Novice » Kriptovalute » Britanske bolnišnice poklenile pod izsiljevalsko programsko opremo
Kingrolqa ::
Zadnji ponuja 1 leto brezplačne uporabe, če uporabljate beto verzijo.
Obe rešitvi sicer temeljita na HitmanPro.Alert produktu, ki ga je Sophos prevzel lani.
Saul Goodman ::
AndrejO ::
Kot je že zgoraj pisal SeMiNeSanja, tako velika firma nima izgovora, zakaj IT ni v _NULO_ pošlihtan
Ne verjamem, da so stvari kjerkoli v _NULO_ pošlihtane.
Hkrati pa verjamem, da je dovolj enostavno in poceni imeti stvari _SOLIDNO_ pošlihtane in, da se to hkrati ekonomsko izplača.
MrStein ::
To je lahko zelo zelo zeloooooooooo slabo.....Odgovor temu je lahko pretiran nadzor nad internetom.....Oziroma hitrejši konec svobodnega interneta kolikor ga je še ostalo.
Upam da se motim seveda.
Tako.
(morebiten) odziv vlad: Ojoj, moramo nadzor prebivalstva povečati. Za otroke gre!
konspirator je izjavil:
Obstaja kakšna pametna alternativa ms smb za file sharing v lanu ?
Mogoče SMB v2 ali v3?
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Markoff ::
SlimDeluxe je izjavil:
Mene pa zanima, kateri sistemi so prizadeti in ali je kateri od antivirusnikov uspešen pri zaustavljanju?
Snowden in Manning sta tudi Američana, a nista delala za Barracka bin Osamo. Kje pa piše, da delajo tile senčniki za Put-outa in ne samo za svoj žep?
SeMiNeSanja je izjavil:
MS kritični popravek : ajde grem stavit da je praktično 0 računalnikov na UKC-ju up to date. Sreča, da doktorji ne uporabljajo elekteonske pošte.
Saj dovolj, da jo vratar....
Ali pa tisti znani skladiščnik. Nihče več ne bo mogel preskočiti vrste. Kako grozno.
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Zgodovina sprememb…
- spremenilo: Markoff ()
jukoz ::
Hja, in potem nekdo napiše v komentar pod novico (na rtv) "Nekomu na nočni izmeni je bilo dolgčas... Da sem administrator ga zgrabim za kravateljc.".
Kot je že zgoraj pisal SeMiNeSanja, tako velika firma nima izgovora, zakaj IT ni v _NULO_ pošlihtan. Za kravateljc bi bilo treba administratorja, ker so računalniki proizvodnje linije na isti mreži kot računalniki z dostopom do interneta. To recimo jaz vidim kot katastrofalni fail.
Recimo, jaz pomagam enemu majhnemu podjetju zastonj z IT in mrežo, pa sem včeraj zvečer prek VPN na daljavo prižgal vse mašine, se logiral gor in preveril, če imajo potrebne popravke.
Mogoče se bo pa trg IT adminov sedaj malo korigiral? Ne bi bilo slabo
Ne razumem - ti nekemu podjetju zastonj "pomagaš" in pričakuješ da se bo trg korigiral? Kako se bo pa korigiral, tako da bomo vsi delali zastonj?
A tam kjer delaš tudi pride kakšen mojster in zastonj položi ploščice?
Markoff ::
SeMiNeSanja je izjavil:
AMPAK - predstavljaj si bolnico v kateri morajo vse računalnike formatirati, reinštalirat, povrniti backupe. Če imaš še tako dober disaster recovery plan, to ne gre v enem dnevu. Tudi v dveh ne. Pa naj bo bolnica še tako majhna.
Pri terminalskem načinu dela (terminal services ali web aplikacije) ti je end user computing minoren problem, ki ga lahko rešiš z mass reinstallom osnovnega OS, driverjev in osnovnih aplikacij (Office, kakšen PDF printer ipd.), če le kupuješ standardizirane kliente (in ne lokalnih sestavljank). Ja, še vedno bo trajal kakšen dan ali morda celo dva, ne bo pa konec sveta.
Backup strežniških snapshotov (idealno virtualiziranih) in podatkov se pač mora izvajati na način, da lahko podatke premikaš drugam, ne pa jih tam tudi brisari. Kasete so dobra rešitev, če le ne prepisuješ tedenskih kopij, temveč jih hraniš vsaj za 4-8 tednov (kriptovirusi, če še niso, še bodo postali pametnejši in znajo kriptirati podatke in določen čas uporabnikom do njih tudi dostopati, dokler se ne razkrijejo in dostop onemogočijo).
