5G – rewolucja, o którą toczy się spór Waszyngtonu z Pekinem. „Sieci telekomunikacyjne zawsze były chronione na odpowiednim poziomie”

Prof. dr hab. Maciej Rogalski, partner w kancelarii Rogalski i Wspólnicy, rektor Uczelni Łazarskiego: Trudno mi wypowiadać się w tej kwestii, gdyż nie znam zarówno treści, jak i formy w jakiej miałyby zostać zawarte kwestie dotyczące rozwoju sieci 5G. Wyobrażam sobie jednak, że jeżeli w ogóle pojawią się kwestie dotyczące 5G to raczej w formie pewnych deklaracji czy „letter of intent”. Ewentualne bowiem regulacje dotyczące sieci piątej generacji muszą się znaleźć w przepisach powszechnie obowiązujących, przyjmowanych w określonym trybie. Zresztą takie prace już trwają od kilku miesięcy, czego przykładem mogą być wydane dwa rozporządzenia do Prawa telekomunikacyjnego, a dotyczące także sieci 5G. Niedawno natomiast rozpoczęły się prace nad nowym Prawem komunikacji elektronicznej, w którym znajdują się uregulowania dotyczące bezpieczeństwa sieci. Po drugie, prace i wymagania w zakresie bezpieczeństwa sieci 5G muszą być spójne z regulacjami Unii Europejskiej w zakresie bezpieczeństwa sieci 5G. W szczególności chodzi o wymagania sformułowane w dokumencie UE zatytułowanym „Cybersecurity of 5G networks. EU toolbox of risk mitigation measures”. Dokument ten potocznie nazywany „Toolbox”, zawiera szereg wytycznych w zakresie regulacji i techniki, które powinny być spełnione przez państwa członkowskie UE w celu zapewnienia cyberbezpieczeństwa 5G.

Pytałem o Mike’a Pompeo, bo również sieć 5G znalazła się w oku cyklonu wojny handlowej między USA i Chinami. Dlaczego na pierwszym planie w przypadku powstania sieci nowej generacji znalazły się zagadnienia związane z bezpieczeństwem. I czy słusznie tak się stało?

Na wstępie należałoby doprecyzować o jakim bezpieczeństwie mówimy. Zagadnienie związane z bezpieczeństwem sieci i usług telekomunikacyjnych istniało od zawsze. W polskiej ustawie Prawo telekomunikacyjne, która obowiązuje od 2004 r. są i były przepisy dotyczące tych kwestii. Odpowiednie jednostki u przedsiębiorców telekomunikacyjnych zajmowały się tymi kwestiami i nie słyszałem dotychczas, przynajmniej w przestrzeni publicznej czy raportach Urzędu Komunikacji Elektronicznej, aby z tym były jakieś znaczące problemy. Od pewnego czasu mówi się jednak o innym rodzaju bezpieczeństwa, a mianowicie dotyczącym dostawców sprzętu do budowy infrastruktury 5G. Dotychczas w Polsce się tym nie zajmowano. Najprawdopodobniej uznano to za zbyteczne, podobnie jak analizowanie, z jakiego kraju pochodzą komputery czy samochody służbowe używane u przedsiębiorców telekomunikacyjnych. Obecnie uważa się, że kwestia ta może być istotna w sytuacji, gdy dostawca usług sprzedając sprzęt do budowy infrastruktury 5G, może mieć w sposób nieuprawniony dostęp do określonych, ważnych danych.

Wspominał pan o opublikowanych pod koniec stycznia przez Komisję Europejską głównych założeniach dotyczących powstania sieci 5G we Wspólnocie – EU Toolbox. Nakreślony scenariusz jest realizowany czy pandemia także w tym przypadku pokrzyżowała plany?

Wymagania Toolboxa zostały już uwzględnione co najmniej w znacznej części w polskich przepisach prawa. W Dzienniku Ustaw z dnia 29 czerwca 2020 r., zostało opublikowane rozporządzenie ministra cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w cellu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Rozporządzenie to zostało wydane na podstawie art. 175d ustawy Prawo telekomunikacyjne. Wśród innych działań zmierzających do wdrożenia wymagań Toolboxa należy wskazać na wykonanie upoważnienia ustawowego zawartego w art. 176a ust. 5 Prawa telekomunikacyjnego i przygotowanie nowego rozporządzenia Rady Ministrów w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń, dotyczących zawartości i zakresu informacji zawartych w planach. Trwają także prace nad wspomnianym nowym Prawem komunikacji elektronicznej, które zastąpi obecnie obowiązujące Prawo telekomunikacyjne, zgodnie z unijną dyrektywą tzw. Europejskim Kodeksem Łączności Elektronicznej.

Trzeba jednak przyznać, że przy budowie sieci 5G, bezpieczeństwo samej infrastruktury, ma duże znaczenie.

