Co stanowi zagrożenie? Jeśli nie wiemy uznajmy, że… wszystko!
Mniej więcej tak można podsumować kolejny z genialnych pomysłów, który trafi do osiemnastej już wersji projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
W dotychczasowej wersji, konkretnie w załączniku nr 3 do projektu, który wskazuje kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług mamy funkcję nazwaną Zarządzanie łącznością z urządzeniami użytkowników i przydzielanie zasobów radiowych. Jako konkretny przykład funkcji widnieje 5G Radio Base Station Baseband Unit oraz inne funkcje. Czyli tłumacząc to w możliwie najprostszy sposób, elementem krytycznym jest część stacji bazowej sieci 5G, która odpowiada za przesyłanie danych i komunikację z rdzeniem sieci.
Logiczne? Wydaje się, że w pełni. Teoretycznie włamując się do tego elementu jesteśmy w stanie przesłać fałszywe informacje lub zainfekować sieć. To faktycznie jest potencjalne zagrożenie i jeśli, w myśl projektu Ustawy, dostawca tego elementu zostanie uznany za niebezpiecznego, operatorzy będą musieli wymienić ten komponent na sprzęt innego dostawcy.
Teraz będzie nieco mniej logicznie. Jak czytamy w tabeli uwag do projektu, Ministerstwo Cyfryzacji przychyliło się do uwagi przedstawionej przez Związek Cyfrowa Polska i zapowiada zmianę podanej wyżej funkcji na 5G, 3GPP release
15 and onwards, Radio Base Station Baseband Unit and other features such as Radio Units and antennas. Z początkiem zadania łatwo się zgodzić. Standardy 3GPP mówią jasno, z jakich konkretnie elementów składa się sieć komórkowa. To stwarza nam uniwersalny przepis, który definiuje, że elementem krytycznym są elementy sieci 5G, które znamy dzisiaj oraz te, które zostaną wprowadzone do obiegu w przyszłości. Problem może stwarzać końcówka zdania.
W takiej formie zapis może być bardzo szeroko interpretowany i na dobrą sprawę, każda jednostka radiowa i antena może zostać uznana za element krytyczny, bez względu na użytą technologię.
Czytaj też: Sieć 5G będzie jeszcze lepsza. UKE szykuje kolejną aukcję
Taka interpretacja przepisów może skutkować ogromnymi kosztami dla operatorów
Trudno tutaj doszukiwać się złych intencji Związku Cyfrowa Polska, o czym za moment, ale próba doprecyzowania zapisu może paradoksalnie stworzyć nieograniczone pole do jego interpretacji. Jeśli uznamy, że dowolny element, dowolnej anteny stwarza potencjalne zagrożenie, co w praktyce nie ma najmniejszego sensu, operatorzy zwyczajnie mogą się z tego nie wypłacić. Rynek od dawna powtarza, że traktowanie całego nadajnika jako elementu infrastruktury krytycznej narażonego na cyberzagrożenie to złe posunięcie. Bo równie dobrze można uznać, że producent stali użytej do budowy wieży pod nadajnik też powinien być objęty przepisami dotyczącymi cyberbezpieczeństwa. Tak samo absurdalne jest uznanie za element krytyczny infrastruktury pasywnej, czyli anten, które… nie mają nawet podłączenia do prądu.
Niezmiennie wiadomo, że możliwość zablokowania dostawcy, uznając go za niebezpiecznego to bat na chińskie firmy. Mając takie przepisy otwieramy sobie furtkę na szantaż ze strony USA, które w dowolnym momencie mogą je bardzo chętnie wykorzystać.
Stawiając sprawę wprost – uznanie Huawei i ZTE za dostawców wysokiego ryzyka spowoduje, w myśl nowych pomysłów Ministerstwa Cyfryzacji, że operatorzy będą musieli wymienić sprzęt w sieciach starszych generacji – GSM, 3G oraz LTE. Ile tego jest? Oficjalnie nie wiadomo, za to powszechnie wiadomo, że dużo.
Czytaj też: Cyberbezpieczeństwo w Polsce: Urzędnicza nadgorliwość zamiast spójnych przepisów
Mówimy o nieoficjalnych informacjach i szacunkach, jakie powstawały po 2020 roku, a według nich najwięcej chińskiego sprzętu w sieciach wcześniejszych generacji ma Play – mowa była nawet o 90%. W przypadku Orange i T-Mobile to ponad połowa. Najmniej chińskich podzespołów powinien mieć Plus. Niemniej, nawet jeśli mówimy o mocno przestrzelonych szacunkach, to nadal są duże i bardzo kosztowne ilości sprzętu, którego wymiana będzie kosztować majątek. Dodajmy, że według szacunków z 2021 roku, sam koszty wymiany sprzętu powiązanego wyłącznie z siecią 5G był szacowany na 6,8 mld zł.
Można próbować doszukiwać się drugiego dna w stanowisku Związku Cyfrowa Polska. W końcu w jego skład wchodzą głównie konkurenci chińskich firm, m.in. Ericsson, Nokia, Apple czy Samsung. Ale cała treść przesłanej uwagi nie zostawia suchej nitki na projekcie, punktując znajdujące się w nim nielogiczne nadinterpretacje przepisów unijnych. Tyle tylko, że Związek sam dorzuca kolejną, do ich długiej listy.
Projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa uderza w wiele branż
Jak już wspominaliśmy w poprzednich tekstach o perypetiach kolejnych projektów Ustawy, obecne Ministerstwo Cyfryzacji tworzy je w myśl hasła – nadregulacja. Nowe przepisy mają obejmować możliwie najwięcej branż, a kolejne rozszerzenia ważnych i kluczowych dla cyberbezpieczeństwa sektorów tworzą dla nich coraz większe zagrożenie finansowe.
Ministerstwo Cyfryzacji cały czas zasłania się tłumaczeniem, że nowelizacja wdroży unijną dyrektywę NIS2, standaryzującą podejście do cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa nie mówi nic o wykluczaniu dostawców sprzętu i usług na podstawie politycznej decyzji w oparciu o kraj pochodzenia dostawcy. Dlatego też takiego kryterium nie wprowadził żaden z krajów Unii. Również żaden z krajów nie zdecydował się na aż tak duże rozszerzenie branż i podmiotów, które mają zostać objęte regulacjami.
Jaki jest cel wprowadzania tak szerokich nadregulacji przez Ministerstwo Cyfryzacji? Chyba nikt nie ma logicznego wytłumaczenia i pozostaje mieć nadzieję, że chodzi tu o zwykłą niekompetencję, za którą niewykluczone, że to my zapłacimy wysoką cenę. A zapłacimy na pewno, choćby kolejne kary za opóźnienia we wdrażaniu unijnych wytycznych.