Projekt nowelizacji ustawy o cyberbezpieczeństwie to przykład na to, jak szybko można zacząć się… cofać. Wygląda bowiem na to, że wprowadzenie ustawy w takiej formie, jak ostatnio zaproponowano, będzie kosztowało nas wszystkich miliardy złotych. Dodatkowo możemy zapomnieć o szybkim rozwoju sieci 5G, co powinno być jednym z priorytetów, jeżeli chodzi o sam rozwój sieci teleinformatycznych w Polsce. Tymczasem wiele wskazuje na to, że będzie zupełnie odwrotnie.
Cyberbezpieczeństwo w zderzeniu z prawem
Pisałem już o tym, co zawiera projekt ustawy o cyberbezpieczeństwie, ale w skrócie można powiedzieć, że jest on wyjątkowo… niebezpieczny. I niestety, ale nie jest to przesada. Wprowadzenie ustawy w takiej formie, jak ta zaproponowana, może wyrządzić nieodwracalne szkody. O samej sprawie wypowiedział się nawet Ryszard Hordyński (Dyrektora ds. strategii i komunikacji w Huawei Polska), a to już świadczy o tym, że problem jest naprawdę poważny. Pisał o tym dla was Paweł, więc zachęcam do zapoznania się także z jego tekstem, by mieć lepszy pogląd całej sytuacji.
Jednym z punktów w projekcie ustawy o cyberbezpieczeństwie jest to, że Komisja zajmująca się weryfikacją dostawców, podejmuje decyzje o stopniu ryzyka. Jeżeli według Komisji będzie ono wysokie, to nie będzie można korzystać z rozwiązań konkretnej firmy. I tutaj pojawia się pierwszy z problemów. Projekt ustawy nie przedstawia żadnych wytycznych, którymi Komisja ds. Cyberbezpieczeństwa, miałaby się kierować przy ocenianiu stopnia ryzyka. Przynajmniej jeżeli chodzi o kwestie techniczne, które powinny być przecież tymi najważniejszymi. Skupiono się za to na kwestiach „politycznych”, a mianowicie na tym, czy dostarczyciel sprzętu „(…) znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego (…)”.
Zobacz też: e-Skrzynka od Poczty Polskiej zostanie wyłączona.
Do tego wspominano o prawodawstwie w danym państwie, które ma dostarczać sprzęt czy oprogramowanie. Nie zapomniano także o tym, by wspomnieć o prawach człowieka czy ochronie danych osobowych konkretnego kraju. I to wszystko jest oczywiście ważnym aspektem, ale nie mającym się nijak do cyberbezpieczeństwa naszego kraju. Kluczowa powinna być tutaj kwestia technologiczna. Jawne specyfikacje sprzętu, niezależne certyfikaty i mechanizmy, które mają zapobiegać „wyciekom” danych.
Operatorzy będą szukali pieniędzy
Można odnieść wrażenie, że projekt ustawy o cyberbezpieczeństwie jest niejako dyskryminujący dla niektórych dostawców sprzętu. Głównie ze względu na to, gdzie ci mają swoje fabryki lub z kim współpracują. Jeżeli Komisja ds. Cyberbezpieczeństwa zadecyduje, że konkretna firma stanowi wysokie ryzyko, pojawi się gigantyczny problem. Nie będzie można korzystać z żadnych rozwiązań od tej firmy. Jeżeli mówimy o sieci i nadajnikach od Huawei, będzie to oznaczało konieczność wymiany całej infrastruktury u większości operatorów (Play, T-Mobile, Orange). I skoro jesteśmy przy operatorach, to ich o zdanie w tej kwestii raczej nikt nie pytał. Wymiana sprzętu będzie kosztowała krocie i gdzieś trzeba będzie znaleźć na to pieniądze.
Jedną drogą będzie podwyżka cen i przerzucenie części kosztów na klientów. Drugą drogą może być zgłoszenie się przez operatorów do samego rządu z wnioskiem o subwencje. Jeżeli tak się stanie, to także my za to zapłacimy, ale z podatków, co i tak odbije się na naszych kieszeniach. Zastanawiające jest także to, że wykluczenie jakiegokolwiek dostawcy sprzętu, nie gwarantuje… cyberbezpieczeństwa.
Czyli znowu wracamy do tematu braku konkretnej specyfikacji i wytycznych, które potrzebne są do merytorycznej oceny ryzyka. Można też odnieść wrażenie, że nikt z przygotowujących ustawę, nie przeliczył kosztów, które może ona powodować. Dodajmy do tego jeszcze to, że taka ustawa może o kilka lat opóźnić wprowadzenie sieci 5G w naszym kraju. Nie wspominając już o tym, ile miejsc pracy może zniknąć w związku z takimi zmianami.
Podsumowanie
Można odnieść wrażenie, że cały projekt ustawy ma być tylko zasłoną dymną, by wykluczyć z rynku konkretnych dostawców. Bez liczenia się z kosztami takiego ruchu i problemami, które może on powodować. Cyberbezpieczeństwo zdaje się być jedynie słowem wytrychem, który niewiele zmienia, bo niewiele się o nim mówi. Poniżej znajdziecie najważniejsze punkty, które wskazują na to, co z projektem ustawy może być „nie tak”.
- Brak jasnych kryteriów technologicznych potrzebnych do oceny ryzyka.
- Brak konsultacji z operatorami i branżą technologiczną.
- Ogromne koszty, które będą związane z wymianą nadajników.
- Wyjątkowo krótki czas na konsultacje (14 dni, a powinno być minimum 45 przy takim projekcie).
Źródło: Legislacja.gov.pl