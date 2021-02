Nie czekaliśmy na wynik wyborów prezydenckich w Stanach Zjednoczonych – mówi Robert Kośla, dyrektor departamentu cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów o publikacji zmienionej wersji nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dodanie do niej przepisów o narodowym operatorze tłumaczy m.in. pandemią.

Pamięta Pan może, od kiedy trwają nad nią prace w Ministerstwie Cyfryzacji, teraz podległym bezpośrednio premierowi? Poniżej dalsza część artykułu

Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa rozpoczęły się na początku 2020 roku, a dokładniej po tym, jak 29 stycznia Komisja Europejska przyjęła tzw. 5G Toolbox (zestaw rekomendacji, w jaki sposób Unia Europejska powinna zadbać o bezpieczeństwo sieci telekomunikacyjnych 5G – red.).

Wydawało mi się, rozmowy na ten temat zaczęły się wcześniej.

Rozmów o konkretnych przepisach wcześniej nie prowadziliśmy, natomiast zaplanowaliśmy nowelizację ustawy o krajowym systemie cyberbezpieczeństwa w ramach omawiania działań mitygujących ryzyka dla budowy bezpiecznych sieci 5G w Polsce.

Realizując rekomendacje Komisji Europejskiej z 26 marca 2019 r. ws. cyberbezpieczeństwa sieci 5G, Polska (równolegle z innymi państwami UE) przygotowała szacowanie ryzyk na poziomie krajowym i przekazała tę analizę w dniu 15 lipca 2019 r. do Komisji Europejskiej. W analizie wskazano ryzyka w trzech warstwach architektury sieci 5G – radiowej sieci dostępowej, warstwie szkieletowej (rdzeniowej) oraz warstwie obsługi i zarządzania siecią.

Wskazane zostały również propozycje środków mitygujących zidentyfikowane ryzyka dla sieci 5G – ich wdrożenie zaplanowane zostało w dwóch krokach. Pierwszym miało być określenie w rozporządzeniu z art. 175d Prawa telekomunikacyjnego minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni muszą stosować w celu zapewnienia bezpieczeństwa oraz integralności sieci lub usług. Chcieliśmy w ten sposób wypełnić lukę, która istniała od 2004 roku, gdy w życie weszło Prawo telekomunikacyjne.

Prace nad rozporządzeniem trwały od grudnia 2019 r. kiedy zorganizowaliśmy pierwsze warsztaty z operatorami telekomunikacyjnymi – zakończyło je podpisanie przez Ministra Cyfryzacji w dniu 22 czerwca 2020 r., a przepisy weszły w życie z dniem 29 grudnia 2020 r.

Delegacja w Prawie telekomunikacyjnym do wydania rozporządzenia nie dawała jednak możliwości wprowadzenia wszystkich środków niezbędnych do mitygacji ryzyk – m.in. nie było możliwe wprowadzenie nowych uprawnień organu właściwego ds. cyberbezpieczeństwa, obowiązków dla operatorów czy identyfikacji dostawców wysokiego ryzyka dla budowy sieci 5G, o której mówi 5G Toolbox. Tego typu uprawnienia, obowiązki i ograniczenia muszą być wprowadzane w ustawie, a nie w akcie wykonawczym. Wiadomo było już wtedy, że kolejnym krokiem będzie przygotowanie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 roku i dysponowaliśmy dodatkowo doświadczeniami z jej funkcjonowania.

Konsultacje nowelizacji były wydłużane i trwały jeszcze w grudniu. Podsumowali je państwo jako ministerstwo 21 stycznia. Dzień po zaprzysiężeniu nowego prezydenta Stanów Zjednoczonych. To przypadek, czy też rząd czekał na to, co wydarzy się w USA?

– Nie czekaliśmy na wynik wyborów prezydenckich w Stanach Zjednoczonych. Tym bardziej, że uzgodnienia na poziomie europejskim były prowadzone bardzo intensywnie. Komisja Europejska oczekiwała raportowania nt. tego w jaki sposób państwa członkowskie wprowadzają środki uzgodnione na poziomie unijnym i opublikowane przez Komisję w dokumencie 5G Toolbox w dniu 29 stycznia 2020 r. 5G Toolbox zawiera środki strategiczne (nowe przepisy dotyczące uprawnień i obowiązków), techniczne (wprowadzanie i zarzadzanie zabezpieczeniami) i wspierające (m.in. standaryzacja, certyfikacja i najlepsze praktyki).

