Az NKI is megírta: [link]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Volt. Mondjuk nem ennyire széleskörű.

[ Szerkesztve ]

Buliban hasznos! =]

Simán lehet realitása. Persze nem valószínű, inkább célgépeknél jellemző még az XP (vagy a Windows 3.1).

Pár hete láttam egy cikket arról, hogy a német vasúthoz valami ősrégi Windows verzió ismeretével rendelkező szakit kerestek. Állítólag még mindig olyan régi szoftvereket használnak ők is az irányításhoz.

[ Szerkesztve ]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Technikai korlatja amugy nem lenne, de uzletileg nem eri meg. 1 szazalek alatti a Windows XP market share es ha ezt szeretnek targetelni, akkor nem hasznalhatnak modern C++-t, mert nincs hozza visszafele kompatibilis compiler, modern kripto algoritmusokat sem mert nem tamogatja az operacios rendszer, ugyhogy eleg gatya a developer experience.

Persze, ha a cyberwarfare a cel illetve a kritikus infrastruktura megbenitasa, akkor megoldhato a dolog, de ott meg szerencsere nem tartunk.

Cloud threat landscape

https://www.coreinfinity.tech

Mostanában ez nagyon divat a Facebookon.

Vajon mennyien esnek bele a csapdába?

Láttál már használt légypapírt?... kb..

// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //

Mondjuk ezzel pont nem értek egyet.
Sajnos ismerek olyan helyet ahol 200+ az XP gépek száma és azon dolgoznak.

A patch kedd meg nem kifogás, erre találták ki a patch management rendszert ahol ütemezetten lehet frissíteni. Frissíteni meg ugye csak tesztelés után frissít a rendszer.
Az a baj, hogy sok esetben a lustaság győz a rendszergazdáknál mert egyszerűbb nem csinálni semmi vagy szidni a Microsoft-ot, mint letesztelni a kijött frissítést, hogy az mit fog okozni az adott környezetben. (Igen van szakember hiány is elismerem, de sokszor a lustaság inkább ami a problémát okozza.)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Átolvastam, úgy nagyjából.
Nem csak a 41/2015 utódja, hanem a NIS2 bevezetése is.

Első olvasatra jobbnak tűnik mint a 41/2015. Nekem érthetőbbnek tűnik, kevesebb benne a "vajon mire gondolt a szerző" rész, de azért így is akad még.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

110 millás adatvédelmi bírságot kapott az E-Kréta fejlesztője: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Pár ilyen nem egyértelmű pontot citálhatnál, aztán elelmélkedünk rajta...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ok.
Mit jelent a nagy mennyiségű adat sérülés. (2.2. Biztonsági osztályok fejezet)

A 2. melléklet, 1. Program menedzsment "fejezet", 7 pontja: 1.6 Biztonsági teljesítmény mérése. Ezt mi alapján gondolta? Mit kellene "mérni"? (Az más tészta, hogy a "mérés" kifejezéstől egy ilyen elvont dolog esetén a falra mászok.)

Illetve sok helyen van a tervezetbe olyan előírás ami nem kötelező (kiegészítő védelmi intézkedés), de általában ezek úgy kezdődnek, hogy van egy kötelező előírás amit teljesíteni kell. És ha azt teljesíteni akarod akkor viszont már az összes kiegészítő védelmi intézkedést is figyelembe kell venned, meg kell felelni neki. Tehát mi értelme van kiegészítőnek venni bizonyos előírást ha az alapvető megfeleléshez a kiegészítőnek is meg kell felelni.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

A "nagy mennyiségű (személyes) adat)" kifejezést szvsz a GDPR hozta be, de természesen ott sem definiálták, hogy mennyi az annyi... Általában legalább 50 db személyes adatot értenek alatta,pl. :
https://centraleuropeanacademy.hu/wp-content/uploads/2023/06/Adatvedelmi-szabalyzat.pdf

Persze ha 5 embernek van fejenként 10 db személyes adata tárolva, már az is eléri az 50 db-ot, és ennyi szinte mindenhol van, így inkább a minimum 50 db adatrekord lehet irányadó. Ez mondjuk a jogászkodás rész, nem szakmai kérdés.

Biztonsági teljesítmény mérésén KPI-okat szoktak érteni, ami kábé bármi lehet. Hány százalékban vettek részt a dolgozók a biztonsági oktatáson, az incidensek hány százaléka nem lett elhárítva X napon belül stb.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A nagy mennyiség a 41/2015-ben is benne van. Az eddig Hatóság részére beküldött anyagok alapján a 10 000 db bejegyzés / év felett jelezte a hatóság, hogy azt már inkább nagy mennyiségnek minősül.

"Biztonsági teljesítmény mérésén KPI-okat szoktak érteni, ami kábé bármi lehet."
És a "bármire" írj szabályzatot.
Biztonsági teljesítmény mérése szabályzat valószínűleg a Biztonság elemzési szabályzathoz hasonlít. (Hogy Biztonság elemzési szabályzat is mekkora egy baromság.)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

És a "bármire" írj szabályzatot.

