Új hozzászólás Aktív témák
-
nagyúr
-
nem osztom az álláspontodat.
Magyarországon minden cégnek kötelessége volt biztonsági osztályba sorolást elvégezni, erről van törvény.
ha a biztonsági osztályba sorolás eredménye alapján vannak kockázatok, akkor nem csak a gdpr, hanem az "ötvenes" törvényt is magadra kell húznod. Ennek vannak végrehajtási rendeletei, amelyekben már egészen konkrét elvárások vannak. Jó eséllyel ezeknek a rendeleteknek egy jelentős részét megsértették, ez jogalap a büntetésre.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
aktív tag
"Ok, de miért az adatbázist szedték le? Miért nem elég a teljes forráskód. Kb tized annyi idő alatt lejött volna, és a kár valamint a hatás kb ugyanaz.
Ennyi erővel leszedhették volna a belső hálózaton a bérszámfejtés adatit is."Közzéteszik, a Kréta látja, hogy hehe, nem vitték el az adatbázist aztán verhetik a mellüket, hogy igen igen, volt itt egy pár bibi, de az adatokat természetesen a legkiválóbb szakembereink sikeresen megvédték a galád inkompetens hackerektől. Őszintén a belső leveleik alapján ezt a forgatókönyvet én tökéletesen el tudom képzelni. A vége pedig az lenne, hogy pár a névtelenség mögé rejtőző ember vs a kormány propagandagépezete.
Na ezért volt értelme ellopni az adatbázist, szerintem. Azt egy szóval sem mondom, hogy jól tették és hajrá, lopják el mindenünket mielőtt valaki beleköt
-
aktív tag
Igen, na, de erre nem tudnának ugyanúgy reagálni a Krétások és a kormánymédia, hogy haha, jól megvédtük az adatokat, csak a forráskódot vihették el?
Igen, valóban lesz egy képernyőképük és azzal mire mennek? Média: Nana, az hamis. Mégha ott is lesz pár fájlnév esetleg pár eKréta alkalmazottjának neve akik módosították a fájlokat, ugyanúgy mondhatják, hogy "Nana, az hamis", miután befoltozták a lyukakat a rendszerükben.
-
a 2012. évi CLXVI. törvény szerint meg kell nézni a létfontosságú rendszerelemmé történő kijelölést, ami egyenértékű egy biztonsági osztályba sorolással. Ez nagyjából minden cégre kötelező, amelyik adatot kezel (pontos definíció van a törvényben az ágazati kritériumoknál).
Amennyiben ezen törvény szerint kritikus dolgok történnek az adott rendszerben (a krétában miért is ne történne), akkor olyan szabályokat kell megtartani a cégnek, ami gyakorlatilag megegyezik az ötvenes előírásaival.nekem is meg kellett csinálnom az lrtv szerinti kockázatelemzést, pedig ránk nem vonatkozik az ibtv. a kockázatelemzés vége gyakorlatilag a biztonsági osztályba való besorolás elvégzése lett.
másik hsz-ben: "Attól, hogy a GDPR vonatkozik valakire, még nem kell az IBTV-nek megfelelnie.": nem volt ilyen állítás. olyan állítást tettem, hogy aki az lrtv szerint kockázatos, annak a gdpr mellett az ibtv-nek is meg kell felelnie.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ha normálisan csinálták volna a krétát, akkor bizonyos szintű támadásnak képes lett volna ellenállni. de mivel a krétával is bajok vannak, így ez az ellenálló képessége a kívánatosnál és a jelenleg műszakilag lehetséges szintnél alacsonyabb volt, ezért tudták kis erőfeszítéssel felnyomni.
ez elég egyértelműen gdpr sértés, mert azt le lehet vonni belőle, hogy a cég nem tett meg mindent annak érdekében, hogy a rendszernek legyen megfelelő önvédelmi képessége.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ddekany
veterán
Ez afféle politikai indíttatású akicónak tűnik, tehát fontos, hogy minél inkább üssön a laikus közönség szemében. Ehhez nyilván az is kell, hogy közérthető legyen, mit csináltak.
Persze ilyen okból lehettek volna sokkal brutálisabbak is, csak akkor gerilla harcos helyett közellenségek lennének kb. mindenki szemében. Szóval valószínűleg ez az optimális szint, hogy tényleg elvisznek mindent, de aztán nem adják ki, meg nem vandálkodnak.
Amúgy, még a kikerülő belső beszélgetések lesznek tán mókásak...
[ Szerkesztve ]
-
gyugyo79
addikt
Nem értem, vagyis igen.
Nem feltörték mert:
Trójait küldtek be amit egy "tudós" futtatott. = Nem feltörték. Végül is ez a lényegA Krétát nem törték fel mert oda már a "tudósnak" joga volt belépni így azt nem is kellet. Ami amúgy rendben van hisz ők csinálták/ csinálják miért ne férnének hozzá mindenhez is. = Nem feltörték. Végül is ez a lényeg
Nemsokára már igazából egy beépített ember engedte be a Soros/Gyurcsány/Szabadon választható bárkit. A kiszivárgott belső kommunikáció dezinformáció és meg sem történ az áruló műve az egész, a jók amint megtudták, hogy mi történt mindent úgy csináltak ahogy kellet nincs itt semmi látnivaló lehet tovább ballagni ....
