Czy NIS-2 to koniec małych firm hostingowych?

[itomek]

Część zainteresowanych pewnie zna temat, ale z rozmów które ostatnio prowadziłem widzę, że nie każdy zdaje sobie w pełni sprawę z konsekwencji. NIS-2 zmienia zasady rynku hostingowego.

 

Temat poruszamy na naszym blogu https://www.nazwa.pl/blog/250-tys-zl-za-wdrozenie-nis-2-male-firmy-hostingowe-pod-presja, ale myślę, że forum hostingowe jest najlepszym miejscem, aby o tym porozmawiać. 

 

Dajcie znać, co sądzicie o nowych zasadach  

[Espen]

Wyjdę na ignoranta ale po przeczytaniu wątku obok nadal nie wiem o co chodzi z tym NIS-2. Mogę prosić o jak najprostsze wytłumaczenie o co jest ta cała afera? 

Proszę się w tym poście nie doszukiwać złośliwości, sarkazmu i innych podobnych - serio nie ogarniam tematu. Dużo krzyku, jakieś wielkie pieniądze ale o co się rozchodzi właściwie?

[itomek]

NIS-2 to nowe wymagania dotyczące cyberbezpieczeństwa, które obejmą także firmy hostingowe świadczące usługi takie, jak m.in. poczta elektroniczna, DNS, rejestracja domen, hosting czy chmura. Oznacza to konieczność wdrożenia procedur, dokumentacji, zarządzania ryzykiem, obsługi incydentów, szkoleń i stałego wykazywania zgodności z przepisami. W praktyce NIS-2 wymaga nie tylko infrastruktury, lecz także kosztownych kompetencji organizacyjnych i prawnych.

[kafi]

W skrócie (wybaczcie takie mega duże uproszczenie i spłycenie) weszły sobie takie przepisy odnośnie cyberbezpieczeństwa.

 

Same w sobie są dość dobre, bo w końcu sankcjonują odpowiedzialność za obszar cyber i nie będzie,

że ja biedny nie wiedziałem że mam dziurawy serwer, bo postawiłem go 10 lat temu i od tego czasu nie tykałem. 

 

W dużej większości obowiązki oczywiście zależą od wielkości podmiotu - ten większy ma ich więcej, mniejszy ma je trochę zluzowane.

Problem tylko taki, że wymienione zostały dwa obszary, w którym nawet mikroskopijny podmiot obsługujący jednego klienta staje się równy takiemu wielkiemu konglomeratowi (tzw. podmiot kluczowy).

A są to - rejestracja domen (także jakiekolwiek pośrednictwo w niej) oraz utrzymywanie publicznych autorytatywnych serwerów dns (tak, vps z DirectAdmin mający uruchomionego publicznie dostępnego binda/PowerDNS też powoduje z automatu pod to podleganie).

 

A wymagania co do tego podmiotu kluczowego, cóż, kosmiczne są.

 

Pytanie, na ile to rzeczywiście od takich płotek będzie egzekwowane, a na ile to będzie po prostu straszak na tych, co ewidentnie przeginają, kozaczą i rżną głupa.

[itomek]

Ciężko wyrokować. Ale z pewnością, gdyby nawet egzekwowanie wobec najmniejszych było wybiórcze, to wystarczy najmniejszy incydent, skarga klienta albo przypadkowa kontrola. Z pewnością nie wystarczy wtedy powiedzieć "jestem mały" lub "nie wiedziałem". Trzeba będzie pokazać procedury, dokumentację, analizę ryzyka, szkolenia, obsługę incydentów i nadzór. 

[Espen]

Wdrożenie NIS-2 będzie miało przełożenie na ceny dla klienta?

[st220]

Odpisze jak podobne regulacje działają w innych branżach. Część wymagań dla branży hostingowej jest absurdalnie głupia, ale większość powinna zlikwidować patologie która w tej branży jest. Przede wszystkim nie wiem co się zadziało w ostatnich latach, że niektórzy mają ból tylnej części ciała o konieczność zmian.

