Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Nowa wersja nowej ustawy o krajowym systemie cyberbezpieczeństwa

Będzie krótko i na temat. Wyszła w końcu długo oczekiwana aktualizacja. Jest ona tutaj. Przed lekturą warto przejrzeć moje wcześniejsze analizy:

Przechodzimy bezpośrednio do tematu.

Zapisy o filtrowaniu ruchu

Wszelkie zasady są jak wcześniej. W zasadzie już napisałem jak wygląda sytuacja:

Rozwińmy to.

Wiemy, że "polecenie zabezpieczające" (wydawane jedynie po stwierdzeniu wystąpienia "incydentu krytycznego") działa w trybie art. 67b:

"Art. 67b. 1. Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może, w drodze decyzji, wydać polecenie zabezpieczające."

Jest jasne, że dotyczy to dostawców internetu:

2)  przedsiębiorców telekomunikacyjnych;

"Polecenie zabezpieczające zawiera:"

7)  nakaz wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu określonego w art. 67b ust. 1, który skutkując zakłóceniem usług świadczonych przez ten podmiot zosta sklasyfikowany przez właściwy CSIRT GOV, CSIRT MON lub CSIRT NASK jako przyczyna trwającego incydentu krytycznego,

To odwrócenie logiki występującej w poprzedniej wersji. Trzeba podziękować projektodawcom za włożony trud - już nie ma blokady ruchu wychodzącego. Jest tylko blokada ruchu wchodzącego. Jeśli rozumieć to w sensie technicznym, nie będzie jednak możliwe nawiązanie połączeń gdyż opiera się to na komunikacji z serwerem wymagającej wchodzenia i wychodzenia pakietów TCP (tzw. three-way handshake z serii pakietów SYN, SYN/ACK, ACK). Ściśle techniczne rozumienie tych zapisów oznaczałoby jednak brak nawiązywania połączeń, czyli blokadę ruchu.

Szczęśliwie, wprowadzenie tej reguły odbywa się wyłącznie w przypadku obsługi incydentu krytycznego. Więc  by nadużyć ten przepis niepodlegający kontroli sądowej potrzeba by dużej dozy perfidii. A demokratycznie wybranym władzom oczywiście trzeba ufać.

Jest też zapis o ograniczeniu dostępu do aplikacji/oprogramowania:

8)  nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania,

Ale to omówiłem już wcześniej.

Co jeszcze mamy w ustawie?

Dużo rzeczy:

  • Operator strategicznej sieci bezpieczeństwa
  • Fundusz Cyberbezpieczeństwa (ciekawe w jaki sposób będą oceniane wnioski)
  • "Spółka Polskie 5G"
  • Fundusz celowy na rzecz strategicznej sieci bezpieczeństwa

Sporo tego jak na jedną ustawę :-)

Podsumowanie

Bez podsumowania.

Comments is loading...

Comments is loading...