Če se pač pred tem že na področju FW/IDS/AV/izobraževanja uporabnikov ne izvede dovolj ukrepov.
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
poweroff ::
Zdaj izračunaj kakšni bodo stroški.
Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
RedDrake ::
Ne verjamem, da so stvari kjerkoli v _NULO_ pošlihtane.
Hkrati pa verjamem, da je dovolj enostavno in poceni imeti stvari _SOLIDNO_ pošlihtane in, da se to hkrati ekonomsko izplača.
No, to sem mislil.
Hvala za popravek, se popolnoma strinjam.
Solidno pošlihtana fabrika ne bi smela doživeti zaustavitve zaradi virusa, ki se širi preko neta, to je pač substandard.
...
Ne razumem - ti nekemu podjetju zastonj "pomagaš" in pričakuješ da se bo trg korigiral? Kako se bo pa korigiral, tako da bomo vsi delali zastonj?
A tam kjer delaš tudi pride kakšen mojster in zastonj položi ploščice?
Ne, trg se bo korigiral tako, da bodo delali samo tisti, ki so stvar sposobni delati.
Tako, pa pridem v podjetje, da jim bom naredil neko HW/SW rešitev za proizvodno linijo in ugotovim, da je mreža v treh pisanih ..., strežnik z _vsemi_ podatki je kar public sharean tudi WiFi obiskovalcem, ipd ...
Vprašam kdo to dela, imajo zunanjega izvajalca, ki obvlada.
Zakaj jaz nekomu zastonj delam, je povsem moja stvar, tudi pred mano je to urejal en sysadmin, ki dela na IJS, zastonj. Je pač tak tip podjetja, kjer produkta ni možno ravno najbolj prodati, je pa vseeno precej pomembno za prihodnost. Tako, da ne skrbeti, če bom jaz šel stran, nebo zdaj več €€€ za nekoga, bo pač nekdo drug to urejal gratis.
johnnyyy ::
Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.
Zdaj izračunaj kakšni bodo stroški.
Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.
Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo .
Saul Goodman ::
še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.
Unilseptij ::
Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.
Zdaj izračunaj kakšni bodo stroški.
Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.
Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo .
Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.
tikitoki ::
Unilseptij je izjavil:
Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.
Zdaj izračunaj kakšni bodo stroški.
Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.
Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo .
Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.
Se strinjam, za trzenje zdravil rabis imeti proizvodno dokumentacijo poslihtano, druagce lahko ob inspekciji jebes jeza
Markoff ::
Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.
Zdaj izračunaj kakšni bodo stroški.
Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
Še enkrat: "Če se pač pred tem že na področju FW/IDS/AV/izobraževanja uporabnikov ne izvede dovolj ukrepov." 100% varnosti pa žal ni, uporabniki pa niso vsi security-aware (kar nima nič skupnega z njihovo izobrazbo ali inteligenco, temveč z risk appetitom).
1-2 dni offline je za večino sistemov še sprejemljivo. Za organizacije, kjer RTO ne sme biti daljši od par 10 minut, so tudi (ali bi morala biti) vlaganja v preventivo toliko višja.
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Markoff ::
Saul Goodman je izjavil:
in ko enkrat vsaj prbližno zgleda IT pošlihtan, ugotoviš, da je čist vsak papak v firmi, ki ima dostop do elektronske pošte ali usb vhoda, velika in juicy tarča za niti ne tako sofisticiran phishing napad, ki ti isto pizdarijo spravi v lan po SE poti.
še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.
Ja, ker tudi izobraževanja v šolah, avtošolah, preko nacionalnih akcij ipd. vse 100% delujejo. Ne se hecat, to je samo eden od ukrepov, ki pa ima svojo omejeno vrednost.
20 različnih varnostnih ukrepov (izobraževanje, FW, IDS, AV, BCP/DR, požarne vaje, ...), vsaj s 50% uporabnostjo / učinkovitostjo, ti da sistem, kjer bi bila lahko stopnja varnosti blizu 100%. Zanašati se na katerikoli posamičen ukrep pa je enakovreden samomoru z bombo iz zasede.
Unilseptij je izjavil:
Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.
