Projekt ustawy o cyberbezpieczeństwie, a konkretniej o krajowym systemie cyberbezpieczeństwa, pojawił się w tym tygodniu. Słyszeliśmy o nim już wcześniej, ale dopiero teraz pojawiła się możliwość, by taki projekt przeczytać. I niestety, ale jeżeli w tej formie pozostanie, grozi nam bardzo dużo zmian, które z cyberbezpieczeństwem nie mają za dużo wspólnego. Za to mogą kosztować miliony, a nawet miliardy złotych.
Projekt ustawy o cyberbezpieczeństwie
Ostatnio wyjątkowo głośno zrobiło się o bezpieczeństwie danych w sieci. Co oczywiście jest dobrym trendem, bo co chwila słyszymy o tym, że jakieś dane gdzieś tam wyciekły. Można powiedzieć, że sytuacja nie jest tak tragiczna, jeżeli stracimy dostęp do jakiegoś sklepu, a na naszego maila zacznie przychodzić spam. Co innego, gdy mówimy o kwestiach kluczowych dla bezpieczeństwa całego państwa. Tutaj jest to zupełnie inny kaliber, którym powinni zająć się rządzący. I tak się właśnie stało, choć zaprezentowany przez nich projekt ustawy o cyberbezpieczeństwie i wprowadzone do niego zmiany dość jasno pokazują, że nie chodzi tutaj o samo bezpieczeństwo. Przynajmniej takie wrażenie można odnieść, jeżeli wiemy, gdzie trzeba patrzeć.
Nowelizacja ustawy, którą zaprezentowało Ministerstwo Cyfryzacji, została niejako „wymuszona” przez zalecenia Komisji Europejskiej. Chodzi o to, by państwa Unii Europejskiej miały te same przepisy oraz zestaw narzędzi, który przyszło określać się mianem 5G ToolBox. Te standardy przygotowane zostały przez Komisję Europejską oraz Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). O ile w samym projekcie ustawy pojawia się wiele rzeczy, które mają charakter czysto organizacyjny, to znalazły się tam także zapisy, które budzą ogromne wątpliwości. Szczególnie jeżeli chodzi o rozwój sieci 5G w naszym kraju, który obecnie… stoi w miejscu. Nie zmienia tego to, że operatorzy uruchamiają swoje 5G, bo do tego na konkretnych pasmach jeszcze daleko.
Zobacz też: Play także wprowadza blokadę IMEI – coś się właśnie skończyło
Projekt ustawy o cyberbezpieczeństwie pokazuje jednak, że może być jeszcze gorzej. Niektóre z zapisów tam są na tyle niejasne i dające pole do nadinterpretacji, że trudno przejść obok nich obojętnie.
Kolegium, które może wiele zmienić
Ciało doradcze, które nazwane zostało Kolegium ds. Cyberbezpieczeństwa, istniej już od kilku lat. Jednak teraz może dostać do ręki potężną broń, a mianowicie możliwość oceniania ryzyka w kwestii bezpieczeństwa od danego dostawcy. Chodzi o ocenę, czy dostarczany sprzęt lub oprogramowanie jest bezpieczne dla kraju w kwestii cyberbezpieczeństwa. W skład Kolegium wchodzą m.in. Prezes Rady Ministrów, szefowie MON, MSW oraz ABW czy Służby Kontrwywiadu Wojskowego. Pojawią się cztery możliwości, z których będą mogli oni skorzystać przy ocenie stanu ryzyka. Będą to: brak ryzyka, niskie ryzyko, umiarkowane ryzyko oraz wysokie ryzyko.
a) wysokie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe, albo
b) umiarkowane ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa a zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych, albo
c) niskie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa, albo
d) brak zidentyfikowanego poziomu ryzyka, jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy.
Co oceniało będzie Kolegium ds. Cyberbezpieczeństwa?
Ocenę konkretnego dostawcy, będzie przeprowadzało się na wniosek członka Kolegium i brane pod uwagę mają być następujące kryteria.
W sporządzania oceny przeprowadza się w szczególności:
1) analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania;
2) prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:
a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,
b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
c) prawodawstwo w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem,
d) strukturę własnościową dostawcy sprzętu lub oprogramowania,
e) zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania;
Ocenie mają podlegać m.in. sieci teleinformatyczne oraz systemy do zarządzania nimi. Co to może oznaczać w rzeczywistości? To, że w przypadku oceny takiego ryzyka, które będzie na poziomie wysokim, firmy korzystające z jego rozwiązań, czekają potężne wydatki.
Kary i jeden podejrzany
Firma, która będzie korzystała z rozwiązań firmy ocenionej jako „wysokie ryzyko”, będzie musiał wycofać jej rozwiązania z rynku w ciągu 5 lat. Na odwołanie się od tej decyzji, będzie tylko 14 dni, a na rozpatrzenie jej Kolegium będzie miało 2 miesiące. Co nie oznacza, że na ten okres decyzja będzie zawieszona. Kary mogą sięgać nawet 3 procent światowego obrotu z poprzedniego roku obrotowego. To mogą być miliardy. Wymiana technologii także do tanich należeć nie będzie.
Jeżeli mówimy o rozwiązaniach telekomunikacyjnych, to patrząc na powyższe zapisy w projekcie ustawy, na myśl przychodzi od razu… Huawei. Z jego masztów korzystają obecnie praktycznie wszyscy operatorzy w Polsce (Orange, T-Mobile i Play). Plus jako jedyny może czuć się względnie bezpiecznie, bo korzysta z rozwiązań od Ericssona. Kto zapłaci za wymianę infrastruktury? Oczywiście my, bo ceny abonamentów mogą pójść w górę, a środki trzeba będzie skądś wziąć.
Jeżeli doszłoby do tego, że operatorzy mieliby w ciągu 5 latu usunąć technologię od Huawei i zastąpić ją inną, praktycznie żaden z nich nie miałby na to funduszy. Dodajmy do tego konieczność szukania nowego dostawcy i rozwój 5G, który z pewnością mocno by wtedy przystopował. Oczywiście w projekcie ustawy nie pada nazwa żadnej firmy, to jednak ruchy USA w celu utrudnienia życia Huawei są nam dobrze znane. Polska jest sojusznikiem Stanów Zjednoczonych, więc wnioski można wysnuć sobie samemu. Projekt nie został jeszcze zaakceptowany i trwają konsultacje nad jego ostateczną formą.
Źródło: Legislacja.gov.pl