Nowy projekt noweli ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jest “kosmetycznie lepszy” od poprzedniego, ale nadal nie uwzględnia najważniejszych zgłoszonych w toku konsultacji uwag, ocenił w rozmowie z ISBnews Regional Cyber Security Officer CEE & Nordics, Huawei Rafał Jaczyński.
“Właśnie został przedstawiony został długo wyczekiwany, kolejny projekt noweli ustawy o krajowym systemie cyberbezpieczeństwa. W chwili obecnej jest kosmetycznie lepiej, niż kiedy pierwszy projekt zmian ujrzał światło dzienne, ale daleko mu jeszcze do akceptowalnego kompromisu, przede wszystkim dlatego, że nie uwzględnił najważniejszych zgłoszonych w toku konsultacji uwag” – powiedział Rafał Jaczyński.
W jego ocenie, projekt nadal zawiera liczne rozwiązania, które wywołują poważne zastrzeżenia z punktu widzenia podstawowych zasad prawa.
“Wbrew komentarzom projektodawców do uwag z konsultacji publicznych, kryteria oceny nie opierają się na kryteriach technicznych, w szczególności na modelu certyfikacji produktów. Obecny projekt wśród kryteriów oceny nadal przewiduje kryteria całkowicie subiektywne, np. stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i z danym państwem, czy zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania. W dalszym ciągu z oceny zostały wyłączone państwa NATO nie będące członkami Unii Europejskiej – co wprowadza dodatkową nierówność w traktowaniu podmiotów gospodarczych” – dodał przedstawiciel Huawei.
W jego ocenie, warto przypomnieć, że dostawca rozwiązań zarządzania infrastrukturą informatyczną, za pomocą których naruszone zostało bezpieczeństwo newralgicznych systemów rządowych i komercyjnych na całym świecie nie zostałby na podstawie przewidzianych w projekcie kryteriów uznany za dostawcę wysokiego ryzyka.
Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics, Huawei
“Poważne wątpliwości budzi ponadto fakt, że w sposób uznaniowy, bez odpowiedniej weryfikacji technicznej i rynkowej, została przygotowana lista kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług. Skutki takiego podejścia mogą być paradoksalne – według zaproponowanej klasyfikacji, urządzeniem krytycznym dla bezpieczeństwa państwa może być np. hotspot Wi-Fi. Bieżący projekt jako jeden z krytycznych dla bezpieczeństwa elementów infrastruktury klasyfikuje też stacje bazowe komórkowych sieci radiowej. Jest to podejście wyjątkowo restrykcyjne i bardzo asekuracyjne, nie znajdujące potwierdzenia ani w przygotowanej w ramach EU analizie ryzyka, ani w 5G Toolbox – jest to tak naprawdę ewenement w skali globalnej. A operatorzy na wymianę krytycznego sprzętu wciąż mają 5 lat, mimo licznych apeli z rynku o wydłużenie tego terminu” – wymienił Rafał Jaczyński.
Zaznaczył, że w działających przejrzyście państwach tego rodzaju lista jest tworzona nie poprzez ogłoszenie w ustawie, ale – jak pokazuje praktyka w innych krajach, np. Niemczech lub Finlandii – jest przygotowywana przez regulatora rynku telekomunikacyjnego, we współpracy z organami odpowiedzialnymi za bezpieczeństwo.
“Następnie lista ta jest poddawana konsultacjom rynkowym, przedsiębiorcy telekomunikacyjni mogą zgłaszać do niej uwagi. Lista podlega modyfikacjom, jest ciągle aktualizowana i dostępna na stronie internetowej organu regulacyjnego. Nie rozumiem, dlaczego nasze ministerstwo obawia się merytorycznej rozmowy z uczestnikami rynku. Przygotowanie ustawy w ten sposób pozwala na zadanie pytania o rzeczywisty cel przeprowadzania takiej oceny dostawców, zwłaszcza przy utajnieniu prac i dostępu do ich wyników oraz ograniczeniu skutecznych możliwości odwołania się od nich. Żeby nie być gołosłownym – według projektu, skarżącemu doręcza się tylko odpis wyroku z tą częścią uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych. Podmiot nie ma więc dostępu do pełnej dokumentacji w swojej własnej sprawie. Wyłączono także sądową możliwość wstrzymania na czas postępowania wykonalności decyzji w sprawie dostawcy określonego mianem wysokiego ryzyka – decyzja ta zawsze podlega rygorowi natychmiastowej wykonalności. Zupełnie nieakceptowalne jest też wyłączenie dostawcy z uczestnictwa w analizie” – wymienił przedstawiciel Huawei.
Podkreślił jednocześnie, żeby przeanalizować bezpieczeństwo produktów lub oprogramowania, trzeba przede wszystkim je mieć.
“Niestety, bez współpracy z dostawcą można je co najwyżej ukraść, bo analiza może dotyczyć rozwiązań, którymi nie dysponuje jeszcze żaden z klientów. Analogicznie wygląda kwestia dostępu do informacji, niezależnie od faktu, że dostawca posiada najbardziej szczegółowe informacje na temat swoich produktów i powinien mieć możliwość ich dostarczenia, próba uzyskiwania informacji z innych źródeł może oznaczać naruszanie praw własności intelektualnej. Czy do tego zostało powołane Kolegium ds. Cyberbezpieczeństwa? Podsumowując, choć przedstawiony niedawno projekt i jest nieco lepszy niż ten sprzed pół roku. Szkoda jednak, że większości merytorycznych uwag nie uwzględniono” – podsumował Jaczyński.
Huawei: Nowy projekt ustawy o KSC nadal nie uwzględnia uwag z rynku.