Znajdziesz lukę i unikniesz kary. Oczekiwane zmiany w prawie polskim zapowiedziane

Jeżeli w dobrej wierze wykryjesz lukę np. w jakiejś aplikacji i poinformujesz o tym jej właściciela, lecz nie działasz w ramach organizowanego przez niego programu typu Bug Bounty, możesz zostać zgodnie z polskim prawem pociągnięty do odpowiedzialności karnej - wynika z analizy prawnej przedstawionej przez Ministerstwo Cyfryzacji. Minister Anna Streżyńska zapowiedziała, że pracuje nad rozwiązaniem tego problemu.

Obecnie mamy dużo przykładów programów Bug Bounty mających na celu poprawę bezpieczeństwa dzięki wystawieniu różnych produktów IT na działania osób poszukujących luk (za wykrytą lukę inkasują one niekiedy ogromne kwoty pieniędzy). Doszło nawet do tego, że po rozwiązanie to sięgnęła armia amerykańska mając świadomość, że tylko ono zapewnia tak naprawdę możliwość najefektywniejszej identyfikacji dziur.

Bud Bounty po polsku

Niestety w Polsce obowiązują przepisy, które pozwalają na karanie nawet tych osób, które w dobrej wierze wykryły lukę w danym systemie IT i poinformowały o tym jego właściciela. Jest jednak duża szansa, że wkrótce się to zmieni. Sprawą dzięki aktywiście Karolowi Bregule poważnie zainteresowała się bowiem Pani Anna Streżyńska piastująca stanowisko ministra cyfryzacji.

"Po konsultacjach z Ministerstwem Sprawiedliwości dostrzegamy zasadność zmiany art. 269b Kodeksu karnego (…) Po rozmowach z MS czekamy na propozycję ze strony MS w zakresie wprowadzenia do tego przepisu „kontratypów” ww. przestępstw, czyli przepisów wyłączających karalność wytwarzania i posiadania ww. urządzeń lub programów komputerowych w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem (pierwszy kontratyp) oraz w celu testowania systemów komputerowych za zgodą ich administratora (drugi kontratyp). Pan Karol Breguła dostanie odpowiedź, którą będzie mógł dodatkowo upowszechnić" - zapowiedziała na Facebooku Pani minister dając jasny sygnał, że bardzo poważnie podchodzi do tego problemu.