Slo-Tech

» »

Britanske bolnišnice poklenile pod izsiljevalsko programsko opremo

1
2
»

Kingrolqa ::

Sophos ima ponuja zaščito InterceptX za podjetja in Sophos Home Premium
Zadnji ponuja 1 leto brezplačne uporabe, če uporabljate beto verzijo.
Obe rešitvi sicer temeljita na HitmanPro.Alert produktu, ki ga je Sophos prevzel lani.

Saul Goodman ::

trenutno situacijo je rešil malware researcher @malwaretechblog na twitterju. registriral je "killswitch" domeno, ki jo je našel v source code. virus v prvem koraku preveri, če domena obstaja. če ne, se aktivira. ker sedaj domena obstaja, se kriptiranje ne izvede. po domače. torej, če še niste okuženi, vsaj s prvo verzijo tega virusa tudi ne boste. ampak verjetno so v divjini že nove verzije, ki ne bodo občutljive na ta "pwn".

AndrejO ::

RedDrake je izjavil:


Kot je že zgoraj pisal SeMiNeSanja, tako velika firma nima izgovora, zakaj IT ni v _NULO_ pošlihtan

Ne verjamem, da so stvari kjerkoli v _NULO_ pošlihtane.

Hkrati pa verjamem, da je dovolj enostavno in poceni imeti stvari _SOLIDNO_ pošlihtane in, da se to hkrati ekonomsko izplača.

MrStein ::

Glugy je izjavil:

To je lahko zelo zelo zeloooooooooo slabo.....Odgovor temu je lahko pretiran nadzor nad internetom.....Oziroma hitrejši konec svobodnega interneta kolikor ga je še ostalo.
Upam da se motim seveda.

Tako.
(morebiten) odziv vlad: Ojoj, moramo nadzor prebivalstva povečati. Za otroke gre!

konspirator je izjavil:


Obstaja kakšna pametna alternativa ms smb za file sharing v lanu ?

Mogoče SMB v2 ali v3?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Markoff ::

SlimDeluxe je izjavil:

Mene pa zanima, kateri sistemi so prizadeti in ali je kateri od antivirusnikov uspešen pri zaustavljanju?

Snowden in Manning sta tudi Američana, a nista delala za Barracka bin Osamo. Kje pa piše, da delajo tile senčniki za Put-outa in ne samo za svoj žep?

SeMiNeSanja je izjavil:

Mr.B je izjavil:

MS kritični popravek : ajde grem stavit da je praktično 0 računalnikov na UKC-ju up to date. Sreča, da doktorji ne uporabljajo elekteonske pošte.

Saj dovolj, da jo vratar....

Ali pa tisti znani skladiščnik. Nihče več ne bo mogel preskočiti vrste. Kako grozno.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Zgodovina sprememb…

  • spremenilo: Markoff ()

jukoz ::

RedDrake je izjavil:

Hja, in potem nekdo napiše v komentar pod novico (na rtv) "Nekomu na nočni izmeni je bilo dolgčas... Da sem administrator ga zgrabim za kravateljc.".
Kot je že zgoraj pisal SeMiNeSanja, tako velika firma nima izgovora, zakaj IT ni v _NULO_ pošlihtan. Za kravateljc bi bilo treba administratorja, ker so računalniki proizvodnje linije na isti mreži kot računalniki z dostopom do interneta. To recimo jaz vidim kot katastrofalni fail.

Recimo, jaz pomagam enemu majhnemu podjetju zastonj z IT in mrežo, pa sem včeraj zvečer prek VPN na daljavo prižgal vse mašine, se logiral gor in preveril, če imajo potrebne popravke.
Mogoče se bo pa trg IT adminov sedaj malo korigiral? Ne bi bilo slabo :)



Ne razumem - ti nekemu podjetju zastonj "pomagaš" in pričakuješ da se bo trg korigiral? Kako se bo pa korigiral, tako da bomo vsi delali zastonj?
A tam kjer delaš tudi pride kakšen mojster in zastonj položi ploščice?

Markoff ::

SeMiNeSanja je izjavil:

AMPAK - predstavljaj si bolnico v kateri morajo vse računalnike formatirati, reinštalirat, povrniti backupe. Če imaš še tako dober disaster recovery plan, to ne gre v enem dnevu. Tudi v dveh ne. Pa naj bo bolnica še tako majhna.

Pri terminalskem načinu dela (terminal services ali web aplikacije) ti je end user computing minoren problem, ki ga lahko rešiš z mass reinstallom osnovnega OS, driverjev in osnovnih aplikacij (Office, kakšen PDF printer ipd.), če le kupuješ standardizirane kliente (in ne lokalnih sestavljank). Ja, še vedno bo trajal kakšen dan ali morda celo dva, ne bo pa konec sveta.
Backup strežniških snapshotov (idealno virtualiziranih) in podatkov se pač mora izvajati na način, da lahko podatke premikaš drugam, ne pa jih tam tudi brisari. Kasete so dobra rešitev, če le ne prepisuješ tedenskih kopij, temveč jih hraniš vsaj za 4-8 tednov (kriptovirusi, če še niso, še bodo postali pametnejši in znajo kriptirati podatke in določen čas uporabnikom do njih tudi dostopati, dokler se ne razkrijejo in dostop onemogočijo).

