Będzie krótko i na temat. Wyszła w końcu długo oczekiwana aktualizacja. Jest ona tutaj. Przed lekturą warto przejrzeć moje wcześniejsze analizy:
- Wcześniejsza wersja ustawy i kwestie ew. blokowania dostępu do stron internetowych.
- Moje wystąpienie przed komisją parlamentarną pt. "Czy grozi nam wyłączenie internetu?"
Przechodzimy bezpośrednio do tematu.
Zapisy o filtrowaniu ruchu
Wszelkie zasady są jak wcześniej. W zasadzie już napisałem jak wygląda sytuacja:
Jest nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa. Nie ma blokady ruchu wychodzącego. Jest blokada wchodzącego. Czyli iż w przypadku włączenia takiej blokady - nie będzie można pobrać danych. Czyli np. nawiązać połączenia z systemem/stroną. https://t.co/RBB5JwiTLc https://t.co/fZwO5pVm4U pic.twitter.com/lJgzZIIdqV
— Łukasz Olejnik (@prywatnik) October 13, 2021Rozwińmy to.
Wiemy, iż "polecenie zabezpieczające" (wydawane jedynie po stwierdzeniu wystąpienia "incydentu krytycznego") działa w trybie art. 67b:
"Art. 67b. 1. Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może, w drodze decyzji, wydać polecenie zabezpieczające."Jest jasne, iż dotyczy to dostawców internetu:
2) przedsiębiorców telekomunikacyjnych;"Polecenie zabezpieczające zawiera:"
7) nakaz wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu określonego w art. 67b ust. 1, który skutkując zakłóceniem usług świadczonych przez ten podmiot zosta sklasyfikowany przez właściwy CSIRT GOV, CSIRT MON lub CSIRT NASK jako przyczyna trwającego incydentu krytycznego,To odwrócenie logiki występującej w poprzedniej wersji. Trzeba podziękować projektodawcom za włożony trud - już nie ma blokady ruchu wychodzącego. Jest tylko blokada ruchu wchodzącego. jeżeli rozumieć to w sensie technicznym, nie będzie jednak możliwe nawiązanie połączeń gdyż opiera się to na komunikacji z serwerem wymagającej wchodzenia i wychodzenia pakietów TCP (tzw. three-way handshake z serii pakietów SYN, SYN/ACK, ACK). Ściśle techniczne rozumienie tych zapisów oznaczałoby jednak brak nawiązywania połączeń, czyli blokadę ruchu.
Szczęśliwie, wprowadzenie tej reguły odbywa się wyłącznie w przypadku obsługi incydentu krytycznego. Więc by nadużyć ten przepis niepodlegający kontroli sądowej potrzeba by dużej dozy perfidii. A demokratycznie wybranym władzom oczywiście trzeba ufać.
Jest też zapis o ograniczeniu dostępu do aplikacji/oprogramowania:
8) nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania,Ale to omówiłem już wcześniej.
Co jeszcze mamy w ustawie?
Dużo rzeczy:
- Operator strategicznej sieci bezpieczeństwa
- Fundusz Cyberbezpieczeństwa (ciekawe w jaki sposób będą oceniane wnioski)
- "Spółka Polskie 5G"
- Fundusz celowy na rzecz strategicznej sieci bezpieczeństwa
Sporo tego jak na jedną ustawę :-)
Podsumowanie
Bez podsumowania.
