Krajowy System Cyberbezpieczeństwa wciąż w budowie! To już ponad dwa lata od uchwalenia pierwszego projektu nowelizacji ustawy a wersji finalnej wciąż brak!
Po raz pierwszy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany z datą 7 września 2020 r. – ponad dwa lata od uchwalenia ustawy. Liczył 25 stron, wywoływał kontrowersje i wszedł w tryb uzgodnień międzyresortowych. Wyłonił się z nich po ponad roku, jako dokument 89-stronicowy. O wersji finalnej nic nie słychać.
Zachowanie cyberbezpieczeństwa to konieczność. Od wielu lat powtarzamy to jak mantrę. A po 24 lutego tego roku, po barbarzyńskiej napaści Rosji na Ukrainę, wiemy to jeszcze lepiej. Konieczny jest Krajowy System Cyberbezpieczeństwa. Niestety, mamy z nim kłopoty.
Miejsce dla wojowników
– Niespełna trzydzieści lat temu dwaj analitycy think tanku Rand, John Arquilla and David Ronfeld opublikowali w czasopiśmie „Comperative Strategy” artykuł zatytułowany „Cyberwar is coming!” – przypomina Ireneusz Piecuch, partner w kancelarii DGTL Kibil Piecuch i Wspólnicy SKA. – Była to pierwsza publikacja zawierająca poważną analizę możliwości wykorzystania ataku na systemy informacyjne przeciwnika (w tym systemy zarządzania) w celu uzyskania przewagi militarnej. Jej autorzy stwierdzili, że cyberwojna stanie się w XXI wieku odpowiednikiem tego, czym dla wieku XX był blitzkrieg.
Niespełna trzy lata później U.S. Navy, U.S. Air Force, NASA, Departament Energii i kilka innych agend rządowych Stanów Zjednoczonych stało się celem powtarzających się cyberataków. Łupem nieznanych hakerów padły dokumenty o najwyższym stopniu poufności, zawierające między innymi dokumentacje uzbrojenia, kodów szyfrujących, planów wojskowych. Organy prowadzące dochodzenie oceniły, że liczba wykradzionych stron informacji przekładałaby się na ponad 500 metrów bieżących papieru. Wszystkie tropy prowadziły do Rosji. Ponieważ działo się to jeszcze w burzliwych latach, kiedy prezydentem tego kraju był Borys Jelcyn, delegacja amerykańska wybrała się w podróż do Moskwy aby całą sprawę wyjaśnić na drodze dyplomatycznej.
Jakież było zdziwienie śledczych, kiedy ich gospodarz – w randze generała – otwarcie przyznał, że Moonlight Maze (taki kryptonim nadano temu atakowi) to faktycznie ich dzieło. Przy czym ich miało oznaczać bliżej nieokreślone służby specjalne rosyjskiego imperium w przebudowie, które zaczęły działać na własną rękę. Następnego dnia ów generał już się jednak nie pojawił, a rozmowy zeszły na boczne tory. Według amerykańskiej delegacji wyraźnie świadczyło to o tym, że ich gospodarz okazał się albo naiwny, albo niedoinformowany. A pewnie i jedno, i drugie.
To właśnie po tej wizycie, w 1998 roku, w armii amerykańskiej pojawiła się nowa jednostka specjalna zajmująca się ochroną sieci teleinformatycznych (Joint Task Force – Computer Network Defense), a John Hamre – wówczas zastępca sekretarza obrony wypowiedział znamienne słowa: Departament Obrony jest w stanie cyberwojny od pół roku. Cyberprzestrzeń nie jest już dłużej miejscem wyłącznie dla komputerowych maniaków. Teraz jest też miejscem dla wojowników.
