Paraliż zamiast cyberbezpieczeństwa

Paraliż zamiast cyberbezpieczeństwa

Dodano: 
Telefon komórkowy (zdj. ilustracyjne)
Telefon komórkowy (zdj. ilustracyjne) Źródło: Unsplash / NeONBRAND
Sprawny system cyberbezpieczeństwa buduje się w oparciu o profesjonalizm i merytoryczną certyfikację, a nie rozgrywki polityczne – uważa dr Łukasz Kister, ekspert ds. cyberbezpieczeństwa specjalizujący się w audytowaniu systemów bezpieczeństwa w instytucjach publicznych i biznesie.

Trwają 14-dniowe konsultacje projektu zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Jedną z proponowanych zmian jest wpisanie telekomunikacji na listę obszarów kluczowych, co to będzie oznaczać dla tego sektora?

Totalny chaos. Telekomunikacja to sektor, który jest regulowany przez ustawę, nadzór nad przestrzeganiem bardzo szczegółowych wymogów i procedur sprawuje Urząd Komunikacji Elektronicznej. W projekcie pojawia się nowy organ nadzorczy Kolegium ds. Cyberbezpieczeństwa. To doprowadzi do dualizmu, który grozi niejasnościami w interpretowaniu przepisów.

Ale przecież telekomunikacja jest kluczowa z punktu widzenia bezpieczeństwa państwa...

To prawda, dlatego dawanie 14 dni na rozmowę o tak kluczowym zagadnieniu wydaje się niepoważne. Tak naprawdę o roli telekomunikacji w budowaniu systemu cyberbezpieczeństwa powinniśmy rozmawiać od dawna, ale nie powinny to być dyskusje o charakterze politycznym, tylko merytorycznym. Tak naprawdę w dzisiejszym cyfrowym świecie systemy teleinformatyczne są podstawą bez której nie może działać żaden sektor, dlatego poważne dyskusje nad certyfikacją i sprawdzaniem jakości tych rozwiązań to klucz do cyberbezpieczeństwa. Tak naprawdę chodzi o to, by wszystkie systemy wykorzystywane w kluczowych obszarach gospodarki były profesjonalne i certyfikowane.

W projekcie zapisano kryteria na podstawie których oceniani będą dostawcy sprzętu i oprogramowania.

Tylko nie są to propozycje, które oceniają sprzęt i oprogramowanie, ale dostawców i to jeszcze w kategoriach raczej moralnych (bo tak można zinterpretować zapis o prawach obywatelskich i prawach człowieka) niż profesjonalnych. Tak naprawdę te propozycje pojawiły się dość nagle, wyglądają raczej na zaproponowane z powodów politycznych i bardziej wpisują się w międzynarodową grę polityczną niż w merytorykę. A przecież Komisja Europejska opublikowała w styczniu 2020 r. dokument „5G Toolbox”, który jest zestawem rekomendacji dla państwa członkowskich wspierającym je w budowania sieci piątej generacji. Są w nim zapisy o certyfikacji dostawców, ale pod względem bezpieczeństwa technologicznego. Przedstawiona u nas propozycja zapisów ustawowych ma niewiele wspólnego z rekomendacjami unijnymi. Dodatkowo państwo zamiast zbudować zintegrowaną sieć laboratoriów, które będą w stanie pod względem technologicznym sprawdzić bezpieczeństwo sprzętu i wydać merytoryczną ocenę, chce opierać się na płynnych kryteriach (bo tak naprawdę kto, jak i na podstawie jakich kryteriów oceni, czy dostawca jest z kimś powiązany i na jakim poziomie) oraz przerzuca odpowiedzialność za cyberbezpieczeństwo na dostawców.

Co będzie, jeśli przepisy w proponowanym kształcie wejdą w życie?

Paraliż i to wbrew pozorom nie tylko w sektorze telekomunikacji, ale w całej gospodarce. Nie zapominajmy, że 70-80 proc. wszystkich rozwiązań teleinformatycznych opartych jest na podzespołach z Chin.

Dr Łukasz Kister, ekspert ds. cyberbezpieczeństwa

Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie,transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). 7 września tego roku rozpoczęły się 14-dniowe konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie. Wśród ocenianych rzeczy, zgodnie z proponowaną zmianą, ma być: „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:

a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,

b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”.

Przyjęcie tego zapisu będzie oznaczać, że firmy chińskie zostaną wykluczone z przetargów na dostawę sprzętu i oprogramowania.

Czytaj też:
Cyberbezpieczeństwo a sprawa chińska

Czytaj także