Zgłaszanie podatności w Polsce. Rola CSIRT NASK i wyzwania prawne

Wystąpienie Michała Dondajewskiego, specjalisty od cyberbezpieczeństwa CERT Polska stanowiło uzupełnienie tematu o kwestie związane z funkcjonowaniem tej instytucji w zakresie podatności: ich zgłaszania, klasyfikacji, publikacji. Na sali gościł również mecenas Marcin Serafin, który omówił temat z prawnego punktu widzenia.

W erze cyfryzacji, cyberbezpieczeństwo stało się jednym z najważniejszych wyzwań współczesnego świata. W Polsce, koordynacją działań związanych ze zgłaszaniem i ujawnianiem podatności zajmuje się CERT Polska (CSIRT NASK).

CERT Polska. Koordynator polskiego ekosystemu cyberbezpieczeństwa

Zgodnie z art. 26a ust. 1 ustawy o z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa, CSIRT NASK pełni kluczową funkcję w koordynacji działań związanych z ujawnianiem podatności. Oznacza to, że:

• przyjmuje zgłoszenia: każdy może zgłosić wykrytą podatność, niezależnie od tego, czy jest osobą fizyczną, prawną czy jednostką organizacyjną;
• zapewnia anonimowość: zgłaszający mogą zachować anonimowość, dzięki specjalnemu formularzowi;
• koordynuje proces: CERT Polska kontaktuje się z producentem oprogramowania, informuje o podatności i wspólnie wypracowują sposób jej usunięcia;
• publikuje informacje: w przypadku braku współpracy producenta, CSIRT NASK może opublikować informacje o podatności, informując o nieudanych próbach kontaktu.

Aspekty prawne zgłaszania podatności

Nieodpowiedzialne ujawnienie informacji o podatności może naruszać przepisy kodeksu karnego (art. 269c), zwłaszcza jeśli zagraża bezpieczeństwu użytkowników.

CERT Polska pełni kluczową rolę w polskim ekosystemie cyberbezpieczeństwa, umożliwiając skuteczne zgłaszanie i ujawnianie podatności. Jednak proces ten wiąże się z wieloma wyzwaniami prawnymi i etycznymi. Konieczne jest dalsze doskonalenie przepisów prawnych oraz wypracowanie standardów postępowania, które zapewnią równowagę między bezpieczeństwem użytkowników, a ochroną praw autorów oprogramowania.

Jak dodał mecenas Marcin Serafin podczas wydarzenia, aktualne prawo jest niedostosowane do dzisiejszych realiów oraz do postępu technologicznego, jaki nastąpił z biegiem lat.

Prace nad nowelizacją KSC

Przypomnijmy, że nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę NIS 2, została wpisana do wykazu prac legislacyjnych Rady Ministrów 10 kwietnia br., o czym pisaliśmy w CyberDefence24.pl.

24 kwietnia Ministerstwo Cyfryzacji zaprezentowało 129-stronnicowy projekt, któryanalizowaliśmy TUTAJ.

Natomiast w czerwcu wicepremier i minister cyfryzacji Krzysztof Gawkowski przekazał, że rozpoczęły się konsultacje projektu nowelizacji ustawy o KSC.

Według założeń Ministerstwa Cyfryzacji - prace nad nowelizacją mają zostać sfinalizowane w październiku tego roku. Plan ten jest ambitny, a czas pokaże czy możliwy do zrealizowania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*