Če se pač pred tem že na področju FW/IDS/AV/izobraževanja uporabnikov ne izvede dovolj ukrepov.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Matthai ::

Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.

Zdaj izračunaj kakšni bodo stroški.

Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...
All those moments will be lost in time, like tears in rain...
Time to die.

RedDrake ::

AndrejO je izjavil:


Ne verjamem, da so stvari kjerkoli v _NULO_ pošlihtane.

Hkrati pa verjamem, da je dovolj enostavno in poceni imeti stvari _SOLIDNO_ pošlihtane in, da se to hkrati ekonomsko izplača.

No, to sem mislil.
Hvala za popravek, se popolnoma strinjam.
Solidno pošlihtana fabrika ne bi smela doživeti zaustavitve zaradi virusa, ki se širi preko neta, to je pač substandard.


jukoz je izjavil:

...
Ne razumem - ti nekemu podjetju zastonj "pomagaš" in pričakuješ da se bo trg korigiral? Kako se bo pa korigiral, tako da bomo vsi delali zastonj?
A tam kjer delaš tudi pride kakšen mojster in zastonj položi ploščice?


Ne, trg se bo korigiral tako, da bodo delali samo tisti, ki so stvar sposobni delati.
Tako, pa pridem v podjetje, da jim bom naredil neko HW/SW rešitev za proizvodno linijo in ugotovim, da je mreža v treh pisanih ..., strežnik z _vsemi_ podatki je kar public sharean tudi WiFi obiskovalcem, ipd ...
Vprašam kdo to dela, imajo zunanjega izvajalca, ki obvlada.

Zakaj jaz nekomu zastonj delam, je povsem moja stvar, tudi pred mano je to urejal en sysadmin, ki dela na IJS, zastonj. Je pač tak tip podjetja, kjer produkta ni možno ravno najbolj prodati, je pa vseeno precej pomembno za prihodnost. Tako, da ne skrbeti, če bom jaz šel stran, nebo zdaj več €€€ za nekoga, bo pač nekdo drug to urejal gratis.

johnnyyy ::

Matthai je izjavil:

Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.

Zdaj izračunaj kakšni bodo stroški.

Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...

Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.

Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo :).

Saul Goodman ::

in ko enkrat vsaj prbližno zgleda IT pošlihtan, ugotoviš, da je čist vsak papak v firmi, ki ima dostop do elektronske pošte ali usb vhoda, velika in juicy tarča za niti ne tako sofisticiran phishing napad, ki ti isto pizdarijo spravi v lan po SE poti.

še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.

Unilseptij ::

johnnyyy je izjavil:

Matthai je izjavil:

Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.

Zdaj izračunaj kakšni bodo stroški.

Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...

Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.

Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo :).


Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.

tikitoki ::

Unilseptij je izjavil:

johnnyyy je izjavil:

Matthai je izjavil:

Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.

Zdaj izračunaj kakšni bodo stroški.

Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...

Kolega je delal v eni izmed naših večjih farmacevtskih podjetij, pa je večkrat povedal kako jim po remontu še nekaj tednov proizvodnja stoji, ker se je nekaj zaj**. Pa tudi pri posodobitvah SWja, se je večkrat zgodilo, da so za vikend posodabljali, potem v ponedeljek pa so bili samo eno uro v službi, ker sistemi niso delali in niso imeli nobenega postopka, da bi hitro prešli na staro delujočo verzijo.

Sam pravim, da imajo nekateri šalabajzerstvo v krvi in s tem živijo. Če bo proizvodnja stala 2 ali pa 3 dni pač ni problema, saj ITjevci pravijo da fizikalno ni možno sistema restorati v 3 dneh. In če to pravijo naši ITjevci potem bo že držalo :).


Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.


Se strinjam, za trzenje zdravil rabis imeti proizvodno dokumentacijo poslihtano, druagce lahko ob inspekciji jebes jeza

Markoff ::

Matthai je izjavil:

Ja, trajalo bo 2 dni, vmes bo pa stala proizvodnja.

Zdaj izračunaj kakšni bodo stroški.

Če pa contingency planan nimaš... bo pa trajalo več in stroški bodo višji. Vse skupaj bo dražje, kot bi bila priprava ustreznega odziva. Ampak - mi radi hazardiramo...

Še enkrat: "Če se pač pred tem že na področju FW/IDS/AV/izobraževanja uporabnikov ne izvede dovolj ukrepov." 100% varnosti pa žal ni, uporabniki pa niso vsi security-aware (kar nima nič skupnega z njihovo izobrazbo ali inteligenco, temveč z risk appetitom).

1-2 dni offline je za večino sistemov še sprejemljivo. Za organizacije, kjer RTO ne sme biti daljši od par 10 minut, so tudi (ali bi morala biti) vlaganja v preventivo toliko višja.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Markoff ::

Saul Goodman je izjavil:

in ko enkrat vsaj prbližno zgleda IT pošlihtan, ugotoviš, da je čist vsak papak v firmi, ki ima dostop do elektronske pošte ali usb vhoda, velika in juicy tarča za niti ne tako sofisticiran phishing napad, ki ti isto pizdarijo spravi v lan po SE poti.

