Polityka i prawo
Nowelizacja ustawy o KSC: to projekt polityczny, a nie ukierunkowany na zwiększenie poziomu cyberbezpieczeństwa
Nie wiem jaki jest cel merytoryczny projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, jaki problem z zakresu cyberbezpieczeństwa ma zostać rozwiązany za jej pomocą - stwierdził Jarosław Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji (KIGEIT) w trakcie rozmowy odnośnie rozwiązań zaproponowanych przez resort cyfryzacji. „Nie słyszałem o ataku przy pomocy sprzętu operatorskiego lub jego oprogramowania” – stwierdził Tworóg odnosząc się do kontrowersji na linii Chiny – Stany Zjednoczone.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wywoła sporo kontrowersji wśród ekspertów. Głównym obszarem interwencji jest rynek operatorskiego sprzętu telekomunikacyjnego. Swoimi przemyśleniami w zakresie nowego projektu podzielił się wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji (KIGEIT) Jarosława Tworóg.
„Trudno jest ten projekt ocenić, ponieważ nie wiadomo jaka głębsza myśl za nim stoi.
Warto publicznie zadać pytania - co ten projekt ustawy ma zamiar rozwiązać oraz jaki jest jego długofalowy cel? Przecież aktów prawnych nie piszę się na jeden sezon” – stwierdził Tworóg.
Czytaj też: Minister Cyfryzacji: sektor telekomunikacyjny kluczowy dla krajowego systemu cyberbezpieczeństwa
Wiceprezes KIGEIT w trakcie rozmowy dodał również, że „projekt nowelizacji jest niejasny i pozbawiony celu. Nie dostrzegam żadnych specjalnych korzyści z uchwalenia takiej nowelizacji, tak samo nie widzę żadnych zagrożeń z powodu jej niewdrożenia” – podkreślił.
Tworóg zwraca uwagę na międzynarodowe uwarunkowania projektu nowelizacji ustawy o KSC. „Nowelizacja przygotowywana jest w ramach specyficznych uwarunkowań zewnętrznych, odczuwalna jest presja amerykańska - jednak nie jesteśmy jedyni na których taką presję się wywiera” – dodał. Zauważa także, „że przepisy są niezwykle nieostre. Dają one dowolność zespołowi (Kolegium – przyp. red.), którego działalność jest czysto polityczna, więc decyzje podejmowane przez to ciało również będą polityczne. Wraz ze zmianą władzy polityka również ulega zmianie i to jest kolejna wada tego projektu.”
Zdaniem wiceprezesa KIGEITu, przygotowywany projekt ani nie wzmocni ani nie osłabi cyberbezpieczeństwa w Polsce. „Jedynym pozytywnym efektem jest to, że temat ten pojawia się w przestrzeni publicznej, przez co ludzie zaczynają rozumieć, że jest to sprawa ważna”. Tworóg podkreśla, „że najsłabszym ogniwem jest człowiek, a im więcej dyskusji na temat cyberbezpieczeństwa tym większe prawdopodobieństwo, że ludzie będą lepiej rozumieć wagę tego problemu”. W takim sensie sama dyskusja o tej ustawie ma wydźwięk pozytywny”.
W trakcie rozmowy wiceprezes KIGEITu odniósł się również do możliwości wykluczenia jednego z dostawców na rynku telekomunikacyjnym. Jak podkreślił, w jego opinii byłaby to nieracjonalna i szkodliwa ekonomicznie decyzja. Jeżeli jednak faktycznie zostałaby podjęta „to spowodowałaby (decyzja – przyp. red.) wzrost kosztów, w szczególności po stronie operatorów telekomunikacyjnych”. „Jeżeli operatorzy będą musieli ponieść koszty to docelowo wzrosną koszty produkcji i świadczenia usług. Po jakimś czasie może istotnie wpłynąć na PKB. Stracimy na tym wszyscy.” – dodał.
Tworóg krytykuje także zapisy o dostawcach wysokiego ryzyka. „To jest niezwykle naciągana teza, dyktowana uwarunkowaniami wojny ekonomicznej pomiędzy dwoma mocarstwami. W jakim sensie dany podmiot jest podmiotem wysokiego ryzyka? Z jakiego powodu jest wysokiego ryzyka?” – pyta przewrotnie wiceprezes KIGEITu. „najsłabszym ogniwem w systemie bezpieczeństwa jest sprzęt i oprogramowanie użytkownika końcowego - to tam mają miejsce najbardziej spektakularne ataki” – przypomina Tworóg odnosząc się do budzącego wiele emocji sporu na linii Huawei – Stany Zjednoczone.
Czytaj też: Robert Kośla: „nie można wykluczyć, że dostawcy wysokiego ryzyka będą w polskich sieciach"
Wiceprezes KIGEIT’u krytykuje także zapisy o ocenie bezpieczeństwa dostawcy zależnie od tego czy w kraju przestrzegane są prawa człowieka. „To jest retoryka polityczna. O jakie prawa chodzi – o Kartę Praw Podstawowych? Osobiście jestem zwolennikiem przestrzegania praw człowieka i nie zachwyca mnie to, że w jakiś krajach te prawa nie są przestrzegane. Wg mnie jest bardzo niewiele krajów, w których prawa człowieka są dobrze zdefiniowane, a jeszcze mniej, w których są przestrzegane” – dodaje. „To nie jest dobry sposób ograniczania dostępu do rynku. Jestem zwolennikiem podejścia merytorycznego. Najlepszym i sprawdzonym sposobem zapewnienia bezpieczeństwa użytkowania produktów szczególnie wrażliwych jest certyfikacja w oparciu o jawną specyfikację techniczną” - dodał.
Tworóg zapytany o to co zmieniłby w projekcie nowelizacji odpowiedział, że usunąłby „wszystkie aspekty polityczne i wysunął na pierwszy punkt certyfikacje, aby mieć pewność, że sprzęt, który wchodzi na rynek musi przejść ten proces”. „Chodzi tutaj głównie o to, aby nie wprowadzać politycznej klasyfikacji dostawców, tylko aby uruchomić kompetencje w zakresie cyber-obronności wewnątrz kraju”. Tłumaczy, że obowiązkowa certyfikacja i stała kontrola techniczna przestrzegania wymogów w grupie produktów wrażliwych doprowadzi do powstania zespołów kompetentnych fachowców, które zaczną w końcu rozumieć o co chodzi i zaczniemy badać sprzęt i oprogramowanie wprowadzane do obrotu w sposób poważny”. „Jeżeli w Europie uruchomimy mechanizmy certyfikacyjne, to zaczniemy się wreszcie orientować w zagadnieniach technicznych hardware'u i software'u - bo to głównie o to chodzi. Dorobimy się dostatecznie licznej kadry, która będzie dogłębnie rozumiała, jak to wszystko współdziała, wpływa na cyberbezpieczeństwo i które elementy są naprawdę ważne. Dopiero na tej podstawie będziemy mogli przejść od słów do działań na rzecz poprawy systemów cyberbezpieczeństwa i odzyskiwania suwerenności cyfrowej” – wyjaśnia wiceprezes KIGEITu w ramach podsumowania.