Polityka i prawo
Rada do Spraw Cyfryzacji: nowelizacja KSC nie jest skierowana przeciwko jakiekolwiek firmie
Rada do Spraw Cyfryzacji z zadowoleniem przyjęła projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Uzasadniając swoje stanowisko przedstawiciele think-tanku jednoznacznie podkreślili, że nowe prawo „nie jest skierowanie przeciwko jakiekolwiek firmie z jakiegokolwiek państwa”. Z drugiej strony zwrócili uwagę na konieczność ochrony bezpieczeństwa narodowego jako najwyższego dobra.
Według Rady do Spraw Cyfryzacji nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest kluczowym projektem legislacyjnym, który będzie definiować oraz wpływać na wirtualne bezpieczeństwo Polski. W związku z tym „cyberbezpieczeństwo” musi być rozpatrywane w szerszej perspektywie niż tylko w kontekście krajowego rynku telekomunikacyjnego.
„Cyfrowe bezpieczeństwo ma dziś wyjątkowe znaczenie ze względu na właściwości budowanej sieci 5G oraz związanych z nią perspektyw rozwoju Przemysłu 4.0, opartego na Internecie Rzeczy (IoT) oraz Sztucznej Inteligencji (AI)” – podkreśliła Rada, prezentując swoje stanowisko w sprawie nowelizacji ustawy o KSC.
Przedstawiciele Rady jednoznacznie stwierdzili, że Ustawa nie jest wymierzona przeciwko żadnej firmie z jakiegokolwiek państwa. Równocześnie zaznaczyli, że Polska musi posiadać stosowne instrumenty prawne do ochrony swojej cyberprzestrzeni w całym obszarze gospodarki – ze szczególnym uwzględnieniem sektora publicznego, infrastruktury krytycznej i telekomunikacji. „Uważamy, że dyskusji nie powinien podlegać fakt, że bezpieczeństwo narodowe jest dobrem nadrzędnym” – wskazali członkowie Rady.
Przedstawiciele think-tanku pozytywnie rozpatrzyli projekt nowelizacji Ustawy o KSC, przyjmując zawarte w dokumencie postanowienia, w tym postulat dotyczący wprowadzenia oceny wiarygodności operatorów oraz dostawców sieci 5G i dostawców sprzętu dla sieci 5G.
Zdaniem Rady przyjęte w proponowanych nowych artykułach 66a - 67c Ustawy o KSC mechanizmy niwelowania zagrożeń – zwłaszcza ze strony obcych państw – stanowią także wypełnienie celu zawartego w przyjętej na wniosek Prezesa Rady Ministrów i zatwierdzonej w maju b.r. przez Prezydenta Rzeczypospolitej Polskiej „Strategii Bezpieczeństwa Rzeczypospolitej Polski”, a w szczególności zawartej w I Filarze „Cyberbezpieczeństwo”. Punkt 4.1 nakazuje, by „zwiększać poziom odporności systemów informacyjnych wykorzystywanych w sferze publicznej i prywatnej oraz militarnej i cywilnej oraz osiągnąć zdolność do skutecznego zapobiegania, zwalczania oraz reagowania na cyberzagrożenia”.
Według Rady do Spraw Cyfryzacji Polska musi posiadać instrumenty prawne niwelujące ryzyka zagrożeń związanych z możliwościami wykorzystywania technologii pochodzących od tzw. Dostawców Wysokiego Ryzyka, nie tylko na przykład w zakresie telekomunikacji 5G. Jak tłumaczą członkowie think-tanku, podobne rozwiązania wdrożono już w kilku państwach Europy Zachodniej, które poszły śladami Stanów Zjednoczonych.
W prezentowanym stanowisku Rada wskazała, że przewidziane w projektowanych nowych art. 66a - 67c Ustawy o KSC kompetencje Kolegium ds. Cyberbezpieczeństwa oraz Pełnomocnika ds. Cyberbezpieczeństwa wyposażają organy państwa w kompetencje pozwalające na zapobieganie zagrożeniom ze strony dostawców sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa w oparciu o Ocenę Ryzyka sporządzaną przez Kolegium do spraw cyberbezpieczeństwa i eliminowanie produktów stanowiących podwyższone lub wysokie ryzyko. Zdaniem Rady ocena ryzyka powinna uwzględniać takie czynniki jak między innymi: analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania oraz ocenę czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego (art.66 a ust.4).
Dodatkowo wskazano, że projekt ustawy wyposaża także pełnomocnika Rządu ds. Cyberbezpieczeństwa w prawo do operacyjnego działania w warunkach zagrożeń obejmujące wydawanie wiążących (art.67 a projektu) ostrzeżeń oraz poleceń zabezpieczających.
Rada z zadowoleniem przyjęła fakt, że w projekcie Ustawy o KSC uwzględniono kwestię, na którą uwagę zwracała Rada także w pracach nad projektem rozporządzenia o bezpieczeństwie sieci 5G, a mianowicie, że Polska brała udział w opracowaniu unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G („5G Toolbox”), który ma ograniczyć cyber-ryzyka dla europejskich sieci piątej generacji.
Przedstawiciele think-tanku wskazali jednak, że stosowanie przewidzianych w Ustawie środków „najostrzejszych” musi być z konieczności poprzedzone analizą ryzyka, a także realnym oszacowaniem kosztów opartym na wiarygodnych danych, w tym również audytach bezpieczeństwa.
Rada za szczególnie wartościowe uznała wprowadzenie do polskiego systemu cyberbezpieczeństwa, takich podmiotów oraz mechanizmów jak:
- Operacyjnych centrów bezpieczeństwa, czyli SOC oraz doprecyzowanie zadań i roli SOC w systemie cyberbezpieczeństwa RP;
- Rozszerzenie i doprecyzowanie roli CSIRT, w tym wprowadzenie CSIRTów sektorowych;
- Powołanie „CSIRT telco” dla branży telekomunikacyjnej;
- Stworzenie ISAC, czyli specjalistycznych organizacji, dzięki którym podmioty Krajowego Systemu Cyberbezpieczeństwa będą miały możliwość bieżącej wymiany informacji incydentach, zagrożeniach, podatnościach oraz dobrych praktykach. ISAC usprawnią także współpracę podmiotów z zespołami CSIRT poziomu krajowego, co zapewni koordynację komunikacji postulowaną przez środowisko IT;
- Koordynacja zadań z zakresu cyberbezpieczeństwa na poziomie województw – przy czym Rada uznaje za konieczne bardzo poważne wzmocnienie zasobów Wojewodów w tym zakresie.
W opinii Rady do Spraw Cyfryzacji Polska powinna rozwijać produkty i usługi telekomunikacyjne z wykorzystaniem potencjału firm działających nad Wisłą, zwłaszcza jeśli chodzi o realizowanie własnych projektów takich jak #Polskie5G. „Tylko w ten sposób nie dopuścimy do sytuacji uzależnienia od jednego dostawcy, co jest także w interesie bezpieczeństwa narodowego” – wskazują członkowie think tanku.
Prezentując swoje stanowisko w sprawie nowelizacji Ustawy o KSC, Rada wyraziła również nadzieję, że pomimo trwającej pandemii w budżecie państwa zostaną przewidziane dostateczne środki na realizacje dodatkowych zadań wynikających z projektowanej Ustawy.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wywoła sporo kontrowersji wśród ekspertów. Głównym obszarem interwencji jest rynek operatorskiego sprzętu telekomunikacyjnego. Jak wskazał wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji (KIGEIT) Jarosław Tworóg, trudno jest ten projekt ocenić, ponieważ nie wiadomo jaka głębsza myśl za nim stoi.
Wiceprezes KIGEIT w rozmowie dla naszego portalu dodał również, że projekt nowelizacji jest niejasny i pozbawiony celu. „Nie dostrzegam żadnych specjalnych korzyści z uchwalenia takiej nowelizacji, tak samo nie widzę żadnych zagrożeń z powodu jej niewdrożenia” - zaznaczył.
Jarosława Tworóg uważa, także że niebagatelne znaczenie ma również presja zewnętrzna ze strony Stanów Zjednoczonych. „Nowelizacja przygotowywana jest w ramach specyficznych uwarunkowań zewnętrznych, odczuwalna jest presja amerykańska - jednak nie jesteśmy jedyni na których taką presję się wywiera” - stwierdził wiceprezes KIGEIT.
Jak dodał, przepisy Ustawy są niezwykle nieostre. „Dają one dowolność zespołowi (Kolegium – przyp. red.), którego działalność jest czysto polityczna, więc decyzje podejmowane przez to ciało również będą polityczne. Wraz ze zmianą władzy polityka również ulega zmianie i to jest kolejna wada tego projektu” - zauważył Jarosław Tworóg.
Z kolei Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, jednoznacznie podkreślił w rozmowie dla CyberDefence24.pl, że projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza kryteria techniczne, które muszą spełnić dostawcy.
„Dostawcy wysokiego ryzyka będą definiowani na podstawie zarówno oceny aspektów technicznych, gdzie będziemy brali pod uwagę testy, badania i certyfikację” – wskazał Robert Kośla. – „Polska wspólnie z Niemcami pracuje nad europejskim programem certyfikacji komponentów dla sieci 5G”.
Projekt nowelizacji ustawy o KSC wprowadził również tzw. kryteria polityczne. Komentując ten aspekt dyrektor Departamentu Cyberbezpieczeństwa wskazał, że kwestie nietechniczne obejmują rzeczy związane z bezpieczeństwa łańcucha dostaw. „Jeżeli mamy dostawcę, który nie jest w stanie zagwarantować ciągłości wykorzystania komponentów bezpiecznych tak jak mieliśmy to w ocenie brytyjskiej wobec jednego z chińskich podmiotów, który został uznany za dostawcę wysokiego ryzyka” – wyjaśnia Kośla. Tłumaczy, że „stało się to dlatego, że w związku z ograniczeniem możliwości dostępności procesów, które wykorzystywały amerykańskie licencje, ten dostawca nie był w stanie zagwarantować, że będzie w stanie dostarczać swoje produkty oparte i wykorzystujące komponenty, które dotychczas były badane i certyfikowane przez dedykowane centrum w Wielkiej Brytanii”.
