Według szefa Urzędu Komunikacji Elektronicznej początek budowy sieci 5G to dobry moment, by pomyśleć o docelowym modelu cyberbezpieczeństwa w Polsce.
"Wprowadzaniu poprzednich technologii nie towarzyszyły dyskusje o cyberbezpieczeństwie. Dziś bezpieczeństwo komunikacji elektronicznej staje się priorytetem, więc należy precyzyjnie określać także kompetencje" - wskazał. Jak mówił, choć obowiązująca ustawa o krajowym systemie cyberbezpieczeństwa teoretycznie dzieli odpowiedzialność na cywilną i wojskową, w sytuacjach zagrożenia zarządzanie przejmują resorty siłowe jak MON i MSWiA oraz podległe im służby specjalne. "To powszechna praktyka wielu krajów" - podkreślił Marcin Cichy, dodając, że wynika ona z uboższych kompetencji instytucji cywilnych.
"Co do zasady UKE musi poinformować operatora o kontroli z tygodniowym wyprzedzeniem. Przykładowo prezes UOKiK ma tu szersze prerogatywy: może wejść do firmy w asyście policji i zabezpieczyć sprzęt oraz dokumenty. Jeśli w wyniku cyberataku dochodzi do naruszenia integralności sieci telekomunikacyjnej, a my musimy umawiać się z operatorem na wizytę, to czas reakcji w oczywisty sposób się wydłuża" - opisywał szef UKE. „Urząd jako wyspecjalizowana instytucja cywilna, może zapewniać wsparcie merytoryczne, jednak nie będzie podmiotem wiodącym” - podkreślił.
Jak wyjaśniał, chodzi o to, by działalność regulatora rynku miała w sferze cyberbezpieczeństwa rolę wspierającą dla specsłużb. "UKE ma za zadanie zachować gospodarczy i biznesowy ład na rynku telekomunikacyjnym. W konsekwencji mamy unikalną wiedzę, którą możemy służyć na potrzeby procesów decyzyjnych. Robimy to już w innych obszarach współpracy z ABW czy MON" - powiedział.
Pytany o bezpieczeństwo sprzętu Huawei w kontekście rozwoju 5G, Marcin Cichy powiedział, że w trwającej obecnie aukcji pasma 3,6 MHz zachowano 100 proc. neutralności technologicznej i wszyscy operatorzy mają równe szanse niezależnie od kraju pochodzenia urządzeń, które wykorzystują.
"Toczyły się dyskusje w tym zakresie, jednak odrzuciliśmy wariant wykluczenia z obecnej aukcji sprzętu z uwagi na pochodzenie Nie ze względów politycznych, ale technologicznych. Pasmo C docelowo będzie jednym z kilku używanych przez 5G, mamy już rozdysponowane inne częstotliwości, a więc nakładanie zobowiązań dotyczących sprzętu tylko w jednym zakresie widma, byłoby nieefektywne” - opisywał szef UKE.
Wskazał, że wykluczenie chińskiego dostawcy z polskiego rynku jest wykonalne, ale pociągnęłoby za sobą wysokie koszty, proporcjonalne do udziału tej infrastruktury w rynku – spółki szacowały koszt wymiany po ok. 2 mld zł na operatora.
"Najważniejsza jest funkcja celu. Jeśli chcemy zabezpieczyć interes państwa w zakresie cyberbezpieczeństwa, a jednocześnie zachować konkurencyjność i wzrost rynku, to w pierwszej kolejności służy temu obowiązek dywersyfikacji dostawców. Wykluczenie firm spoza NATO to kolejny krok, który może pociągać za sobą istotne skutki finansowe dla operatorów i cenowe dla konsumentów" - powiedział.
Według Cichego odgórny obowiązek dywersyfikacji leży w interesie samych spółek. "Operatorzy jak ognia unikają działań podnoszących koszty, odwlekają inwestycje nawet za cenę ograniczenia technologicznej niezależności. Z kolei decyzje administracyjne łatwiej można uzasadnić inwestorom. Wielu menedżerów w Polsce odetchnęłoby z ulgą, gdyby zobowiązania dywersyfikacji sprzętu otrzymali z mocy prawa. Nawet jeśli oficjalna polityka firmy jest inna" - wskazał.
Zdaniem szefa UKE kwestie cyberbezpieczeństwa sieci 5G powinny być określone całościowo w ustawie wyraźnie precyzującej obowiązki operatorów telko i regulatora rynku. W tej chwili procedowane są dwa projekty rozporządzeń dotyczące bezpieczeństwa sieci: projekt rozporządzenia w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług oraz projekt rozporządzenia w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń. Jednak w ocenie szefa UKE nie precyzują one jednoznacznie obowiązków nakładanych na operatorów telko.
"Próba uregulowania obowiązków przedsiębiorców w tych rozporządzeniach jest kompromisem między koniecznością podjęcia działań a deficytami wiedzy o ewolucji cyberbezpieczeństwa w najbliższych latach. Jednak z perspektywy urzędnika przepisy muszą być na tyle precyzyjne, aby stanowiły niepodważalną podstawę dla prowadzenia kontroli. Niejednoznaczność przepisów i podejmowanych na ich podstawie przez regulatora decyzji, będzie zawsze rozstrzygana przez sądy na korzyść przedsiębiorców. A to rodzi ryzyka dla budżetu państwa, które powinniśmy eliminować" - powiedział Marcin Cichy. (PAP)
autor: Małgorzata Werner-Woś
