Busiło: w projekcie przebija się bezradność służb odpowiedzialnych za zapewnienie naszego bezpieczeństwa

Mariusz Busiło, prawnik specjalizujący się w nowych technologiach, wspólnik w Kancelarii Bącal, Busiło Sp. k., w dzienniku Rzeczpospolita kolejny bardzo ostro skrytykował projekt zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Pełna treść artykułu znajduje się tutaj.

Oto obszerne fragmenty jego artykułu w tym dzienniku:

Wersja beta wprowadza system certyfikacji, postulowany w większości opinii w trakcie konsultacji wcześniejszej wersji. Niestety, mimo dużej objętości nowych przepisów, stanowią one zbiór procedur administracyjnych, bez odpowiednich kryteriów. Najważniejsze zagadnienia zostały „delegowane” do uregulowania aktem wykonawczym: „Krajowym Programem Certyfikacji Cyberbezpieczeństwa” i innymi rozporządzeniami – bez precyzowania ich zakresu. Rządowe Centrum Legislacji jednoznacznie wskazuje, że to rozwiązanie wadliwe.

Proponowana certyfikacja sprawia wrażenie dorzuconej obok rozwiązań regulacyjnych. W szczególności nie jest powiązana z kontrowersyjnymi uprawnieniami do wywłaszczania przedsiębiorców prywatnych z elementów infrastruktury, które arbitralną decyzją administracyjną uzna się za stanowiące „cyberzagrożenie”, z uwagi np. na kraj pochodzenia dostawcy. Zgodnie z wersją beta ustawy nawet sprzęt certyfikowany może zostać uznany za „niebezpieczny”, a przedsiębiorcy którzy go wykorzystują zmuszeni do wymiany na sprzęt innego dostawcy.

Inną nowością wersji beta ustawy jest katalog kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług (Załącznik 3 projektu). Propozycja zawiera tylko 10 ogólnych punktów, bez różnicowania jakich sieci, czy usług mogą dotyczyć. Propozycja jest oderwana od poziomu ryzyk występujących w rzeczywistych sieciach czy usługach. Takie podejście według zasady „one size fits all” jest błędem krytycznym regulacji. Ocena krytyczności konkretnych funkcji i elementów sieci nie może być abstrakcyjna – oderwana od rzeczywistych usług. O ile łącze transmisyjne między głównymi węzłami sieci będzie miało charakter krytyczny, o tyle identyczne łącze między stacjami bazowymi o małym ruchu, lub o powielających się zasięgach, już cech krytycznych mieć nie powinno. Analogiczne rozumowanie powinno dotyczyć sieci dostępu radiowego, która ze swojej istoty nie musi stanowić elementu infrastruktury krytycznej, jeśli nie służy realizowaniu specjalnych funkcji, wymagających wyższych niż przeciętne poziomów zabezpieczeń. Do realizacji tych ostatnich celów projektodawca postanowił powołać wyodrębniony podmiot państwowy – operatora sieci specjalnej dla celów rządowych, więc nakładanie nadmiarowych obowiązków na operatorów sieci powszechnych jest tym bardziej nieuzasadnione.

Powiedzieć, że ta ustawa jest źle napisana, to mało. Złe mogą być poszczególne przepisy i można je wtedy poprawiać. Wersja beta projektu ustawy o cyberbezpieczeństwie jest społecznie szkodliwa z uwagi na założenia jakie leżą u jej podstaw. Z rozwiązań przewidzianych w projekcie przebija się bezradność organów i służb odpowiedzialnych za zapewnienie naszego bezpieczeństwa, w tym w cyberprzestrzeni. Bezradność tak daleko posunięta, że do osiągnięcia celu „poprawy cyberbezpieczeństwa” postanowiono „zmilitaryzować” nie tylko sektor prywatny, ale każdego obywatela. Projekt robi to z naruszeniem konstytucyjnych swobód i wolności, takich jak wolność wypowiedzi czy prawo własności. Wybrany model regulacyjny jest oparty na nakazie prawnym i jego administracyjnym egzekwowaniu. Wymaga rozbudowy aparatu administracyjnego, procedur, raportowania, kontroli. Mechanizmy te są nastawione na karanie ofiar, a nie ściganie przestępców. W swoich podstawach aksjologicznych projekt pomija fakt, że ataki cybernetyczne, prowadzone są obecnie przez wyspecjalizowane grupy przestępcze czy aktorów wspieranych przez obce państwa. Zamiast więc oferować wsparcie publicznych instytucji wyspecjalizowanych w zwalczaniu cyberataków czy przygotowanych do cyberwojny, wprowadza się kosztowne w realizacji obowiązki administracyjne, wywłaszczanie i ograniczenia wolności obywatelskich. Pozostaje mieć nadzieję, że z uwagi na zakres zmian projekt zostanie poddany dyskusji społecznej w szerokich konsultacjach społecznym, a przedstawione opinie zostaną uwzględnione w kolejnej wersji.

Pełna treść artykułu znajduje się tutaj.

Pozostałe informacje na ten temat:

• Ustawa o cyberbezpieczeństwie z ogromnym opóźnieniem
• Busiło: nowa ustawa o cyberbezpieczeństwie nie spełnia zasad demokratycznego państwa prawa
• Premier, ministrowie i służby ocenią dostawców dla polskich operatorów komórkowych - jest już znana skala ocen
• Projekt ustawy o krajowym systemie cyberbezpieczeństwa nie zmusza do wymiany routerów w naszych domach