Po zakończeniu prac nad poprawioną wersją projektu nowelizacji ustawy, powstałą po analizie uwag zgłoszonych w konsultacjach publicznych rozpoczętych w dniu 7 września, projekt został przekazany do zaopiniowania przez Kolegium ds. Cyberbezpieczeństwa. Był omawiany podczas dwóch posiedzeń Kolegium, które odbyły się w grudniu. W styczniu byliśmy gotowi do podsumowania konsultacji treści projektu wraz z tabelami przeanalizowanych uwag. Ta gruntowna analiza oraz wprowadzenie zmian omawianych podczas Kolegium zajęło nam bardzo dużo czasu i projekt z poprawkami oraz tabelami uwag został opublikowany w dniu 21 stycznia.

Co się konkretnie zmieniło?

– Między innymi wprowadzone zostały przepisy umożliwiające wzmocnienie analityczne krajowego systemu cyberbezpieczeństwa o ekspertów prowadzących analizy cyberzagrożeń i przewidujących ich potencjalny wpływ na bezpieczeństwo usług zapewnianych przez podmioty krajowego systemu cyberbezpieczeństwa. Ponadto Ci dedykowani analitycy mają prowadzić analizy bezpieczeństwa łańcucha dostaw produktów, usług i procesów teleinformatycznych wykorzystywanych w krajowym systemie cyberbezpieczeństwa, w szczególności przez operatorów usług kluczowych i podmioty publiczne. Dotychczasowe zdolności reagowania na incydenty, budowane na poziomie krajowym przez zespoły CSIRT GOV, CSIRT MON i CSIRT NASK, zostaną uzupełnione o tzw. analitykę predykcyjną czyli wyprzedzającą wystąpienie incydentu i mającą na celu wczesne ostrzeganie podmiotów krajowego systemu cyberbezpieczeństwa.

Ponadto nowelizacja ma wzmocnić skuteczność krajowego systemu cyberbezpieczeństwa dzięki wprowadzeniu, współpracujących z zespołami na poziomie krajowym, zespołów reagowania na incydenty – CSIRT sektorowych – lepiej znających specyfikę poszczególnych sektorów i bliżej współpracujących z operatorami usług kluczowych w tych sektorach. Sami operatorzy usług kluczowych będą rozwijali operacyjne centra bezpieczeństwa – Security Operations Center – lub korzystali z usług wyspecjalizowanych i sprawdzonych SOC-ów.

Pytam o zaprzysiężenie Joe Bidena, bo nowelizacja o której rozmawiamy kojarzona jest głównie ze sprawą dostawców infrastruktury, przede wszystkim chińskim Huawei. Stany uważają Huawei za zagrożenie dla bezpieczeństwa narodowego. Stany i Polska należą do NATO, a premier podpisał porozumienie o współpracy przy budowie bezpiecznego 5G z b. wiceprezydentem USA. Wiem, że protestował pan ostatnio na Twitterze, gdy dyrektor fundacji Digital Poland komentował, iż wykluczenie dostawcy infrastruktury z powodów politycznych to nadal główny cel tej nowelizacji. Jednak ważną kwestią są nadal przepisy pozwalające wykluczyć z budowy sieci 5G wysoce ryzykownego dostawcę lub sprzęt.

Przepisy nie mają charakteru dyskryminującego wobec jakiegokolwiek państwa lub jakiejkolwiek firmy. Dementuję to, że przepisy te mają kogoś wykluczyć z rynku, bo nie taki jest ich cel, charakter i zakres. Mają one umożliwić rządowi prowadzenie procesu uznania dostawców za dostawców wysokiego ryzyka w zakresie dostarczanych przez nich produktów, usług i procesów dla podmiotów krajowego systemu cyberbezpieczeństwa. Proces ten będzie miał na celu analizę ryzyk dla bezpieczeństwa narodowego związanych ze stosowaniem konkretnych produktów, usług i procesów pochodzących od danego dostawcy. Mitygacja lub eliminowanie tych ryzyk będzie możliwe poprzez ograniczanie stosowania konkretnych produktów, usług i procesów przez określone podmioty krajowego systemu cyberbezpieczeństwa. Analiza prowadzona przez Kolegium ds. Cyberbezpieczeństwa przed wydaniem decyzji administracyjnej przez ministra właściwego do spraw informatyzacji będzie uwzględniała zarówno kwestie techniczne, jak i nietechniczne związane z ryzykami dla bezpieczeństwa narodowego w kontekście konkretnych procesów, produktów i usług.

Jednak wszyscy pamiętamy wystąpienie premiera Morawieckiego na łamach zagranicznej prasy na temat budowy 5G. Nie pisał on tam o procedurach i technikaliach, ale o zaufaniu i przynależności do NATO. Czy Polska pójdzie w tym samym kierunku co USA i wykluczy chińskich dostawców z budowy sieci nowej generacji?

Państwa Organizacji Traktatu Północnoatlantyckiego (NATO) uzgodniły wspólną politykę bezpieczeństwa – dotyczy ona kwestii konsultacji politycznych, wspólnych działań militarnych i ochrony interesów ekonomicznych. Jeśli wraz ze wszystkimi członkami NATO uzgadniamy wspólne wymagania bezpieczeństwa, procedury bezpieczeństwa przemysłowego, osobowego i cyberbezpieczeństwa to następnie stosujemy te procedury we wszystkich państwach członkowskich. Równolegle do NATO, razem z państwami UE wprowadziliśmy procedury i przepisy związane z ochroną informacji niejawnych i bezpieczeństwem osobowym. W ubiegłym roku uzgodniliśmy zestaw środków, które mają podnieść bezpieczeństwo sieci 5G. Te elementy musimy brać pod uwagę przy przygotowywaniu przepisów krajowych.

Jaka będzie kolejność: Czy faktycznie najpierw ma zostać przyjęty KSC, prezes UKE dostanie opinię Kolegium ds. Cyberbezpieczeństwa nt. środków bezpieczeństwa obowiązujących zwycięzców aukcji, a dopiero potem ruszą konsultacje aukcji?

Pozytywna opinia Kolegium w sprawie przedstawionych przez Prezesa UKE warunków aukcji na rezerwacje częstotliwości 5G została już wydana i przesłana przez Sekretarza Kolegium. Nie mogę wypowiadać się za Prezesa UKE o tym kiedy dokładnie rozpoczną się konsultacje i procedura aukcyjna na rezerwacje częstotliwości dla sieci 5G.

Uchyli pan rąbka tajemnicy, jakie są warunki bezpieczeństwa stawiane uczestnikom aukcji 5G?

Nie odbiegają one w dużym stopniu od tych, które były konsultowane z rynkiem.

Więc na co czekamy?

Myślę, że na zatwierdzenie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przez Radę Ministrów, po to by przedsiębiorcy, którzy przystąpią do aukcji mieli większą pewność, że przepisy po rozpoczęciu aukcji nie wpłyną na wartość i kształt ich ofert.

Ile prace nad UKSC jeszcze potrwają?

Założenie jest takie, aby projekt został zaakceptowany przez Radę Ministrów do końca lutego i skierowany do Sejmu.

Pojawiają się jednak postulaty, aby nowelizację ponownie poddać konsultacjom w związku z wrzutką w postaci zapisów o operatorze narodowym: operatorze, któremu prezes UKE będzie mógł przydzielić pasmo i operatorze sieci komunikacji strategicznej (OSKS), którego wskaże premier. Bierze pan pod uwagę taki scenariusz?

Mamy doświadczenia z wprowadzania rozporządzenia z art. 175d Prawa telekomunikacyjnego. Przeprowadziliśmy wtedy trzy serie konsultacji publicznych i de facto nie doprowadziły one do polepszenia tego dokumentu. Zawsze któraś ze stron była niezadowolona. A przecież treść rozporządzenia była bardzo krótka – zawierała 3 paragrafy rozpisane na 2 stronach.

W przypadku nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa też można by prowadzić konsultacje dalej. Tyle, że największy opór budzi ona dlatego, że wprowadza dodatkowe środki podnoszące cyberbezpieczeństwo również w sektorze telekomunikacyjnym i komunikacji elektronicznej. Przy okazji prac nad rozporządzeniem z art. 175 d słyszeliśmy pytania, dlaczego chcemy regulować rynek, który sam się uregulował. Teraz słyszymy podobne pytania – dlaczego chcemy podnosić wymagania cyberbezpieczeństwa dla przedsiębiorców komunikacji elektronicznej?

Jednak skuteczność samoregulacji może być kwestionowana ze względu na brak danych ją potwierdzających. Naruszenia najczęściej zgłaszane przez operatorów do UKE nie miały związku z cyberbezpieczeństwem. Teraz sytuacja jest też inna dlatego, że do wprowadzenia nowych regulacji dotyczących cyberbezpieczeństwa zobowiązują nas przepisy Europejskiego Kodeksu Łączności Elektronicznej (art. 40 i 41) oraz uzgodnienie przez wszystkie państwa członkowskie UE, Komisję Europejską i Agencję Europejską ds. Cyberbezpieczeństwa – ENISA zestawu środków zabezpieczających sieci 5G – 5G Toolbox. Ten kierunek niezbędnych zmian został też potwierdzony przez państwa członkowskie UE w październikowych konkluzjach Rady Europejskiej o konieczności podniesienia poziomu cyberbezpieczeństwa i odporności nowych sieci 5G.

Uwagę, że UKSC wymaga powtórnych konsultacji zgłosiło m.in. Rządowe Centrum Legislacji ze względu na znaczące zmiany w projekcie opublikowanym 21 stycznia. Co Ministerstwo Cyfryzacji na to? Nie ma obaw, że prace nad UKSC przedłużą się?

Kolegium ds. cyberbezpieczeństwa zaakceptowało projekt w aktualnym brzmieniu z rekomendacją pilnego skierowania do dalszych prac na poziomie komitetów Rady Ministrów.

Pan uważa, że to dobrze, że zapisy o operatorze narodowym trafiły do tej ustawy i to na takim etapie?

Główny powód dla którego przepisy o Operatorze Sieci Komunikacji Strategicznej zostały wprowadzone do projektu ustawy jest taki, że nie powiodły się podejmowane od ponad 20 lat próby uregulowania kwestii zapewnienia niezawodnych usług na rzecz bezpieczeństwa narodowego i zarządzania kryzysowego. Ponadto jest to kwestia, która znalazła swoje pełne potwierdzenie w trakcie kryzysu związanego z pandemią – konieczność budowy systemu zapewniającego niezakłóconą komunikację cyfrową, wspólnej infrastruktury informacyjnej państwa, w tym budowy rządowej chmury obliczeniowej, która też wymaga dedykowanej i niezawodnej infrastruktury telekomunikacyjnej. Do tego dochodzą kwestie odporności na cyberataki i wysokiej dostępności nawet w sytuacjach kryzysowych, w których świadczenie usług komercyjnych może być utrudnione lub wręcz niemożliwe – chociażby ze względu na przerwanie łańcuchów dostaw.

Wiele państw podjęło wcześniej podobne działania w celu wzmocnienia możliwości bezpiecznego przetwarzania danych w sieciach telekomunikacyjnych niezbędnych dla utrzymania strategicznych funkcji administracji rządowej oraz sił zbrojnych. Dotyczy to również działań zapewniających dostępność infrastruktury telekomunikacyjnej w miejscach, w których działalność komercyjna nie była planowana.

Przyjmijmy, że to faktycznie pandemia jest powodem dorzucania zapisów o operatorze narodowym do KSC. Czy to znaczy, że mieliśmy w kraju w tym czasie przypadki cyberataków, nieciągłości działania sieci? UKE, które monitorowało stan infrastruktury nie zgłaszało takich przypadków.

Pandemia pokazała, że trzeba przyspieszyć prace w zakresie budowy sieci dostępowej dla potrzeb realizacji zadań obronnych i bezpieczeństwa publicznego. Do tej pory nie mieliśmy takiej sieci. Oczywiście dotychczasowe sytuacje kryzysowe miały mniejszą skalę. Pandemia i fakt, że musieliśmy przejść do pracy zdalnej, pokazała, że musimy dysponować rozwiązaniami, które m.in. wesprą komunikację niejawną administracji rządowej i samorządowej oraz umożliwią komunikację ze strukturami podległymi resortowi obrony narodowej. Do tej pory mieliśmy ograniczone możliwości wymiany informacji między tymi strukturami oraz zakres form komunikacji był bardzo ograniczony. Pokazywały to m.in. kolejne edycje ćwiczeń zarządzania kryzysowego CMX od roku 2000.