Ja, bi bil presenečen, kako malo organizacij ima narejen BIA in posledično opredeljene RTO/RPO parametre za posamezne podsisteme. Čista osnova za opredelitev potrebnih (in glede na parametre ekonomičnih) varnostnih ukrepov.
Ne vem, no, ali študente na FRI/FERI ne učijo NIČ informatike, samo programiranje?
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Zgodovina sprememb…
- spremenilo: Markoff ()
MrStein ::
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
AndrejO ::
Saul Goodman je izjavil:
in ko enkrat vsaj prbliĹžno zgleda IT pošlihtan, ugotoviš, da je čist vsak papak v firmi, ki ima dostop do elektronske pošte ali usb vhoda, velika in juicy tarča za niti ne tako sofisticiran phishing napad, ki ti isto pizdarijo spravi v lan po SE poti.
Če imaš problem s takšnimi "papki" in USB vhodi, potem IT še ni tako blizu "pošlihtanem".
Saul Goodman je izjavil:
Še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.
Osebno se s tem ne strinjam.
Na "izobraževanju uporabnikov" se dela že 30 let in rezultat je še vedno mizeren. Če trdiš, da v teh 30 letih ni nihče pogruntal kako se to dela pravilno, tebi pa je to uspelo, potem najbolje, da nemudoma odpreš svetovalno podjetje. Plačan boš v enoti EUR/s, toliko boš imel povpraševanja za svojo ekspertizo.
Mr.B ::
To accuse the Jewish state of genocide is to cross a moral threshold
Horejšio ::
Zgodovina sprememb…
- spremenilo: Horejšio ()
#000000 ::
? o čem ti to. O unih domačih mojstrih, ki jih potem zapsoelijo v *** ker so zahetvali najmanj.
Sicer te zastopim, ampak ne morem mimo dejstva da bolnice v UK nimajo tistih kot si omenil domačih mojstrov, ampak prave IT stručkote, ki ali samo jajca praskajo (videno pri nas) ali pa pojma nimajo (videno pri nas) ali pa se im jebe ker oni so prišli samo v službo ne pa kaj dejansko narest (videno pri nas)
Se pravi če bi imeli največji pofl od kvazi domačih mojstrov, bi jih nemara te celo uspeli obranit !? najverjetneje celo res. FAK po taki IT ki tega ne predvidi :) sevede zdej so bo vsul plaz ITjevcev da oni nisi krivi ker uporabniki zajebajo, ja hm, dej jim naredi zadevo tako da to niti ne bo mogoče :) al pa če že da naredi minimalno škodo, ok pametujem ampak jebiga zmotila me je ta ho domaćim majstorima :)
LP
Mr.B ::
priznam da če "v splošnem - reletivno" govorimo, se tudi v Slovenskem Javnem sektorju najdejo izjemen z ustreznim zanjem. Večini pa odvzameš zunanjo pomoč, so pač ribe na suhem.
To accuse the Jewish state of genocide is to cross a moral threshold
SeMiNeSanja ::
V medicini zobarju ne bo nikoli padlo na pamet, da se bo ponujal za porodničarja, razen v skrajni slili. V IT-ju pa so kar vsi eksperti za vse. Kako se boš potem čudil, da so stvari take kot so?
ABX ::
A je možno dobit ključ, ki ga je ta ransomware uporabil za kriptiranje in posredoval nazaj?
Torej, če logiraš ves mrežni promet not/ven?
Nope, kje je potem point enkripcije če lahko vsak dobi ključ :)
Podatki se kriptirajo z javnim delom ključa, to lahko ima bilo kdo. Odklenejo pa se samo z privat ključem ki ga ima posameznik.
Če si šalabajzer, potem zakleneš vse z enim ključem in ko dobiš privat ključ ga "posodiš". Če si PRO vsakega zakleneš z drugačnim javnim ključem.
mtosev ::
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
s1m0n ::
A je možno dobit ključ, ki ga je ta ransomware uporabil za kriptiranje in posredoval nazaj?
Torej, če logiraš ves mrežni promet not/ven?
Nope, kje je potem point enkripcije če lahko vsak dobi ključ :)
Podatki se kriptirajo z javnim delom ključa, to lahko ima bilo kdo. Odklenejo pa se samo z privat ključem ki ga ima posameznik.
Če si šalabajzer, potem zakleneš vse z enim ključem in ko dobiš privat ključ ga "posodiš". Če si PRO vsakega zakleneš z drugačnim javnim ključem.