še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.

Ja, ker tudi izobraževanja v šolah, avtošolah, preko nacionalnih akcij ipd. vse 100% delujejo. Ne se hecat, to je samo eden od ukrepov, ki pa ima svojo omejeno vrednost.

20 različnih varnostnih ukrepov (izobraževanje, FW, IDS, AV, BCP/DR, požarne vaje, ...), vsaj s 50% uporabnostjo / učinkovitostjo, ti da sistem, kjer bi bila lahko stopnja varnosti blizu 100%. Zanašati se na katerikoli posamičen ukrep pa je enakovreden samomoru z bombo iz zasede.

Unilseptij je izjavil:

Ni toliko problem sam restore, ampak izguba podatkov. Pri taki okužbi moraš restore narediti na čas pred okužbo in zato izgubiš del podatkov/sprememb shranjenih v vmesnem času. Zato moraš dobro premisliti, kaj se bo zgodilo, ko bo sistem spet vzpostavljen in ustrezno prilagoditi poslovni proces. In za take scenarije ponavadi nekih hudo podrobnih recovery procedur ni, ker je enostavno nemogoče predvideti vse možne scenarije/posledice okužbe/napada. Zato pač improvizirajo in to terja svoj čas, da ne zašuštrajo še bolj.

Ja, bi bil presenečen, kako malo organizacij ima narejen BIA in posledično opredeljene RTO/RPO parametre za posamezne podsisteme. Čista osnova za opredelitev potrebnih (in glede na parametre ekonomičnih) varnostnih ukrepov.

Ne vem, no, ali študente na FRI/FERI ne učijo NIČ informatike, samo programiranje?
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Zgodovina sprememb…

  • spremenilo: Markoff ()

MrStein ::

Misliš smer "informatika" ali smer "programska oprema" ? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AndrejO ::

Saul Goodman je izjavil:

in ko enkrat vsaj prbliĹžno zgleda IT pošlihtan, ugotoviš, da je čist vsak papak v firmi, ki ima dostop do elektronske pošte ali usb vhoda, velika in juicy tarča za niti ne tako sofisticiran phishing napad, ki ti isto pizdarijo spravi v lan po SE poti.

Če imaš problem s takšnimi "papki" in USB vhodi, potem IT še ni tako blizu "pošlihtanem".

Saul Goodman je izjavil:

Še vedno se dela obupno premal na ozaveščenosti zaposlenih. easy razumljivi treningi, podebiljene razlage kakšne so lahko posledice in kako prepoznat take grožnje v delovnem procesu.

Osebno se s tem ne strinjam.

Na "izobraževanju uporabnikov" se dela že 30 let in rezultat je še vedno mizeren. Če trdiš, da v teh 30 letih ni nihče pogruntal kako se to dela pravilno, tebi pa je to uspelo, potem najbolje, da nemudoma odpreš svetovalno podjetje. Plačan boš v enoti EUR/s, toliko boš imel povpraševanja za svojo ekspertizo.

Horejšio ::

Počasi pa bodo strokovnjaki v IT postali cenjena roba tudi v drugih sektorjih.

Mr.B ::

? o čem ti to. O unih domačih mojstrih, ki jih potem zapsoelijo v *** ker so zahetvali najmanj.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Horejšio ::

Ne to. Obratno. Podjetja vodijo večinoma ekonomisti, ki imajo običajno distanco do IT zaradi neznanja. Verjetno bo pa s časoma večini potegnilo, da rabijo več vlagat v IT strokovnjake za določeno področje. Vidim svetlo prihodnost za dober IT kader :)

Zgodovina sprememb…

  • spremenilo: Horejšio ()

#000000 ::

Mr.B je izjavil:

? o čem ti to. O unih domačih mojstrih, ki jih potem zapsoelijo v *** ker so zahetvali najmanj.



Sicer te zastopim, ampak ne morem mimo dejstva da bolnice v UK nimajo tistih kot si omenil domačih mojstrov, ampak prave IT stručkote, ki ali samo jajca praskajo (videno pri nas) ali pa pojma nimajo (videno pri nas) ali pa se im jebe ker oni so prišli samo v službo ne pa kaj dejansko narest (videno pri nas)

Se pravi če bi imeli največji pofl od kvazi domačih mojstrov, bi jih nemara te celo uspeli obranit !? najverjetneje celo res. FAK po taki IT ki tega ne predvidi :) sevede zdej so bo vsul plaz ITjevcev da oni nisi krivi ker uporabniki zajebajo, ja hm, dej jim naredi zadevo tako da to niti ne bo mogoče :) al pa če že da naredi minimalno škodo, ok pametujem ampak jebiga zmotila me je ta ho domaćim majstorima :)

LP

Mr.B ::

#000000,
priznam da če "v splošnem - reletivno" govorimo, se tudi v Slovenskem Javnem sektorju najdejo izjemen z ustreznim zanjem. Večini pa odvzameš zunanjo pomoč, so pač ribe na suhem.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

IT stručkoti....? Vsi mislijo, da vse znajo.

V medicini zobarju ne bo nikoli padlo na pamet, da se bo ponujal za porodničarja, razen v skrajni slili. V IT-ju pa so kar vsi eksperti za vse. Kako se boš potem čudil, da so stvari take kot so?

