Jak nietrudno zauważyć, świat ostatnio zmienia się dosyć szybko. Dlatego nic dziwnego, że po około dwóch latach nadchodzi duża aktualizacja zasad rządzących polskim systemem cyberbezpieczeństwa, czyli nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Dwa lata powinny wystarczyć by zauważyć to co działa, to co działa w mniejszym stopniu, a także to czego brakuje.

I stąd propozycja zmian. W tym wpisie analizuję wybrane aspekty tych propozycji. Podobnie jak to zrobiłem poprzednim razem. Sama nowa propozycja ustawy jest tu.

Nowy CSIRT

Dodano nowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego - CSIRT Telco, odpowiedzialny za sektor telekomunikacji, która to zostaje “wzięta” w ramy krajowego systemu cyberbezpieczeństwa.

Filtrowanie treści

“W przypadku stwierdzenia przesyłania komunikatów zagrażających bezpieczeństwu sieci i usług”  “może zastosować środki polegające na: 1)  zablokowaniu przesłania takiego komunikatu”. Czyli w przypadku zidentyfikowania niepożądanych działań w sieci - może dojść do blokady takich szkodliwych treści.

Te kwestie prawdopodobnie będą uważnie obserwowane. Zwłaszcza, że propozycja zmian w ustawie przewiduje też  “nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL” w odniesieniu do pewnych incydentów (Art. 67b) . To kwestie filtracji lub blokady treści, a zatem konieczności zbudowania do tego odpowiedniej infrastruktury, także bieżące (lokalne) testowanie takich możliwości.

Ocena dopuszczenia oprogramowania lub systemów

Bardzo ciekawy art. 66a-66c mówi o “ocenie ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa”. Konkretniej, chodzi tu o analizę wpływu stosowania takiego sprzętu i oprogramowania na “bezpieczeństwo narodowe”. Choćby o charakterze ekonomicznym, kontrwywiadowczym czy nawet terrorystycznym.  Ocenie podlega też to czy taki podmiot podlega pod “wpływ” jurysdykcji państw trzecich znajdujących się poza Unią Europejską lub NATO. Czyli przykładowo może to być Kongo albo Uzbekistan, ale kto wie, potencjalnie być może także Chiny lub Rosja i ich producenci i dostawcy sprzętu i oprogramowania.

Pod uwagę wzięte będzie też lokalne prawodawstwo w kwestiach poszanowania praw człowieka. Dziś nie ma wątpliwości, że technologie mają bezpośredni i pośredni wpływ na prawa i wolności ludzi, oraz prawa człowieka. Formalnie nie dziwią więc takie zasady wpisywane wprost w kryteria oceny. Zawsze pozostaną jednak kwestie praktycznego egzekwowania. Przykładowo, czy ktoś dla Kolegium (dokonującego tej oceny) będzie musiał dostarczyć (niezależną?) opinię o sytuacji praw człowieka w danym państwie. Co ciekawe mowa także o tzw. państwach trzecich w rozumieniu unijnych regulacji o ochronie danych osobowych (z którymi nie ma odpowiedniej umowy o wymianie danych). To jeszcze bardziej zawęża listę krajów. Ale mowa też o zdolności takiego państwa do zmuszenia podmiotu/firmy do czegoś - tu chodzi więc o lokalne prawa w tym zakresie.

Ostatecznie oceniane jest ryzyko. Gdy jest wysokie - następuje zakaz wprowadzania takich systemów do użytku. Jeśli takie systemy są już w użytku - będą musiały zostać usunięte w ciągu 5 lat.

Co ciekawe ograniczenia powstają także w przypadku ryzyka umiarkowanego (co niektórzy uznają za decyzję restrykcyjną; a pewnym podmiotom pozwoli zachować twarz?). W takim przypadku nie można wprowadzać do użytku nowych systemów, ale z istniejących można korzystać.

I być może właśnie w taki sposób Polska wdraża m.in. tzw. 5G toolbox, który wskazywał na konieczność analizy ryzyka w łańcuchu dostaw dla sprzętu i oprogramowania przy okazji wdrażania infrastruktury 5G. To pomimo, że określenie 5G w tej ustawie nie pada. Nie jest używana nazwa żadnej firmy, np. na literę “H”, ani nawet państwo, np. takie na “Ch”. Nie są nawet wymienione rodzaje systemów, np. sieci społecznościowych do wrzucania śmiesznych filmików, albo oprogramowania antywirusowego.