Torej se ne pošlje ključ storilcem? Sledi pa izbrišejo na tvojem sistemu?
Zgodovina sprememb…
- spremenil: s1m0n ()
Unilseptij ::
SeMiNeSanja je izjavil:
IT stručkoti....? Vsi mislijo, da vse znajo.
V medicini zobarju ne bo nikoli padlo na pamet, da se bo ponujal za porodničarja, razen v skrajni slili. V IT-ju pa so kar vsi eksperti za vse. Kako se boš potem čudil, da so stvari take kot so?
Se strinjam... to je definitivno danes problem. Enostavno je IT tako kompleksen, da iskanje splošnih "IT strokovnjakov", ki se ga gre večina organizacij, ne more rezultirati v neki dovolj pestri paleti znanj na dovolj visokem nivoju.
Drugi problem pa je splošen odnos do IT-ja kot še vedno neke podporne dejavnosti, s katero naj se ukvarjajo IT-jevci, ne pa management. Tako nekako, kot se pričakuje, da računovodstvo ali pa čiščenje poslovnih prostorov ponavadi ne zahteva neposredne vpletenosti management-a. Pri IT-ju je drugače, ampak današnji "high-profit low-cost" orientirani managerji (večinoma ekonomisti ali pravniki) tega ne morejo (niti niso sposobni) razumeti. Nekateri to rešujejo tako, da v uprave nastavljajo CIO-te, ampak ti ljudje so potem resnični reveži, ko morajo potem sedeti tam z ostalimi, ki nimajo pojma in morda kvečjemu lahko delajo nek "damage control", kaj dosti več pa ne.
SeMiNeSanja ::
Unilseptij je izjavil:
Drugi problem pa je splošen odnos do IT-ja kot še vedno neke podporne dejavnosti, s katero naj se ukvarjajo IT-jevci, ne pa management. Tako nekako, kot se pričakuje, da računovodstvo ali pa čiščenje poslovnih prostorov ponavadi ne zahteva neposredne vpletenosti management-a. Pri IT-ju je drugače, ampak današnji "high-profit low-cost" orientirani managerji (večinoma ekonomisti ali pravniki) tega ne morejo (niti niso sposobni) razumeti. Nekateri to rešujejo tako, da v uprave nastavljajo CIO-te, ampak ti ljudje so potem resnični reveži, ko morajo potem sedeti tam z ostalimi, ki nimajo pojma in morda kvečjemu lahko delajo nek "damage control", kaj dosti več pa ne.
Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje. Edino tako se bo premaknilo vodstvene delavce, da bodo razumeli, da se na tem področju ne velja hecat. Če je na drugih področjih (davki, varnost pri delu,...) kaznovan tudi poslovodni organ, potem ne vem, zakaj bi bili tukaj izvzeti.
AndrejO ::
SeMiNeSanja je izjavil:
Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje.
Nov ZVOP se ne bo "usklajeval" z GDPR, ker bo GDRP uredba in ne direktiva.
Prenos v nacionalno zakonodajo za uredbe ni potreben in tudi ne možen, ker se tovrstno zakonodajo EU aplicira neposredno.
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje.
Nov ZVOP se ne bo "usklajeval" z GDPR, ker bo GDRP uredba in ne direktiva.
Prenos v nacionalno zakonodajo za uredbe ni potreben in tudi ne možen, ker se tovrstno zakonodajo EU aplicira neposredno.
Nisem pravnik in ne ločim razlike med uredbo in direktivo.
Ampak če citiram s spletne strani IP-RS:
Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.
Kdaj in kako bo potekala implementacija uredbe v našem pravnem redu še ni znano. Priporočamo vam, da spremljate našo spletno stran in spletno stran Ministrstva za pravosodje, ki je pristojno za pripravo predpisov na področju varstva osebnih podatkov.
...mi to ne gre skupaj s tem, kar si napisal.
Tudi ne razumem, kako nebi bilo možno uskladiti nacionalne zakonodaje. Uredba gor ali dol, če te bodo kaznovali, bo veljal slovenski zakon. Če ta ni usklajen z GDPR, še vedno velja, kot da GDPR pri nas ni v veljavi. Kršitelj bi jo odnesel z manjšo praskico ali še to ne. Komisija pa bi naložila Sloveniji nevem kakšno miljonsko kazen, ker uredbe ni implementirala do roka.
