Reklama

Nowy projekt Ustawy o KSC, stare metody zablokowania Huawei. Ale dzisiaj są lepiej zabezpieczone

Nowa wersja projektu nowelizacji Ustawy o KSC (Krajowy System Cyberbezpieczeństwa) zawiera stare sposoby na pozbycie się firmy Huawei z polskiego rynku telekomunikacyjnego. Ale dzisiaj firmie będzie dużo trudniej odwołać się od decyzji, a wręcz wydaje się to całkowicie niemożliwe.

W jaki sposób typowany jest dostawca wysokiego ryzyka?

Zgodnie z projektem nowelizacji Ustawy o KSC, dostawca sprzętu lub usług ITC (technologii informacyjnych i komunikacyjnych) może zostać uznany za dostawcę wysokiego ryzyka. W dodatku nie musi się to wcale odbywać na podstawie obiektywnych i technicznych kryteriów.

W jaki sposób typowany jest dostawca wysokiego ryzyka? Przewodniczący Kolegium ds. Cyberbezpieczeństwa, czyli minister właściwy ds. informatyzacji, zwołuje jego posiedzenie. Kolegium to organ, jasno określany przez zarówno projekt nowelizacji Ustawy, jak i jego uzasadnienie, mianem opiniującego. W jego skład wchodzą ministrowie ds. wewnętrznych, informatyzacji, energii, obrony narodowej, spraw zagranicznych, premier, szef Biura Bezpieczeństwa Narodowego, minister koordynator służb specjalnych, przewodniczący Komisji Nadzoru Finansowego oraz kierownik państwowej jednostki budżetowej, właściwej w zakresie cyberbezpieczeństwa. Każdy z członków Kolegium przedstawia analizę i na ich podstawie decyzję podejmuje minister ds. informatyzacji – dostawca sprzętu lub oprogramowania jest wysokiego ryzyka dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi lub nie. Warto zauważyć, że nie ma tu ani przedstawicieli rynku, ani ekspertów powiązanych z rynkiem telekomunikacyjnym. W ogóle w Kolegium nie ma nikogo związanego z branżą telekomunikacyjną.

Opinia zawiera analizę następujących kwestii:

  • Możliwość wystąpienia zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, z uwzględnieniem informacji o zagrożenia uzyskanych od członków Unii Europejskiej oraz Organizacji Traktatu Północnoatlantyckiego.
  • Prawdopodobieństwo znajdowania się pod kontrolą państwa spoza Unii Europejskiej oraz Organizacji Traktatu Północnoatlantyckiego.
  • Tryb, zakres i rodzaj powiązań dostawcy z podmiotami określonego w załączniku do rozporządzenia Rady (UE) 2019/796.
  • Liczba i rodzaj wykrytych podatności i incydentów dotyczących produktów i usług ICT (technologii informacyjnych i komunikacyjnych).
  • Tryb i zakres, w jakim dostawca sprawuje nadzór nad procesem wytrwania i dostarczania sprzętu lub oprogramowania.
  • Treść wydawanych wcześniej rekomendacji dotyczących dostawcy.

W opinii kolegium uwzględnia też certyfikaty wydawane dla produktów i usług dostawcy w państwach Unii Europejskiej oraz Organizacji Traktatu Północnoatlantyckiego oraz analizę produktów i usług wykonanych przez CSIRT GOV CSIRT MON lub CSIRT NASK. Co ważne, analiza może, ale nie musi zostać zlecona. To przewodniczący Kolegium decyduje o jej przeprowadzeniu.

Podsumowując, Kolegium może opierać się na obiektywnych i niezależnych analizach, w tym własnych, które sprawdzą faktyczne bezpieczeństwo produktu lub usług, ale cóż… nie musi. W przypadku uznania dostawcy za dostawcę wysokiego ryzyka, jego nowe produkty nie mogą trafić do użytku, a już używane mają być usunięte w ciągu 7 lat od wydania decyzji lub 5, jeśli sprzęt jest elementem infrastruktury krytycznej.

Decyzja może zostać zaskarżona do Sądu Administracyjnego. Jej pełny odpis trafia wyłącznie do ministra ds. informatyzacji. Skarżący dostaje tylko część wyroku, która nie zawiera informacji niejawnych. Postępowanie sądowe nie może wstrzymać decyzji. Więc jeśli w jakimś skrajnym przypadku sprawa zajmie siedem lat, to w tym czasie operatorzy i tak będą musieli wymienić sprzęt potencjalnie niebezpiecznego dostawcy i nikt im tego nie zrekompensuje.