ABX ::

s1m0n je izjavil:

A je možno dobit ključ, ki ga je ta ransomware uporabil za kriptiranje in posredoval nazaj?
Torej, če logiraš ves mrežni promet not/ven?


Nope, kje je potem point enkripcije če lahko vsak dobi ključ :)
Podatki se kriptirajo z javnim delom ključa, to lahko ima bilo kdo. Odklenejo pa se samo z privat ključem ki ga ima posameznik.
Če si šalabajzer, potem zakleneš vse z enim ključem in ko dobiš privat ključ ga "posodiš". Če si PRO vsakega zakleneš z drugačnim javnim ključem.
Vaša inštalacija je uspešno spodletela!

mtosev ::

jaz sem leta 2010 vido, da še nekje uporabljajo win 98 lol
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3l, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

s1m0n ::

ABX je izjavil:

s1m0n je izjavil:

A je možno dobit ključ, ki ga je ta ransomware uporabil za kriptiranje in posredoval nazaj?
Torej, če logiraš ves mrežni promet not/ven?


Nope, kje je potem point enkripcije če lahko vsak dobi ključ :)
Podatki se kriptirajo z javnim delom ključa, to lahko ima bilo kdo. Odklenejo pa se samo z privat ključem ki ga ima posameznik.
Če si šalabajzer, potem zakleneš vse z enim ključem in ko dobiš privat ključ ga "posodiš". Če si PRO vsakega zakleneš z drugačnim javnim ključem.


Torej se ne pošlje ključ storilcem? Sledi pa izbrišejo na tvojem sistemu?
|4770K/H100i|ASUS Z87 Deluxe|16GB Vengeance Pro|
|840EVO 250GB|ASUS 1070 STRIX|Seasonic X|FD Define XL R2|

Zgodovina sprememb…

  • spremenil: s1m0n ()

Unilseptij ::

SeMiNeSanja je izjavil:

IT stručkoti....? Vsi mislijo, da vse znajo.

V medicini zobarju ne bo nikoli padlo na pamet, da se bo ponujal za porodničarja, razen v skrajni slili. V IT-ju pa so kar vsi eksperti za vse. Kako se boš potem čudil, da so stvari take kot so?


Se strinjam... to je definitivno danes problem. Enostavno je IT tako kompleksen, da iskanje splošnih "IT strokovnjakov", ki se ga gre večina organizacij, ne more rezultirati v neki dovolj pestri paleti znanj na dovolj visokem nivoju.

Drugi problem pa je splošen odnos do IT-ja kot še vedno neke podporne dejavnosti, s katero naj se ukvarjajo IT-jevci, ne pa management. Tako nekako, kot se pričakuje, da računovodstvo ali pa čiščenje poslovnih prostorov ponavadi ne zahteva neposredne vpletenosti management-a. Pri IT-ju je drugače, ampak današnji "high-profit low-cost" orientirani managerji (večinoma ekonomisti ali pravniki) tega ne morejo (niti niso sposobni) razumeti. Nekateri to rešujejo tako, da v uprave nastavljajo CIO-te, ampak ti ljudje so potem resnični reveži, ko morajo potem sedeti tam z ostalimi, ki nimajo pojma in morda kvečjemu lahko delajo nek "damage control", kaj dosti več pa ne.

SeMiNeSanja ::

Unilseptij je izjavil:


Drugi problem pa je splošen odnos do IT-ja kot še vedno neke podporne dejavnosti, s katero naj se ukvarjajo IT-jevci, ne pa management. Tako nekako, kot se pričakuje, da računovodstvo ali pa čiščenje poslovnih prostorov ponavadi ne zahteva neposredne vpletenosti management-a. Pri IT-ju je drugače, ampak današnji "high-profit low-cost" orientirani managerji (večinoma ekonomisti ali pravniki) tega ne morejo (niti niso sposobni) razumeti. Nekateri to rešujejo tako, da v uprave nastavljajo CIO-te, ampak ti ljudje so potem resnični reveži, ko morajo potem sedeti tam z ostalimi, ki nimajo pojma in morda kvečjemu lahko delajo nek "damage control", kaj dosti več pa ne.

Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje. Edino tako se bo premaknilo vodstvene delavce, da bodo razumeli, da se na tem področju ne velja hecat. Če je na drugih področjih (davki, varnost pri delu,...) kaznovan tudi poslovodni organ, potem ne vem, zakaj bi bili tukaj izvzeti.

AndrejO ::

SeMiNeSanja je izjavil:


Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje.

Nov ZVOP se ne bo "usklajeval" z GDPR, ker bo GDRP uredba in ne direktiva.

Prenos v nacionalno zakonodajo za uredbe ni potreben in tudi ne možen, ker se tovrstno zakonodajo EU aplicira neposredno.

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:


Lepo bi bilo, če bi novi zakon o varovanju osebnih podatkov, ko se bo usklajeval z GDPR, določil tudi konketne občutljive kazni za direktorja podjetja, ne pa zgolj za podjetje.

Nov ZVOP se ne bo "usklajeval" z GDPR, ker bo GDRP uredba in ne direktiva.