Regulacje dla podbudowania odporności
– Od refleksji dotyczącej możliwości militarnego wykorzystania cyberprzestrzeni do wprowadzenia przepisów regulujących ten problem musiało upłynąć kolejnych kilkanaście lat obfitujących w wydarzenia pokazujące skalę narastającego zagrożenia z jednej strony, a z drugiej – możliwości zastosowania ofensywnego nowej broni – twierdzi Ireneusz Piecuch. – Opóźnienie irańskiego programu jądrowego przez połączone zespoły izraelsko-amerykańskie i wirus Stuxnet pokazały pełną skalę możliwości taktycznych złośliwego oprogramowania. Natomiast wirus NotPetya przypisywany służbom rosyjskim uzmysłowił skalę zagrożenia, paraliżując kilkanaście globalnych korporacji, w tym także… rosyjskich. Jeżeli dodamy ataki DDos w Estonii, które spowodowały świadomą decyzję odcięcia tego kraju od sieci www, a także wywołanie black-outu na Ukrainie, to i tak wymienimy tylko niektóre z najbardziej spektakularnych ataków sponsorowanych przez państwa. Cyberprzestępczość stała się drugą po narkotykach plagą związaną z zorganizowaną przestępczością. DarkNet pełen jest narzędzi, skradzionych danych czy oprogramowania złośliwego, które – zgodnie z najnowszymi światowymi trendami – można nabywać jako usługi.
W tym stanie rzeczy uchwalenie przez Unię Europejską dyrektywy NIS (Directive on Security of Network and Information System) dopiero w 2016 r. trudno nazwać błyskawiczną reakcją. Zwłaszcza że dokument był sformułowany dość ogólnie i pozostawiał bardzo dużą swobodę krajom członkowskim w zakresie budowania wewnętrznych struktur mających na celu zwiększenie odporności przedsiębiorstw europejskich. A co najgorsze – był adresowany do dość wąskiego kręgów podmiotów.
– W Polsce implementacji dyrektywy NIS dokonano poprzez uchwalenie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) – zwraca uwagę Ireneusz Piecuch. – Doceniając fakt, iż została ona w ogóle uchwalona i problem cyberbezpieczeństwa stał się tematem istotnym z puntu widzenia zarządzania zgodnością w przedsiębiorstwie, trudno wskazać zbyt wiele plusów, jakie za sobą niosła. Miała tworzyć spójny system dla zapewnienia cyberbezpieczeństwa na poziomie krajowym, w tym – jak to optymistycznie stwierdzano – możliwość niezakłóconego świadczenia usług kluczowych i usług cyfrowych. Zdefiniowani w ustawie (co do branży i rodzaju świadczonych usług) operatorzy usług kluczowych mieli wdrażać w swoich przedsiębiorstwach procesy zarządzania bezpieczeństwem w systemach informacyjnych wykorzystywanych do świadczenia tych usług.
Co ciekawe, ani ustawa, ani rozporządzenia wykonawcze nie wymagały wdrożenia określonych norm ISO czy NIST, poprzestając na opisaniu generalnej charakterystyki działań, które powinny zostać podjęte. Szacowanie ryzyka, wdrożenie odpowiednich środków technicznych i organizacyjnych, zarządzanie incydentami oraz stosowanie środków zapobiegawczych (między innymi dbałość o aktualizację oprogramowania) to tylko niektóre z nakazanych ustawowo działań. Ustawa przewidywała stworzenie instytucji Pełnomocnika podlegającego Radzie Ministrów i specjalnego Kolegium, w skład którego wchodzić miała spora część rządu. Powołano też trzy CSIRT-y (Cybersecurity Incident Reaction Teams) oraz bardzo dużo tak zwanych organów właściwych do spraw cyberbezpieczeństwa. W zasadzie dla wszystkich sektorów stawały się nimi odpowiednie ministerstwa.
