Zmiany w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wydają się kosmetyczne
Idę o zakład, że jeśli zapytacie rządzących o to, która to już wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, z bezradności rozłożą ręce. Trudno się im dziwić, bo prace nad nim trwają już grubo ponad dwa lata. W tym czasie jej kształt bardzo się zmienił. Od pierwotnego skrajnie uznaniowego bata na chińskich dostawców sprzętu, przez stworzenie operatora sieci strategicznej, co jest prezentem dla państwowego Exatela, kończąc na hamulcu ręcznym dla aukcji częstotliwości sieci 5G.
Wiele zmian w ostatnich wersjach projektu jest kosmetycznych, a jednocześnie nieco komicznych:
Mam nadzieję, że prawnicy opozycji dokładnie sprawdzą zmiany w tego typu przecinkach, a znajdzie się ich pewnie więcej. Jak choćby to, że projekt w niektórych miejscach odwołuje się do ustawy Prawo Komunikacji Elektronicznej, która nadal nie została przyjęta.
Tutaj skupmy się na dwóch kwestiach – chińskich dostawcach sprzętu oraz narodowej sieci bezpieczeństwa.
Czytaj też: Unia Europejska rozważa blokadę Huawei w sieciach 5G. Operatorów czekają duże wydatki
Krajowy system certyfikacji cyberbezpieczeństwa, czyli bat na chińskich dostawców?
W pierwszych wersjach projektu nowelizacji ustawy o KSC temat chińskich dostawców był kwestią bardzo uznaniową. Za niebezpiecznego dostawcę mogła zostać uznana firma chińska tylko dlatego, że pochodzi z Chin. Teraz kryteria są już mniej uznaniowe, a analiza potencjalnego zagrożenia obejmuje:
- Opinie na temat potencjalnych zagrożeń pozyskanych od krajów Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem stosunków firmy z danym państwem, stosowania się do lokalnych przepisów, struktury własnościowej dostawcy i zdolności do ingerencji państwa, z którego firma pochodzi w swobodę działalności dostawcy.
- Tryb, zakres i rodzaj powiązania dostawcy z podmiotami zawartymi w unijnym rozporządzeniu 2019/796 w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim.
- Liczbę i rodzaj wykrytych podatności i incydentów oraz sposób i czas ich eliminowania.
- Tryb i zakres, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania swoich produktów.
Minister właściwy do spraw informatyzacji, czyli aktualnie minister cyfryzacji, występuje do Kolegium ds. cyfryzacji o opinię zawierającą powyższe kwestie. Ma ją otrzymać w ciągu trzech miesięcy i na jej podstawie podejmuje decyzję, czy dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.
Dostawca jest informowany o toczącym się postępowaniu (poprzednie wersje projektu tego nie przewidywały), a firmy korzystające z jego usług mogą dołączyć do postępowania. Ale nie wszystko, bo tylko ci przedsiębiorcy komunikacji elektronicznej, którzy w poprzednim roku obrotowym osiągnęły przychody z tytułu działalności telekomunikacyjnej w wysokości co najmniej 20000-krotności (tak, dwudziestotysięcznej) przeciętnego wynagrodzenia w gospodarce. Co oznacza, że do sprawy dołączą tylko duzi operatorzy, a mniejsze firmy, które mogą na tych przepisach ucierpieć najmocniej, są pomijane.
Co w przypadku uznania dostawcy za niebezpiecznego? Nie można kupować jego sprzętu i oprogramowania, już używany musi być wymieniony w ciągu maksymalnie 7 lat. W tym czasie można z niego nadal korzystać i serwisować w razie potrzeby, w celu zapewnienia ciągłości usług. Koszty? Projekt nadal nie uwzględnia szacunków w tym zakresie.
Czytaj też: Tunel pod Świnoujściem bez zasięgu sieci komórkowej? To kolejny taki przypadek w Polsce
Operator sieci bezpieczeństwa, czyli prezent dla Exatela?
Strategiczna sieć bezpieczeństwa ma służyć do transmisji danych, rozmów głosowych i przesyłania wiadomości, czyli w zasadzie do tego, do czego służą typowe sieci telekomunikacyjne. Minimalne wymagania techniczne dotyczące sieci ustala premier na drodze rozporządzenia.