Prenos v nacionalno zakonodajo za uredbe ni potreben in tudi ne možen, ker se tovrstno zakonodajo EU aplicira neposredno.

Nisem pravnik in ne ločim razlike med uredbo in direktivo.
Ampak če citiram s spletne strani IP-RS:
Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.

Kdaj in kako bo potekala implementacija uredbe v našem pravnem redu še ni znano. Priporočamo vam, da spremljate našo spletno stran in spletno stran Ministrstva za pravosodje, ki je pristojno za pripravo predpisov na področju varstva osebnih podatkov.

...mi to ne gre skupaj s tem, kar si napisal.

Tudi ne razumem, kako nebi bilo možno uskladiti nacionalne zakonodaje. Uredba gor ali dol, če te bodo kaznovali, bo veljal slovenski zakon. Če ta ni usklajen z GDPR, še vedno velja, kot da GDPR pri nas ni v veljavi. Kršitelj bi jo odnesel z manjšo praskico ali še to ne. Komisija pa bi naložila Sloveniji nevem kakšno miljonsko kazen, ker uredbe ni implementirala do roka.

Ali pa vse skupaj narobe razumem.....?

AndrejO ::

SeMiNeSanja je izjavil:

Nisem pravnik in ne ločim razlike med uredbo in direktivo.


Kratko pojasnilo je tukaj.

SeMiNeSanja je izjavil:

Ampak če citiram s spletne strani IP-RS:
Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25.5.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.

Ta spletna stran, ki si jo samo pozabil povezati, govori o uredba 2016/679 (to je GDPR) in direktivi direktiva 2016/680 (ta ni GDPR, je pa z GDPR povezana).

Torej: uredba neposredno; direktiva se prenese v nacionalno zakonodajo.

SeMiNeSanja je izjavil:

Kdaj in kako bo potekala implementacija uredbe v našem pravnem redu še ni znano.

Verjetno so malo zabluzili, ker v isti novički govorijo o eni uredbi in eni direktivi. Uredbe se resnično ne implementira v nacionalnem pravnem redu, temveč se jih uporablja neposredno.

SeMiNeSanja je izjavil:

...mi to ne gre skupaj s tem, kar si napisal.

Čisto verjamem, ampak to se da razčistiti ...

SeMiNeSanja je izjavil:

Tudi ne razumem, kako nebi bilo možno uskladiti nacionalne zakonodaje. Uredba gor ali dol, če te bodo kaznovali, bo veljal slovenski zakon. Če ta ni usklajen z GDPR, še vedno velja, kot da GDPR pri nas ni v veljavi.

Zakonodaja EU je nad nacionalno zakonodajo. Seveda je potrebno uskladiti nacionalno zakonodajo, da se ne bo po nepotrebnem zapravljalo časa na sodiščih, ampak uredba se aplicira neposredno, predstavlja veljaven zakon in kot takšnemu mu morajo slovenska sodišča slediti.

Primer kako GDPR "povozi" slovenski ZVOP je preprosto ta, da GDPR velja, ZVOP pa v tistih delih, kjer je v nasprotju z GDPR več ne velja. Tako bo npr. možno izreči globe do 20,000.000 EUR po GDPR in pritožba na podlagi napačne uporabe materialne prava, ker naj bi bil uporabljen ZVOP, ki takšne globe ne predvideva, bo gladko padla.

Primer kompliciranja bi bil npr. plačilo "polovičke". Slovenski zakon o prekrških pa omogoča plačilo polovičke, ki ni v direktivi nikjer omenjeno. To je recimo vprašanje, ki ga bo moralo reševati sodišče, ker potencialno obstaja konflikt med tem, kar določa GDPR in tem, kar dopušča ZP.

Primer nekompliciranja je izterjava izrečene globe. GDPR se s tem ne ukvarja in za izterjavo glob se uporabijo ostali mehanizmi, ki jih predvideva nacionalna zakonodaja.

SeMiNeSanja je izjavil:

Kršitelj bi jo odnesel z manjšo praskico ali še to ne. Komisija pa bi naložila Sloveniji nevem kakšno miljonsko kazen, ker uredbe ni implementirala do roka.

Can't happen. Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.

SeMiNeSanja je izjavil:

Ali pa vse skupaj narobe razumem.....?

Edina točka nerazumevanja je to, da se GDPR kot uredbe ne prenaša v nacionalno zakonodajo, temveč velja neposredno. GDPR državam članicam dopušča nekaj fleksibilnosti, vendar ne v delu, ki se tiče malomarnega ravnanja z osebnimi podatki (npr. izguba osebnih podatkov zaradi opustitve dolžnega ravnanja, prikrivanje izgube osebnih podatkov, ...).

Zgodovina sprememb…

  • spremenil: AndrejO ()

aycabron ::

dronyx je izjavil:



vir

:)


Upam da se šališ kr ta "vir" je res weak.

> cyber gang with possible links to Russia
> Some experts believe
> It is believed
> Snowden tweeted that “circumstantial evidence and conventional wisdom indicates Russian responsibility”.




Folk k klika na vse kar dobijo v mail-ih pa ne bi smel met dostopa do računalnikov.

dronyx ::

dronyx je izjavil:

Se bo treba na hitro odklopit iz interneta. Jutri grem pa časopis kupit da vidim kaj je novega. Upam da ni imel spet Kim Jong Un slabega dneva...