Ali pa vse skupaj narobe razumem.....?
AndrejO ::
SeMiNeSanja je izjavil:
Nisem pravnik in ne ločim razlike med uredbo in direktivo.
Kratko pojasnilo je tukaj.
SeMiNeSanja je izjavil:
Ampak če citiram s spletne strani IP-RS:
Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.
Ta spletna stran, ki si jo samo pozabil povezati, govori o uredba 2016/679 (to je GDPR) in direktivi direktiva 2016/680 (ta ni GDPR, je pa z GDPR povezana).
Torej: uredba neposredno; direktiva se prenese v nacionalno zakonodajo.
SeMiNeSanja je izjavil:
Kdaj in kako bo potekala implementacija uredbe v našem pravnem redu še ni znano.
Verjetno so malo zabluzili, ker v isti novički govorijo o eni uredbi in eni direktivi. Uredbe se resnično ne implementira v nacionalnem pravnem redu, temveč se jih uporablja neposredno.
SeMiNeSanja je izjavil:
...mi to ne gre skupaj s tem, kar si napisal.
Čisto verjamem, ampak to se da razčistiti ...
SeMiNeSanja je izjavil:
Tudi ne razumem, kako nebi bilo možno uskladiti nacionalne zakonodaje. Uredba gor ali dol, če te bodo kaznovali, bo veljal slovenski zakon. Če ta ni usklajen z GDPR, še vedno velja, kot da GDPR pri nas ni v veljavi.
Zakonodaja EU je nad nacionalno zakonodajo. Seveda je potrebno uskladiti nacionalno zakonodajo, da se ne bo po nepotrebnem zapravljalo časa na sodiščih, ampak uredba se aplicira neposredno, predstavlja veljaven zakon in kot takšnemu mu morajo slovenska sodišča slediti.
Primer kako GDPR "povozi" slovenski ZVOP je preprosto ta, da GDPR velja, ZVOP pa v tistih delih, kjer je v nasprotju z GDPR več ne velja. Tako bo npr. možno izreči globe do 20,000.000 EUR po GDPR in pritožba na podlagi napačne uporabe materialne prava, ker naj bi bil uporabljen ZVOP, ki takšne globe ne predvideva, bo gladko padla.
Primer kompliciranja bi bil npr. plačilo "polovičke". Slovenski zakon o prekrških pa omogoča plačilo polovičke, ki ni v direktivi nikjer omenjeno. To je recimo vprašanje, ki ga bo moralo reševati sodišče, ker potencialno obstaja konflikt med tem, kar določa GDPR in tem, kar dopušča ZP.
Primer nekompliciranja je izterjava izrečene globe. GDPR se s tem ne ukvarja in za izterjavo glob se uporabijo ostali mehanizmi, ki jih predvideva nacionalna zakonodaja.
SeMiNeSanja je izjavil:
Kršitelj bi jo odnesel z manjšo praskico ali še to ne. Komisija pa bi naložila Sloveniji nevem kakšno miljonsko kazen, ker uredbe ni implementirala do roka.
Can't happen. Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.
SeMiNeSanja je izjavil:
Ali pa vse skupaj narobe razumem.....?
Edina točka nerazumevanja je to, da se GDPR kot uredbe ne prenaša v nacionalno zakonodajo, temveč velja neposredno. GDPR državam članicam dopušča nekaj fleksibilnosti, vendar ne v delu, ki se tiče malomarnega ravnanja z osebnimi podatki (npr. izguba osebnih podatkov zaradi opustitve dolžnega ravnanja, prikrivanje izgube osebnih podatkov, ...).
Zgodovina sprememb…
- spremenil: AndrejO ()
aycabron ::
vir
Upam da se šališ kr ta "vir" je res weak.
> cyber gang with possible links to Russia
> Some experts believe
> It is believed
> Snowden tweeted that “circumstantial evidence and conventional wisdom indicates Russian responsibility”.
Folk k klika na vse kar dobijo v mail-ih pa ne bi smel met dostopa do računalnikov.
dronyx ::
Se bo treba na hitro odklopit iz interneta. Jutri grem pa časopis kupit da vidim kaj je novega. Upam da ni imel spet Kim Jong Un slabega dneva...
Sum padel na Severno Korejo. Če je to res jim virusi nesejo dlje kot pa balistične rakete.
