”Czy dzisiejsza ustawa jest idealna? Nie znam idealnych aktów prawnych. Czy można ją lepiej zdefiniować? Dopóki nie przejdziemy pierwszej dyskusji i nie przejdziemy procedury dostawcy wysokiego ryzyka, nie będziemy w stanie tego ocenić. Dopiero wtedy się okaże, na ile nowelizacja jest precyzyjna. To człowiek musi podjąć ostateczną decyzję w tej kwestii” - mówi w wywiadzie z CyberDefence24.pl dr inż. Jacek Oko, prezes Urzędu Komunikacji Elektronicznej.
Nikola Bochyńska, CyberDefence24.pl: Urząd Komunikacji Elektronicznej wraz z czterema największymi operatorami mobilnymi podpisał dobrowolne porozumienie będące fundamentem przyszłego ISAC, czyli centrum wymiany wiedzy z zakresu cyberbezpieczeństwa w sektorze telekomunikacyjnym (w polskiej wersji będzie to CRKE, czyli Centrum Reputacyjne Komunikacji Elektronicznej – red.). Jakie mają być założenia, cele ISAC (Information Sharing and Analysis Centre)?
Dr inż. Jacek Oko, prezes Urzędu Komunikacji Elektronicznej: Kiedy popatrzymy na dyrektywę NIS, ustawę o krajowym systemie cyberbezpieczeństwa, a kolejnym krokiem w rozwoju jest dyrektywa NIS 2 i nowelizacja KSC - widać wyraźnie, że mamy dwa nurty: pierwszy z nich to budowanie sprawnych i wydajnych sektorowych organizacji typu SOC czy CSIRT i drugim – w formule dobrowolnej ścieżki - organizowanie centrów analiz, w której wymieniamy wiedzę na temat bezpieczeństwa: o tym, co się wydarzyło, co może się wydarzyć, jak i kiedy. Bardzo często na tej podstawie można zbudować wzorzec, którego pojedynczy podmiot nie jest w stanie dostrzec. Wiedza i umiejętność podzielenia się nią z innymi, to podstawa systemu cyberbezpieczeństwa. Brakuje na rynku telekomunikacji swobody rozmawiania w tym zakresie.
Właśnie podpisaliśmy pierwsze porozumienie - sądzę, że pierwsze z kilku - z największymi operatorami mobilnymi. Zakładamy, że będziemy wzajemnie informować się o sytuacji, zbudujemy mechanizmy robocze i procedury wraz z systemem komunikacji.
ISAC skupi się na analizie, dyskusji, edukacji. Na liście przedsiębiorców telekomunikacyjnych jest ponad 4 tys. podmiotów. Podejrzewam, że wiele z nich nie ma dobrze zorganizowanych systemów bezpieczeństwa, wspieranych również wiedzą zagranicznych SOC-ów czy wiedzą globalnych operatorów.
Porozumienie ma charakter otwarty, w razie zainteresowania mogą przystąpić do niego kolejne podmioty i czerpać także wiedzę od innych, większych graczy na rynku.
Ideą ISAC jest otwartość i dobrowolność. Zapraszamy do współpracy wszystkie podmioty z sektora telekomunikacyjnego, z naciskiem na przedsiębiorców, ale i izby ich reprezentujące. Mamy nadzieję, że formuła się sprawdzi poprzez dobrowolność, wymianę informacji, chęć rozmowy i skuteczność działań. Chcielibyśmy, aby była to przestrzeń nie tylko wymiany poglądów i dyskusji, ale jednocześnie by stworzyć narzędzia – przy wsparciu wszystkich członków porozumienia – by móc wesprzeć mniejszych, mniej doświadczonych graczy. By mogli poddać się audytowi, a jego wynik stanowiłby podstawę do stwierdzenia - w Centrum Reputacyjnym Komunikacji Elektronicznej ten podmiot otrzymał pozytywną weryfikację: zapewni bezpieczeństwo danych, ale i najważniejsze obecnie – bezpieczeństwo tożsamości.
Jaka będzie w tym porozumieniu rola UKE?
Nie jesteśmy przedsiębiorcą telekomunikacyjnym, jak pozostali członkowie porozumienia. Mamy inny ogląd na świat. Mamy informacje, które spływają do nas od wszystkich operatorów, które oczywiście są poufne, o co musimy dbać. Będziemy dążyli do anonimizacji danych przy jednoczesnym wypracowywaniu odpowiednich wzorców działania. W bezpieczeństwie ma to bardzo duże znaczenie – z nami mogą rozmawiać wszyscy, bo jesteśmy i chcemy być stroną zaufaną. Rola, pozycja regulatora to także tworzenie płaszczyzny rozmowy. Chodzi nie tylko o gwarancję, że „to rozwiązanie jest dobre”. Obecnie w przestrzeni komunikacji elektronicznej jako cała społeczność tworzymy prawo, które się zmienia, dyrektywy także. Przychylam się do stwierdzenia, by budować spójny system cyberbezpieczeństwa w oparciu o NIS 2, o KSC. Mamy trzy narodowe CSIRT-y, pewną wymianę informacji między pionem cywilnym i wojskowym w zakresie bezpieczeństwa. Teraz wchodzimy w obszary sektorowe.
Samo powiedzenie, że „budujemy” CSIRT-y nic nie da
W projekcie KSC przewidziano obowiązek ustanowienia CSIRT sektorowego dla danego sektora lub podsektora. Mamy CSIRT GOV, CSIRT MON i CSIRT NASK, ale często słyszę, że do tej pory wymiana informacji dotycząca incydentów nie działała. Pojawienie się CSIRT-ów sektorowych sprawi, że krajowy system cyberbezpieczeństwa będzie lepiej działał?
Jestem przekonany, że tak. Jeśli zbudujemy go w dobry sposób. Samo powiedzenie, że „budujemy” CSIRT-y bez jednoczesnego poszerzenia płaszczyzny wymiany informacji i bez sprawnej komunikacji – nic nie da. ISAC-i to spójny element tego systemu, który ułatwia rozmowy między podmiotami nie tylko o incydentach, ale o problemach, sprawach do rozwiązania. Tempo związane z działaniami w cyberprzestrzeni się zmieniło, konieczna jest reakcja. Budowanie rozwiązań systemowych, procedur, narzędzi to także ludzie. Jakich byśmy nie wykorzystali narzędzi AI do pracy – wniosek końcowy wyciąga człowiek.
Człowiek równie często jest najsłabszym ogniwem systemu cyberbezpieczeństwa.
Tak to prawda, że człowiek jest najsłabszym ogniwem, ale jednocześnie - moim zdaniem - może być w przypadku organizacji takich, jak ISAC - najmocniejszym. Czasami będzie bowiem też i tak, że ludzie pracujący w CSIRT-ach będą aktywni w ISAC-u. Wymiana wiedzy o incydentach, o doświadczeniach sprawi, że możliwe będzie wyłapanie niuansów. Do działania musimy mieć partnerów, którym ufamy. Tylko wtedy jesteśmy w stanie reagować na zjawiska w cyberprzestrzeni.
Powiedzieliśmy, że jest potrzebna wymiana informacji, że system cyberbezpieczeństwa powinna usprawnić nowelizacja KSC. Są jakieś aspekty tego dokumentu, które zdaniem pana prezesa są kontrowersyjne, które wzbudzają wątpliwości?
Każda regulacja stanowiąca nowy system będzie miała zwolenników, jak i przeciwników. Pośrodku pojawiają się wątpliwości dotyczące pojedynczych zapisów. Każda ustawa - co widać w temperaturze tej dyskusji - wzbudza kontrowersje. Dotykamy bardzo newralgicznych struktur firm, państwa, całego systemu cyberbezpieczeństwa.
Operator strategicznej sieci bezpieczeństwa niezbędny?
Wracając do meritum – są pewne grupy interesów, którym zależy, aby nowelizacja wyglądała tak, a nie inaczej.
Nazwałbym ich raczej „grupami postrzegania”, co oczywiście bezpośrednio dotyczy sposobu realizacji usług i rozwoju tych firm. Przykładowo, CSIRT-y to pierwsza kontrowersja postrzegania zadań do realizacji: kto będzie je budował, kto będzie odpowiedzialny za CSIRT-y sektorowe. Taka dyskusja odbywa się nie tylko w Polsce. Dotykamy kwestii sieci bezpieczeństwa, powołania operatora strategicznej sieci bezpieczeństwa, agregacji jego uprawnień, działań tego „uprzywilejowanego” operatora sieci. Pewnie o to najbardziej chodzi.
Tych kontrowersji trochę się jeszcze znajdzie, ale jeżeli jesteśmy przy operatorze strategicznej sieci bezpieczeństwa – co zmieni pojawienie się go na rynku? Jako „naturalny kandydat” do tej roli wskazywany jest Exatel.
Nie chciałbym dyskutować o „naturalnym kandydacie”, bo rozwiązanie systemowe nie wskazuje na konkretny podmiot.
Natomiast ustawa wskazuje, jakie przesłanki musi spełnić podmiot, by nim zostać.
Tak, pewnie te typowania są prawidłowe. Czy to kontrowersyjne? Może powiem, dlaczego jest sens powoływania OSSB – nawet dyrektywa europejska wskazuje, że w ramach sieci 5G przeznaczone jest pasmo dla takiego podmiotu. Jestem przekonany, że dzisiaj jest on niezbędny do funkcjonowania, szczególnie w momencie, gdy rozwój telekomunikacji w danym kraju spowodował, że państwo - jako naturalny element wymiany informacji - nie ma pełnej, kompleksowej infrastruktury do zarządzania, przesyłania informacji kryzysowych, do ich monitorowania i reagowania, organizowania łączności tam, gdzie ten kryzys wystąpił. Stąd w Europie, ale i w USA, dąży się do tego, aby jeden podmiot miał takie możliwości. Sieć 5G technologicznie, patrząc na jej specyfikację, to umożliwia.
To powód, dlaczego w regulacjach europejskich przeznaczono pasmo, co więcej – zezwolono regulatorom, organizacjom, administracjom krajowym - by taki podmiot się pojawił. Widzimy potrzebę wykorzystania pasma 700 MHz, by część z pasma komercyjnego zagospodarować na potrzeby OSSB. To naturalne prawo każdego państwa w myśl założeń sieci 5G. To nie jest tylko i wyłącznie polski pomysł. Owszem, sposób organizacji tego systemu jest autorski. Uważam, że ciekawy.
Samo powołanie OSSB nie jest kontrowersją. Możemy dyskutować o zakresie jego kompetencji, sposobie jego budowania, ale nie bardzo zgadzam się ze stwierdzeniami, że taki operator jest niepotrzebny. Czy ma być bytem państowym, czy przekształconym z bytów komercyjnych, czy ta funkcja ma zostać powierzona jednemu z graczy komercyjnych? Są różne modele działania.
Państwo polskie, co mogę powiedzieć jako przedstawiciel regulatora, zaproponowało pewną ideę wykorzystania środków, które mamy i operatora, który jest, jeśli już mówimy o „nominalnym kandydacie”. Jest szansa stworzenia bardzo ciekawego rozwiązania, na pewno unikatowego. W Polsce przyjęto nieco inne założenia niż w przypadku projektów, które się nie udały. Gdybyśmy w roku 90. przy przemianie ustrojowej powiedzieli, że „się nie da”, gdzie byśmy dzisiaj byli?
Niektórzy ochrzcili OSSB mianem „operatora narodowego”. Minister Janusz Cieszyński uważa, że technologia, podobnie jak kapitał, ma narodowość. W zasadzie temat 5G należy postrzegać także w kontekście geopolitycznym. 5G to sprawa narodowa, interesu państwa?
Nie do końca bym się zgodził ze stwierdzeniem, że 5G to, jak wynika czasami z gorących dyskusji, jedyny bardzo istotny geopolitycznie temat. To nie jest tak, że go nie zauważamy – na całym świecie to widać, szczególnie w pandemii, jak wielkie znaczenie ma wdrożenie wysokowydajnej sieci tej klasy. Musimy pamiętać, że cechy sieci 5G zostały przygotowane wcześniej niż pojawiły się zjawiska pandemiczne. Sieć 5G była tym znamienna, że była po raz pierwszy stworzona nie dla wyłącznie nas, ludzi, jako użytkowników, ale w dużej mierze dla urządzeń. Nota bene, rozmawiałem z regulatorem z Półwyspu Arabskiego, który stwierdził, że 5G jest u nich głównie potrzebne dla rozwiązań przemysłu 4.0. To trochę inny punkt widzenia niż europejski.
Rozmowa o 5G, o aukcjach wzbudza tak duże emocje, ponieważ widzimy, że to jedno z rozwiązań, które ma wzbogacić dostęp do usługi dla każdego użytkownika - także w domu.
Ma znaczenie, skąd implementujemy rozwiązania
Duże emocje wzbudza także sprawa Huawei, który uważa, że w zapisach o dostawcy wysokiego ryzyka nowelizacja KSC uderza - choć nie wprost – w ich firmę. Zaprzeczył temu minister Cieszyński, ponieważ bezpośrednio nie wskazano tego w ustawie. Czy obawy Huawei w sprawie potencjalnego wykluczenia ich sprzętu są słuszne?
Zgadzam się z ministrem – w ustawie literalnie nie ma wskazanego konkretnego dostawcy, którego dotyczą te przepisy. Wskazana jest procedura, jaką państwo może zastosować, korzystając z własnych doświadczeń oraz innych państw sojuszniczych. Pewne rozwiązania, takie jak brak transparentności, braki w łańcuchach dostaw, to kwestie bardzo mocno widzialne w trakcie pandemii. Ma znaczenie, skąd implementujemy rozwiązania, ale to nie oznacza, że chodzi o tę konkretnie firmę. To równie dobrze może być podmiot z Europy czy dowolna firma z Polski, która nie potrafi zapewnić odpowiedniej jakości sprzętu pod względem bezpieczeństwa.
