Czy sprawdzając dziury CERT sprawdza też legalność witryn rządowych?
Media podają informacje: Rządowy Zespół Reagowania na Incydenty Komputerowe przebadał "34 strony należące do administracji publicznej". Znaleziono "647 nieprawidłowości, w tym 231 o wysokim poziomie zagrożenia". Ciekawe, czy ktoś sobie również zadaje pytanie: Czy "własne" serwisy internetowe administracji publicznej działają legalnie?, albo dlaczego właściwie ma być tych stron administracji publicznej aż tyle?
W każdym razie CERT ma dobrą prasę. Niedawno pisałem o Rządowym programie cyberprzestrzeni RP, że jest w konsultacjach. Dziś wypada odnotować prasowe notatki na temat przeprowadzonego przez CERT audytu strona administracji publicznej. Wiadomo, że było stron 34, wiadomo ile błędów, ale wiadomo również, że CERT na swojej stronie o tym nie poinformował (w dziale Wiadomości ostatnia dotyczy Ataku na październikowe luki Microsoftu). Serwis Wiadomości Gazeta.pl pisze, że dowiedział się o tym TOK FM. Tam również, że "CERT nie udziela na razie bardziej szczegółowych informacji". Czyli, że CERT wysłał do dziennikarzy TOK FM notatkę prasową z wynikami audytu? Skąd niby wiadomo o tym ile jest błędów (poza tym, że wiadomo ile, jeśli ktoś potrafi taki audyt zrobić samodzielnie)? Najpoważniejsze to SQL Injection i XSS (przy okazji: "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection). Tak. Być może to taka zasłona dymna nieco, no bo jeśli nie zasłona dymna i nie PR CERT-u, to skąd wiadomo coś, czego Departament Bezpieczeństwa Teleinformatycznego ABW nie podaje do publicznej wiadomości?
Na stronie przedstawiającej misję CERT można przeczytać:
Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL został powołany w dniu 1 lutego 2008 roku. Podstawowym zadaniem zespołu jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami, ze szczególnym uwzględnieniem ataków ukierunkowanych na infrastrukturę obejmującą systemy i sieci teleinformatyczne, których zniszczenie lub zakłócenie może stanowić zagrożenie dla życia, zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach, albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa. Zespół CERT.GOV.PL funkcjonuje w ramach Departamentu Bezpieczeństwa Teleinformatycznego ABW.
Dla przypomnienia notatka z 2004 roku: Sto i jeden serwisów administracji publicznej.
Swoją drogą, czy gdzieś w przepisach powszechnie obowiązującego prawa da się znaleźć normę, zgodnie z którą funkcjonariusze ABW pracujący w CERT nie popełniają przestępstw przeciwko informacjom, gdy dokonują audytu stron w poszukiwaniu luk bezpieczeństwa, albo gdy posiadają "narzędzia hackerskie" (por. Prezydent podpisał nowelę Kodeksu karnego. Czy można obejść coś, co nie istnieje?)?
A może w takim przypadku wystarczy przepis art. 33 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu:
W zakresie swojej właściwości Agencje mogą uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać i przetwarzać.
To dość szeroka furtka. Czy oznacza, że ABW nie musi przestrzegać również prawa autorskiego (utwory to takie "ustalone w jakiejkolwiek postci" informacje, które mają cechę indywidualnej twórczości), albo czy mogą posiadać np. materiały z pornografią dziecięcą?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Panie Piotrze, taki
Panie Piotrze, taki kamyczek:
gdy media powolywaly sie na Pana, opisujac jako zrodlo blog Waglowskiego, zwykl Pan zaznaczac, ze blog to Pan prowadzi w ramach serwisu.
I ok.
Dlaczego jednak - nie pierwszy raz - podpisuje Pan wiadomosci opublikowane na portalu Gazeta.pl, jako tekst Gazety Wyborczej?
Zwlaszcza, ze w Gazecie raczej nie pojawilby sie opis: "Senior Presales Consultant" (WTF???)
pozdrawiam - wierny czytelnik
Tak.
Ma Pan racje. Obiecuję poprawę. A tekst poprawiam już.
--
[VaGla] Vigilant Android Generated for Logical Assassination