Prezes KIKE o nowelizacji KSC: polityka wygrywa z bezpieczeństwem Polaków

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jest jednym z tematów, który wywołuje falę komentarzy. Prace nad nowymi przepisami, implementującymi zapisy unijnej dyrektywy NIS2 (termin minął w październiku 2024 r.), trwają od 7 lat. 

Przez ten czas pojawiały się różne wizje i koncepcje. W ostatnim czasie sprawa jednak nabrała tempa: projekt noweli przeszedł przez rząd i trafił do Sejmu. Jak pisaliśmy na naszych łamach, w trakcie pierwszego czytania ustawy sala plenarna świeciła pustkami. Skromne grono parlamentarzystów przedstawiło stanowisko swoich partii. O nastawieniu polityków do regulacji znajdziecie je w materiale: Nowelizacja KSC w Sejmie. Poznaliśmy stanowiska partii.

Przypomnijmy, że projekt przepisów przewiduje m.in. utworzenie CSIRT-ów sektorowych, rozszerzenie listy podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa oraz dofinansowanie instytucji takich jak NASK. Emocje wywołuje chociażby zdefiniowana w noweli instytucja dostawcy wysokiego ryzyka. 

O kluczowej regulacji z perspektywy polskiego cyberbezpieczeństwa rozmawiamy z Prezesem Krajowej Izby Komunikacji Ethernetowej Karolem Skupniem. 

„Komunistyczna praktyka” w nowelizacji KSC

Szymon Palczewski, CyberDefence24: Rząd przyjął nowelizację ustawy o KSC, teraz czas na parlament. Jak Pan podchodzi do obecnego kształtu projektu?

Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE): Uważam, że należy wprowadzić zmiany do nowelizacji, ponieważ w obecnej formie ustawa jest niebezpieczna dla bezpieczeństwa cyfrowego Polaków; pogarsza sytuację w wielu aspektach.

Co ma Pan na myśli?

Niestety w Polsce jest tendencja mieszania przepisów unijnych z wewnętrznymi pomysłami na zmiany prawne. Prezentowana nowelizacja ustawy o KSC jest przedstawiana jako regulacja wdrażająca dyrektywę NIS2, jednak to nie do końca prawda. Do projektu dodano mnóstwo rzeczy, które nie pochodzą z unijnych przepisów i moim zdaniem są to rzeczy szkodzące bezpieczeństwu. 

Czyli Pana zdaniem pod przykrywką nowelizacji o KSC wdrażane są rzeczy, o których nie ma mowy w NIS 2?

Obecnie realizowana jest kampania pod hasłem: „musimy przyjąć nowelizację KSC, bo musimy wdrożyć NIS2”. Tak, musimy wdrożyć unijną dyrektywę, ale po co dodajemy przepisy, które są szkodliwe?

Może Pan podać konkrety?

Od kilku lat prowadzimy dyskusje i stawiamy pytanie, czy urzędnik powinien mieć prawo decydować, na jakim sprzęcie pracuje polski przedsiębiorca. Naszym zdaniem (KIKE – red.) to komunistyczna praktyka. Nie można nakazywać firmom funkcjonować na określonym sprzęcie. Dbając o bezpieczeństwo, należy stawiać wymogi jakościowe a nie w sposób ręczny podejmować decyzję za przedsiębiorcę.

Uważa Pan, że obecny kształt nowelizacji stwarza ryzyko nadużywania władzy?

Moim zdaniem tak. Nikt nie jest od tego, aby mówić mi, które urządzenia mam kupować a które nie. Wciąż nie rozumiemy, że dla bezpieczeństwa Polski rząd powinien skupić się na wymogach jakościowych – na całym świecie określa się je poprzez odpowiednią standaryzację. 

U nas chcemy, aby to minister decydował, czy coś jest dobre lub złe. To bardzo niebezpieczne. Uważam, że wcześniej czy później doprowadzi to do katastrofy. W praktyce znajdujemy się u progu przegłosowania przepisów, które niedługo będzie trzeba i tak zmienić. 

Dostawa wysokiego ryzyka. „To pomysł polskiego rządu”

Rozumiem, że do kategorii „problematycznych przepisów” zalicza Pan zapisy dotyczące dostawców wysokiego ryzyka?

Rząd bardzo błędnie komunikuje w ogóle istotę mechanizmu dostawcy wysokiego ryzyka (DWR).

Gdzie widzi Pan ten błąd?

Przede wszystkim przepisy dyrektywy NIS2 nic nie mówią o konieczności wdrożenia mechanizmu DWR. Przekonuje się społeczeństwo, że taki jest obowiązek, a to manipulacja. Nie, nie trzeba go wprowadzać implementując unijne prawo.

Po drugie, DWR nie pochodzi z aktu prawnie wiążącego, lecz zbioru zaleceń nazwanego 5G Toolbox, który – jak sama nazwa wskazuje – odnosi się wyłącznie do sieci piątej generacji. Zatem w przypadku Polski mamy do czynienia z sytuacją, gdzie rekomendacje dotyczące bezpieczeństwa 5G rozszerzane są na wszystkie inne sieci, co jest oszustwem. 

Inną specyfikę ma 5G, inną mają światłowody itd.

Dokładnie tak. Inne ryzyka występują w przypadku sieci komórkowych, inne w przypadku światłowodów, a teraz próbuje się je ujednolicić: zastosować mechanizmy wymyślone dla 5G również w odniesieniu do sieci stacjonarnych. To nie wynika z żadnych unijnych przepisów.

Jak zatem powinniśmy to Pana zdaniem interpretować?

Rozszerzenie mechanizmu dostawcy wysokiego ryzyka na inne sieci jest pomysłem polskiego rządu. Trzeba powiedzieć wprost: nie mamy tu do czynienia z wdrażaniem unijnych przepisów, lecz nadregulacją. 

Powtórzę raz jeszcze: obecny projekt nowelizacji ustawy o KSC jest szkodliwy dla Polski, ponieważ daje urzędnikowi prawo do ręcznego sterowania i decydowania – podobnie jak za czasów komunizmu – o tym, na jakim sprzęcie mają pracować firmy. Równocześnie przepisy nie nakładają na niego odpowiedzialności, pozostawiając ją na barkach przedsiębiorstw. 

Naszym zdaniem to przekroczenie uprawnień konstytucyjnych. 

Czyli jeśli ktoś podejmuje decyzje, to powinien też wziąć odpowiedzialność za ewentualne ich skutki?

Tak. Tymczasem procedura DWR jest tak skonstruowana, że minister może nakazać nam wymianę sprzętu, ale jeśli w konsekwencji sytuacja się pogorszy, nie odpowie za błędy tej decyzji.

Nie znam takiego urzędnika, który posiadałby na tyle obszerną wiedzę, aby w pojedynkę wskazywać, jak powinno wyglądać cyberbezpieczeństwo Polek i Polaków. Mówimy o milionach urządzeń w skali kraju – żaden minister nie jest w stanie nad tym zapanować. Co więcej, nikt nie potrafi dokładnie ich wyliczyć. A sprzętu cały czas przybywa. To jednak nie koniec. 

To znaczy?

Proszę zwrócić uwagę, że w 5G Toolbox inaczej zdefiniowano cały mechanizm niż używa się go na gruncie polskim pod hasłem „dostawcy wysokiego ryzyka”. W unijnych zaleceniach nie ma ani jednego słowa o tym, aby procedury dawały władzę politykom. Tu chodzi o ochronę przed „zagrożeniami nietechnicznymi”. 

Ataki Rosji na Polskę a pochodzenie sprzętu

Co kryje się pod tym pojęciem?

Często w przestrzeni publicznej „dostawca wysokiego ryzyka” mylony jest z dostawcą, którego rozwiązania są niebezpieczne. Gdyby tak w istocie było, nazywałby się „mechanizmem urządzeń wysokiego ryzyka”. A od tego są inne przepisy i procedury. Wystarczy wspomnieć na wymogi dotyczące likwidacji podatności.

A więc z perspektywy KIKE to kolejny duży problem związany z nowelizacją.

To ważne, ponieważ chodzi o ryzyko zachwiania łańcucha dostaw. Zarówno Ministerstwo Cyfryzacji, jak i sam Pan Premier Krzysztof Gawkowski (wicepremier i minister cyfryzacji – red.) w publicznych wypowiedziach podkreślają, że Rosjanie nas atakują w cyberprzestrzeni i nowelizacja KSC ma podnieść bezpieczeństwo. Co ma do tego pochodzenie sprzętu? Czy jeśli wymienimy chiński sprzęt na amerykański to Rosjanie nagle przestaną nas atakować? Takie podejście nie ma żadnego sensu. 

Uważa Pan, że pochodzenie technologii nie ma znaczenia, ponieważ adwersarz nie zwraca uwagi na kraj produkcji?

Rosjanie nie patrzą, kto jest producentem danego sprzętu. Po prostu mają cel ataku i do niego dążą. 

Wspomniał Pan o wymianie sprzętu. Z czym to się może wiązać?

Wymiana sprzętu spowoduje znaczące koszty. Wydamy miliardy złotych na zastąpienie jednych rozwiązań drugimi, a Rosjanie nadal będą nas atakować, bo jedno z drugim nie ma nic wspólnego. 

Obecnie w rządowych przekazać dokonuje się manipulacji. Wskazuje się, że w Polsce mamy do czynienia z wieloma zagrożeniami, w tym cyberatakami, dlatego konieczne jest wprowadzenie mechanizmu DWR. Problem w tym, że procedura ta nie chroni nas przed incydentami.

Najlepszy, bo z Chin. „A nam każe się kupować badziewie...”

W takim razie jak Pana zdaniem powinniśmy rozumieć pojęcie „dostawcy wysokiego ryzyka”?

Najlepiej omówić to na przykładzie. Proszę wyobrazić sobie, że firma świadcząca usługi 5G kupuje cały sprzęt od jednego dostawcy. Dochodzi do sytuacji kryzysowej, np. awarii lub wojny, w wyniku czego spora część infrastruktury zostaje zniszczona. Wówczas operator zwraca się do swojego dostawcy z prośbą o pilne dostarczenie milionów urządzeń końcowych i do rdzenia sieci. Dostaje jednak odmowę, ponieważ np. firma nie jest w stanie zrealizować tak dużego zamówienia lub też odmawia ze względu na sytuację geopolityczną. 

Jeśli zakażemy używania sprzętu 2-3 największych producentów na świecie, może okazać się, że mniejsi nie zaspokoją potrzeb, co stwarza poważne ryzyko. 

Mówiąc o największych producentach, ma Pan na myśli chińskie firmy?

Największymi producentami na świecie są chińskie przedsiębiorstwa. To one sprzedają gigantyczne ilości profesjonalnych, bezpiecznych urządzeń wysokiej klasy. Sami z nich korzystają, bo są po prostu dobre. 

W Państwie Środka zlokalizowane są ogromne fabryki, produkujące najlepsze na świecie urządzenia telekomunikacyjne. I ja rozumiem, że politykom się to nie podoba, ale takie są fakty. Jeśli ktoś widzi problem w tym, że wydajemy pieniądze w Chinach, kupując tamtejszy sprzęt, niech nazywa sprawę po imieniu: „to problem gospodarczy”, a nie doszukuje się związku z bezpieczeństwem Polaków.  

W naszym kraju znaczna część infrastruktury telekomunikacyjnej bazuje na chińskim sprzęcie.

Bo to najlepszy sprzęt. Bazy danych w polskich urzędach stoją na chińskich urządzeniach, korzystają z nich ministerstwa itd. 

Może dlatego, że jest tańszy.

On już dawno przestał być najtańszy na rynku. Kupujemy go, bo po prostu jest najlepszy: został stworzony w gigafabrykach przez ekspertów wykształconych na uznanych uczelniach. Chiny od kilkudziesięciu lat wydają ogromne pieniądze na naukę i badania w obszarze rozwoju nowoczesnych technologii. Przykładem są właśnie urządzenia dla sektora telekomunikacyjnego, które dzięki postępowi stają się odporniejsze i bezpieczniejsze.

Zna Pan jakieś konkretne parametry, które o tym świadczą?

Jako przykład mogę podać odporność na niskie i wysokie temperatury. Robiliśmy tego typu testy termiczne z udziałem sprzętu różnych producentów.

I jakie były wyniki?

Okazało się, że gdy wyłączyliśmy klimatyzację w serwerowniach, amerykański sprzęt przestawał działać na skutek przegrzania. Chiński natomiast pracował bez zmian. To pokazuje, że jest w stanie przetrwać w naprawdę bardzo trudnych warunkach. A nam każe się kupować badziewie, które nie przetrwa wyłączenia klimatyzacji… 

Apel o zmianę projektu nowelizacji

A co z głosem branży? Jako KIKE zrzeszacie wiele firm, w tym telekomy. Nie apelujecie do władzy?

Zrzeszamy tysiące ekspertów, którzy rozsiani są po całym kraju: od małych miasteczek po duże miasta. Ministerstwo Cyfryzacji z ich zdaniem się nie liczy, bo uważa, że wie wszystko lepiej. W tak złożonym świecie, pełnym różnorodnych zagrożeń, nie da się w ten sposób zarządzać ryzykiem.  

Z Pana słów wynika, że jako KIKE będzie przekonywać parlamentarzystów, aby odrzucili projekt nowelizacji KSC w obecnym kształcie.

Będziemy przekonywać głównie posłów sejmowej komisji cyfryzacji, aby nie dali się nabrać na pomysł ręcznego sterowania naszymi urządzeniami. 

Macie już plan na te rozmowy?

Na pewno będziemy powtarzać, że obecne przepisy, w tym te dotyczące dostawcy wysokiego ryzyka, nie ograniczają się jedynie do określonego rodzaju sprzętu, w przeciwieństwie do 5G Toolbox, który odnosi się do urządzeń w rdzeniu sieci 5G. Efekt? Zamiast mówić o kilkuset przypadkach, w grę wchodzą miliony urządzeń. 

Uważam, że nadawanie sobie uprawnień do decydowania o losach milionów urządzeń kupowanych przez prywatne firmy za własne pieniądze, o których mowa w nowelizacji to typowe napawanie się władzą. 

Proces legislacyjny wokół nowelizacji trwa od 7 lat. Ustawa trafiła do Sejmu. Czego się Pan spodziewa na tym etapie?

Spodziewam się dyscypliny partyjnej i opowiedzenie się za przyjęciem projektu przez rządzącą większość. Kwestie polityczne będą ponad bezpieczeństwo Polaków. 

Dziękuję za rozmowę.