I gdy w końcu pojawia się rozsądny dokument (rozporządzenie o minimalnych środkach wydaje się racjonalne tak pod względem wymagań technicznych, jak i poziomu kosztów związanych z jego wdrożeniem), to zaraz potem dowiadujemy się, że dyskusja w rządzie wciąż trwa i wymagania mogą się jeszcze zmienić. Nie widać końca tych ustaleń, a ich treść jest kluczowa dla zaplanowania przez nas wielomilionowych inwestycji. W infrastrukturę, która ponoć jest tak ważna dla państwa.
PIOTR KURIATA (członek zarządu P4 ds. strategii i rozwoju biznesu): Dzisiaj w zasadzie nie wiemy, kto będzie mógł dostarczać nam urządzenia sieciowe, lub z jakimi obostrzeniami to będzie związane. Nie mamy możliwości planowania budowy sieci, a z tego wynika, że trudno nam ocenić realność wymogów pokryciowych w planowanym postępowaniu selekcyjnym. Nie można przystępować do konsultacji aukcji bez wiedzy o tych szczegółach. Bardzo dobrze, że UKE przedstawiło propozycje, bo przynajmniej jest o czym dyskutować, ale dzisiaj nie mam pojęcia dokąd zmierzamy.
ŁUKASZ DEC: A jakie są propozycje zapisów odnośnie cyberbezpieczeństwa w rezerwacjach częstotliwościowych?
PIOTR KURIATA: Właśnie na takie pytanie trudno jest odpowiedzieć. Regulator proponuje odniesienie obowiązków do szacowania ryzyka dostawców przez kolegium ds. cyberbezpieczeństwa, który to mechanizm jeszcze nie istnieje i nie ma go teraz w kompetencjach kolegium. Przewidywany jest dopiero w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [KSC].
Oczekuje się od nas również przedstawienia planu „redukcji ryzyka”, czyli mówiąc wprost: wyeliminowania z sieci sprzętu dostawców uznanych za niepożądanych w bardzo krótkim czasie. Nie dyskutuje się przy tym ani o kosztach takiej operacji, ani o ewentualności alternatywnych rozwiązań. Ogólnie rzecz biorąc, oczekuje się od nas skoku na główkę bez możliwości sprawdzenia, ile jest wody w basenie.
WITOLD DROŻDŻ: Dodałbym jeszcze, że – z niezrozumiałych powodów – cały ciężar troski (i kosztów) o cyberbezpieczeństwo składa się na operatorów sieci. Jakby na cały ekosystem nie składali się również dostawcy sprzętu sieciowego, urządzeń końcowych, oprogramowania i usług. Jednocześnie oczekuje się od nas szybkich inwestycji i w ogóle wsparcia strony publicznej w wielu sytuacjach.
ŁUKASZ DEC: Wrodzony i zawodowy sarkazm, każe mi zauważyć, że wielu z tych dostawców po prostu wymyka się jurysdykcji krajowych oraz unijnych regulacji i władz. Może dlatego są pomijani – bo zwyczajnie są poza zasięgiem.
CEZARY ALBRECHT (członek zarządu T-Mobile ds. bezpieczeństwa i prawnych): Przypomina mi to dyskusję o neutralności sieciowej. Tam również wszelkie obowiązki przestrzegania zasad ulokowano w sieciach operatorskich, jakby zapominając, że są jeszcze terminale abonenckie lub dostawcy treści. Podobnie jest z cyberbezpieczeństwem – można stanąć na głowie, aby uszczelnić sieci, a dane i tak mogą „wyciekać” na terminalach.
Wracając do zapisów o cyberbezpieczeństwie w rezerwacjach... Zaproponowano mechanizm wdrażania (jeszcze bliżej nie znanych) środków w ciągu 12 miesięcy od dnia wydania decyzji rezerwacyjnej. Z założeniem aktualizacji obowiązków co trzy lata. Pełno jest odniesień do rekomendacji, czy opinii, które są jeszcze nieznane i są nie tylko poza sferą operatorów, ale nawet poza obszarem regulatora. Nie wiem w jaki sposób mamy wycenić pasmo C, skoro algorytm zawiera tak wiele niewiadomych.
PIOTR KURIATA: Pozwolę sobie zacytować jeden ustęp proponowanych zapisów: „W przypadku dokonania przez kolegium, o którym mowa w art. 64 ustawy KSC oceny ryzyka dostawcy sprzętu i oprogramowania na poziomie wysokim dysponent w terminie 3 miesięcy od dokonania oceny przedstawia Prezesowi UKE program eliminacji ze swojej sieci sprzętu i oprogramowania tego dostawcy. Od dnia wydania oceny dysponent nie nabywa sprzętu i oprogramowania od tego dostawcy”. Od takiej decyzji nie przysługuje żadne odwołanie.
Zwracam uwagę, że zgodnie z aktualnymi przepisami kolegium składa się z osób o proweniencji głównie politycznej1, a na podstawie jego decyzji my powinniśmy w ciągu 3 miesięcy usuwać sprzęt z sieci.
---------------------------------------
PRZYPISY
[1] Przewodniczącym kolegium jest Prezes Rady Ministrów. W skład wchodzą również m.in.: pełnomocnik rządu ds. cyberbezpieczeństwa, minister spraw wewnętrznych, minister cyfryzacji, szef MON, szef MSZ, Szef KPRM, Szef BBN, minister-koordynator służb specjalnych. W obradach uczestniczą także: Dyrektor Rządowego Centrum Bezpieczeństwa, szef ABW, szef SKW oraz dyrektor NASK.