SeMiNeSanja ::
Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.
Točno tu pa bo nastal največji problem. Če bodo kazni takšne kot so zdaj, je škoda, da o GDPR sploh razpravljamo, saj ne bo prinesel nobene spremembe na bolje.
Kazni bi morale biti zasoljene, 'katalog' ali če temu rečemo 'prekrškovni cenik', pa čim prej objavljen. Potem pa bi vsak začel malo bolj resno kalkulirati, ali se mu splača investirat v kakšen varnostni pregled in začet pospravljat okostnjake po omarah.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
AndrejO ::
SeMiNeSanja je izjavil:
Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.
Točno tu pa bo nastal največji problem. Če bodo kazni takšne kot so zdaj, je škoda, da o GDPR sploh razpravljamo, saj ne bo prinesel nobene spremembe na bolje.
Kazni bi morale biti zasoljene, 'katalog' ali če temu rečemo 'prekrškovni cenik', pa čim prej objavljen. Potem pa bi vsak začel malo bolj resno kalkulirati, ali se mu splača investirat v kakšen varnostni pregled in začet pospravljat okostnjake po omarah.
Ne vem, kaj še vedno lapaš. "Cenik" je že nekaj časa uzakonjen. Kazni so do 20,000.000 EUR ali do 4% letnega globalnega prometa, pri čemer velja, da je zgornja meja višji od teh dveh zneskov. Veljati začne čez cca. leto dni. Gl. 83. čl. EU 2016/679.
Kar sem napisal je zgolj to, da ima nadzorni organ (v Sloveniji je to IP-RS) pravico določiti primerno kazen v tem razponu ob upoštevanju določbe, da morajo biti globe učinkovite, sorazmerne in odvračilne.
Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.
SeMiNeSanja ::
Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.
Menda ja ne misliš resno, da bo IP RS kateremukoli Slovenskemu podjetju naložil kazen 20 mio EUR. Tudi pol tolikšno ne bo. Prej bi špekuliral o 10.000 EUR kot najvišji kazni, ki jo bo kdaj v praksi izrekel.
Ja, teoretično gre do 20M oz. 4% (karkoli znaša več) - ampak to je teorija. Koliko pa je podjetij, ki so v Sloveniji sposobna plačati tak znesek? Predstavljaj si, da bi pol te kazni nabili AJPESu - bomo potem kar ostali brez njega? Ali pa UKC. Koliko operacij in novih aperatur bi odpadlo?
Že res, da bi šel v zgornjem primeru denar iz levega v desni žep, a vseeno.
Po drugi strani, kakšen smisel ima nabiti kazen 1M EUR podjetju, ki je že tako globoko v rdečih številkah in jo takointako ne bo nikdar poravnalo?
Je že tako, da mora kazen biti občutna - vendar tudi izterljiva in vzgojna.
Koliko je vzgojna, če gre denar z levega v desni žep, pa ne vem.
Morda je vzgojna, če sosedu podjetje propade, ker je bil kaznovan. Sicer ne zanj, ampak zame, da bom pazil, da se ne bo isto zgodilo meni. Ampak istočasno pa nebi smelo biti namen, da se na ta račun uničuje delovna mesta.
Skratka zadeve niso tako preproste, zato bo potreben nekakšen 'cenik', da boš sploh vedel, kaj te čaka in koliko moraš zadevo resno jemat, če sploh (zgolj opozorilo kaj dosti ne boli...).
AndrejO ::
SeMiNeSanja je izjavil:
Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.
Menda ja ne misliš resno, da bo IP RS kateremukoli Slovenskemu podjetju naložil kazen 20 mio EUR. Tudi pol tolikšno ne bo. Prej bi špekuliral o 10.000 EUR kot najvišji kazni, ki jo bo kdaj v praksi izrekel.
Zgrešil si za magnitudo. L. 2009 je že v okviru obstoječe zakonodaje IP-RS naložil plačilo 102.000 EUR enotne globe.
Sedaj bo to lažje izvedljivo.
SeMiNeSanja je izjavil:
Skratka zadeve niso tako preproste, zato bo potreben nekakšen 'cenik', da boš sploh vedel, kaj te čaka in koliko moraš zadevo resno jemat, če sploh (zgolj opozorilo kaj dosti ne boli...).
Cenik je že uzakonjen v EU 2016/679. TL;DR: Če ga sereješ, bo bolelo. Receptura določanja globe je notri tudi precej natančno določena.