– Problem w tym, że ta cała struktura została powołana w naszym kraju, w którym brak specjalistów od cyberbezpieczeństwa liczy się w tysiącach, a sektor prywatny wygrywa walkę o ekspertów, oferując dużo lepsze warunki zatrudnienia – informuje Ireneusz Piecuch. – Głównym mankamentem ustawy było także całkowite zignorowanie innego kluczowego zagadnienia: skąd wziąć pieniądze na powołanie nowych struktur, zatrudnienie nowych specjalistów, przeprowadzenie niezbędnych audytów oraz wprowadzenie procesów zapewniających właściwe zarządzanie bezpieczeństwem informacji na poziomie oczekiwanym przez ustawę. W tym kontekście brak wysokich kar za naruszenie postanowień UKSC (uchwalenie tej ustawy zbiegło się w czasie z wejściem w życia RODO przewidującego drakońskie kary za naruszenia tego rozporządzenia unijnego) uznano za jedno z bardziej pozytywnych rozwiązań przyjętych przez ustawodawcę. Czy jednak słusznie?
Konieczność zmiany UKSC?
Po raz pierwszy projekt nowelizacji UKSC został opublikowany z datą 7 września 2020 r. – ponad dwa lata od uchwalenia ustawy. Liczył 25 stron, wywoływał kontrowersje i wszedł w tryb uzgodnień międzyresortowych. Wyłonił się z nich po ponad roku, jako dokument 89-stronicowy. Mimo to jego konsultacje przeprowadzono w rekordowym tempie 14 dni (początkowo zakładano 7 dni), co musiało budzić tym większe zdziwienie, że oprócz części poświęconej cyberbezpieczeństwu do projektu wprowadzono wiele zapisów poświęconych telekomunikacji, wiążąc dokument z projektem innej ustawy – Prawem Komunikacji Elektronicznej.
Lektura uzasadnienia nowelizacji UKSC brzmi jak potwierdzenie większości opisanych wcześniej mankamentów tej ustawy. Według twórców tego projektu, mimo ustawowej możliwości, sektorowe zespoły cyberbezpieczeństwa nie były dotychczas powoływane (nie licząc CSIRT KNF). Operatorzy usług kluczowych nie powoływali właściwych struktur odpowiedzialnych za cyberbezpieczeństwo, a jeśli już to robili, zakres posiadanych kwalifikacji osób tam zatrudnionych był niejednokrotnie nieodpowiedni. Zabrakło też rozwiązań zapewniających stosowanie jednolitych standardów w zakresie bezpieczeństwa. Mankamenty są więc istotne. Jak temu zaradzić?
Zdaniem Ireneusza Piecucha recepta autorów nowelizacji wydaje się prosta. Trzeba wprowadzić więcej CSIRT-ów, obowiązek powoływania SOC-ów, czyli zespołów pełniących funkcje operacyjnych centrów bezpieczeństwa (główne ich zadania to szacowanie ryzyka w procesie ciągłym, wprowadzanie zabezpieczeń, zarządzanie jakością) oraz utworzyć ISAC-i, czyli centra wymiany i analizy informacji. Propozycja tworzenia nowych jednostek, bo stare nie zostały utworzone, brzmi trochę jak tradycyjny przepis na kaca, czyli klin klinem, choć nie do końca. Twórcy nowelizacji znaleźli bowiem rozwiązanie podstawowego problemu: jak uatrakcyjnić warunki zatrudnienia dla specjalistów w zakresie cyberbezpieczeństwa.
Zgodnie z założeniami utworzony zostanie specjalny Fundusz Cyberbezpieczeństwa zasilany z Funduszu Szerokopasmowego, budżetu państwa i środków NASK, kar określonych w ustawie oraz połowy wpływów z opłat za prawo do wykorzystywania zasobów numeracji. Fundusz będzie służył realizacji wyodrębnionych i konkretnie zdefiniowanych zadań, a jego środki zostaną przeznaczone na tzw. świadczenie teleinformatyczne, czyli dodatki do uposażenia przysługujące osobom realizującym określone funkcje związane z zapewnieniem cyberbezpieczeństwa w określonych organach administracji państwowej, a także koszty działań związanych ze zwiększeniem poziomu bezpieczeństwa systemów informacyjnych oraz systemów infrastruktury krytycznej. Innymi słowy, pensje pozostaną w dotychczasowych widełkach, ale dodatki będą mogły w niektórych przypadkach przekraczać wysokość pensji zasadniczej.
