Cyberbezpieczeństwo

Brytyjska ustawa o odporności cyberbezpieczeństwa: co oznacza dla prywatności VPN

17 maja 20267 min czytania

By Lina Petrov — 8 years reviewing consumer technology

Brytyjska ustawa o odporności cyberbezpieczeństwa: co oznacza dla prywatności VPN

Brytyjska ustawa o odporności cyberbezpieczeństwa: co oznacza dla prywatności VPN

Rząd Wielkiej Brytanii wprowadził ustawę o cyberbezpieczeństwie i odporności (Cyber Security and Resilience Bill) — istotny akt prawny, który przekwalifikowuje centra danych jako infrastrukturę krytyczną i włącza je do formalnego krajowego systemu raportowania incydentów cyberbezpieczeństwa. Większość komentarzy skupia się na obowiązkach compliance dla przedsiębiorstw, jednak ustawa niesie realne konsekwencje dla każdego, kto korzysta z usługi VPN kierującej ruch przez infrastrukturę zlokalizowaną w Wielkiej Brytanii. Dla użytkowników dbających o prywatność zrozumienie aspektu prywatności w kontekście brytyjskiej ustawy o odporności cyberbezpieczeństwa przestało być opcjonalne.

Czego ustawa o cyberbezpieczeństwie i odporności faktycznie wymaga od centrów danych

W swojej istocie ustawa rozszerza zakres obowiązujących regulacji dotyczących sieci i systemów informatycznych (NIS). Centra danych działające w Wielkiej Brytanii byłyby zobowiązane do spełnienia nowych bazowych standardów cyberbezpieczeństwa oraz — co kluczowe — do zgłaszania istotnych incydentów regulatorom w określonych ramach czasowych. Uzasadnienie rządu jest jasne: centra danych nie są już biernymi obiektami magazynowania. Stanowią fundament bankowości, opieki zdrowotnej, komunikacji i usług chmurowych. Traktowanie ich jak zwykłych obiektów komercyjnych zawsze było luką regulacyjną, a głośne naruszenia bezpieczeństwa w ostatnim czasie uniemożliwiły dalsze jej ignorowanie.

Ustawa przyznaje regulatorom szersze uprawnienia dochodzeniowe, w tym możliwość żądania informacji technicznych, audytowania praktyk bezpieczeństwa oraz nakładania sankcji egzekucyjnych, gdy operatorzy nie spełniają wymogów. Dla dużych komercyjnych centrów danych oznacza to konieczność mapowania każdego incydentu względem nowych progów raportowania przez zespoły compliance. Dla mniejszych operatorów koszty ogólne mogą być znaczące.

Czego ustawa nie robi — przynajmniej w obecnym kształcie — to wyraźnego odniesienia się do konsekwencji dla prywatności wynikających z obowiązkowego ujawniania informacji. Kiedy centrum danych zgłasza incydent regulatorowi rządowemu, raport ten może opisywać, jakie dane zostały naruszone, którzy najemcy byli zaangażowani i do jakich systemów uzyskano dostęp. Informacje te trafiają do rządowej bazy danych, a warunki, na jakich mogą być dalej udostępniane, nie zostały jeszcze w pełni określone.

Jak obowiązkowe systemy raportowania tworzą nowe zagrożenia dla infrastruktury serwerów VPN w Wielkiej Brytanii

Dostawcy VPN, którzy wynajmują przestrzeń serwerową w brytyjskich centrach danych, są najemcami tych obiektów. Nie są zwolnieni z łańcucha raportowania. Jeśli centrum danych obsługujące serwery VPN doświadczy kwalifikującego się incydentu, operator musi go zgłosić. Raport taki może zawierać szczegóły dotyczące tego, jakie usługi działały na dotkniętej infrastrukturze, otwierając okno na aktywność serwerów VPN, które w przeciwnym razie by nie istniało.

Poza raportowaniem incydentów, rozszerzone uprawnienia dochodzeniowe przewidziane w ustawie rodzą trwalsze pytanie: czy regulatorzy mogą zmusić centrum danych do udostępnienia infrastruktury najemców podczas dochodzenia? Język ustawy dotyczący zbierania informacji jest szeroki, a interpretacje prawne będą potrzebowały czasu, by ukształtować się poprzez orzecznictwo i wytyczne regulacyjne.

Dla użytkowników VPN praktyczne ryzyko niekoniecznie polega na tym, że jutro urzędnik rządowy przeczyta ich historię przeglądania. Ryzyko ma charakter strukturalny. Ramy regulacyjne traktujące centra danych jako krytyczną infrastrukturę narodową, wyposażone w rozszerzone uprawnienia dostępu i wymuszonego ujawniania informacji, tworzą warunki fundamentalnie mniej przyjazne anonimowym usługom chroniącym prywatność niż ramy, które takich uprawnień nie przewidują.

Zajęcie serwerów jest ostrzejszą stroną tego zagrożenia. Brytyjskie organy ścigania dysponują już mechanizmami zajmowania serwerów w ramach dochodzeń karnych. Nowa ustawa nie rozszerza bezpośrednio tych uprawnień, ale ściślejsza relacja między operatorami centrów danych a regulatorami rządowymi sprawia, że środowisko operacyjne staje się bardziej przepuszczalne. Dostawcy, którzy nie wdrożyli zweryfikowanej architektury braku logów, są w tym kontekście bardziej narażeni.

Brytyjskie prawo cyberbezpieczeństwa a RODO i NIS2: gdzie to się wpisuje w globalny wzorzec regulacyjny

Brytyjska ustawa nie powstała w próżni. Po Brexicie Wielka Brytania zachowała regulacje NIS wywodzące się z unijnej dyrektywy NIS, jednak odeszła od nich, zanim weszło w życie zaktualizowane unijne NIS2. NIS2 znacząco poszerzyło kategorie objętych podmiotów i zaostrzył terminy raportowania incydentów w państwach członkowskich UE. Brytyjska ustawa o cyberbezpieczeństwie i odporności jest po części odpowiedzią rządu brytyjskiego na NIS2 — realizacją podobnych celów za pośrednictwem krajowego aktu prawnego.

Istotna różnica dla celów prywatności dotyczy jurysdykcji. RODO, które nadal obowiązuje w Wielkiej Brytanii w formie zachowanego brytyjskiego RODO, zapewnia ramy dla praw osób, których dane dotyczą, i nakłada ograniczenia na sposób przetwarzania i udostępniania danych osobowych. Nowa ustawa o cyberbezpieczeństwie działa na innym torze regulacyjnym — skupia się na poziomie bezpieczeństwa i raportowaniu incydentów, a nie na prawach podmiotów danych. To, jak te dwa systemy się zazębiają i potencjalnie wchodzą w konflikt, pozostaje otwartą kwestią, którą regulatorzy i sądy będą musieli rozstrzygnąć.

Dla użytkowników VPN porównujących jurysdykcje, Wielka Brytania zajmuje bardziej złożoną pozycję niż pięć lat temu. Zachowuje ochrony wywodzące się z RODO, ale jednocześnie buduje bardziej interwencjonistyczny reżim cyberbezpieczeństwa z bezpośrednim dostępem do warstwy infrastruktury.

Na co powinni zwracać uwagę użytkownicy VPN, aby uniknąć narażenia na brytyjską jurysdykcję

Jurysdykcja jest jednym z najczęściej pomijanych czynników przy wyborze dostawcy VPN, a implikacje ustawy o cyberbezpieczeństwie i odporności dla prywatności czynią ją ważniejszą niż kiedykolwiek. Warto ocenić kilka konkretnych kwestii.

Po pierwsze, gdzie dostawca VPN ma siedzibę prawną? Firma z siedzibą w Wielkiej Brytanii podlega brytyjskim wnioskom organów ścigania i obowiązkom regulacyjnym, niezależnie od tego, gdzie fizycznie znajdują się jej serwery. Dostawca z siedzibą w jurysdykcji poza Wielką Brytanią i poza sojuszem wywiadowczym Five Eyes działa w oparciu o inny punkt wyjścia prawnego.

Po drugie, gdzie znajdują się serwery, z których faktycznie korzystasz? Nawet dostawca spoza Wielkiej Brytanii może prowadzić serwery w brytyjskich centrach danych, które teraz podlegają nowemu systemowi raportowania. Dostawcy oferujący serwery działające wyłącznie w pamięci RAM lub wyraźnie dokumentujący swoje decyzje dotyczące infrastruktury dają użytkownikom więcej informacji do pracy.

Po trzecie, czy polityka braku logów dostawcy została niezależnie poddana audytowi? Raporty z audytów nie eliminują ryzyka prawnego, ale ustanawiają faktyczny punkt odniesienia dotyczący tego, jakie dane istnieją. Dostawca, który niczego nie loguje, nie ma niczego znaczącego do ujawnienia w scenariuszu wymuszonego raportowania.

Dostawcy z siedzibą w Szwecji działają na przykład w oparciu o prawo szwedzkie, które zapewnia własne ochrony prywatności odrębne od brytyjskich ram prawnych. PrivateVPN, założony w 2009 roku i z siedzibą w Szwecji, jest przykładem dostawcy, którego jurysdykcja znajduje się całkowicie poza zasięgiem brytyjskich regulatorów. Nie czyni go to odpornym na wszelkie naciski prawne, ale oznacza, że brytyjskie władze nie mogą bezpośrednio wymusić ujawnienia informacji na mocy prawa krajowego.

Co to oznacza dla Ciebie

Brytyjska ustawa o cyberbezpieczeństwie i odporności nie jest prawem inwigilacyjnym w konwencjonalnym sensie. Jest przede wszystkim środkiem bezpieczeństwa i compliance, mającym na celu wzmocnienie infrastruktury narodowej. Jednak infrastruktura, którą obejmuje, obejmuje centra danych, w których działają serwery VPN, a rozszerzone uprawnienia raportowania i dochodzeniowe, które tworzy, mają pośrednie konsekwencje dla prywatności.

Jeśli Twój dostawca VPN prowadzi serwery w brytyjskich centrach danych, serwery te istnieją teraz w środowisku bardziej uregulowanym i bardziej przejrzystym dla rządu niż wcześniej. Jeśli Twój dostawca ma również siedzibę prawną w Wielkiej Brytanii, Twoje narażenie się zwielokrotnia.

Praktyczne kroki do podjęcia teraz:

Przejrzyj listę serwerów swojego dostawcy VPN i sprawdź, czy brytyjskie serwery znajdują się w domyślnej ścieżce połączenia.
Przeczytaj politykę prywatności dostawcy i poszukaj niezależnych audytów jego deklaracji dotyczących braku logów.
Zastanów się, czy Twój dostawca ma siedzibę w jurysdykcji z silnym prawem ochrony prywatności i bez bezpośredniego narażenia na brytyjski przymus regulacyjny.
Jeśli jurysdykcja brytyjska budzi Twoje obawy, rozważ dostawców z siedzibą poza Wielką Brytanią i poza państwami członkowskimi Five Eyes.

Tego rodzaju ustawodawstwo zazwyczaj ewoluuje po wprowadzeniu. Obecna ustawa przejdzie przez Parlament, zostanie poddana poprawkom i w ciągu kolejnych miesięcy wygeneruje wytyczne regulacyjne. Śledzenie na bieżąco szczegółów w miarę ich ustalania jest najskuteczniejszą rzeczą, jaką użytkownicy dbający o prywatność mogą teraz zrobić.

// FAQ

Czym jest brytyjska ustawa o cyberbezpieczeństwie i odporności?

Jest to brytyjski akt prawny, który przekwalifikowuje centra danych jako infrastrukturę krytyczną i obejmuje je formalnym krajowym systemem raportowania incydentów cyberbezpieczeństwa. Rozszerza zakres obowiązujących regulacji dotyczących sieci i systemów informatycznych (NIS), zobowiązując centra danych do spełnienia nowych bazowych standardów cyberbezpieczeństwa i zgłaszania istotnych incydentów regulatorom.

Czy dostawcy VPN są bezpośrednio objęci tą ustawą?

Dostawcy VPN wynajmujący przestrzeń serwerową w brytyjskich centrach danych są uznawani za najemców tych obiektów i nie są zwolnieni z łańcucha raportowania. Jeśli centrum danych obsługujące serwery VPN doświadczy kwalifikującego się incydentu, operator musi go zgłosić, co może obejmować szczegóły dotyczące tego, jakie usługi działały na dotkniętej infrastrukturze.

Jakie uprawnienia ustawa przyznaje regulatorom?

Ustawa przyznaje regulatorom szersze uprawnienia dochodzeniowe, w tym możliwość żądania informacji technicznych, audytowania praktyk bezpieczeństwa oraz nakładania sankcji egzekucyjnych na operatorów, którzy nie spełniają wymogów.

Czy ustawa wyraźnie odnosi się do konsekwencji dla prywatności wynikających z obowiązkowego ujawniania informacji?

Nie, w obecnym kształcie ustawa nie odnosi się wyraźnie do konsekwencji dla prywatności wynikających z obowiązkowego ujawniania informacji. Warunki, na jakich informacje z raportów o incydentach mogą być dalej udostępniane, nie zostały jeszcze w pełni określone.

Czy regulatorzy mogą wymusić dostęp do infrastruktury serwerów VPN podczas dochodzenia?

Język ustawy dotyczący zbierania informacji jest szeroki, co rodzi pytania o to, czy regulatorzy mogliby zmusić centrum danych do udostępnienia infrastruktury najemców podczas dochodzenia. Oczekuje się, że interpretacje prawne w tej kwestii będą potrzebowały czasu, by ukształtować się poprzez orzecznictwo i wytyczne regulacyjne.