Utrzymanie ciągłości dostępności serwerów dns jeszcze 20 lat temu było standardem. Trzymanie były u różnych operatorów sieci, teraz nagle firmy hostingowe się budzą, że trzeba mieć jakieś zabezpieczenie pod tym kątem.

Kolejne to dostępność kopii zapasowych i ich odtwarzanie. Chodzi o bezpieczną kopie w innej fizycznej lokalizacji, a nie w szafie obok lub na tym samym serwerze. To ostatnie było dobitnie pokazane jak wiele firm i osób na to wywalone jak ovh postanowiło zmigrować serwerownie do chmury.

Kolejnym punktem jest pilnowanie i usuwanie podatności w oprogramowaniu. Utrzymywanie aktualizacji softu a nie wersje sprzed roku czy nawet więcej, Tutaj od razu pstryczek w nos dla nazwy - was to też dotyczy, na waszym publicznie dostępnym phpinfo widzę, że macie podatne wersje php na kilka cve, system operacyjny na którym to działa nie ma od roku podstawowego wsparcia, możliwe że używacie rozszerzone. Chociaż w to wątpię. Chodzi o system w kontenerze lxc a nie systemie hosta.

Testowanie przerw w działaniu, czyli robimy chaosmonkey wyłączając wszystko do 0 i czy się podniesie? Tutaj jestem absolutnie pewna, że wiele firm tego może nie przeżyć.

Czy będzie przerzucone kosztów na klientów? Owszem. Przecież podstawy utrzymania środowisk produkcyjnych w tej branży nie istnieją. Teraz trzeba to zrobić na szybko a koszta przerzucić na klientów.

[kafi]

47 minut temu, st220 napisał(a):

Utrzymanie ciągłości dostępności serwerów dns jeszcze 20 lat temu było standardem. Trzymanie były u różnych operatorów sieci, teraz nagle firmy hostingowe się budzą, że trzeba mieć jakieś zabezpieczenie pod tym kątem.

 

Ale NIS2 paradoksalnie nie wymaga utrzymania ciągłości dostępności serwerów dns.

 

53 minuty temu, st220 napisał(a):

Przede wszystkim nie wiem co się zadziało w ostatnich latach, że niektórzy mają ból tylnej części ciała o konieczność zmian.

 

NIS2 powoduje, że nawet będąc małą firemką i utrzymując autorytatywne dns u siebie dla jednej domeny (bo wyłączenie "na własne potrzeby" zniknęło) wchodzi się w bardzo dużo obowiązków audytowo-sprawozdawczych dotyczących całej praktycznie działalności, a nie tylko tych przysłowiowych dnsów.  I ludzie nie mają żadnych bólów o konieczność zmian, ale o to, że dla niektórych skala tych zmian będzie niewspółmierna do skali i profilu ich działalności, przez co - albo będą w szarej strefie do pierwszego wypadku, albo znikną przed nawiązując współpracę / oddając biznes graczom stricte profesjonalnym.

[Tom X]

@itomek Reprezentujesz podmiot żywotnie zainteresowany zaoraniem małych i niewielkich firm hostingowych, niewielkich agencji czy mikrowebdeveloperów obsługujących klientów końcowych. Wydaje mi się, że mamy tutaj pewną sprzeczność interesów.

[frn]

Godzinę temu, Tom X napisał(a):

@itomek Reprezentujesz podmiot żywotnie zainteresowany zaoraniem małych i niewielkich firm hostingowych, niewielkich agencji czy mikrowebdeveloperów obsługujących klientów końcowych. Wydaje mi się, że mamy tutaj pewną sprzeczność interesów.

Tu zdecydowanie się zgodzę. Od siebie dodam: Kto mieczem wojuje, ten od miecza ginie...