Zasady są napisane neutralnie. Co jest akurat bardzo dobre. Jak taki mechanizm merytoryczno-polityczny (nie oszukujmy się, to będą decyzje polityczne, choć mają być “poinformowane” obiektywnie) będzie działał w praktyce - to się okaże.

Kula w płocie ustawy ;-)

Na koniec: konia z rzędem temu kto wskaże “terrorystów” kontrolujących dużych dostawców systemów lub oprogramowania, zwłaszcza takich które ktoś mógłby chcieć nabyć i szeroko wdrożyć w Polsce?

Aktualizacja 14/09/2018

O znalezionej luce w ustawie która być może mogłaby mieć wpływ na realne pogorszenie cyberbezpieczeństwa w sensie technicznym napisałem w artykule-opinii-komentarzu:

Mnie jednak ciekawi to, czy takie istniejące  już “ryzykowne” produkty lub usługi będzie można serwisować, wymieniać  lub uaktualniać w przypadku usterek. Jeśli nie, może to doprowadzić do  zwiększenia ryzyka cyberbezpieczeństwa państwa. Tę lukę trzeba  koniecznie doprecyzować.

ISAC i SOC

Zidentyfikowanie ISAC (Information Sharing and Analysis Center) czyli “centrum wymiany i analizy informacji na temat podatności, zagrożeń i incydentów funkcjonujące w celu wspierania podmiotów krajowego systemu cyberbezpieczeństwa” jako istotnego elementu krajowego systemu cyberbezpieczeństwa to bardzo dobry pomysł. Powstaje tu jednak pytanie jaki podmiot powinien takie centrum stworzyć lub nim kierować, bo przecież nie będzie to specjalnie powołana instytucja. Wedle ustawy, centrów ISAC może być wiele, a pełną listę będzie mieć Pan Minister.

Widać też wyraźnie, że w nowej wersji podkreśla się wagę operacyjnych centrów bezpieczeństwa (Security Operations Center, SOC) w ochronie cyberbezpieczeństwa. To ma duży sens dla wielu podmiotów. SOC-e pozwolą na szybszą identyfikację zagrożeń i reakcję na nie. Wygląda nawet na to że to będzie także w pewnej mierze mogło “wspierać polski biznes”. To z uwagi na fakt, że przewidziano możliwość zlecenia prowadzenia SOC do firmy zewnętrznej. Takie usługi były i są rozwijane w sektorze prywatnym. Teraz zostaną zauważone bardziej i powstanie na nie większe zapotrzebowanie, “rynek”. Listę “autoryzowanych” SOC również będzie miał Pan Minister.

24h na zgłoszenie incydentu

“Przedsiębiorca komunikacji elektronicznej” ("przedsiębiorca telekomunikacyjny lub podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującej numerów") dostanie 24 godziny by poinformować o “incydencie telekomunikacyjnym”. Muszą też poinformować użytkowników o ich zajściu (gdy poważne) oraz co użytkownik powinien zrobić w celu zabezpieczenia.

Zamówienia Publiczne

Wreszcie będzie można brać pod uwagę kwestie cyberbezpieczeństwa na poziomie Zamówień Publicznych. Tego brakowało, a kwestie ta ma wydatny wpływ  na cyberbezpieczeństwo państwa. Dobrze więc, że to jest. Tylko żeby to działało.

Wyłączanie cyberbezpieczeństwa państwa

Podobnie jak miało to miejsce we wcześniejszej wersji, w przypadku gdy Panu Ministrowi skończy się kasa w budżecie, wyłączane są elementy cyberbezpieczeństwa państwa:

“W przypadku zagrożenia przekroczenia lub przekroczenia przyjętych na dany rok budżetowy maksymalnych limitów wydatków, o których mowa w ust. 1, zostaną zastosowane mechanizmy korygujące polegające naograniczeniu finansowania działalności wyznaczonego CSIRT sektorowego wskazanego przez ministra właściwego do spraw informatyzacji.“

Tak jakby nie można było zaalokować więcej środków w  budżecie. Co, nie da się?

Podsumowanie

To zmiany na lepsze. Zwłaszcza niektóre ciekawe. Mimo wszystko to wciąż proces budowy krajowego systemu cyberbezpieczeństwa.

To też nie koniec zmian. Będzie aktualizacja unijnej dyrektywy NIS - a to na niej w pierwotnej wersji oparta była ta ustawa. Dojdą więc nowe zasady i obowiązki.

Podobał Ci się ten wpis/analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com