Ministerstwo Cyfryzacji rozpoczęło konsultacje publiczne projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Przewiduje on możliwość wykluczenia z rynku dostawców wysokiego ryzyka. Jeśli rząd (a dokładniej Kolegium ds. Cyberbezpieczeństwa) tak zakwalifikuje Huawei, to operatorzy będą musieli pozbyć się wszystkich urządzeń tej firmy w ciągu 5 lat.
Doczekaliśmy się publikacji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która jest jednym z fundamentów implementacji ustalonego na poziomie Unii Europejskiej dokumentu 5G Toolbox. Chodzi tutaj o zbiór aktów prawnych, który reguluje kwestie związane z szeroko pojętymi zagrożenia cybernetycznymi w ujęciu bezpieczeństwa narodowego. Temat zyskał na rozgłosie z powodu szeroko zakrojonych działań administracji Donalda Trumpa, która chce wykluczenia Huawei z budowy sieci 5G. O ile niektóre kraje podjęły już taką decyzję, to praktycznie cała Unia Europejska skupiła się na wprowadzeniu przepisów, które nie są wymierzone w konkretnego dostawcę. Mowa tutaj o tzw. 5G Toolbox. Jednak pomimo tego, że inicjatywa ta nie wyklucza wprost Huawei, to Stany Zjednoczone oceniają ją pozytywnie. Jakby nie patrzeć przepisy te przewidują możliwość eliminacji z rynku producenta urządzeń telekomunikacyjnych, który zostanie uznany za dostawcę wysokiego ryzyka.
Wykluczenie jednego dostawcy może zaboleć operatorów
Aktualnie rynek producentów stacji bazowych 5G jest dość hermetyczny. Mamy na nim trzech dużych graczy. Dwaj z nich (Ericsson i Nokia) wywodzą się z Europy, a trzeci (Huawei) z Chin. Oprócz tego mamy ZTE (również Chiny) oraz Samsunga (Korea Południowa). Jednak Samsung nie ma jeszcze rozwiązań 5G, które mógłby zaoferować polskim operatorom. Dodatkowo nie ma on rozwiniętego portfolio pod kątem sprzętu infrastrukturalnego dla sieci 3G i 4G. Dlatego też po ewentualnym wykluczeniu Huawei powstaje na danym rynku duopol. Operatorzy obawiają się, że taka sytuacja może skończyć się podwyżką cen sprzętu. Jednak oprócz tego musieliby oni pokryć koszty związane z wymianą wcześniej zakupionych i uruchomionych stacji bazowych Huawei. Tutaj z kolei dochodzą do nas informacje o różnych kosztach takiej operacji.
Jeżeli analizuje się przepisy, które wymuszają wymianę działających urządzeń, to należy wziąć pod uwagę czynnik związany z naturalną modernizacją sieci telekomunikacyjnych. Dobrym przykładem są tutaj sieci komórkowe. Przyjęło się, że nowy standard sieci mobilnych pojawia się na rynku co 10 lat. Taki okres minął pomiędzy LTE i 5G. Z kolei 6G ma być wdrażane w okolicach 2030 roku. To z kolei wymusza na operatorach okresowe inwestycje w postaci modernizacji stacji bazowych. W dużej mierze sprowadza się ona do wymiany lokalnych jednostek obliczeniowych (baseband unit). Nowszy sprzęt charakteryzuje się m.in. większą pojemnością, wsparciem dla nowszych standardów oraz (o czym dużo osób zapomina) mniejszym (w przeliczeniu na jednostkę transferu danych) zużyciem energii elektrycznej.
Huawei będzie mógł odwołać się od oceny Kolegium ds. Cyberbezpieczeństwa
Wygląda na to, że Polska dość rozważnie podchodzi do kwestii ewentualnego wykluczenia jakiegokolwiek dostawcy. Jeżeli taki los spotka Huawei, to nie będzie to przekreślało udziału chińskiego dostawcy w budowie sieci 5G. Projekt zmian w ustawie zakłada wprowadzenie 4-stopniowej skali oceny ryzyka dostawcy:
- wysokie ryzyko – dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe,
- umiarkowane ryzyko – dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa a zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych,
- niskie ryzyko – dostawca sprzętu lub oprogramowania stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa, albo
- brak zidentyfikowanego poziomu ryzyka – nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy.
Jeżeli Huawei zostałby uznany za dostawcę wysokiego ryzyka, to operatorzy nie mogliby od niego kupować nowego sprzętu i oprogramowania. Z kolei wcześniej wprowadzone do użytku urządzenia musiałyby być usunięte w ciągu 5 lat. Jednak Huawei mógłby odwołać się od tej oceny, ale miałby na to 14 dni. Przy czym złożenie takiego pisma nie wstrzymałoby wspomnianych ograniczeń.
Z kolei w przypadku ocenienie dostawcy na poziomie umiarkowanego ryzyka również wprowadza zakaz na kupno nowych urządzeń i oprogramowania. Operatorzy mogą dalej korzystać z dotychczas posiadanych urządzeń. Jednak aktualizacja ich oprogramowania może okazać się już problematyczna. Dlatego też w dłuższej perspektywie taka ocena również oznacza wcześniejszą lub późniejszą wymianę sprzętu na innego urządzenia innego dostawcy.
Ocena poziomu ryzyka nie dotyczy tylko aspektów technicznych
Przedstawiciele Huawei przy każdej możliwej okazji podkreślają, że oceny poziomu cyberbezpieczeństwa powinny bazować na czynnikach technicznych. Jednak 5G Toolbox opisuje to zagadnienie szerzej. Dlatego też projekt zmian w ustawie zakłada m.in.:
- analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania;
Ocena Kolegium ma określić również:
- prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego.
Tutaj ocenia się stopień i rodzaj powiązania dostawcy z tym państwem, prawodawstwo w zakresie ochrony danych osobowych, praw obywatelskich i praw człowieka, strukturę własnościową dostawcy oraz zdolność ingerencji państwa w swobodę działalności dostawcy.
Kolegium ds. Cyberbezpieczeństwa oceni również:
- liczbę i rodzaje oraz sposób i czas eliminowania wykrytych podatności i incydentów,
- stopień, w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla procesu wytwarzania i dostarczania sprzętu lub oprogramowania.
Wygląda na to, że implementacja 5G Toolbox w polskim ustawodawstwie da możliwość wykluczenia konkretnego dostawcy urządzeń telekomunikacyjnych. Jednak wiązać to się będzie z konkretną argumentacją, od której przysługuje odwołanie. Dodatkowo taka decyzja nie musi okazać nakazu wycofania dotychczas działających urządzeń, co rozkłada w czasie koszty związane ze zmianą dostawcy.