W ramach dokonywanej nowelizacji najwięcej kontrowersji wywołuje zapis przewidujący możliwość uznania producenta sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Instytucji nieznanej dotychczas prawu polskiemu, co ma pozwolić na wykluczenie z obrotu, a nawet wycofanie produktów nie dlatego, że nie spełniają określonych norm lub wymagań, ale dlatego, że ich producent nie daje rękojmi niezależności. Postępowanie w tej kwestii będzie prowadził minister właściwy do spraw informatyzacji, stosując kodeks postępowania administracyjnego, a w praktyce pod uwagę będą brane zarówno aspekty techniczne, jak i pozatechniczne. Na przykład struktura własnościowa dostawcy czy zdolność państwa rejestracji do ingerencji w działania dostawcy. Postępowanie będzie się kończyło decyzją administracyjną w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, która podlegać będzie natychmiastowemu wykonaniu. Ewentualne skargi wnoszone będą do Naczelnego Sądu Administracyjnego rozpatrującego sprawę na posiedzeniu niejawnym, a skarżący otrzymywać będzie jedynie część uzasadnienia. Taka kontrola ze strony NSA jest z pewnością olbrzymim krokiem do przodu w porównaniu z pierwszym projektem nowelizacji, ale niestety w zasadzie nie zmienia istoty proponowanych zmian. Od momentu wprowadzenia nowelizacji na mocy decyzji de facto politycznej będzie można wpłynąć na układ sił na rynku teleinformatycznym.
Niejako w cieniu tej zmiany wprowadza się jeszcze dwie instytucje: ostrzeżenia i polecenia wydawane przez ministra właściwego do spraw informatyzacji. Polecenia takie będą mogły być wydawane w przypadku wystąpienia incydentu krytycznego i na okres do dwóch lat dość daleko ingerować w działania podmiotów objętych takim poleceniem (między innymi poprzez zakaz korzystania z określonego sprzętu lub oprogramowania).
Ogromne kontrowersje budzi też planowane powołanie operatora strategicznej sieci bezpieczeństwa, który ma zarządzać specjalną siecią stworzoną dla potrzeb realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Nie byłoby to zapewne niczym dziwnym, gdyby nie fakt, że zakres podmiotów na rzecz których ów operator świadczyć ma usługi telekomunikacyjne jest bardzo szeroki, a sam OSSB nie tylko otrzyma pakiet częstotliwości istotnych z punktu widzenia zbudowania ogólnopolskiej sieci 5G, ale ma być w zamyśle twórcą i jednym z głównych udziałowców spółki Polskie 5G. Spółki, która ma oferować hurtowe usługi telekomunikacyjne w oparciu o częstotliwości OSSB oraz częstotliwości zakupione przez innych operatorów telekomunikacyjnych, którzy wejdą do spółki Polskie 5G jako wspólnicy mniejszościowi.
– Wejście w życie nowelizacji UKSC przekładano już tyle razy, że mało kto jest w stanie zaryzykować konkretną datę – podkreśla Ireneusz Piecuch. – Choć kilka faktów wskazuje, że możemy być na finiszu tego procesu. Otóż 6 kwietnia tego roku Polska – razem z 9 innymi państwami – została pozwana przez Komisję Europejska za niewdrożenie Europejskiego Kodeksu Łączności Elektronicznej. Jak wspomniałem, Prawo Komunikacji Elektronicznej, które ma na celu implementację tej regulacji europejskiej, zostało przez polski rząd powiązane z nowelizacją UKSC, choć nikt do końca nie potrafi rozwiązać zagadki, dlaczego tak się stało. Po drugie, zaczęła się ostatnia faza wprowadzania w Polsce systemu DVBT2, co będzie się wiązać z uwolnieniem częstotliwości telewizyjnych pod telefonię mobilną 5G (ostatnie wyłączenia planowane są na czerwiec). Po trzecie Polska jest jednym z ostatnich krajów europejskich, które nie ukończyły procesu dystrybucji częstotliwości pod telefonię 5G, a informacje podawane w tej mierze przez Prezesa UKE są bardzo klarowne. Aukcja jest warunkowana ostatecznym kształtem obu wymienionych ustaw.
Oczekując na ostatni akt wprowadzenia nowelizacji UKSC warto mieć na względzie, że już niedługo czekać nas będzie dużo bardziej obszerna nowelizacja. Zmieni się bowiem – dość gruntowanie – Dyrektywa NIS.
NIS2 jak RODO
Analizując od kilku lat stan systemu regulacji w zakresie cyberbezpieczeństwa, Komisja Europejska doszła do wniosku, że konieczne są zmiany. I to w takim zakresie, że trzeba będzie uchwalić zupełnie nową Dyrektywę – Dyrektywę NIS2. Według KE Dyrektywa NIS objęła zbyt wąską grupę przedsiębiorstw, a to z uwagi na to, że stopień usieciowienia i cyfryzacji przekroczył znacznie zakładane wcześniej wielkości. Dlatego pojawiły się obszary kluczowe dla rozwoju cyfrowej gospodarki europejskiej pozostające poza zasięgiem oddziaływania dyrektywy. Ponadto Komisja stwierdziła, że rozwiązaniom pierwszej dyrektywy brakowało precyzji, skutkiem czego określone grupy organizacji były regulowane w kilku krajach, a w kilku innych już nie (na przykład szpitale). Rozjechały się także systemy raportowania przyjmowane przez poszczególne państwa europejskie, co utrudniało, a czasami uniemożliwiało efektywne zarządzanie wyzwaniami cyberzagrożeń w skali europejskiej. Do tego doszedł nieefektywny nadzór i brak sprawnej egzekucji, olbrzymie zróżnicowanie w nakładach na zasoby ludzkie i budżetowe przypisane do realizacji zadań opisanych w NIS I i brak systematycznego współdzielenia informacji pomiędzy państwami UE. Patrząc na wyliczankę Komisji, aż chciałoby się zapytać: jak to ma działać?
Według projektu NIS II, maksymalne nakładane kary wzrosną do 10 milionów euro (czyli prawie czterdzieści pięć razy) albo 2 procent łącznego rocznego obrotu uzyskanego na całym świecie. Ale to nie wszystko. Przedsiębiorcy podlegający nowym przepisom po implementacji NIS II będą mogli spodziewać się inspekcji regulatora rynku w swojej siedzibie, nadzoru nad działaniami prowadzonymi on-line, losowych weryfikacji. Oprócz obowiązków przeprowadzania standardowych audytów pojawią się audyty celowe związane z oceną ryzyka, konieczność dostarczania określonej dokumentacji na życzenie uprawnionych organów oraz konieczność udzielania dostępu do danych, jeśli jest to konieczne dla sprawowania nadzoru.
Krajowe organy nadzoru mają zostać wyposażone w bardzo daleko idące uprawnienia. Ostrzeżenie będzie najłagodniejszym z nich. Kolejnym będzie wiążąca instrukcja lub nakaz dotyczący usunięcia zidentyfikowanych niezgodności lub naruszeń obowiązków przewidzianych w NIS II. Nakaz podjęcia określonych działań w zakresie zarządzania ryzykiem – w określony sposób i w określonym czasie. Nakaz wdrożenia zaleceń audytu w określonym terminie. Regulator będzie też mógł delegować swojego pracownika do nadzorowania (w określonym czasie) wskazanych działań w zakresie wprowadzania obowiązków przewidzianych w NIS II oraz podawać do publicznej wiadomości nazwy przedsiębiorców, którzy dopuścili się naruszeń Dyrektywy oraz rodzaju tych naruszeń. Do tego dochodzi możliwość zawieszenia autoryzacji lub certyfikacji określonych usług i zawieszania w obowiązkach osób z kierownictwa firmy dopuszczającej się naruszeń.
Dwie kategorie
– John Chambers, wieloletni szef CISCO powiedział swego czasu, że firmy dzielą się na dwie kategorie – mówi Ireneusz Piecuch. – Te, które zostały zhakowane i wiedzą, czym to smakuje i te, które zostały zhakowane, ale jeszcze o tym nie wiedzą. Te pierwsze zapewne mają większą tolerancję na wymagania regulacyjne. Te drugie z wielu powodów zmuszone będą zmienić swoje podejście. Nadchodzi zatem nowa fala regulacyjnych zmian (zarówno w Polsce, jak i w Unii Europejskiej), których implementacja nie zapewni nam sama przez się bezpieczeństwa, ale z pewnością skłoni zarządzających do ponownego przemyślenia tego zagadnienia – także w aspektach budżetowych.
Kary ulegną bowiem drastycznemu zwiększeniu i będą nakładane tak jak ma to ma miejsce obecnie w przypadku RODO (dobrym przykładem jest styczniowa decyzja prezesa Urzędu Ochrony Danych Osobowych w sprawie Fortum i 5 milionów złotych nałożonej kary). Regulatorzy dostaną jeszcze dalej idące uprawnienia do ingerencji w działania przedsiębiorstw podlegających regulacjom w zakresie cyberbezpieczeństwa. A to tylko jedna strona medalu. Z drugiej mamy przecież cyberprzestępców, nierzadko wspieranych przez struktury państwowe, którzy nie zrezygnują z bajecznego interesu.
Jakie zmiany
– Jeżeli chodzi o KSC, cały czas odnosimy się do projektu ustawy o zmianie ustawy o KSC z 12 października ubiegłego roku, przedstawionego w ramach uzgodnień na szczeblu Kancelarii Prezesa Rady Ministrów – przypomina Eugeniusz Gaca, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji. – Natomiast projekt opublikowany w końcu marca tego roku w wielu miejscach różni się od poddanej konsultacjom publicznym wersji projektu opatrzonej datą 07 września 2020 r. Jest w nim kilka nowych zapisów, na przykład na temat dostawców wysokiego ryzyka, które dopuszczają przedsiębiorców telekomunikacyjnych, ale tylko dużych do postępowania o uznaniu dostawcy sprzętu albo rozwiązań za niosącego podwyższone ryzyko.
Zdaniem Eugeniusza Gacy nie ma natomiast zmian w zakresie powołania operatora sieci strategicznego bezpieczeństwa oraz projektu Polskie5G czy wykorzystania na potrzeby bezpieczeństwa zakresu częstotliwości 700 MHz. Nie zmieniła się koncepcja powołania operatora sieci strategicznej dla państwa. W ocenie KIGEiT po doświadczeniach w Ukrainie kwestia ta powinna zostać ponownie zweryfikowana, czy może właśnie model sieci rozproszonej nie jest bardziej korzystny w sytuacjach zagrożenia teleinformatycznego państwa. W tych sprawach istnieje nadal wiele wątpliwości. Znaczącemu rozszerzeniu uległy również zapisy dotyczące przedsiębiorców telekomunikacyjnych w Krajowym Systemie Cyberbezpieczeństwa. Zakłada się utworzenie jednostki sektorowej CSRIT Telco powoływanej do reagowania na incydenty telekomunikacyjne, wprowadzono też system kar za uchybienia w tym zakresie (mają one zasilać Fundusz Cyberbezpieczeństwa).
Zmiany mają dotknąć także operatorów usług kluczowych (OUK), na rzecz których mają działać zespoły pełniące funkcje operacyjnych centrów bezpieczeństwa SOC. Jednak aktualna sytuacja związana z agresją Rosji na Ukrainę powoduje, że według kierownictwa KIGEiT konieczne jest ponowne przeanalizowanie proponowanych rozwiązań, szczególnie w kontekście szybkiej konieczności implementacji dyrektywy NIS 2.
Wojna w Ukrainie przekonała chyba państwa Unii Europejskiej, że ścisłe współdziałanie jest o wiele bardziej skuteczne od wszelkich indywidualnych działań. Dlatego nasza decyzja odnośnie zaniechania w tej chwili publicznych sporów w tym zakresie jest działaniem odpowiedzialnym, uniemożliwiającym tym samym wrogim państwom takim jak Rosja, poznanie naszych wątpliwości czy zastrzeżeń, sądzi Eugeniusz Gaca.
W kompetentnym gronie
Również dr inż. Jarosław Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji na obecnym etapie publiczne wypowiedzi w sprawie obecnego stanu prac nad KSC uważa za zbędne. Wynika to przede wszystkim z faktu, że konsultacje dotyczące systemu obrony przed agresją cyfrową powinny angażować grono ludzi kompetentnych. To nie kwestia polityczna, tylko czysto technologiczna. I to jest tak, jakby dyskutować publicznie na temat szczegółów technicznych dotyczących systemu obrony rakietowej, na który składa się oprogramowanie, rakiety, osprzęt towarzyszący, logistyka, dyslokacja geograficzna i współpraca z wieloma innymi systemami obrony kraju. Dlatego niechętnie patrzy on na publiczną dyskusję na tematy, które powinny pozostać tajemnicą. Uważa także, iż większą ochroną powinien być objęty zbiór informacji tłumaczących, dlaczego zapisujemy ramy prawne w taki, a nie inny sposób niż na przykład informacje dotyczące konstrukcji i działania tego czy innego, nawet najbardziej istotnego podsystemu.
– A już zupełnie drugorzędną sprawą jest to, czy zastosujemy ten czy inny sprzęt – przekonuje Jarosław Tworóg. – Istotą problemu jest takie skonstruowanie systemu, żeby był sprawny, rozwojowy, skalowalny, zdolny do działania w każdych warunkach. W warunkach wojny system ten powinien być trudny do zniszczenia i odporny na przerwane łańcuchy dostaw zapewniające obsługę, wymianę i serwis i tak dalej.
Będzie mniej bezpiecznie
A jak projekt UKSC oceniają przedstawiciele firmy, która podobno mogłaby zostać zakwalifikowana jako dostawca wysokiego ryzyka?
– Już od jesieni 2020 roku legislatorzy przymierzają się do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która (według deklaracji) ma wzmocnić bezpieczeństwo cybernetyczne Polski – wyjaśnia Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w firmie Huawei. – Wbrew nieustannym zapewnieniom, według których jesteśmy prawie na końcu jej procedowania, nadal nie mamy pewności, czy to faktycznie finalna wersja oraz kiedy zmiany wejdą w życie. I lepiej by było dla Polski, żeby w tej formie nie weszły, bo wejście nowelizacji w życie to doskonała recepta na ograniczenie konkurencyjności na rynku telekomunikacyjnym, znikome szanse na poprawę konkurencyjności Polski na rynku międzynarodowym i – paradoksalnie – obniżenie odporności polskiej telekomunikacji na ataki ze strony wrogich państw.
Będzie mniej bezpiecznie, bo zwiększenie odporności infrastruktury krytycznej polega na dywersyfikacji, a nie centralizacji, uważa Rafał Jaczyński. A z punktu widzenia logiki działania sieci wprowadzanie operatorów hurtowych jest niczym innym niż centralizacją większości aspektów działania sieci. Będzie mniej bezpiecznie, bo pozytywny wpływ konkurencji na bezpieczeństwo rozwiązań jest faktem na każdym rynku: od rozwiązań teleinformatycznych po rynek samochodowy. Ile poduszek powietrznych miałyby samochody, gdyby nasz wybór był ograniczony do aut dwóch marek?
Będzie niebezpiecznie, a w dodatku drogo. W obecnie proponowanym kształcie ustawa odbije się na kieszeniach firm i zwykłych konsumentów. Jeśli ustawodawca de facto określi, jakie rozwiązania polski przedsiębiorca może kupić, pozycja działających na naszym rynku podmiotów znacząco osłabnie. A jak słyszeliśmy z ust przedstawiciela Krajowej Izby Komunikacji Ethernetowej podczas spotkania Parlamentarnego Zespołu ds. Ochrony Praw Konsumentów i Przedsiębiorców, dla mniejszych operatorów oznacza to de facto skazanie na jednego dostawcę, i to takiego, który dotychczas odmawiał współpracy z mniejszymi klientami. Z kolei więksi operatorzy – realiami technicznymi, biznesowymi i wymaganiami prawnymi zmuszeni do wyboru spośród dwóch dostawców – będą wybierać dwie oferty spośród dwóch przedstawionych. Każdy, kto miał okazję chociaż raz uczestniczyć w przetargu, doskonale wie, że w takiej sytuacji rośnie cena, a nie jakość.
Znakomitym przykładem jest już w tym momencie rynek urządzeń IP, na którym dostawcy konkurencyjni wobec Huawei proponują czasy dostawy sięgające roku, licząc na to, że polscy klienci niedługo po prostu nie będą mieć wyboru. Zapisów noweli nie usprawiedliwia fakt, że w najnowszej wersji ustawy operatorzy dostali prawo wypowiedzenia się w sprawie oceny dostawców wysokiego ryzyka. Prawo to dostali bowiem jedynie najwięksi gracze. Tym samym nowelizacja KSC dyskryminuje nie tylko określonych dostawców sprzętu, ale i samych operatorów, dzieląc ich na lepszych i gorszych, w zależności od wysokości przychodów.
Tymczasem mimo ponad 750 zgłaszanych komentarzy, nowelizacja KSC nadal zakłada mechanizm wykluczenia określonych dostawców sprzętu i oprogramowania na bazie kryteriów, które w żaden sposób nie tylko nie są obiektywne, ale bardziej pasują do ustawy wprowadzającej sankcje niż ustawy zajmującej się cyberbezpieczeństwem. Projekt nie stawia jednocześnie producentom ani jednego wymagania rzeczywiście z punktu widzenia cyberbezpieczeństwa istotnego, nie odwołuje się do wymaganych standardów, mechanizmów, poziomów certyfikacji. Zgodnie z ustawą operatorzy polskich sieci 5G będą mogli zakupić rozwiązania producenta, który pojawił się na rynku miesiąc wcześniej i co prawda jest nieznany, nie pomyślał o przetestowaniu rozwiązań i potwierdzeniu zgodności z przynajmniej podstawowymi branżowymi standardami, ale za to rozpoczął działalność w kraju UE lub NATO. Na przykład w Albanii, nie ujmując nic temu pięknemu krajowi.
– Komu w takim razie służy ta ustawa? Nie jest potrzebna do tego, żeby wprowadzić sankcje na przedsiębiorstwa pochodzące z konkretnego kraju, bo jak pokazuje przykład firmy Kaspersky, radzimy sobie w takich przypadkach bez nowelizacji KSC. Nie poprawia bezpieczeństwa, nie stawiając żadnych konkretnych wymagań, a wręcz je obniża, centralizując infrastrukturę krytyczną i osłabiając pozycję naszych firm wobec dostawców. Kto więc korzysta na jej wprowadzeniu? Patrząc na zapisy nowelizacji trudno nie odnieść wrażenia, że skorzystają na niej wyłącznie firmy, które nie radzą sobie z normalną, zdrową konkurencją na rynku i potrzebują w związku z tym ochrony politycznej. Można ich punkt widzenia zrozumieć, trudniej szanować. Ale dlaczego interes tych firm miałby być zbieżny z interesem polskiego państwa? Czy mówimy o firmach polskich? Nie. Czy te firmy płacą u nas większe podatki? Nie. Czy może, na zasadzie wzajemności, polskie firmy są preferencyjnie traktowanie w krajach pochodzenia tych dostawców? Nie. Jaki mechanizm stoi wobec tego za tym, że polskie władze, zamiast stawiać konkretne i wysokie wymagania cyberbezpieczeństwa wszystkim dostawcom i wzmacniać możliwości klientów w egzekwowaniu tych wymagań, od dwóch lat uparcie starają się wskazywać tym klientom, którzy gracze na wielomiliardowym rynku są przedstawicielom władzy szczególnie bliscy? – pyta Rafał Jaczyński.