Zgodnie z projektem ustawy o krajowym systemie cyberbezpieczeństwa – we wtorek w Sejmie odbyło się jego pierwsze czytanie - za cyberbezpieczeństwo odpowiedzialne będą zespoły do spraw bezpieczeństwa komputerowego i reagowania na incydenty (CSRiT) - Ministerstwa Obrony Narodowej, Narodowego Centrum Bezpieczeństwa i Rządowy. Konfederacja Lewiatan ma jednak zastrzeżenia, co do ich uprawnień.
Dr Aleksandrę Musielak, ekspertkę Konfederacji Lewiatan, niepokoi przyznanie szerokich uprawnień CSIRT-om w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności oraz przyjętych rozwiązań organizacyjno–technicznych. - Wprowadzenie takich regulacji, w szczególności z pominięciem analizy ryzyka i bez uwzględnienia zasady adekwatności stosowanych zabezpieczeń do zidentyfikowanych ryzyk, może ograniczać swobodę działalności gospodarczej, a jednocześnie obniżać efektywność działań w obszarze cyberbezpieczeństwa – podkreśla Musialek.
-Jej wątpliwości budzi też fakt, że do konsultacji z opóźnieniem skierowane zostały projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań.
- Projekt ustawy powinien być konsultowany i procedowany w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi – uważa dr Aleksandra Musielak.
Projekt ustawy nie przewiduje też jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby je zgłaszać, a do którego należałoby odpowiednie przekierowanie incydentu według właściwości. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii incydentów.
W nowych przepisach nie ma również jednoznacznego określenia odpowiedzialności za obsługę incydentu poważnego. Z jednej strony spoczywa ona na operatorze, z drugiej zaś projekt ustawy przewiduje wprost uprawnienia CSIRT w zakresie obsługi incydentów poważnych, nie wskazując przy tym zasad ich przejmowania przez CSIRT oraz przyznając CSIRT pewne uprawnienia „władcze” wobec operatora (np. wezwanie za pośrednictwem organu właściwego do usunięcia podatności, żądanie informacji itd.). Tym samym, CSIRT miałby możliwość ingerencji w działalność jednostkowego operatora z pominięciem jakiejkolwiek odpowiedzialności za podejmowane wobec niego działania.
Karol Okoński, wiceminister cyfryzacji, przekonywał wczoraj w Sejmie, że uchwalenie ustawy przyczn się do wzrostu bezpieczeństwa systemów informacyjnych tak, aby każdy obywatel, w tym i przedsiębiorca mógł jak najbezpieczniej korzystać z usług cyfrowych. I dodał, że 2017 r. przyniósł rekordową liczbę prawie 22 tys. zgłoszeń naruszenia bezpieczeństwa sieci.
Zdaniem Musialek jednak pdmiot pełniący funkcję CSIRT powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. - Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie, gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji – mówi dr Aleksandra Musielak.
Cyberbezpieczeństwo ograniczy swobodę działalności gospodarczej
Konfederacja Lewiatan jest zaniepokojona zakresem uprawnień zespołów do spraw bezpieczeństwa komputerowego. Będa mogły na przykład żądać wielu informacji od firm telekomunikacyjnych.