Jeśli zatem założymy, że nowelizacja w takim kształcie – w punktach o dostawcy wysokiego ryzyka – zostanie przyjęta, co w takim razie doradzić firmom, które korzystają ze sprzętu Huawei, a za kilka lat okaże się, że nie spełnia on kryteriów?
W tej samej ustawie wskazano przecież okres wycofywania sprzętu. Pamiętajmy o tym, że to nie jedyna ustawa, w której wskazano dostawcę wysokiego ryzyka. Gremium specjalistów bezpieczeństwa wskazuje, w jakim czasie dostawca powinien być usunięty z sieci. Dzieje się to na podstawie analiz ryzyka. Istnieje procedura odwoławcza, mamy tryb administracyjny. To nie jest jednorazowa „uznaniowość”. Już dzisiaj obowiązkiem operatorów jest przeprowadzanie analiz ryzyka. Trzeba zastanowić się nad tym, jak budować łańcuchy dostaw, podpisywać umowy, w jakich miejscach stawiać sprzęt i kalkulować ryzyko. Rozwiązań jest wiele, najdalej poszła Szwecja i Wielka Brytania, jednak zbudowanie przejrzystego sposobu procedowania tej oceny, to jest rozwiązanie tego problemu.
KIKE oceniło, że „przepisy nie wyglądają na przemyślane”, z kolei Związek Cyfrowa Polska, że zapisy dotyczące dostawcy wysokiego ryzyka nie są precyzyjne.
Moim zdaniem – tu popatrzę jako regulator, który jest odpowiedzialny za przeprowadzenie aukcji – im szybciej pojawi się nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa z punktu widzenia celu, do którego dążymy, czyli budowy sieci 5G - tym lepiej.
Czy dzisiejsza ustawa jest idealna? Nie znam idealnych aktów prawnych. Czy można ją lepiej zdefiniować? Dopóki nie przejdziemy pierwszej dyskusji i nie przejdziemy procedury dostawcy wysokiego ryzyka, nie będziemy w stanie tego ocenić. Dopiero wtedy się okaże, na ile nowelizacja jest precyzyjna. To człowiek musi podjąć ostateczną decyzję w tej kwestii. Oczywiście, po to jest odpowiednie gremium i ścieżka odwoławcza, by podmioty, których taka decyzja będzie dotyczyła, mogły bronić swojej pozycji zgodnie z prawem. Przy tym każde państwo musi działać na podstawie prawa. Ta dyskusja będzie trwała. Podejrzewam, że nie ma idealnej odpowiedzi.
Zobacz także: KIKE ws. nowelizacji KSC: „Przepisy nie wyglądają na przemyślane”
Czytaj również: Cyfrowa Polska zgłasza uwagi do KSC: Brak precyzji dot. dostawcy wysokiego ryzyka
Konsultacje ws. aukcji 5G w tym roku
Wracając do nowelizacji i możliwego terminu aukcji, to wiem, że deklarował pan, że nie będzie czekać z jej wznowieniem do samego końca procesu legislacyjnego. Wystarczy, że ustawa przejdzie przez etap Komitetu Stałego Rady Ministrów.
Utrzymujemy stanowisko, że zatwierdzenie ustawy przez Komitet Stały oznacza uruchomienie konsultacji w sprawie aukcji 5G.
W tym roku jest na to szansa?
Na Komitet Stały? Tak. Jeżeli mówimy o przejściu całej ścieżki legislacyjnej – tu się zgodzę z opinią pana ministra Cieszyńskiego - patrząc na to, że mamy już listopad, to mało prawdopodobne. Gdy pojawi się na Komitecie i uzyska pozytywną opinię, to uruchamiamy konsultacje.
Według niektórych prawników w obecnym kształcie przepisy regulujące postępowanie w sprawie uznania dostawcy za tzw. dostawcę wysokiego ryzyka mogą być uznane za naruszające przepisy unijne oraz umowy międzynarodowe. Pan prezes podziela to zdanie?
O to trzeba zapytać Komisję Europejską. Oczywiście, ustawa przejdzie proces notyfikacji, na pewno będą podnoszone elementy dyskusyjne – tak, jak i w Polsce. Uważam, że są argumenty, dzięki którym można obronić to rozwiązanie. Są też takie, dzięki którym można tę ustawę krytykować i wskazywać na konieczność poprawy.
Które kwestie mogą być sporne na poziomie Komisji Europejskiej?
Według mnie kontrowersyjny będzie fragment wskazywania konkretnych rozwiązań dotyczących OSSB, czyli budowania podmiotu, który będzie miał duże uprawnienia i będzie rezultatem działania państwa. To na pewno nie jest model, który jest powszechnie aprobowany. Natomiast nie jest eliminowalny. Być może pojawi się dyskusja na temat dostawcy wysokiego ryzyka, ale jak popatrzę na tego typu dokumenty przyjęte w innych krajach, to ta dyskusja w zasadzie dotyczyła parametrów reakcji tzn. np. czasu (terminu wymiany sprzętu – red.). Czy jest on wystarczająco długi, czy operatorzy będą mogli dokonać analizy ryzyka tak, by byli w stanie dokonywać wymiany rozwiązań.
Co zawiodło w przypadku aukcji 5G? Co jest głównym powodem faktu, że jeszcze się nie rozpoczęła, że ten proces tak się przeciąga?
Podstawowym powodem? Problem budowy systemu bezpieczeństwa. Proszę zwrócić uwagę, że sam proces, decyzja o rozdziale częstotliwości wydaje się stosunkowo prosta. Jeżeli popatrzymy, że za nią idzie aspekt covidowy - celem jest dotarcie do większego obszaru niż zakładano, zapewnienie większej liczbie obywateli dostępu do szybkiego internetu, bo nie wszędzie dociera światłowód, ale w sposób bezpieczny – to jest ten języczek u wagi. Bezpiecznie i maksymalnie szeroko. Stąd dyskusja, która trwała, budziła dużo kontrowersji wśród organizacji. To nie system monopolistyczny, ale układ graczy, wpływających na proces podejmowania decyzji.
Posłużę się jednym z cytatów, jaki padł podczas dyskusji w ramach konferencji Impact CEE w tym roku. „Ten wyścig jest już przegrany. Trzeba skupić się na kolejnych generacjach sieci komórkowych oraz sprzęcie” (to zdanie prezesa Emitela Andrzeja J. Kozłowskiego – red.). Czy stwierdzenie, że wyścig o 5G jest już przegrany, jest słuszne? Ten wagon już dawno nam odjechał?
Rozumiem, że Belgia jest w jeszcze gorszej sytuacji, bo zapowiedziała, że dopiero w połowie przyszłego roku będzie przeprowadzała aukcję? Zgadzam się, że trzeba się spieszyć i wsiąść do tego wagonu. Musimy wejść do 5G, aby mówić o 6G i go wdrażać. Nie ma etapów pośrednich.
Pytanie, czy wagon nam odjechał, czy przegraliśmy wyścig? Ale co to znaczy? Nie jesteśmy producentem rozwiązań, nie konkurujemy o rynki zbytu. Mówimy o implementacji usług w kraju, w którym ta implementacja usług się odbywa i to wcale nie tak powoli. Warto będzie to wspomóc jak najszybszą decyzją. Jednak głównym celem nie jest samo wdrożeniem kolejnej generacji „sieci G”, celem nadrzędnym jest dostarczenie usług o wysokiej jakości do jak największej grupy ludzi.
Wdrożenie 5G to jedno, a edukacja obywateli – drugie. Wszyscy wiemy, że nie brakuje teorii spiskowych w tym temacie. Jak UKE chce rozwiązać problem sceptyzmu wobec tej technologii?
To nie jest problem tylko Polski. Będę się sprzeciwiał budowaniu wizerunku, że tylko Polacy mają obawy w tej kwestii. Musimy pamiętać, że ludzie mają naturalną obawę przed kolejną technologią, która w prostym rozumieniu, skoro „dostarcza szersze pasmo, to musi więcej promieniować”. Podobną dyskusję przeżywaliśmy lata temu przy temacie kuchenek mikrofalowych, nadal trwa dyskusja o monitorach czy telefonach.
To owszem, rola regulatora, ale uważam, że abyśmy mogli korzystać razem z 5G, wspólnie musimy o tym mówić: UKE, ale i UOKiK, KRRiT, operatorzy. Trzeba wyjaśniać, edukować, uprościć przekaz do formy powszechnie zrozumiałej i akceptowalnej. Edukacji nigdy nie jest za wiele, to proces ciągły. Jeśli będzie chociaż jeden oponent sieci 5G, a w przyszłości kolejnych, to edukacja jest potrzebna.
Dziękuję za rozmowę.
Czytaj także: #CyberMagazyn: Jakich zmian trzeba w polskiej cyberedukacji?
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.