- WIADOMOŚCI
Zgłaszanie podatności w Polsce. Rola CSIRT NASK i wyzwania prawne
Niedawno, dokładnie 24 lipca w siedzibie Google w Warszawie miało miejsce wydarzenie poświęcone podatnościom - Hackbreakers’ Meetup 24x03. Zebrani mieli okazję wymienić się doświadczeniami oraz poszerzyć swoją wiedzę. Spotkanie zorganizowało GoCloud Polska.
Autor. Caspar Camille Rubin/ Unsplash
Wystąpienie Michała Dondajewskiego, specjalisty od cyberbezpieczeństwa CERT Polska stanowiło uzupełnienie tematu o kwestie związane z funkcjonowaniem tej instytucji w zakresie podatności: ich zgłaszania, klasyfikacji, publikacji. Na sali gościł również mecenas Marcin Serafin z kancelarii Rymarz Zdort Maruta, który omówił temat z prawnego punktu widzenia.
W erze cyfryzacji, cyberbezpieczeństwo stało się jednym z najważniejszych wyzwań współczesnego świata. W Polsce, koordynacją działań związanych ze zgłaszaniem i ujawnianiem podatności zajmuje się CERT Polska (CSIRT NASK).
CERT Polska. Koordynator polskiego ekosystemu cyberbezpieczeństwa
Zgodnie z art. 26a ust. 1 ustawy o z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa, CSIRT NASK pełni kluczową funkcję w koordynacji działań związanych z ujawnianiem podatności. Oznacza to, że:
- przyjmuje zgłoszenia: każdy może zgłosić wykrytą podatność, niezależnie od tego, czy jest osobą fizyczną, prawną czy jednostką organizacyjną;
- zapewnia anonimowość: zgłaszający mogą zachować anonimowość, dzięki specjalnemu formularzowi;
- koordynuje proces: CERT Polska kontaktuje się z producentem oprogramowania, informuje o podatności i wspólnie wypracowują sposób jej usunięcia;
- publikuje informacje: w przypadku braku współpracy producenta, CSIRT NASK może opublikować informacje o podatności, informując o nieudanych próbach kontaktu.
Aspekty prawne zgłaszania podatności
Nieodpowiedzialne ujawnienie informacji o podatności może naruszać przepisy kodeksu karnego (art. 269c), zwłaszcza jeśli zagraża bezpieczeństwu użytkowników.
CERT Polska pełni kluczową rolę w polskim ekosystemie cyberbezpieczeństwa, umożliwiając skuteczne zgłaszanie i ujawnianie podatności. Jednak proces ten wiąże się z wieloma wyzwaniami prawnymi i etycznymi. Konieczne jest dalsze doskonalenie przepisów prawnych oraz wypracowanie standardów postępowania, które zapewnią równowagę między bezpieczeństwem użytkowników, a ochroną praw autorów oprogramowania.
Jak dodał mecenas Marcin Serafin podczas wydarzenia, aktualne prawo jest niedostosowane do dzisiejszych realiów oraz do postępu technologicznego, jaki nastąpił z biegiem lat.
Prace nad nowelizacją KSC
Przypomnijmy, że nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę NIS 2, została wpisana do wykazu prac legislacyjnych Rady Ministrów 10 kwietnia br., o czym pisaliśmy w CyberDefence24.pl.
24 kwietnia Ministerstwo Cyfryzacji zaprezentowało 129-stronnicowy projekt, któryanalizowaliśmy TUTAJ.
Natomiast w czerwcu wicepremier i minister cyfryzacji Krzysztof Gawkowski przekazał, że rozpoczęły się konsultacje projektu nowelizacji ustawy o KSC.
Według założeń Ministerstwa Cyfryzacji - prace nad nowelizacją mają zostać sfinalizowane w październiku tego roku. Plan ten jest ambitny, a czas pokaże czy możliwy do zrealizowania.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?