Sum padel na Severno Korejo. Če je to res jim virusi nesejo dlje kot pa balistične rakete.

SeMiNeSanja ::

AndrejO je izjavil:

Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.

Točno tu pa bo nastal največji problem. Če bodo kazni takšne kot so zdaj, je škoda, da o GDPR sploh razpravljamo, saj ne bo prinesel nobene spremembe na bolje.

Kazni bi morale biti zasoljene, 'katalog' ali če temu rečemo 'prekrškovni cenik', pa čim prej objavljen. Potem pa bi vsak začel malo bolj resno kalkulirati, ali se mu splača investirat v kakšen varnostni pregled in začet pospravljat okostnjake po omarah.

Zgodovina sprememb…

AndrejO ::

SeMiNeSanja je izjavil:

AndrejO je izjavil:

Kar se lahko zgodi pa je to, da se nadzornik (to je v Sloveniji IP-RS) odloči, da bo globa minimalna ali pa bo zahteval samo odpravo pomankljivosti, če bo ocenil, da je takšen ukrep sorazmeren kršitvi.

Točno tu pa bo nastal največji problem. Če bodo kazni takšne kot so zdaj, je škoda, da o GDPR sploh razpravljamo, saj ne bo prinesel nobene spremembe na bolje.

Kazni bi morale biti zasoljene, 'katalog' ali če temu rečemo 'prekrškovni cenik', pa čim prej objavljen. Potem pa bi vsak začel malo bolj resno kalkulirati, ali se mu splača investirat v kakšen varnostni pregled in začet pospravljat okostnjake po omarah.

Ne vem, kaj še vedno lapaš. "Cenik" je že nekaj časa uzakonjen. Kazni so do 20,000.000 EUR ali do 4% letnega globalnega prometa, pri čemer velja, da je zgornja meja višji od teh dveh zneskov. Veljati začne čez cca. leto dni. Gl. 83. čl. EU 2016/679.

Kar sem napisal je zgolj to, da ima nadzorni organ (v Sloveniji je to IP-RS) pravico določiti primerno kazen v tem razponu ob upoštevanju določbe, da morajo biti globe učinkovite, sorazmerne in odvračilne.

Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.

SeMiNeSanja ::

AndrejO je izjavil:

Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.

Menda ja ne misliš resno, da bo IP RS kateremukoli Slovenskemu podjetju naložil kazen 20 mio EUR. Tudi pol tolikšno ne bo. Prej bi špekuliral o 10.000 EUR kot najvišji kazni, ki jo bo kdaj v praksi izrekel.

Ja, teoretično gre do 20M oz. 4% (karkoli znaša več) - ampak to je teorija. Koliko pa je podjetij, ki so v Sloveniji sposobna plačati tak znesek? Predstavljaj si, da bi pol te kazni nabili AJPESu - bomo potem kar ostali brez njega? Ali pa UKC. Koliko operacij in novih aperatur bi odpadlo?

Že res, da bi šel v zgornjem primeru denar iz levega v desni žep, a vseeno.

Po drugi strani, kakšen smisel ima nabiti kazen 1M EUR podjetju, ki je že tako globoko v rdečih številkah in jo takointako ne bo nikdar poravnalo?

Je že tako, da mora kazen biti občutna - vendar tudi izterljiva in vzgojna.
Koliko je vzgojna, če gre denar z levega v desni žep, pa ne vem.
Morda je vzgojna, če sosedu podjetje propade, ker je bil kaznovan. Sicer ne zanj, ampak zame, da bom pazil, da se ne bo isto zgodilo meni. Ampak istočasno pa nebi smelo biti namen, da se na ta račun uničuje delovna mesta.

Skratka zadeve niso tako preproste, zato bo potreben nekakšen 'cenik', da boš sploh vedel, kaj te čaka in koliko moraš zadevo resno jemat, če sploh (zgolj opozorilo kaj dosti ne boli...).

AndrejO ::

SeMiNeSanja je izjavil:

AndrejO je izjavil:

Sedaj pa ... če misliš, da 20 mio EUR ali pa 4% letnega prometa (kar je več) ni dovolj "zasoljeno", potem ti ne morem pomagati. Brihtne glave so pač potrdile takšen cenik.

Menda ja ne misliš resno, da bo IP RS kateremukoli Slovenskemu podjetju naložil kazen 20 mio EUR. Tudi pol tolikšno ne bo. Prej bi špekuliral o 10.000 EUR kot najvišji kazni, ki jo bo kdaj v praksi izrekel.

Zgrešil si za magnitudo. L. 2009 je že v okviru obstoječe zakonodaje IP-RS naložil plačilo 102.000 EUR enotne globe.

Sedaj bo to lažje izvedljivo.

SeMiNeSanja je izjavil:

Skratka zadeve niso tako preproste, zato bo potreben nekakšen 'cenik', da boš sploh vedel, kaj te čaka in koliko moraš zadevo resno jemat, če sploh (zgolj opozorilo kaj dosti ne boli...).

Cenik je že uzakonjen v EU 2016/679. TL;DR: Če ga sereješ, bo bolelo. Receptura določanja globe je notri tudi precej natančno določena.

