Polityka i prawo

Polska otwiera się na testy bezpieczeństwa. Prezydent podpisał ustawę

fot. Kancelaria Prezydenta
fot. Kancelaria Prezydenta

Prezydent Andrzej Duda 11 kwietnia podpisał nowelizację Kodeksu Karnego, która została uchwalona przez Sejm RP w dniu 23 marca br., a opublikowana w Dzienniku Ustaw dzień później. Nowelizacja może być pomocna dla osób testujących zabezpieczenia w sieci.

Choć wspomniana nowelizacja dotyczy odbierania przestępcom nielegalnie zdobytych majątków, czyli chodzi o tzw. konfiskatę rozszerzoną, jest to zmiana w prawie bardzo istotna dla bugbounterów i pentesterów. Tych ostatnich można określić mianem legalnie działających hakerów, którzy działając na zlecenie klienta badają, czy i jak da się włamać do sieci danej firmy przy pomocy nowoczesnych technologii. Takie zlecenia są płatne, a pentesterzy zarabiają krocie. Jednak z uwagi na fakt, że dziś cyberprzestrzępcy mogą bardzo łatwo zdobyć informacje o danej firmie, np. za pomocą social mediów, wynajmuje się pentesterów, aby przeprowadzili testy techniczne, fizyczne i socjotechniczne.

Wprowadzono również zmianę w art. 269b kodeksu. Dotychczas zapisy wymienionego artykułu zakładały bezwzględne karanie za “wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym urządzeń lub programów przystosowanych do popełnienia przestępstw komputerowych”. Dzięki takiej konstrukcji przepisów, w Polsce możliwe było karanie za wytwarzanie narzędzi, które weryfikują bezpieczeństwo systemów IT.

Mało tego, nawet jeśli zrobiło się to w dobrej wierze, można było zostać ukaranym za znalezienie luki bezpieczeństwa i jej zgłoszenie. Nowelizacja podpisana właśnie przez prezydenta Dudę wprowadza tzw. kontratypy. Są to okoliczności, w których wyraźnie określono, w jakich sytuacjach zachowanie tego typu nie zostanie uznane za przestępstwo. I tu kluczowy jest nowy, dodany do art. 269b, paragraf 1a, który brzmi następująco:

§ 1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

art. 269b, paragraf 1a, Kodeksu Karnego

Czytaj też: Nawyki milenialsów zagrażają bezpieczeństwu informacji [WYWIAD]

Wprowadzenie tego przepisu w życie będzie istotną zmianą dla osób, które zajmują się systemami IT i ich bezpieczeństwem. Nowelizacja Kodeksu Karnego wchodzi w życie 14 dni od ogłoszenia, czyli w dniu 27 kwietnia br.

Komentarze