
@Zare, ja stvarno nemam nameru da se ubeđujem sa tobom, niti to želim. Pročitaj relevatne zakone, standarde i analize pa možemo da pričamo dalje. Ili jos bolje reci nam odakle ti znaš te detalje?
I evo ukratko da odgovorim na tvoje pitanje, iako je opet skretanje sa teme a ne diskusija o tehničkim rešenjima:
1. Raznim odredbama u zakonu o zaštiti podataka (kao i odredbama za usaglašavanje sa evropskim standardima - GDPR) regulisano je maximalno zadržavanje podataka. Kod nas za ove sistem mislim da je 5 godina, i za neke specijalne slučajeve 1 godina.
Takođe ignorisao si stavku da podaci nisu enkriptovani... a to je zapravo veliki tehnički problem.
Dalje, kada kažeš prostorije MUPa to je previše uopšteno, treba da postoje specijalni data centri, da li znaš nešto o tome? Ko ih je opremio, kako zaštitio, koje standarde poštuju itd.
2. Pomenuo sam sistem licenciranja i pristup trećih strana, i pod time sam mislio na Huawei. Ali svejedno, ti si odgovorio da je normalno da se podaci dele i da se ustupa pristup. Zakonom to nije tako regulisano, podaci sa pomenutog sistema ne smeju da se prenose na druge sisteme i moguće im je pristupiti samo u okviru SATIT (sektor za analitiku, telekomunikacije i informatiku).
Iz tvog odgovora, vidimo da to nije slučaj (mada je moguće da mešaš ove pametne kamere sa ostalim).
Dalje, negde iznad si pomenuo da je isto tako normalno da podaci iscure... iz analize rizika MUPa, možemo da vidimo da su oni implementirali razne tehničke i kadrovske mere da upravo ovo spreče. Hajde da diskutujemo o tome, kakva su tvoja iskustva što se tiče upravljanja korisnicima i logovima?
3. Podrška za uređaje ističe uskoro, a pored toga je već poznato da takva rešenja imaju security propuste (a da ti tek ne pričam o svom iskustvu sa ovim vendorom). I ti se oslanjaš na to da će zbog nekog političkog odnosa između dve zemlje, neka privatna kompanija specijalno za nas da izdaje security update. Meni je to malo klimavo. Posebno jer je ovo jako stara oprema i posebno zbog toga što odnos između ove dve zemlje može da se promeni.
Ovo mi se čini kao jako pogrešna procena rizika od strane naših stručnjaka. Da li se slažeš?
Da li znaš da li je bilo ko pustio bilo kakav security alat na ovu mrežu, ili makar skenirao instalacione fajlove antivirusom (a da ne pričamo o pravim analizama bezbednosti)?
4. Što se tiče SD kartica, da mislim na to da će neko da se penje na banderu ali i na to da će osoba zadužena za održavanje imati mogućnost da pristupi podacima ili ih izmeni. Da li znaš da li su enkriptovane, ili koja je procedura prilikom recimo zamene ovih kartica?
5. Komunikacija bi trebala da ide specijalnim FIZIČKIM vodovima (ima i ime al sam zaboravio), da li znaš da je to svuda slučaj? I tvoj odgovor: "Recimo da sistem nije povezan nigde gde ne treba da bude povezan.", šta tačno znači... Ko je utvrdio gde treba a gde ne treba biti povezan, kad treba da bude povezan samo sa jednom mrežom i jednim sistemom. Ko je proverio bezbednost ovih pristupnih tačaka, kako?
Da li znaš koliko instutucija i kompanija u zemlji mi je reklo sličnu rečenicu, ili npr da je to iza XZ nivoa zaštite itd, pa sam ja ipak za par sati, tokom naručenog testiranja, došao do cilja
6. Testni podaci, koji nisu precizno definisani ni u jednom dokumentu su već podeljeni sa trećim stranama (van naše zemlje). Imao je tekst na JapanTimes i na Huawei sajtu (ali su obrisali kada je počelo da se priča o ovome).
7. Nisi mi odgovorio za ove stručnjake...
Još jednom da napomenem, cilj ove teme treba da bude diskusija o tehničkim rešenjima, i o tome kako možemo da unapredimo ista.
I evo ukratko da odgovorim na tvoje pitanje, iako je opet skretanje sa teme a ne diskusija o tehničkim rešenjima:
1. Raznim odredbama u zakonu o zaštiti podataka (kao i odredbama za usaglašavanje sa evropskim standardima - GDPR) regulisano je maximalno zadržavanje podataka. Kod nas za ove sistem mislim da je 5 godina, i za neke specijalne slučajeve 1 godina.
Takođe ignorisao si stavku da podaci nisu enkriptovani... a to je zapravo veliki tehnički problem.
Dalje, kada kažeš prostorije MUPa to je previše uopšteno, treba da postoje specijalni data centri, da li znaš nešto o tome? Ko ih je opremio, kako zaštitio, koje standarde poštuju itd.
2. Pomenuo sam sistem licenciranja i pristup trećih strana, i pod time sam mislio na Huawei. Ali svejedno, ti si odgovorio da je normalno da se podaci dele i da se ustupa pristup. Zakonom to nije tako regulisano, podaci sa pomenutog sistema ne smeju da se prenose na druge sisteme i moguće im je pristupiti samo u okviru SATIT (sektor za analitiku, telekomunikacije i informatiku).
Iz tvog odgovora, vidimo da to nije slučaj (mada je moguće da mešaš ove pametne kamere sa ostalim).
Dalje, negde iznad si pomenuo da je isto tako normalno da podaci iscure... iz analize rizika MUPa, možemo da vidimo da su oni implementirali razne tehničke i kadrovske mere da upravo ovo spreče. Hajde da diskutujemo o tome, kakva su tvoja iskustva što se tiče upravljanja korisnicima i logovima?
3. Podrška za uređaje ističe uskoro, a pored toga je već poznato da takva rešenja imaju security propuste (a da ti tek ne pričam o svom iskustvu sa ovim vendorom). I ti se oslanjaš na to da će zbog nekog političkog odnosa između dve zemlje, neka privatna kompanija specijalno za nas da izdaje security update. Meni je to malo klimavo. Posebno jer je ovo jako stara oprema i posebno zbog toga što odnos između ove dve zemlje može da se promeni.
Ovo mi se čini kao jako pogrešna procena rizika od strane naših stručnjaka. Da li se slažeš?
Da li znaš da li je bilo ko pustio bilo kakav security alat na ovu mrežu, ili makar skenirao instalacione fajlove antivirusom (a da ne pričamo o pravim analizama bezbednosti)?
4. Što se tiče SD kartica, da mislim na to da će neko da se penje na banderu ali i na to da će osoba zadužena za održavanje imati mogućnost da pristupi podacima ili ih izmeni. Da li znaš da li su enkriptovane, ili koja je procedura prilikom recimo zamene ovih kartica?
5. Komunikacija bi trebala da ide specijalnim FIZIČKIM vodovima (ima i ime al sam zaboravio), da li znaš da je to svuda slučaj? I tvoj odgovor: "Recimo da sistem nije povezan nigde gde ne treba da bude povezan.", šta tačno znači... Ko je utvrdio gde treba a gde ne treba biti povezan, kad treba da bude povezan samo sa jednom mrežom i jednim sistemom. Ko je proverio bezbednost ovih pristupnih tačaka, kako?
Da li znaš koliko instutucija i kompanija u zemlji mi je reklo sličnu rečenicu, ili npr da je to iza XZ nivoa zaštite itd, pa sam ja ipak za par sati, tokom naručenog testiranja, došao do cilja
6. Testni podaci, koji nisu precizno definisani ni u jednom dokumentu su već podeljeni sa trećim stranama (van naše zemlje). Imao je tekst na JapanTimes i na Huawei sajtu (ali su obrisali kada je počelo da se priča o ovome).
7. Nisi mi odgovorio za ove stručnjake...
Još jednom da napomenem, cilj ove teme treba da bude diskusija o tehničkim rešenjima, i o tome kako možemo da unapredimo ista.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV