Przede wszystkim, przedsiębiorcy telekomunikacyjni są obowiązani podjąć działania w celu zapewnienia bezpieczeństwa i integralności sieci. Obowiązani są niezwłocznie informować Prezesa Urzędu Komunikacji Elektronicznej o naruszeniach, które miałyby istotny wpływ na funkcjonowanie sieci lub usług, o podjętych działaniach zapobiegawczych i środkach naprawczych. W razie potrzeby, Prezes UKE przekazuje informacje właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego [tzw. CSIRT – red.], a ewentualnie także innym państwom członkowskim oraz ENISA. Prezesowi UKE przysługują także ogólne kompetencje z zakresu kontroli przestrzegania przepisów Prawa telekomunikacyjnego (art. 199 i dalej).
A inne agendy rządowe? Na przykład służby bezpieczeństwa?
Oczywiście, również. Istnieje przecież instytucja świadectwa bezpieczeństwa przemysłowego, które nadaje Agencja Bezpieczeństwa Wewnętrznego. Bez certyfikatu bezpieczeństwa duży operator telekomunikacyjny praktycznie nie może funkcjonować. ABW dokonuje także akredytacji systemu teleinformatycznego, a w przeszłości podejmowała także badania uczestników przetargów częstotliwościowych.
Skoro o tym mowa, to dygresja: czy w dzisiejszym porządku prawnym można narzucić jakieś wymogi weryfikacji dostawców 5G w ramach postępowań selekcyjnych na częstotliwości radiowe?
Byłoby by to trudne. Nie ma po temu wyraźnych podstaw prawnych i sądzę, że dzisiaj taka próba nie obroniłaby się przed weryfikacją sądową. Nigdy do tej pory nie było takiej potrzeby przy rozdziale częstotliwości, więc przepisy nie przewidują odpowiednich narzędzi.
Wracając do meritum: czy obecnie obowiązujące prawo byłoby wystarczające do zbudowania racjonalnego systemu kontroli bezpieczeństwa 5G?
Przez co najmniej 16 lat obowiązywania Pt było wystarczające. Rozumiem jednak, że są obecnie określone potrzeby w tym zakresie. Pytanie jest nie „czy”, ale „jak” to zrobić. Wspomniałem już, że istnieje wiele przydatnych i sprawdzonych przepisów. Nie wykluczam oczywiście, że mogą być wprowadzone także inne rozwiązania, w tym oparte na wytycznych toolboksa. Legislacja oczywiście nie załatwi wszystkiego.
Zawsze kluczową kwestią jest wdrożenia przyjętych rozwiązań w praktyce.
Uważam, że dobrym rozwiązaniem jest certyfikacja sprzętu telekomunikacyjnego (w takim kierunku idą rozwiązania niemieckie). Istnieją do tego podstawy w prawie europejskim, istnieją w Polsce kompetentne, państwowe jednostki naukowe i prywatne podmioty do wydawania certyfikatów.
Certyfikacja miałaby polegać tylko na badaniu technicznym sprzętu, czy również na jakiejś formie weryfikacji dostawców?
Trudno mi sobie wyobrazić racjonalne i efektywne badanie dostawców. Nie widzę natomiast żadnego problemu z badaniem podatności sprzętu, przykładowo, na jakąkolwiek infiltrację. W polskim prawie są już dzisiaj postanowienia, które definiują kryteria uznania sprzętu za bezpieczny.
Obserwując dyskusję nad bezpieczeństwem sieci 5G, dochodzę do wniosku, że istotne byłoby nie tylko to, jak mógłby działać system certyfikacji, ale także w czyich byłby rękach.
To jest bardzo ciekawa kwestia. Wiem, że Ministerstwo Cyfryzacji naszkicowało – bardzo wstępnie – działanie takiego systemu certyfikacji, nad którym miałoby sprawować nadzór, a konkretne czynności wykonywałyby podległe resortowi instytuty badawcze typu NASK, czy Instytut Łączności.