-
"Rád azért vonatkozik az IBTV": rám nem vonatkozik az ibtv.
rám az lrtv vonatkozik, amely alapján kockázatelemzést kellett csinálnom, ami alapján kiderült, hogy nem vagyok létfontosságú rendszerelem, ezért nem vonatkozik rám az ibtv."Nem értem a GDPR részt.": látom. az eredeti hsz-ben nem volt semmi olyasmi, amit te itt kerülgetsz. az eredeti hsz arról szólt, hogy a gdpr vonatkozik mindenkire, és emellett jó eséllyel a krétára az ibtv IS vonatkozik, mivel az lrtv-ben leírtak ezt mondják.
még egy ok, ami félreértésre adhat lehetőséget: hivatalosan nem kell kockázatelemzést csinálnod az lrtv-hez. gyakorlatilag ahhoz, hogy meghozd az lrtv-ben elvárt döntést, mégiscsak kell egy rendes kockázatelemzést végezni.
tehát a történet úgy zajlott, hogy egy rakás cégnek el kellett végeznie a saját elemzését arról, hogy ő létfontosságú rendszerelem-e. ehhez hivatalosan nem kellett kockázatelemzést végeznie, de az elemzés gyakorlatilag pont úgy nézett ki, mint egy rendes kockázatelemzés. Ezek után a cég írt egy jelentést arról, hogy szerinte milyen eredményt hozott a "kockázatelemzése". azt beküldte az illetékes hatóságnak, és a hatóság elfogadta vagy felülbírálta azt. én beküldtem, hogy nem vagyok lr, nem kaptam kifogást, tehát rám nem vonatkozik az ibtv. Mivel nekem meg kellett csinálnom ezt az egész hercehurcát, ebből én azt extrapolálom (nevezheted találgatásnak, de szerintem megalapozott találgatás), hogy a krétásoknak is meg kellett csinálniuk a saját elemzésüket. Biztos vagyok benne, hogyha korrekten csinálták, akkor náluk az derült ki, hogy ők létfontosságú rendszerelemek, ezzel magukra húzták az ibtv-t (amiben igazad van, hogy valószínűleg már egyébként is rajtuk volt, mert maga a kréta az közintézmény).
Ez alapján már számon lehet kérni rajtuk az ibtv végrehajtási rendeleteit is, amiről én megint csak feltételezem (de szerintem nem alaptalanul), hogy megbuktak.
mindez a thread azért alakult ki, mert kérdés volt, hogy hogyan lehet őket ezért felelősségre vonni. hát így.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
joghurt
addikt
De. Nem kell külön beleírni, hogy a hatályos jogszabályokat be kell tartani, mert azokat amúgy is be kell tartanod. Egy szállítási szerződésbe sem kell beleírni, hogy a sofőrnek be kell tartania a Kreszt.
És igen, a webshopok jelentős részét be lehetne zárni. Néha van is kampányszerű bírságolási dömping, de a bezárás helyett az inkább pénzbeszedésre megy rá.
A tej élet, erő, egészség.
-
-
"...A szoftver fejlesztés esetén kit érdekel, hogy milyen keretrendszert használ, ha az átadott termék megfelel az elvárt a jogszabályi és biztonsági követelményeknek..."
Ez így van, nem fontos. Ellenben az általad említett feltétel nem valósult meg.
https://www.coreinfinity.tech
-
flexxx2
őstag
"Akkor ezek szerint ha valaki nem mondja nekem, hogy ne üssek el valakit autóval, akkor szabad?"
Ennek a példának nem sok köze van a témához.Pedig jó a példa. Adathalász mailre se szabad vagyis nem ajánlatos kattintani, akkor se ha tudja, akkor se ha nem tudja.
[ Szerkesztve ]
-
Még mindig elbeszélünk egymás mellett.
Egy ilyen szoftvernek nem az általad, általam, vagy XYZ által felálított feltételeknek kell megfelelni, hanem elsőként és mindenek felett a törvényeknek - például a hatályos adatvédelmieknek, GDPR-nak ésatöbbinek. Mindezt anélkül, hogy a megrendelőt emlékeztetni kell rá. Ezek után jönnek a megrendelő által megfogalmazott keretek: ilyen inputra olyan output plusz ilyen-olyan-amolyan user interface.
https://www.coreinfinity.tech
-
Aligha hiszem, hogy ez igaz lenne egy személyes adatokat kezelő szoftverre, mert ha API-on keresztül is adja át az információt, képesnek kell lennie azt secure módon megtenni.
Mindazonáltal a tárgyalt bitszemétre ez nem igaz, semmilyen formában.
https://www.coreinfinity.tech
-
-
"Ez szerintem nem feltétlen igaz.": de, totálisan igaz.
a szerződésedben nem kell kitérni arra, hogy tartsa meg a törvényeket, mert egyébként is köteles megtartani.
másrészt meg ha a fejlesztő cég alkalmazottjának van jelszava az éles rendszerhez és nem csak anonimizált tesztadatokkal dolgozik, akkor módja van adatkezelési döntéseket hozni, tehát adatkezelő.
ha nem akarják, hogy adatkezelő legyen, akkor írásos utasítást kell kapjon az adatok kezeléséről és akkor adatfeldolgozó lesz.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Nem arról beszélünk, hogy (nem) KELLENE hozzáférnie.
Hanem arról, hogy ebben a konkrét esetben hozzáfért.Szerintem nem tértünk el a topic témájától, az, hogy ezek a fejlesztők milyen jogszabályi keretek között vonhatók felelősségre, az eléggé ontopic.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis