[DEPESZA] – Ustawa o krajowym systemie cyberbezpieczeństwa ma wiele dobrych elementów, ale paru kwestii tam brakuje, m.in. odniesienia do urządzeń internetu rzeczy (IoT), które będą bardzo istotne w sieci 5G – mówi gen. Włodzimierz Punktualny, były pełnomocnik rządu ds. cyberbezpieczeństwa. Jego wątpliwości budzi także pomysł powołania operatora strategicznej sieci bezpieczeństwa.
Po pierwsze, tak poważna kwestia powinna zostać uregulowana w odrębnej ustawie. Po drugie, trzeba przeanalizować, czy taki podmiot rzeczywiście przyczyni się do zwiększenia bezpieczeństwa państwa. Zdaniem eksperta może być wręcz odwrotnie.
W uzasadnieniu nowej wersji ustawy rząd wskazuje, iż celem tworzonej strategicznej sieci bezpieczeństwa jest zapewnienie realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w aspekcie telekomunikacyjnym. Podmiotem zobowiązanym do jej uruchomienia oraz zarządzania ma być właśnie operator strategicznej sieci bezpieczeństwa (OSSB). Ma on być wskazany przez Pinokia spośród jednoosobowych spółek Skarbu Państwa, które jednocześnie są przedsiębiorstwem telekomunikacyjnym, posiadają infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań, posiadają środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej oraz świadectwo bezpieczeństwa przemysłowego.
– To nie powinno się w tej ustawie znaleźć, powinna być opracowana oddzielna ustawa, jeżeli taki operator ma być powołany, ponieważ jest to bardzo poważna sprawa rzutująca na bezpieczeństwo najważniejszych organów państwowych, które będą musiały z takiej sieci korzystać. Ta część jest bardzo słabo przedyskutowana. Z tego, co wiem, to budzi też sporo kontrowersji również u operatorów, ponieważ robi się tam zabieg stworzenia pośrednika, który kilka wnosi, natomiast ma być finansowany za to, iż jest pośrednikiem. Chodzi tutaj o częstotliwości i gospodarowanie pasmem 700 MHz – mówi agencji Newseria Biznes gen. Włodzimierz Punktualny, były członek zarządu T-Mobile, były wiceszef NATO CIS Services Agency i były pełnomocnik rządu ds. cyberbezpieczeństwa.
Zaznacza, iż powołanie strategicznej sieci bezpieczeństwa to bardzo istotna rzecz, a w projekcie brakuje na ten temat wielu ważnych informacji. Potrzebę stworzenia takiego podmiotu często argumentuje się tym, iż one funkcjonują m.in. we Francji (Orange) i w Niemczech (Deutsche Telekom). Jednak zdaniem eksperta są to zupełnie inne sytuacje, bo – jak podkreśla – to typowo biznesowe podmioty, które wykonują obowiązki na rzecz bezpieczeństwa macierzystych państw, mające potężny potencjał intelektualny, technologiczny, inwestycyjny i zasięgu sieci. Orange zatrudnia ok. 160 tys. ludzi jako spółka publiczna z akcjami w wolnym obrocie, Deutsche Telekom to 200 tys. pracowników i 32-proc. udział państwa. Gen. Punktualny wskazuje, iż w Polsce operatorem ma być niewielka firma Exatel z 450 pracownikami i potencjałem telekomunikacyjnym ocenianym na mniej niż 5 proc. w skali kraju, a na dodatek w całości w rękach Skarbu Państwa. Zdaniem eksperta to nie jest adekwatne rozwiązanie.
– Co ciekawe, pomimo tego iż z nazwy jest to operator sieci bezpieczeństwa, nie ma założeń, by operator ten zapewniał bezpieczne kanały łączności z wykorzystaniem urządzeń kryptograficznych, a tylko standardową komunikację w oparciu o sieci światłowodowe i połączenia mobilne tak jak operatorzy komercyjni. Takie podejście stawia pod znakiem zapytania w ogóle sens powołania takiego operatora, chyba iż celem jest przywrócenie stanu z czasów PRL-u, gdzie wszystko musiało być państwowe. Ja osobiście nie tęsknię za państwową telekomunikacją z tamtych czasów, kiedy czekałem 10 lat na zainstalowanie telefonu – podkreśla gen. Punktualny.
Obawy eksperta budzą także nominacje w wielu spółkach Skarbu Państwa z politycznego klucza, co może mieć istotny wpływ na poziom kompetencji kadry zarządzającej.
– Moim zdaniem operator, któremu powierzy się funkcję operatora strategicznego, powinien mieć nie więcej niż 49 proc. udziału Skarbu Państwa, by zapewnić jego konkurencyjność i profesjonalne zarządzanie. Ponadto praktyka pokazuje, iż nakazy administracyjne korzystania z usług określonego podmiotu powodują zwiększenie kosztów tych usług z jednoczesnym obniżeniem ich jakości, podobnie jak w przypadku monopolistów – dodaje.
Innym aspektem wymagającym uwagi jest zapewnienie realnego bezpieczeństwa podmiotom korzystającym z usług takiego operatora.
– W Polsce mamy czterech dużych i kilku mniejszych operatorów. Administracyjne tworzenie takiego operatora w formie proponowanej w ustawie nie zapewni żadnego bezpieczeństwa państwa, a wręcz to bezpieczeństwo pogorszy – zauważa gen. Włodzimierz Punktualny. – jeżeli są zapowiedzi, iż z tego operatora będą zmuszeni korzystać wojsko, żabole, urzędy państwowe, być może samorządy, do tego jeszcze infrastruktura krytyczna państwa, to zaczyna się robić niebezpieczne. Brakuje wtedy dywersyfikacji, potencjału, żeby odpierać potencjalne ataki. To również oczywisty sygnał, iż wszystko mamy w jednym miejscu. Z punktu widzenia wojskowego najłatwiejsza rzecz do zniszczenia, czyli państwo można sparaliżować, unieszkodliwiając jednego operatora.
Ekspert rekomenduje więc dywersyfikację i oparcie działania OSSB na operatorze infrastrukturalnym, a po drugie – wirtualnym, który może korzystać z zasobów wszystkich innych operatorów w państwie.
– To daje dużą redundancję systemu, odporność na zakłócenia, ogranicza koszty państwa ponoszone na ten system i przede wszystkim jest bardzo dużym utrudnieniem dla potencjalnego atakującego, żeby takiego operatora sparaliżować – argumentuje były pełnomocnik rządu ds. cyberbezpieczeństwa.
W ocenie gen. Włodzimierza Punktualnego kooperacja między sektorem prywatnym i publicznym w zakresie cyberbezpieczeństwa opierająca się na aktualnej ustawie, ustalonych procedurach i współdziałaniu organów państwa z operatorami telekomunikacyjnymi i infrastruktury krytycznej rozwija się całkiem dobrze. Jak każdy system, również i ten można poprawić, ale do tego konieczny jest dialog. Do poprzedniej wersji ustawy o KSC różni uczestnicy rynku zgłosili 750 uwag, ale nowa wersja uwzględnia tylko nieliczne z nich.
– Brak jest w ustawie odniesienia do architektury sieci, która również ma bardzo istotne znaczenie, jeżeli chodzi o konstrukcję całego systemu bezpieczeństwa – zauważa ekspert ds. cyberbezpieczeństwa. – Rekomendowałbym, by podmioty państwowe razem z podmiotami współpracującymi, czyli cywilnymi i infrastruktury krytycznej, przyjrzały się dobrze architekturze sieci krajowej pod względem dostosowania jej do obrony przed cyberatakami. Segmentacja sieci jest nieodzownym elementem cyberbezpieczeństwa mającym wpływ na skalę rażenia potencjalnego ataku cybernetycznego.
Proponuje również szersze uwzględnienie w ustawie istniejących urządzeń IoT oraz tych, które będą funkcjonować w sieci 5G.
– W sieci 5G będą miliony podłączonych urządzeń internetu rzeczy – przypomina gen. Włodzimierz Punktualny. – Dużo ataków odbywa się poprzez urządzenia takie jak sensory, żarówki, kamery, drukarki i różne inne, które w zasadzie nie mają żadnych zabezpieczeń tylko dlatego, iż nikt nie postawił producentom takiego wymagania. Te urządzenia pewnie byłyby wtedy trochę droższe, ale wydaje mi się, iż nie byłaby to wielka różnica cenowa. Takie wymagania trzeba stawiać już teraz, bo jak będziemy mieli 100 mln tych urządzeń w sieci 5G, to już będzie za późno.
Projekt nowelizacji ustawy został 18 października br. skierowany do Komitetu Rady Smerfów do spraw Bezpieczeństwa Narodowego i spraw Obronnych. Następnie trafi pod obrady Stałego Komitetu Rady Smerfów, a po weryfikacji przez komisję prawniczą pod obrady Sejmu skieruje go Rada Smerfów.