Pojawienie się nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmujemy temat. W pierwszym z artykułów z cyklu straszyliśmy karami. W drugim poście pokusiliśmy się o odpowiedź na pytanie, kogo obejmą nowe przepisy. W trzecim artykule z cyklu pisaliśmy o systemie teleinformatycznym S46. Dzisiaj natomiast będzie o ocenie bezpieczeństwa w przepisach projektowanej ustawy.
Ocena bezpieczeństwa
Rozwiązanie zaproponowane w projekcie ustawy jest zupełnie nowe. Ma oczywiście na celu wymuszenie zwiększenia poziomu bezpieczeństwa systemów IT. Ocena bezpieczeństwa ma być przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego.
Co do zasady, może być ona przeprowadzana przez CSIRT GOV, CSIRT MON lub CSIRT NASK po poinformowaniu organu adekwatnego do spraw cyberbezpieczeństwa o takim zamiarze. Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą adekwatnego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu adekwatnego dla danego sektora.
Wyłączono możliwość prowadzenia oceny bezpieczeństwa w dwóch przypadkach:
- dla systemów teleinformatycznych podmiotów krajowego systemu cyberbezpieczeństwa, które znajdują się w zbiorze organów i podmiotów wymienionych w art. 32a ustawy o ABW i AW oraz
- dla systemów teleinformatycznych akredytowanych na podstawie art. 48 ustawy o ochronie informacji niejawnych.
Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu adekwatnego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. security scans. Ocena bezpieczeństwa powinna być bierna, tzn. nie może zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie.
W projekcie nowelizacji pojawiają się dwa nowe uprawnienia dla CSIRT-ów. Po pierwsze w celu zbadania podatności systemu będzie on mógł wytwarzać lub pozyskiwać urządzenia bądź oprogramowanie przystosowane do popełnienia przestępstw określonych w Kodeksie Karnym. Czyli de facto CSIRT-y uzyskają prawo do wytwarzania malware. Po drugie CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne zabezpieczenia, a także uzyskać dostęp do całości lub części systemu informacyjnego. Oczywiście informacje uzyskane w wyniku opisanych powyżej działań będą stanowić tajemnicę, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych zadań. Wprowadza się jednak zasadę informowania ministra adekwatnego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych podmiotów ustawy.
