Polityka i prawo
Polska otwiera się na testy bezpieczeństwa. Prezydent podpisał ustawę
Prezydent Andrzej Duda 11 kwietnia podpisał nowelizację Kodeksu Karnego, która została uchwalona przez Sejm RP w dniu 23 marca br., a opublikowana w Dzienniku Ustaw dzień później. Nowelizacja może być pomocna dla osób testujących zabezpieczenia w sieci.
Choć wspomniana nowelizacja dotyczy odbierania przestępcom nielegalnie zdobytych majątków, czyli chodzi o tzw. konfiskatę rozszerzoną, jest to zmiana w prawie bardzo istotna dla bugbounterów i pentesterów. Tych ostatnich można określić mianem legalnie działających hakerów, którzy działając na zlecenie klienta badają, czy i jak da się włamać do sieci danej firmy przy pomocy nowoczesnych technologii. Takie zlecenia są płatne, a pentesterzy zarabiają krocie. Jednak z uwagi na fakt, że dziś cyberprzestrzępcy mogą bardzo łatwo zdobyć informacje o danej firmie, np. za pomocą social mediów, wynajmuje się pentesterów, aby przeprowadzili testy techniczne, fizyczne i socjotechniczne.
Wprowadzono również zmianę w art. 269b kodeksu. Dotychczas zapisy wymienionego artykułu zakładały bezwzględne karanie za “wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym urządzeń lub programów przystosowanych do popełnienia przestępstw komputerowych”. Dzięki takiej konstrukcji przepisów, w Polsce możliwe było karanie za wytwarzanie narzędzi, które weryfikują bezpieczeństwo systemów IT.
Mało tego, nawet jeśli zrobiło się to w dobrej wierze, można było zostać ukaranym za znalezienie luki bezpieczeństwa i jej zgłoszenie. Nowelizacja podpisana właśnie przez prezydenta Dudę wprowadza tzw. kontratypy. Są to okoliczności, w których wyraźnie określono, w jakich sytuacjach zachowanie tego typu nie zostanie uznane za przestępstwo. I tu kluczowy jest nowy, dodany do art. 269b, paragraf 1a, który brzmi następująco:
§ 1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
Czytaj też: Nawyki milenialsów zagrażają bezpieczeństwu informacji [WYWIAD]
Wprowadzenie tego przepisu w życie będzie istotną zmianą dla osób, które zajmują się systemami IT i ich bezpieczeństwem. Nowelizacja Kodeksu Karnego wchodzi w życie 14 dni od ogłoszenia, czyli w dniu 27 kwietnia br.