Również premier wskazuje operatora strategicznej sieci bezpieczeństwa, który ma spełniać następujące warunki:
- Jednoosobowa spółka Skarbu Państwa i jednocześnie przedsiębiorca telekomunikacyjny,
- posiadający niezbędną infrastrukturę telekomunikacyjną lub zobowiązał się do jej pozyskania, środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci,
- posiadający świadectwo bezpieczeństwa przemysłowego pierwszego stopnia,
- dający rękojmię należytego wykonywania zadań operatora strategicznej sieci bezpieczeństwa.
Powyższe warunki, szczególnie po ogłoszeniu partnerstwa z Play, spełnia Exatel. Sęk w tym, że sieć Play w dużym stopniu jest oparta na sprzęcie Huawei, który zgodnie z tą samą ustawą może zostać uznany za dostawcę wysokiego ryzyka. Jeśli te dwie kwestie się zepną, czeka nas bardzo ciekawa sytuacja.
Czysto teoretycznie warunki może spełnić Orlen, ale musiałby znaleźć podobnego partnera. W ostatnich tygodniach pojawiły się plotki o tym, że monopolista może dogadać się w sprawie zakupu sieci Plus, ale jak na razie nie mają one żadnego potwierdzenia w rzeczywistości.
Usługi sieci strategicznej mogą być świadczone na częstotliwościach komercyjnych (tu mamy zasoby wspomnianego Playa, co rozwiązuje sprawę), albo rządowych. Tu ponownie mamy odwołanie do nieuchwalonego Prawa Komunikacji Elektronicznej.
Z usług operatora sieci strategicznej będą korzystać kancelaria prezydenta, sejmu, senatu, premiera, Biuro Bezpieczeństwa Narodowego, urzędów obsługujących organy administracji rządowej, organy jednostek samorządu terytorialnego oraz podmiotów podległych tym organom albo przez nie nadzorowanych, wykonującym zadania z zakresu m.in. bezpieczeństwa ekonomicznego, ochrony zdrowia, nadzoru sanitarnego, ochrony środowiska, systemu powiadamiania ratunkowego oraz sądy, prokuratura, siły zbrojne i podmioty wykonujące na rzecz administracji rządowej zadania z zakresu ochrony ludności, obrony cywilnej i zarządzania kryzysowego. Ogółem większa część instytucji państwowych ma być objęta bezpieczną siecią telekomunikacyjną.
Jest jednak pewien haczyk, bo nie wszyscy będą mieć obowiązek korzystania z bezpiecznej sieci. Spod obowiązku wyjęte są ABW, Agencja Wywiadu, CBA, Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego i Siły Zbrojne RP oraz jednostki podległe i nadzorowane przez ministra obrony. Co trochę nie ma sensu, bo skoro służby nie mają zaufania do zabezpieczonej sieci strategicznej, to po co ją tworzyć?
Sieć strategiczna nie będzie działać za darmo. Podmioty korzystające z jej usług będą za to płacić oraz dodatkowo działanie sieci będzie dotowane z budżetu państwa przez ministra aktywów państwowych. A przy okazji ten sam minister sprawuje nadzór nad Exatelem. O to, aby podmioty nie przepłacały, będzie dbać Urząd Komunikacji Elektronicznej, który będzie pilnować cen oraz jakości świadczonych usług.
Ostatnią kwestią dotyczącą sieci strategicznej są zasoby częstotliwości. Na działanie sieci zostaną przeznaczone zasoby pasma 700 MHz, a konkretnie zakres 703-713 oraz 758-758 MHz. Tutaj ponownie określi to… Prawo Komunikacji Elektronicznej.
Czytaj też: Oszust zarabia na strachu przed 5G. Poradnik dr inż. Jerzego Webera dostępny za darmo
Saga pod tytułem Krajowy System Cyberbezpieczeństwa trwa. Nie wierzę w jej koniec
Projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa to kolejny przykład tego, że frakcje rządowe, wbrew nazwie, nie są wcale zjednoczone. Operatora sieci strategicznej nie było w pierwszych wersjach projektu i to on był główną kością niezgody, i przez długi czas o niego spierały się ministerstwa. Teraz mamy kolejną wersję ustawy, która choćby odwołuje się do przepisów, które nie są jeszcze uchwalone.
Rządzący mogą chwalić się do bólu sukcesami w ramach mObywatela i to niestety działa. Cyfryzacja to mało seksowny temat i mainstreamowe media oraz opozycja nie potrafią wypunktować tego, że ten obszar jest w głębokim lesie. Ustawa o KSC, aukcja częstotliwości sieci 5G, Prawo Komunikacji Elektronicznej – wszystkie mają 3-letnie opóźnienie i jest to czas, którego nie będziemy w stanie nadrobić.