Tak, oczywiście, ale przecież to nie pierwsza technologia telekomunikacyjna, w oparciu o którą wdrażane są nowe usługi. Pamiętam dobrze jak kilkanaście lat temu był wdrażany UMTS, a nie tak dawno LTE. Kto o tych technologiach dzisiaj pamięta? Dla uporządkowania zaczęto je oznaczać cyframi – obecnie jest to 5G, ale już jest gotowe 6G, a za chwilę będą następne… Czy to oznacza, że kiedyś nie przywiązywano odpowiedniej wagi do bezpieczeństwa sieci i ich ochrony? Sieci telekomunikacyjne zawsze były chronione na odpowiednim profesjonalnym poziomie.

Pod koniec lipca Komisja Europejska zaapelowała ponownie o dywersyfikację dostawców sieci 5G. Słusznie?

Zalecenia w zakresie dywersyfikacji dostawców sieci 5G przewidują postanowienia Toolbox. Wymagania te sformułowane są w ramach strategicznych środków w punkcie SM05 – „Ensuring the diveristy of suppliers for individual MNOs through multivendor strategies”, czyli zapewnienia różnorodności w zakresie dostawców infrastruktury dla komórkowych operatorów telekomunikacyjnych. Wymagania te zostały już zrealizowane w postanowieniu § 3 ust. 1 pkt 2 wspomnianego rozporządzenia z 22 czerwca 2020 r. Zgodnie z tym przepisem przedsiębiorca telekomunikacyjny dostarczający sieć piątej generacji, „stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług”. Polska więc już zrealizowała w tym zakresie zobowiązania wynikające z rekomendacji europejskich.

Możliwy jest scenariusz, że dostawcami technologii będą jedynie firmy europejskie?

Myślę, że nie. Doprowadziłoby to bowiem do duopolu, gdyż obecnie w zasadzie tylko dwie firmy europejskie są w stanie dostarczyć sprzęt do budowy sieci 5G. Co oznacza duopol dla przedsiębiorców telekomunikacyjnych, a przede wszystkich dla klientów, w aspekcie cen świadczonych usług, chyba nikomu nie trzeba tłumaczyć.

Fot.: PAP (zdjęcia)

A czy tak naprawdę będzie można w krajach UE wykluczyć konkretne podmioty w trakcie procedury wyłaniania dostawców technologii? Oczywiście nasz wzrok kierujemy w tym momencie w stronę Azji.

Nie wiem jakie decyzje podejmą poszczególne kraje członkowskie UE. Z pewnością powinny kierować się rekomendacjami Toolboxa. Kwestiom poświęconym możliwemu wykluczeniu z dostaw sprzętu jest poświęcony środek określony w Toolbox jako SM03 „Assessing the risk profile of suppliers considered to be high risk – including necessary exclusions to effectively mitigate risks – for key assets”, czyli ocena profilu ryzyka dostawców uznawanych za wysokiego ryzyka – w tym niezbędne wyłączenia w celu skutecznego ograniczenia ryzyka – dla kluczowych aktywów. Mechanizm oceny powinien jednak uwzględniać wpływ dostawcy na „key assets”. Powinien uwzględniać kategorie aktywów z punktu widzenia bezpieczeństwa, wraz z ich poziomem wrażliwości oraz wykazem kluczowych elementów. Niewłaściwym jest nałożenie takich samych zobowiązań na wszystkie aktywa, gdyż wpływ części aktywów na bezpieczeństwo infrastruktury telekomunikacyjnej jest znikomy. Logiczną konsekwencją tego podejścia jest możliwość zastosowania tego środka, poprzez wykluczenie, ale z dostaw, określonych elementów infrastruktury, po wcześniejszej ocenie tego dostawcy. Wdrożenie tego środka w ten sposób, że mechanizm oceny będzie przewidywał wyłącznie wykluczenie danego dostawcy w całości, tj. z wszelkiej aktywności konkretnego dostawcy sprzętu telekomunikacyjnego z dostaw tegoż sprzętu na danym rynku telekomunikacyjnym, będzie stanowić dalej idącą implementację tych wymagań niż przewidują to postanowienia Toolbox. Powyższą interpretację potwierdza ocena realizacji Toolbox w krajach członkowskich UE w dokumencie z lipca 2020 r. NIS Cooperation Group pt. „Report of Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity”, czyli sprawozdanie z postępów państw członkowskich we wdrażaniu unijnego zestawu narzędzi – Toolbox – w zakresie cyberbezpieczeństwa 5G. W raporcie brak zarówno postanowień, które wskazywałyby na odmienną interpretację od wcześniej wskazanej, a także brak podania regulacji w obecnych kraj … czytaj dalej

Zgłoś naruszenie/Błąd