Projekt nowelizacji ustawy o cyberbezpieczeństwie to przykład na to, jak szybko można zacząć się… cofać. Wygląda bowiem na to, że wprowadzenie ustawy w takiej formie, jak ostatnio zaproponowano, będzie kosztowało nas wszystkich miliardy złotych. Dodatkowo możemy zapomnieć o szybkim rozwoju sieci 5G, co powinno być jednym z priorytetów, jeżeli chodzi o sam rozwój sieci teleinformatycznych w Polsce. Tymczasem wiele wskazuje na to, że będzie zupełnie odwrotnie.

Cyberbezpieczeństwo w zderzeniu z prawem

cyberbezpieczeństwo ustawa
Fot. PixaBay

Pisałem już o tym, co zawiera projekt ustawy o cyberbezpieczeństwie, ale w skrócie można powiedzieć, że jest on wyjątkowo… niebezpieczny. I niestety, ale nie jest to przesada. Wprowadzenie ustawy w takiej formie, jak ta zaproponowana, może wyrządzić nieodwracalne szkody. O samej sprawie wypowiedział się nawet Ryszard Hordyński (Dyrektora ds. strategii i komunikacji w Huawei Polska), a to już świadczy o tym, że problem jest naprawdę poważny. Pisał o tym dla was Paweł, więc zachęcam do zapoznania się także z jego tekstem, by mieć lepszy pogląd całej sytuacji.

Nie przegap
Bsafer.pl – chroń i kontroluj swoje dane osobowe, zanim będzie za późno
bsafer.pl
Ochrona danych osobowych to poniekąd problem, który jeszcze nie pojawił się w świadomości zbyt wielu osób. Głośno zrobiło się o nim dopiero w momencie, gdy Unia Europejska wprowadziła RODO (Rozporządzenie o Ochronie Danych Osobowych). Jednak głośno było tylko dlatego, że trzeba było się dostosować i miało to wydźwięk nie tak pozytywny, jak oczekiwaliby tego sami […]

Jednym z punktów w projekcie ustawy o cyberbezpieczeństwie jest to, że Komisja zajmująca się weryfikacją dostawców, podejmuje decyzje o stopniu ryzyka. Jeżeli według Komisji będzie ono wysokie, to nie będzie można korzystać z rozwiązań konkretnej firmy. I tutaj pojawia się pierwszy z problemów. Projekt ustawy nie przedstawia żadnych wytycznych, którymi Komisja ds. Cyberbezpieczeństwa, miałaby się kierować przy ocenianiu stopnia ryzyka. Przynajmniej jeżeli chodzi o kwestie techniczne, które powinny być przecież tymi najważniejszymi. Skupiono się za to na kwestiach „politycznych”, a mianowicie na tym, czy dostarczyciel sprzętu „(…) znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego (…)”.

Zobacz też: e-Skrzynka od Poczty Polskiej zostanie wyłączona.

Do tego wspominano o prawodawstwie w danym państwie, które ma dostarczać sprzęt czy oprogramowanie. Nie zapomniano także o tym, by wspomnieć o prawach człowieka czy ochronie danych osobowych konkretnego kraju. I to wszystko jest oczywiście ważnym aspektem, ale nie mającym się nijak do cyberbezpieczeństwa naszego kraju. Kluczowa powinna być tutaj kwestia technologiczna. Jawne specyfikacje sprzętu, niezależne certyfikaty i mechanizmy, które mają zapobiegać „wyciekom” danych.

cyberbezpieczeństwo ustawa
Fot. PixaBay

Operatorzy będą szukali pieniędzy

Można odnieść wrażenie, że projekt ustawy o cyberbezpieczeństwie jest niejako dyskryminujący dla niektórych dostawców sprzętu. Głównie ze względu na to, gdzie ci mają swoje fabryki lub z kim współpracują. Jeżeli Komisja ds. Cyberbezpieczeństwa zadecyduje, że konkretna firma stanowi wysokie ryzyko, pojawi się gigantyczny problem. Nie będzie można korzystać z żadnych rozwiązań od tej firmy. Jeżeli mówimy o sieci i nadajnikach od Huawei, będzie to oznaczało konieczność wymiany całej infrastruktury u większości operatorów (Play, T-Mobile, Orange). I skoro jesteśmy przy operatorach, to ich o zdanie w tej kwestii raczej nikt nie pytał. Wymiana sprzętu będzie kosztowała krocie i gdzieś trzeba będzie znaleźć na to pieniądze.

Jedną drogą będzie podwyżka cen i przerzucenie części kosztów na klientów. Drugą drogą może być zgłoszenie się przez operatorów do samego rządu z wnioskiem o subwencje. Jeżeli tak się stanie, to także my za to zapłacimy, ale z podatków, co i tak odbije się na naszych kieszeniach. Zastanawiające jest także to, że wykluczenie jakiegokolwiek dostawcy sprzętu, nie gwarantuje… cyberbezpieczeństwa.

cyberbezpieczeństwo ustawa
Fot. PixaBay

Czyli znowu wracamy do tematu braku konkretnej specyfikacji i wytycznych, które potrzebne są do merytorycznej oceny ryzyka. Można też odnieść wrażenie, że nikt z przygotowujących ustawę, nie przeliczył kosztów, które może ona powodować. Dodajmy do tego jeszcze to, że taka ustawa może o kilka lat opóźnić wprowadzenie sieci 5G w naszym kraju. Nie wspominając już o tym, ile miejsc pracy może zniknąć w związku z takimi zmianami.

Podsumowanie

Można odnieść wrażenie, że cały projekt ustawy ma być tylko zasłoną dymną, by wykluczyć z rynku konkretnych dostawców. Bez liczenia się z kosztami takiego ruchu i problemami, które może on powodować. Cyberbezpieczeństwo zdaje się być jedynie słowem wytrychem, który niewiele zmienia, bo niewiele się o nim mówi. Poniżej znajdziecie najważniejsze punkty, które wskazują na to, co z projektem ustawy może być „nie tak”.

  • Brak jasnych kryteriów technologicznych potrzebnych do oceny ryzyka.
  • Brak konsultacji z operatorami i branżą technologiczną.
  • Ogromne koszty, które będą związane z wymianą nadajników.
  • Wyjątkowo krótki czas na konsultacje (14 dni, a powinno być minimum 45 przy takim projekcie).

Źródło: Legislacja.gov.pl




Bartosz Szczygielski

Nowymi technologiami zajmuje się od kilku lat. Kiedy o nich nie pisze, to pewnie pisze kolejną książkę. Jeżeli nie pisze kolejnej książki, to pewnie ogląda seriale, a jeżeli nie ogląda seriali, to najprawdopodobniej śpi.