Dyskusja o dostawcy wysokiego ryzyka. "Cyfrowa zdrada stanu"

W czasie ostatniej konferencji prasowej w Ministerstwie Cyfryzacji, wicepremier i minister cyfryzacji Krzysztof Gawkowski był pytany o bezpieczeństwo rozwiązań cyfrowych w kontekście instytucji dostawcy wysokiego ryzyka (DWR), proponowanej w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ten temat poruszył także w wywiadzie dla Spider’s Web Plus.

„Bezpieczeństwo państwa w cyberprzestrzeni to odpowiedzialność każdego obywatela i każdej instytucji. Nie ma dzisiaj obszaru państwa, w którym nie można wykorzystać danych, informacji, ich przepływu pomiędzy instytucjami, aby się do nich włamać lub zablokować. Są różne wektory wejścia. Pierwsze są software’owe - o nich często mówimy, staramy się je zabezpieczać. Drugie - obszary są hardware’owe, czyli sprzęt, który ma różnych dostawców i powinniśmy mieć pełną wiedzę o certyfikacji tego sprzętu, jego pochodzeniu i czy rzeczywiście nie jest elementem »wtyczki«, która mogłaby stanowić element wejścia” - stwierdził w czasie konferencji Gawkowski.

Jak dodał, dlatego krajowy system cyberbezpieczeństwa został tak przygotowany, aby „w sposób jasny i czytelny mówić, że nikogo nie chcą ograniczać”.

„Jeśli zapewniasz bezpieczeństwo swojego urządzenia, to nie ma żadnej obawy, że w Polsce znajdzie się ktokolwiek na liście, która będzie wykluczała go z polskiego rynku. Zresztą ta ustawa nie jest kierowana przeciwko komukolwiek. To jest ustawa zapewniająca, że każdy ma dawać poczucie bezpieczeństwa (Polakom). W momencie, w którym jesteśmy - Polska jest najbardziej atakowanym państwem w UE. Cyberbezpieczeństwo staje się kluczową domeną, m.in. jeżeli chodzi o obszary polskiej prezydencji w ciągu najbliższego pół roku” - objaśnił.

Co więcej, zdaniem polityka ”cyfrową zdradą stanu” byłby brak wprowadzenia instytucji zabezpieczającej sprzęt (czyli dostawcy wysokiego ryzyka - red.), która „chroni obywatela i państwo”.

Jak można sobie wyobrazić, że to nie powinno być naszym priorytetem, aby wykluczać z rynku ewentualne podmioty, które chciałyby wyrządzić szkody? Musimy zacząć nazywać to po imieniu. Jesteśmy w świecie rewolucji cyfrowej i albo to sobie wyobrazimy, albo będziemy stawiać pytania o odpowiedzialność za cyberbezpieczeństwo. (…) Przez lata zamykaliśmy oczy, udawaliśmy, że tego nie ma. Trzeba sobie odpowiedzieć, skąd jest dany sprzęt, od kogo, kto ma kontrolę nad danymi. To jest odpowiedzialność za państwo, inaczej będzie to cyfrową zdradą stanu.
Krzysztof Gawkowski, wicepremier i minister cyfryzacji

Dostawca wysokiego ryzyka. Wiele kontrowersji

Wiele razy na łamach CyberDefence24.pl pisaliśmy o potrzebie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, opisywaliśmy przebieg procesu legislacyjnego, jego problemy czy kontrowersje towarzyszące uchwalaniu nowych przepisów.

Mnogość interesów na rynku i gigantyczny obszar, jaki obejmuje ustawa sprawiają, że sprawa nie jest prosta, a Polska nie zdążyła przyjąć „KSC 2.0” w zeszłym roku. Eksperci, których pytaliśmy o opinię zgodnie przyznawali, że potrzebne jest dostosowanie obowiązującej ustawy o KSC z 2018 roku do współczesnych wyzwań. Jedna z debat w czasie naszej konferencji Cyber24 Day także dotyczyła tego zagadnienia.

Próbę nowelizacji ustawy o KSC podejmował już poprzedni rząd, a były minister cyfryzacji Janusz Cieszyński deklarował: ”Wprowadzimy przejrzystą procedurę, kto jest dostawcą wysokiego ryzyka”. „Nie ma czegoś takiego jak „Lex anty-Huawei”. To ta sama ustawa o krajowym systemie cyberbezpieczeństwa, jaka była do tej pory. W tym zakresie żadnych istotnych zmian nie planujemy. (…) Naszą intencją jest wprowadzenie racjonalnej, przejrzystej procedury - kto jest dostawcą wysokiego ryzyka” – mówił CyberDefence24.pl.

Tę samą narrację, co poprzedni rząd, stosuje w tym temacie obecne Ministerstwo Cyfryzacji.„Dostawca wysokiego ryzyka - i chcę, żeby to wybrzmiało - nie jest celowany w kogokolwiek, w jakąkolwiek firmę, kraj. Celowany jest w walkę z zagrożeniami” - zaznaczył wiceminister cyfryzacji Paweł Olszewski w czasie konsultacji Strategii Cyfryzacji Państwa.

Krytyka biznesu

Nie wszyscy zgadzają się z resortem cyfryzacji i nie kryją, że są przeciwni takiemu rozwiązaniu. Z końcem grudnia pojawiły się nowe uwagi do obecnej (jeśli dobrze liczymy, w sumie 20. wersji…) projektu ustawy o KSC, który jest na etapie Komitetu ds. Europejskich w procesie legislacyjnym.

Jeśli spojrzymy na stanowisko Polskiej Izby Komunikacji Elektronicznej (PIKE), to nie ukrywa ona, że jej zdaniem projekt będzie miał negatywny wpływ na sektor MŚP.

Zdaniem PIKE, „formalna i jedyna przesłanka wydania decyzji” jest zakreślona bardzo ogólnie („poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”) i „z góry projekt ustawy zakłada, że co najmniej część uzasadnienia decyzji (a następnie wyroku sądu) będzie utajniona. Skutkiem decyzji DWR będzie nakaz wycofania z użytkowania wskazanego w decyzji sprzętu i oprogramowania określonych firm (oraz zakaz nabywania takiego sprzętu i oprogramowania)” - czytamy w stanowisku.

Zdaniem Izby, choć uzasadnienie projektu ustawy nie mówi o tym wprost, Ministerstwo Cyfryzacji wielokrotnie podkreślało, że w projekcie ustawy chodzi m.in. o zakazanie używania produktów firm chińskich, jakie od wielu lat były „legalnie stosowane na rynku telekomunikacyjnym i w przypadku których nie istnieją dowody, jakoby cechowały się niższym poziomem bezpieczeństwa od sprzętu i oprogramowania innych producentów”.

„Odmienne traktowanie dostawców z Chin od pozostałych dostawców znalazło wyraz w projekcie ustawy: w przypadku sprzętu i oprogramowania dostawców spoza UE lub NATO (w praktyce na polskim rynku jest to w zdecydowanej większości sprzęt chiński) o zaistnieniu wspomnianej wyżej przesłanki „poważnego zagrożenia dla obronności…” może zadecydować prawdopodobieństwo, że taki dostawca jest pod kontrolą państwa spoza UE lub NATO. Jest to bowiem jedna z okoliczności, które będą analizowane w opinii Kolegium ds. Cyberbezpieczeństwa, z którą Minister Cyfryzacji musi się zapoznać przed wydaniem decyzji DWR” - wskazano.

PIKE zwraca również uwagę, że wprowadzenie mechanizmu DWR może przynieść negatywne skutki także dla edukacji, uniemożliwiając szkołom korzystanie z Ogólnopolskiej Sieci Edukacyjnej OSE (sieć OSE w dużej części jest zbudowana z wykorzystaniem sprzętu dostawców chińskich).

„Wskazujemy, że regulacja ta, przyniesie katastrofalne skutki gospodarcze, zwłaszcza na obszarach słabiej rozwiniętych. Na tych bowiem obszarach szczególnie często wykorzystuje się sprzęt chiński, zapewniający optymalną proporcję ceny i jakości, przy zachowaniu takiego samego poziomu bezpieczeństwa, jak w przypadku sprzętu innych dostawców” - napisała PIKE do polityków.

Swoje krytyczne stanowisko w tym zakresie wyraziła m.in. Konfederacja Lewiatan, która stwierdziła, że przepisy regulujące DWR „wciąż budzą wątpliwości rynku odnośnie ich właściwej interpretacji”.

„Część firm zwraca uwagę na to, że brakuje podstaw do wykluczenia dostawcy wysokiego ryzyka na podstawie kryterium politycznego, które pozornie łączy się z państwem pochodzenia dostawcy, podzielając pogląd przyjęty przez ekspertów z Ministerstwa Cyfryzacji. Nie brakuje jednak głosów z rynku, które podważają sens zamieszczania w ustawie kryterium pochodzenia dostawcy w katalogu przesłanek, jakie powinny być brane pod uwagę w ramach analizy towarzyszącej wyznaczaniu dostawcy wysokiego ryzyka.Wprowadzenie procedury klasyfikowania dostawcy wysokiego ryzyka, opierającej się na nietechnicznych kryteriach, takich jak państwo pochodzenia dostawcy, rodzi szereg poważnych zagrożeń gospodarczych i regulacyjnych” - ocenia Lewiatan.

Wcześniej podobną opinię wyraziła m.in. Federacja Przedsiębiorców Polskich, wskazując, że „obecne propozycje regulacji, szczególnie dotyczące procedury uznania dostawcy za dostawcę wysokiego ryzyka, budzą poważne wątpliwości w kwestii ich zgodności z prawem Unii Europejskiej. Wprowadzenie kryteriów opartych na państwie pochodzenia dostawców może prowadzić do dyskryminacji podmiotów z innych państw członkowskich oraz krajów trzecich, co stoi w sprzeczności z zasadami jednolitego rynku i swobodnego przepływu towarów i usług, zagwarantowanymi w Traktacie o Funkcjonowaniu Unii Europejskiej” - czytamy w dokumencie.

Szanse - według resortu cyfryzacji - na uchwalenie noweli KSC są w 2025 roku. Czy polityczne obietnice zostaną spełnione i w jakim kształcie, dopiero się przekonamy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].