To, da lahko na takšen način kakšno podjetje mimogrede tudi ubiješ, je predvidena stranska posledica in drznem si trditi, da "kuponko" dreka ne bo nihče pogrešal, če kakšna izrečena globa to podjetje končno enkrat ubije (ako ga še ni).

Če bi pa ti sedaj rad nek "cenik" tipa, "malo spamanja: 10k EUR; mao več spamanja 20k EUR; ..." in podobne flance, pa to žal ne bo šlo tako. Kot velja za umor, da bo sodnik pretehtal vsa dejstva in okoliščine, ko bo izbiral kazen med 5 in 25 let, bo še naprej veljalo, da bo inšpektor v postopku pretehtal vsa dejstva in okoliščine, ko bo izbiral kazen v razponu do 20mio oziroma 4%.

Mr.B ::

In zakaj naj nebi bila kazen tako visoka, da lahko pokoplje podjetje ? Verjetno bi tistih 10k€, bilo manj, kot tisto podjetje porabi letno za nabavo pijaöe, hrene in ostale zabave... Koliko je takih stvari v Sloveniji, da se na koncu res splaöa malo goljufati ker dejansko ne bo nobene resne posledice.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

AndrejO ::

Vprašaj tistega, ki se mu ne sanja.

Mene tudi ne moti, da se bi izreklo globo, ki bi podjetje pokopala, če je podjetje s svojim (ne)delom ustvarilo dovolj škode.

SeMiNeSanja ::

AndrejO je izjavil:

Vprašaj tistega, ki se mu ne sanja.

Mene tudi ne moti, da se bi izreklo globo, ki bi podjetje pokopala, če je podjetje s svojim (ne)delom ustvarilo dovolj škode.

Ne me razumeti narobe. Vsekakor se tudi jaz strinjam, da zagotovo obstajajo podjetja, za katera bi lahko rekel, da delajo skrajno malomarno z osebnimi podatki in ne bo škode (oz. je bo manj), če izginejo s površja zemlje. Tako usmiljen pa res nisem do malomarnežev.

Ampak stvari se prično že pri pometanju pod preprogo. 8 okužb z wannacry v celi Sloveniji? Resno?

Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.
Na drugi strani tehtnice pa imaš vprašanje, kolikšna bo kazen, če po prijavi pride inšpektor v hišo in ugotovi, da del odgovornosti za okužbo nosiš tudi sam.

Kaj se bo bolj splačalo? Pometanje ali priznavanje?

V splošnem kontekstu zavedanja o grožnjah obsojam vse, ki že danes ne prijavijo okužbe vsaj na SI-CERT, da bi se dobilo neko kolikor tolikor realno sliko razsežnosti. Vem, da se vidi zgolj vrh ledene gore - nihče pa tudi približno ne zna oceniti, kolko se je še skriva pod gladino.
Tako se ljudje nekaj tolažijo s tisto osmerico kvazi 'butcev', ki so nasedli ribarjenju in si mislijo, da so sami kaj dosti bolj pametni, pa da ni potrebe, da bi zdaj panično šli preverjat, če res ni česa, kar bi lahko izboljšali, da ne bomo jutri tudi sami prizadeti.
Zadeva pa res ne more biti tako grozna, če je v vesoljni Sloveniji prizadela vsega 8 žrtev, pa še to večinoma posameznike, ne pa podjetja, mar ne?

In tako bo vse ostalo po starem. Peščica 'zavednih' paničarjev bo preverila, če so patchi naloženi, morda še backup procedure. Tu pa se bo zadeva potem tudi ustavila. Zakaj pa bi si delal nepotrebno delo, če zadeva takointako ni tako grozna?

Horejšio ::

Teh pečov sploh ne bi bilo, če nebi NSA spizdili kode in jo uporabili na "odmeven" način :)

AndrejO ::

SeMiNeSanja je izjavil:

Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.

Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.

Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:

Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.

Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.

Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?

Kako ni izgube osebnih podatkov, če so zakriptirani in ne moreš do njih? Izguba ni vedno zgolj leakanje - vsaj za mene ne.

Izsiljevanje je (predvidevam) kaznivo dejanje po celem svetu. Zdaj res ne vem, ali si dožen prijaviti kaznivo dejanje, oz. če te lahko kdo k temu prisili - ampak zagotovo si neumen, če to ne storiš.
Kar se pa na splošno tiče incidentov v IT, pa mislim, da v UK v sklopu compliance-a kar moraš zadeve prijaviti vsaj v zdravstvu. Predvidevam, da tudi bančništvo in borzne dejavnosti niso izjema?

Male ribe pa potem res mogoče pod radarjem plavajo - ampak ravno tam se dogaja največji masaker. Že res, da je največji medijski trušč okoli velikih podjetij, ko se jim zgodi štala ampak ravno to nesorazmerje v statistiki ta male ribe prepričuje, da oni pa itak niso zanimivi, njim se pa že ne more kaj dosti zgoditi. Ko jih pa zadane, so pa ta prvi, ki naokrog sprašujejo, kako se kupi Bitcoine....

