Nowa wersja nowej ustawy o krajowym systemie cyberbezpieczeństwa

prywatnik.pl 3 lat temu

Będzie krótko i na temat. Wyszła w końcu długo oczekiwana aktualizacja. Jest ona tutaj. Przed lekturą warto przejrzeć moje wcześniejsze analizy:

  • Wcześniejsza wersja ustawy i kwestie ew. blokowania dostępu do stron internetowych.
  • Moje wystąpienie przed komisją parlamentarną pt. "Czy grozi nam wyłączenie internetu?"

Przechodzimy bezpośrednio do tematu.

Zapisy o filtrowaniu ruchu

Wszelkie zasady są jak wcześniej. W zasadzie już napisałem jak wygląda sytuacja:

Jest nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa. Nie ma blokady ruchu wychodzącego. Jest blokada wchodzącego. Czyli iż w przypadku włączenia takiej blokady - nie będzie można pobrać danych. Czyli np. nawiązać połączenia z systemem/stroną. https://t.co/RBB5JwiTLc https://t.co/fZwO5pVm4U pic.twitter.com/lJgzZIIdqV

— Łukasz Olejnik (@prywatnik) October 13, 2021

Rozwińmy to.

Wiemy, iż "polecenie zabezpieczające" (wydawane jedynie po stwierdzeniu wystąpienia "incydentu krytycznego") działa w trybie art. 67b:

"Art. 67b. 1. Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może, w drodze decyzji, wydać polecenie zabezpieczające."

Jest jasne, iż dotyczy to dostawców internetu:

2) przedsiębiorców telekomunikacyjnych;

"Polecenie zabezpieczające zawiera:"

7) nakaz wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu określonego w art. 67b ust. 1, który skutkując zakłóceniem usług świadczonych przez ten podmiot zosta sklasyfikowany przez właściwy CSIRT GOV, CSIRT MON lub CSIRT NASK jako przyczyna trwającego incydentu krytycznego,

To odwrócenie logiki występującej w poprzedniej wersji. Trzeba podziękować projektodawcom za włożony trud - już nie ma blokady ruchu wychodzącego. Jest tylko blokada ruchu wchodzącego. jeżeli rozumieć to w sensie technicznym, nie będzie jednak możliwe nawiązanie połączeń gdyż opiera się to na komunikacji z serwerem wymagającej wchodzenia i wychodzenia pakietów TCP (tzw. three-way handshake z serii pakietów SYN, SYN/ACK, ACK). Ściśle techniczne rozumienie tych zapisów oznaczałoby jednak brak nawiązywania połączeń, czyli blokadę ruchu.

Szczęśliwie, wprowadzenie tej reguły odbywa się wyłącznie w przypadku obsługi incydentu krytycznego. Więc by nadużyć ten przepis niepodlegający kontroli sądowej potrzeba by dużej dozy perfidii. A demokratycznie wybranym władzom oczywiście trzeba ufać.

Jest też zapis o ograniczeniu dostępu do aplikacji/oprogramowania:

8) nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania,

Ale to omówiłem już wcześniej.

Co jeszcze mamy w ustawie?

Dużo rzeczy:

  • Operator strategicznej sieci bezpieczeństwa
  • Fundusz Cyberbezpieczeństwa (ciekawe w jaki sposób będą oceniane wnioski)
  • "Spółka Polskie 5G"
  • Fundusz celowy na rzecz strategicznej sieci bezpieczeństwa

Sporo tego jak na jedną ustawę :-)

Podsumowanie

Bez podsumowania.

Idź do oryginalnego materiału