Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji wzbudza wiele kontrowersji. Przede wszystkim ze względu na upolitycznienie. Względy techniczne i ekonomiczne zeszły w nim na drugi albo i trzeci plan.

Fot. Pixabay

Nowelizacja zakłada, że Kolegium ds. Cyberbezpieczeństwa, czyli ciało doradcze działające od 2018 roku przy Radzie Ministrów, otrzyma kompetencje do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla krajowego cyberbezpieczeństwa i bezpieczeństwa narodowego. Kryteria oceny w zaproponowanej ustawie obejmują: stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania państwem jego pochodzenia; prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka; strukturę własnościową dostawcy sprzętu lub oprogramowania; zdolność ingerencji państwa pochodzenia dostawcy w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.

To oczywisty „ukłon” w stronę Amerykanów mający na celu „zgodne z prawem” wykluczenie Huawei z uczestnictwa w budowie sieci 5G w Polsce, a docelowo pozbycie się tej firmy znad Wisły. Prezydent Donald Trump i jego administracja w zasadzie oficjalnie przyznają, że europejskie represje wobec chińskiej firmy są wynikiem amerykańskich nacisków. Wypada więc głośno zapytać, czy rzeczywiście chodzi o troskę o cyberbezpieczeństwo, czy to może zwyczajna polityczna gra, która – jeśli się do niej przyłączymy – może nas bardzo drogo kosztować?

Ile? Rynek dostawców usług telekomunikacyjnych jest dość wąski, więc na wykluczeniu któregokolwiek z dostawców finalnie stracą operatorzy i ich klienci. Instytut Oxford Economics wyliczył, że mniejsza konkurencja, opóźnienia i spadek innowacyjności wpłynęłyby na utratę w Polsce nawet 120 milionów euro PKB każdego roku, prowadząc do łącznej straty rzędu nawet 2,2 miliarda EUR do 2035 r.

Bezpieczeństwo sieci nie powinno zostać upolitycznione. Tym bardziej że wyłączenie jednego dostawcy w żaden sposób nie gwarantuje podniesienia poziomu bezpieczeństwa. Rozwiązanie stanowić mogą zaproponowane przez Niemcy sposoby zarządzania standardami bezpieczeństwa sieci.

Kwestie cyberbezpieczeństwa zostały wciągnięte w kontekst chińsko-amerykańskiej rywalizacji. W mediach stale przewija się temat ścisłego związku między bezpieczeństwem sieci, a polityką krajową. Może to sprawiać wrażenie, że jedynym sposobem rozwiązania problemów związanych z bezpieczeństwem sieci jest zadeklarowanie się po którejś ze stron w konflikcie pomiędzy USA, a Chinami. Jednak każdy, kto choć trochę orientuje się w technologiach telekomunikacyjnych, wie, że to nic innego, jak wprowadzanie ludzi w błąd, a nie próba skutecznego rozwiązania problemów. Telekomunikacja to branża w dużym stopniu zależna od zglobalizowanego łańcucha dostaw. Na finalny sprzęt telekomunikacyjny składają się etapy projektowania, opracowywania, produkcji, czy sprzedaży, które nieuchronnie obejmują tysiące różnych firm z wielu różnych krajów. Dlatego nie ma tu mowy o koncepcji MADE IN COUNTRY.

Przykład? Produkty Apple mogą być projektowane w Stanach Zjednoczonych, komponenty wytwarzane w Japonii, a całość montowana w Chinach. Współcześnie globalna firma z branży telekomunikacyjnej jest zawsze częścią w globalnym łańcuchu dostaw, a nie pojedynczym dostawcą.

Zarządzanie bezpieczeństwem sieci to nie jest kwestia rządowego rozporządzenia czy napisania jednej konkretnej ustawy. Wymaga ono wspólnych wysiłków rządu, przedstawicieli branży, operatorów i dostawców sprzętu w celu sformułowania ujednoliconych standardów weryfikacji. Kluczowe powinno być tu równe traktowanie wszystkich dostawców. Standardy powinny być przejrzyste i jednakowe dla wszystkich.

Pierwsze samochody trafiły do rąk konsumentów, zanim ustanowiono jakiekolwiek prawo regulujące zasady poruszania się nimi. Następnie, na bazie zbieranych doświadczeń, stopniowo uregulowano te kwestie. Zresztą rządy nadal pracują nad prawodawstwem dotyczącym bezpiecznej jazdy, norm bezpieczeństwa drogowego, ustalają dodatkowe wymogi dla samochodów czy firm motoryzacyjnych. Co więcej, samochody wszystkich producentów, bez względu na kraj pochodzenia, muszą zostać przetestowane według tych samych zasad, zanim będą mogły zostać wprowadzone do sprzedaży. Nie da się po prostu założyć, że amerykańskie samochody są bezpieczniejsze niż samochody niemieckie czy japońskie. Sposób oceny, czy samochód jest bezpieczny, na podstawie miejsca jego produkcji, nie będzie zaakceptowany przez konsumentów. Ludzie wierzą w certyfikację bezpieczeństwa produktu, jego dokumentację i weryfikację, a nie we wróżenie na podstawie tego, z jakiego kraju pochodzi.

Może warto, by polski rząd wziął przykład z doświadczeń Niemiec pod tym względem. Organizacja 3GPP specjalizująca się w określaniu standardów telekomunikacyjnych i GSMA wspólnie uruchomiły system certyfikacji NESAS. Zaproponowane w Niemczech rozwiązania wspierają tę certyfikację, ustanawiając ujednolicony standard bezpieczeństwa dla wszystkich dostawców w celu zintegrowania audytów procesów. Żaden z dostawców nie zostaje natomiast wykluczony z konstrukcji sieci 5G z automatu. Taki sposób wydaje się skuteczniejszy i przede wszystkim bardziej przejrzysty w celu dobrego zarządzania cyberbezpieczeństwem, usprawnienia polskiego rynku telekomunikacyjnego i wprowadzenia w życie czwartej rewolucji przemysłowej w pełnym jej wydaniu.

Źle by się bowiem stało, gdyby za upolitycznienie kwestii związanych z bezpieczeństwem sieci Polacy zapłacili spowolnieniem gospodarczym, opóźnieniem procesów transformacji cyfrowej i podniesionymi cenami usług telekomunikacyjnych.