SeMiNeSanja ::

Glede na to, da je wannacrypt že presneto dobro raziskan, da se točno ve, katere datoteke ustvarja na računalnikih (ki očitno niti nimajo nekih random imen), me zanima, če je že kdo poskusil, kaj se zgodi, če sami na te lokacije pasiramo neke svoje datoteke z imeni, ki jih uporablja ta črv in naredimo tako datoteke, kot direktorij read-only ali celo hidden.

Me prav zanima, če bi zadeva počepnila že v štartu...

Horejšio ::

OK

Zgodovina sprememb…

  • spremenilo: Horejšio ()

AndrejO ::

SeMiNeSanja je izjavil:

AndrejO je izjavil:

SeMiNeSanja je izjavil:

Pa se že tu začnemo lahko spraševati, kolikšna bo kazen, če ne boš prijavil, da te je tak virus prizadel.

Glede na to, da v tem primeru ni govora o izgubi osebnih podatkov, GDPR does not apply. Brez vsaj prekrška pa tudi kazni ne more biti.

Obveznega razkrivanja vseh varnostnih incidentov, pa zaenkrat na ravni EU še ni. Imaš morda kakšne druge primere iz prakse, kjer je to že uzakonjeno? Morebiti kar iz držav članic EU?

Kako ni izgube osebnih podatkov, če so zakriptirani in ne moreš do njih? Izguba ni vedno zgolj leakanje - vsaj za mene ne.

Ni izgube v smislu, da bi v osebne podatke vpogledal nekdo, ki do tega ni upravičen, kar je domena GDPR. To, da podjetje crkne, ker jim je strela ali pa WannaCry uničil vse podatke, se GDPR ne tiče.

Še več. Če so bili odtujeni podatki ustrezno šifrirani (npr. izgubil se je šifriran USB ključek), potem po GDPR lastnikov teh osebnih podatkiv ni potrebno posebej obveščati.

SeMiNeSanja je izjavil:

Izsiljevanje je (predvidevam) kaznivo dejanje po celem svetu. Zdaj res ne vem, ali si dožen prijaviti kaznivo dejanje, oz. če te lahko kdo k temu prisili - ampak zagotovo si neumen, če to ne storiš.

Ne rabiš. Kjer ni tožnika, tudi ni sodnika.

SeMiNeSanja je izjavil:

Kar se pa na splošno tiče incidentov v IT, pa mislim, da v UK v sklopu compliance-a kar moraš zadeve prijaviti vsaj v zdravstvu. Predvidevam, da tudi bančništvo in borzne dejavnosti niso izjema?

Ha, imaš prav! Malo sem šel pobrskati in l. 2016 je bila res sprejeta direktiva EU 2016/1148, ki državam nalaga, da sprejmejo zakonodajo na področju t.i. "kibernetske varnosti" kritične infrastrukture. Ostali bodo lahko incidente prijavljali prostovoljno.

Ker je to direktiva, jo bo potrebno prevesti v nacionalno zakonodajo do 9. maja 2018.

In ja, globe za kršitve bo določala država članica sama.

SeMiNeSanja je izjavil:

Male ribe pa potem res mogoče pod radarjem plavajo - ampak ravno tam se dogaja največji masaker. Že res, da je največji medijski trušč okoli velikih podjetij, ko se jim zgodi štala ampak ravno to nesorazmerje v statistiki ta male ribe prepričuje, da oni pa itak niso zanimivi, njim se pa že ne more kaj dosti zgoditi. Ko jih pa zadane, so pa ta prvi, ki naokrog sprašujejo, kako se kupi Bitcoine....

Ah, jebiga. Veš, na drugi strani pa ... če ni govora o kritični infrastrukturi ali pa osebnih podatkih, ali je resnično potrebno dodajati še več birokracije? Na neki točki pa "mama država" resnično več ne more ujčkati vseh tistih, ki sami niso sposobni poskrbeti za svoje lastno premoženje.

SeMiNeSanja ::

@AndejO - Mene jezi, da je zavednost o tem, kaj pravzaprav pomeni 'varovanje osebnih podatkov' tako nizko, da mi banka v plain mailu pošilja izpiske kreditne kartice na gmail, računovodja plačilne liste in virmane po plain mailu,.....

....vsi pa so prepričani, da vzorno skrbijo za varovanje osebnih podatkov.

Kot da se varovanje začne pri nekih kištah za tisoče EUR. Začne se pri tem, da sploh začneš malo z glavo razmišljat :|

Kar je potem še dodatno žalostno, pa je to, da če že kupijo kišto za tisoče EUR, kar mislijo, da so s tem že vse nredili.

Zgodovina sprememb…

1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
15425562 (13583) SeMiNeSanja
»

Univerza v Calgaryju izsiljevalcem plačala 14.000 evrov

Oddelek: Novice / Varnost
214810 (3381) zebra2
»

Losangeleška bolnišnica plačala odkupnino zaradi hekerskega napada

Oddelek: Novice / Kriptovalute
357867 (5605) noraguta
»

Hekerski napadi povzročajo tudi fizično škodo na infrastrukturi

Oddelek: Novice / Varnost
65413 (4028) Jarno
»

Kitajski vojaški hekerji napadajo ZDA?

Oddelek: Novice / Varnost
296016 (4594) Azrael

Več podobnih tem