To, da lahko na takšen način kakšno podjetje mimogrede tudi ubiješ, je predvidena stranska posledica in drznem si trditi, da "kuponko" dreka ne bo nihče pogrešal, če kakšna izrečena globa to podjetje končno enkrat ubije (ako ga še ni).
Če bi pa ti sedaj rad nek "cenik" tipa, "malo spamanja: 10k EUR; mao več spamanja 20k EUR; ..." in podobne flance, pa to žal ne bo šlo tako. Kot velja za umor, da bo sodnik pretehtal vsa dejstva in okoliščine, ko bo izbiral kazen med 5 in 25 let, bo še naprej veljalo, da bo inšpektor v postopku pretehtal vsa dejstva in okoliščine, ko bo izbiral kazen v razponu do 20mio oziroma 4%.
Mr.B ::
To accuse the Jewish state of genocide is to cross a moral threshold
AndrejO ::
Mene tudi ne moti, da se bi izreklo globo, ki bi podjetje pokopala, če je podjetje s svojim (ne)delom ustvarilo dovolj škode.
SeMiNeSanja ::
Vprašaj tistega, ki se mu ne sanja.
Mene tudi ne moti, da se bi izreklo globo, ki bi podjetje pokopala, če je podjetje s svojim (ne)delom ustvarilo dovolj škode.
Ne me razumeti narobe. Vsekakor se tudi jaz strinjam, da zagotovo obstajajo podjetja, za katera bi lahko rekel, da delajo skrajno malomarno z osebnimi podatki in ne bo škode (oz. je bo manj), če izginejo s površja zemlje. Tako usmiljen pa res nisem do malomarnežev.
Ampak stvari se prično že pri pometanju pod preprogo. 8 okužb z wannacry v celi Sloveniji? Resno?
Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.
Na drugi strani tehtnice pa imaš vprašanje, kolikšna bo kazen, če po prijavi pride inšpektor v hišo in ugotovi, da del odgovornosti za okužbo nosiš tudi sam.
Kaj se bo bolj splačalo? Pometanje ali priznavanje?
V splošnem kontekstu zavedanja o grožnjah obsojam vse, ki že danes ne prijavijo okužbe vsaj na SI-CERT, da bi se dobilo neko kolikor tolikor realno sliko razsežnosti. Vem, da se vidi zgolj vrh ledene gore - nihče pa tudi približno ne zna oceniti, kolko se je še skriva pod gladino.
Tako se ljudje nekaj tolažijo s tisto osmerico kvazi 'butcev', ki so nasedli ribarjenju in si mislijo, da so sami kaj dosti bolj pametni, pa da ni potrebe, da bi zdaj panično šli preverjat, če res ni česa, kar bi lahko izboljšali, da ne bomo jutri tudi sami prizadeti.
Zadeva pa res ne more biti tako grozna, če je v vesoljni Sloveniji prizadela vsega 8 žrtev, pa še to večinoma posameznike, ne pa podjetja, mar ne?
In tako bo vse ostalo po starem. Peščica 'zavednih' paničarjev bo preverila, če so patchi naloženi, morda še backup procedure. Tu pa se bo zadeva potem tudi ustavila. Zakaj pa bi si delal nepotrebno delo, če zadeva takointako ni tako grozna?
Horejšio ::
AndrejO ::
SeMiNeSanja je izjavil:
Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.
Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.
Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.
Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.
Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?
Kako ni izgube osebnih podatkov, če so zakriptirani in ne moreš do njih? Izguba ni vedno zgolj leakanje - vsaj za mene ne.
Izsiljevanje je (predvidevam) kaznivo dejanje po celem svetu. Zdaj res ne vem, ali si dožen prijaviti kaznivo dejanje, oz. če te lahko kdo k temu prisili - ampak zagotovo si neumen, če to ne storiš.
Kar se pa na splošno tiče incidentov v IT, pa mislim, da v UK v sklopu compliance-a kar moraš zadeve prijaviti vsaj v zdravstvu. Predvidevam, da tudi bančništvo in borzne dejavnosti niso izjema?
Male ribe pa potem res mogoče pod radarjem plavajo - ampak ravno tam se dogaja največji masaker. Že res, da je največji medijski trušč okoli velikih podjetij, ko se jim zgodi štala ampak ravno to nesorazmerje v statistiki ta male ribe prepričuje, da oni pa itak niso zanimivi, njim se pa že ne more kaj dosti zgoditi. Ko jih pa zadane, so pa ta prvi, ki naokrog sprašujejo, kako se kupi Bitcoine....