Zapytany o to, które środki będą ważniejsze - technicznie czy nietechniczne, Robert Kośla odpowiedział, że będzie oceniany najgorszy wariant. „Kiedy mamy do czynienia z podmiotem, który jest uzależniony od rządu innego państwa, które prowadzi agresywne działania w stosunku do państw europejskich, to trudno nad takim faktem przejść do porządku dziennego” – dodaje. Dyrektor Departamentu Cyberbezpieczeństwa podkreślił, że „wszystkie te elementy będą brane pod uwagę - również informacje ze źródeł operacyjnych oraz analiza dotychczasowych zamiarów i działań, w które zaangażowany był dany podmiot, jak również państwo z którego pochodzi”.
Robert Kośla komentując medialne doniesienia, że projekt nowelizacji doprowadzi do wykluczenia producentów sprzętu podkreślił, że w ustawie o KSC nie ma mowy o wykluczaniu podmiotów, a jedynie o ocenie ryzyka ze strony dostawcy sprzętu lub oprogramowania. „Nie można wykluczyć sytuacji, że dostawcy wysokiego ryzyka wciąż będą w polskich sieciach funkcjonować” - stwierdził Dyrektor Departamentu Cyberbezpieczeństwa.
Czytaj też: Robert Kośla: „nie można wykluczyć, że dostawcy wysokiego ryzyka będą w polskich sieciach"
Innego zdania jest Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska. „Projekt jest dawno zapowiadaną nowelizacją ustawy o KSC. Jest on potrzebny i co do tego nie ma żadnych wątpliwości, ponieważ poziom cyberbezpieczeństwa trzeba stale podnosić. Jak to jednak często bywa, diabeł tkwi w szczegółach” - zaznaczył w rozmowie z CyberDefence24.pl przedstawiciel chińskiego giganta.
Komentując kryteria, które będą wykorzystywane przy definiowaniu dostawców wysokiego ryzyka, Ryszard Hordyński podkreśla - w opozycji do stanowiska Roberta Kośli - że są to jednak głównie „kryteria polityczne, a nie merytoryczne”. Dotyczą one tego czy na przykład w kraju, z którego pochodzi dostawca są przestrzegane prawa człowieka. Dyrektor w Huawei Polska pyta: „Co to znaczy, że przestrzegane są prawa człowieka, jak to jest mierzone? Co to znaczy pochodzenie dostawcy?”.
„Projekt nowelizacji nie uwzględnia specyfiki rynku telekomunikacyjnego” – zauważył dyrektor w Huawei Polska. „Mamy w Polsce trzech dostawców technologii 4G, a będzie ona stanowić bazę dla sieci 5G. Można oczywiście budować sieci od zera i dopuszczać nowych dostawców, ale jest to trudne i byłoby bardzo kosztowne” – podkreśla Ryszard Hordyński. – „Każdy operator telekomunikacyjny już dziś używa dwóch różnych producentów, co oznacza, że gdy z trzech dostawców technologii zostałoby na rynku dwóch, to w praktyce nastaje monopol, bo nie ma żadnego wyboru. W ten sposób pozbawimy się konkurencji i ceny pójdą w górę”.
Przedstawiciel chińskiego giganta skrytykował podejście nowelizacji do zagranicznych podmiotów. „Niepotrzebnie w projekcie skupiono się na polityce kosztem bezpieczeństwa. Nasza firma ma szereg różnych certyfikatów. Ostatnio dostaliśmy certyfikat NESAS zrzeszający wszystkich operatorów na całym świecie, który jest rozważany przez KE jako program certyfikacji. Mamy największe zaplecze badawczo-rozwojowe, laboratoria oraz wdrożenia na całym świecie. W Chinach ilość anten rośnie w tempie oszałamiającym. Co do bezpieczeństwa produktów nie ma zastrzeżeń, nawet ze strony amerykańskiej” – podkreślił Ryszard Hordyński z Huawei Polska.
Do sprawy nowelizacji Ustawy o KSC odniósł się również minister cyfryzacji Marek Zagórski, który zaznaczył w rozmowie dla naszego portalu, że potrzeba zmiany przepisów wynikła ze zdobytych doświadczeń.
Odnosząc się do kwestii dostawców wysokiego ryzyka szef resortu cyfryzacji podkreślił, tu cytat: „Kolegium ds. Cyberbezpieczeństwa może wnioskować o dokonanie oceny danego dostawcy usług czy oprogramowania”. Marek Zagórski wyjaśnił, że kolegium dokonuje oceny na 4 poziomach: najniższy, gdzie tego ryzyka nie ma, przez ryzyko niskie, umiarkowane i wysokie. „W przypadku podmiotów określonych jako podmioty wysokiego ryzyka mówimy o faktycznym zakazie wprowadzenia do użytkowania oprogramowania takiego producenta. Z istniejącej infrastruktury taki sprzęt będzie musiał być usunięty w ciągu 5 lat” – wyjaśnił szef resortu cyfryzacji.