Jaka będzie zależność między operatorem, któremu częstotliwości może przyznać UKE a operatorem OSKS?

Nie ma tu żadnej zależności. Operator Sieci Komunikacji Strategicznej będzie mógł świadczyć bezprzewodowe usługi telekomunikacyjne w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w oparciu o częstotliwości przyznane przez Prezesa UKE, właśnie na te cele. . Natomiast przyznanie częstotliwości przedsiębiorcy telekomunikacyjnemu w celu oferowania przez niego usług hurtowych dla przedsiębiorców telekomunikacyjnych to zupełnie inna kwestia, związana z koniecznością jak najbardziej efektywnego wdrożenia sieci 5G na częstotliwości 700 Mhz.Przyznanie częstotliwości takiemu operatorowi hurtowemu poprzedzone będzie analizą Prezesa UKE, która uwzględni m.in. stopień realizacji celów wynikających z dokumentów programowych Unii Europejskiej w zakresie pokrycia terytorium kraju infrastrukturą zapewniającą dostęp do sieci bardzo szybkich przepustowości; możliwości efektywnego wykorzystania częstotliwości i stan rynku telekomunikacyjnego; plany inwestycyjne przedsiębiorców telekomunikacyjnych; długoterminowe spodziewane korzyści społeczno-gospodarcze oraz promowanie innowacyjnych usług cyfrowych – w tym oczywiście usług 5G. Świadczenie usług hurtowych to nie są zadania OSKS. Gdyby tak miałoby być wpisalibyśmy to wprost w rozdziale dotyczącym OSKS.

Ten operator hurtowy 5G to tzw. #Polskie5G z udziałem PFR i operatorów prywatnych, a OSKS to Exatel? Taka jest intencja?

Decyzję o wyznaczeniu podmiotu, który będzie świadczył na niedyskryminacyjnych zasadach usługi na warunkach hurtowych będzie podejmował Prezes Rady Ministrów, na podstawie analizy przeprowadzonej przez Prezesa UKE. Ale z całą pewnością projekt #Polskie5G wpisuje się w koncepcję operatora hurtowego.

A może pan potwierdzić, że operator hurtowy ma otrzymać pasmo 700 MHz?

– Taki jest cel tego przepisu bo to pasmo zapewnia większe pokrycie. Jednym z celów przepisów o operatorze hurtowym jest szybsza budowa sieci 5G na terenie całej Polski a nie tylko w dużych miastach. Od samego początku wskazywaliśmy też, że budowa sieci w takim modelu to także niższe koszty dla operatorów.

Nie pokusili się państwo o szacunek ile będzie kosztować budowa operatora hurtowego czy OSKS. Dlaczego?

W zakresie operatora hurtowego takie szacunki były prowadzone ale konkretne dane będzie można podać z chwilą przeprowadzenia analizy, o której mowa w projekcie. Natomiast wymagania wobec operatora, który ma wykonywać funkcje Operatora Sieci Komunikacji Strategicznej zawarte w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wskazują, że musi to być jednoosobowa spółka Skarbu Państwa, będąca przedsiębiorcą telekomunikacyjnym posiadającym infrastrukturę telekomunikacyjną niezbędną do realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Spółka ta musi posiadać środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej. Operator Sieci Komunikacji Strategicznej będzie wyznaczony przez Prezesa Rady Ministrów w drodze zarządzenia.

Ze względu na to, że działalność Operatora Sieci Komunikacji Strategicznej polegać będzie na świadczeniu zcentralizowanych usług, które w tej chwili świadczone są przez różne podmioty, spodziewane są w tym zakresie znaczne oszczędności. Podobnie należy spodziewać się oszczędności dla budżetu państwa w związku z centralizacją zakupów licencji na oprogramowanie niezbędne dla prawidłowego funkcjonowania usług komunikacjielektronicznej czy też zakupów niezbędnych urządzeń. Dodatkowym, niemierzalnym skutkiem dla budżetu państwa będzie zapewnienie takiego funkcjonowania bezpiecznego ekosystemu sieci telekomunikacyjnej dla najważniejszych osób, urzędów i służb w państwie, który do minimum ograniczy incydenty bezpieczeństwa i koszty reagowania na te incydenty – analogicznie jak to było z centralizacją usług informacyjnych ministerstw i umiejscowieniu ich na skalowalnej i bezpiecznej platformie GOV.PL.