SeMiNeSanja ::
Me prav zanima, če bi zadeva počepnila že v štartu...
AndrejO ::
SeMiNeSanja je izjavil:
SeMiNeSanja je izjavil:
Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.
Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.
Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?
Kako ni izgube osebnih podatkov, če so zakriptirani in ne moreš do njih? Izguba ni vedno zgolj leakanje - vsaj za mene ne.
Ni izgube v smislu, da bi v osebne podatke vpogledal nekdo, ki do tega ni upravičen, kar je domena GDPR. To, da podjetje crkne, ker jim je strela ali pa WannaCry uničil vse podatke, se GDPR ne tiče.
Še več. Če so bili odtujeni podatki ustrezno šifrirani (npr. izgubil se je šifriran USB ključek), potem po GDPR lastnikov teh osebnih podatkiv ni potrebno posebej obveščati.
SeMiNeSanja je izjavil:
Izsiljevanje je (predvidevam) kaznivo dejanje po celem svetu. Zdaj res ne vem, ali si dožen prijaviti kaznivo dejanje, oz. če te lahko kdo k temu prisili - ampak zagotovo si neumen, če to ne storiš.
Ne rabiš. Kjer ni tožnika, tudi ni sodnika.
SeMiNeSanja je izjavil:
Kar se pa na splošno tiče incidentov v IT, pa mislim, da v UK v sklopu compliance-a kar moraš zadeve prijaviti vsaj v zdravstvu. Predvidevam, da tudi bančništvo in borzne dejavnosti niso izjema?
Ha, imaš prav! Malo sem šel pobrskati in l. 2016 je bila res sprejeta direktiva EU 2016/1148, ki državam nalaga, da sprejmejo zakonodajo na področju t.i. "kibernetske varnosti" kritične infrastrukture. Ostali bodo lahko incidente prijavljali prostovoljno.
Ker je to direktiva, jo bo potrebno prevesti v nacionalno zakonodajo do 9. maja 2018.
In ja, globe za kršitve bo določala država članica sama.
SeMiNeSanja je izjavil:
Male ribe pa potem res mogoče pod radarjem plavajo - ampak ravno tam se dogaja največji masaker. Že res, da je največji medijski trušč okoli velikih podjetij, ko se jim zgodi štala ampak ravno to nesorazmerje v statistiki ta male ribe prepričuje, da oni pa itak niso zanimivi, njim se pa že ne more kaj dosti zgoditi. Ko jih pa zadane, so pa ta prvi, ki naokrog sprašujejo, kako se kupi Bitcoine....
Ah, jebiga. Veš, na drugi strani pa ... če ni govora o kritični infrastrukturi ali pa osebnih podatkih, ali je resnično potrebno dodajati še več birokracije? Na neki točki pa "mama država" resnično več ne more ujčkati vseh tistih, ki sami niso sposobni poskrbeti za svoje lastno premoženje.
SeMiNeSanja ::
....vsi pa so prepričani, da vzorno skrbijo za varovanje osebnih podatkov.
Kot da se varovanje začne pri nekih kištah za tisoče EUR. Začne se pri tem, da sploh začneš malo z glavo razmišljat
Kar je potem še dodatno žalostno, pa je to, da če že kupijo kišto za tisoče EUR, kar mislijo, da so s tem že vse nredili.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Največja bolnišnica v New Jerseyju plačala odkupnino zaradi hekerskega napadaOddelek: Novice / Varnost | 9811 (8257) | darkolord |
» | Ko napade malware, se bolnišnice ustavijoOddelek: Novice / Varnost | 12925 (11624) | starfotr |
» | Boeing in mesto Atlanta prizadel izsiljevalski virusOddelek: Novice / Kriptovalute | 5914 (4464) | ZigaZiga |
» | V Ukrajini ogromne težave zaradi izsiljevalskega virusa, ki se že širi na Zahod (strani: 1 2 )Oddelek: Novice / Kriptovalute | 26440 (22581) | SeMiNeSanja |
» | WannaCry okuževal večinoma Windows 7 (strani: 1 2 )Oddelek: Novice / Kriptovalute | 24800 (20197) | SeMiNeSanja |