Az ISO 27001 sem írja elő konkrétan, hogy milyen kontrollokat alkalmazz. Jön az auditor, megkérdi hogy mondjuk hogyan akadályozod meg az illetéktelen belépést a szerverterembe, és mondhatod azt is, hogy két szuronyos katona áll az ajtó előtt 7/24-ben, kártyás beléptetés van, vagy akár hogy kulccsal zárod az ajtót, ami le van adva a portaszolgálaton, és nyilvántartják hogy ki mikor veszi fel.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ha idézem, akkor ez nem teljesen azt jelenti, amit írtál:

"Nagy mennyiségű személyes adat: az érintettek nagy száma, a kezelt adatok mennyisége vagy adatfajták köre, az adatkezelés időtartama, földrajzi kiterjedése alapján meghatározott adatmennyiség, de legalább 50 db személyes adat."

Attól, hogy van 50 személyes adatod szerintem még nem lesz nagy mennyiségű. Valahol egyébként definiálták, de lövésem sincs hol, csak emlékszem, hogy láttam az ilyen adatmennyiségekről egyszer táblázatot. Azóta is azt keresem. :S

Buliban hasznos! =]

Ezt a 10.000db már inkább tűnik reálisnak.

Buliban hasznos! =]

Osszehasonlitaskeppen, nalunk 5000+ szemelyes adat rekord minosul "nagy menyisegu"-nek.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

A fo problema, hogy arra is KPI-okat hasznalnak, amire KRI-okat kellene.

https://www.coreinfinity.tech

Konkrétan nincs leírva hogyan védd fizikailag az eszközöket, de az igen, milyen előírásokat vegyél figyelembe a védelem során.
(Fizikai határokat kell kijelölni, csak megfelelő jogosultsággal lehet belépni, környezeti fenyegetések elleni védelmet kell alkalmazni stb.)

Maradva a példánál, ha csak ennyi lenne az ISO-ban, hogy "gondoskodni kell az eszközök fizikai védelméről" akkor ez a "nesze semmi fogd meg jól" kategória, ugyanúgy mint a "bármire" írj szabályzatot fentebb.

#2227 sh4d0w: nekem inkább az a bajom, hogy ugyanazt a rendszert 5 módon kell elemezni, aminek nagyon hasonló az eredménye. (OVI tábla, kockázatelemzés, biztonsági elemzés, biztonság mérés, GAP elemzés) Az egyetlen jó dolog benne, hogy egy jól befüggvényezett Excel táblával 1 audittal 3 elemzés is elkészül automatikusan. A másik kettőbe meg csak át kell másolni az infókat.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Vannak Magyarorszagon MSSP-k?

https://www.coreinfinity.tech

Hogyne lennének, sőt: HKSZ-CSPSZV és VPCSP is akad...
Amúgy kérdés, hogy miképp definiálod a fogalmat. Négyig-től kezdve, több kisebb cégen át hirdetik magukat ilyesmivel.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

És akkor a gyártói MDR-t kínáló cégekről nem is beszéltünk, akik szintén sok esetben MSSP-nek vannak definiálva.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Most olvasom alaposabban a cikket.

A határozatból kiderül, hogy a fejlesztőcég megbízott egy meg nem nevezett „külső állami tulajdonú vállalkozót”, hogy derítse fel a lopott adatok terjesztésére, árulására gyakran használt dark webet, hogy felkerültek-e oda a KRÉTA felhasználóinak adatai.

Vajh' ki lehetett ez a cég, és mit találhattak?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Miért erőlködik valaki proxy szerverrel, ha nem tudja rendesen beüzemelni?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Rendkívüli: kifosztották a Pepcót a magyar hekkerek, milliárdok tűntek el a cég számlájáról - Economx.hu

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Részletekre kíváncsi leszek, ez még sajna nem sok infó.

Ennél sokkal több nem biztos hogy ki fog derülni.
Adathalász támadásról írtak, erre látatlanban fogadni mertem volna (a hasonló incidensek kábé 101%-a vezethető vissza valamilyen social engineering, esetleg supply chain támadásra, a harmadik lehetőség a patchelési hiányosságból eredő sérülékenység kihasználása, esetleg még zsaroló vírus játszhat).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ez oké, de hogyan rántanak le több milliárdot egy adathalász támadással? Itt azért a bank is hibázott valószínűleg.

Buliban hasznos! =]

Biztos, hogy egyszerre emeltek le? En nem hiszem, mert ekkora lovenal biztosan van 1-2 lepcso beepitve, ami magasabb szintrol is megerositest kivan.

https://www.coreinfinity.tech

Gondolom sosem tudjuk meg, mert nem akarnak ötleteket adni másoknak is. Vagy hát ez is kétélű dolog, mert mások jobban fel tudnak készülni ilyen jellegű támadásokra, de a támadók is tanulhatnak belőle.

[ Szerkesztve ]

Buliban hasznos! =]

Akkor a sok parallel utasítás nem generál alertet?

https://www.coreinfinity.tech

Nemhogy a Pepco részvényekből de a Pepcoban sem vásárolok.

Szerintem ekkora penzmennyisegnel nem nagyon lehet annyi utalast csinalni, ami nem general alertet. Szerintem itt is volt AML alert a penzintezet oldalan.

Viszont itt ugye akkora penzmennyisegrol van szo, amihez 31 kulon utalas kell, meg akkor is ha minden utalas 500 ezer EUR. Nagyon fura, hogy nem fogtak meg par tranzakcio utan. Brutalis sztori.