Operatorzy zepchnięci na margines

Warto dodać, że przy tworzeniu aktualnej wersji projektu w zasadzie pominięto większość uwag, które spłynęły w trakcie konsultacji. M.in. całkowicie został pominięty głos operatorów, którzy również nie będą uczestniczyć w pracach Kolegium.

W zasadzie o operatach chyba całkowicie zapomniano przy aktualnej wersji przepisów. Blokady dostawców postawią ich przed koniecznością poniesienia bardzo wysokich kosztów wymiany już używanego sprzętu, które ostatecznie zostaną przeniesione na klientów. Podniesienie cen nie będzie trudne, w końcu mamy najniższe ceny usług telekomunikacyjnych w Europie. Nowe przepisy nakładają na operatorów szereg obowiązków związanych m.in. z uzyskiwaniem certyfikatów bezpieczeństwa i raportowaniem incydentów. Większość z tych przepisów jest potrzebna, ale prawdopodobnie będzie wymagać przeprowadzenia kolejnych konsultacji, co może ponownie wydłużyć czas wdrożenia nowelizacji Ustawy. Co z kolei ponownie przełoży się na opóźnienie startu aukcji częstotliwości sieci 5G, na którą czekają wszyscy operatorzy. A przy tym są oni całkowicie pominięci w procesie oceny potencjalnych dostawców wysokiego ryzyka.

Czytaj też: Valve samo ocenia gry na Steam Deck

Co to oznacza w praktyce? Bardzo łatwe zablokowanie chińskich dostawców

Na podstawie kryteriów można bardzo łatwo zablokować budowę sieci 5G z użyciem sprzętu chińskich dostawców. Choć ZTE i tak niemal nie istnieje w Polsce, więc sprawa dotyczy praktycznie tylko Huawei.

Firma może się co prawda odwołać od decyzji Kolegium, ale na dobrą sprawę może się nie dowiedzieć, dlaczego została zablokowana, bo może to zostać uznane za informacje niejawne. W dodatku zaskarżenie decyzji i tak nie wpływa na konieczność jej wykonania, co zostało odpowiednio zabezpieczone w projekcie. Co będzie też ogromnym ciosem finansowym dla operatorów, jak również skutecznym straszakiem przed korzystaniem ze sprzętu Huawei. Bo w projekcie nikt nie przewidział rekompensat operatorom za konieczność wymiany sprzętu.

Teoretycznie pozostaje furtka w postaci zgłoszenia sprawy do Trybunału Sprawiedliwości Unii Europejskiej. Taka sytuacja ma obecnie miejsce w Szwecji, gdzie dopatrzono się uchybień w postępowaniu Sądu Administracyjnego w podobnej sprawie. Ale nawet w przypadku wyroku korzystnego dla Huaweia, który może doprowadzić do zmian w europejskich przepisach, w Polsce może to niczego nie zmienić.

Pojawiają się głosy mówiące, że Ustawa o KSC w nowej wersji może naruszać przepisy unijne, dotyczące m.in. swobody prowadzenia działalności gospodarczej, czy dyskryminacji ze względu na narodowość. W uzasadnieniu Projektu czytamy dużo odniesień do polskiej Konstytucji. Jeśli dodamy do tego ostatni wyrok polskiego Trybunału Sprawiedliwości stawiającego Konstytucję ponad prawami Unii Europejskiej, Polska wyroku TSUE (nie pierwszy raz) może zwyczajnie nie uznać. Na deser – Konstytucja nie ma jasnej definicja zagrożenia bezpieczeństwa narodowego, co dodatkowo potęguje uznaniowy charakter decyzji. Wszystkie te czynniki powodują, że po uznaniu dostawcy za dostawcę wysokiego ryzyka, może on mieć całkowicie związane ręce.

Czytaj też: Nowojorska giełda przyjęła Bitcoina. To ważne wydarzenie dla kryptowalut

Co Polska może ugrać na próbie zablokowania Huawei?

Pierwsza wersja Projektu nowelizacji Ustawy o KSC była ewidentnie stworzona pod dyktando Stanów Zjednoczonych. Wówczas prezydentem był nasz wielki przyjaciel Donald Trump. Choć pomimo zmiany na fotelu prezydenta polityka USA wobec Chin się nie zmieniła, to jednak nasze stosunki z Amerykanami się ochłodziły. Żeby nie powiedzieć, że nie ma ich wcale.

W ostatnim czasie pojawiły się informacje mówiące o tym, że Polska jest zainteresowana pożyczką finansową zaciągniętą u chińskiego rządu. Co zdaje się powinno być powodem do złagodzenia przepisów uderzających w jedną z największych chińskich firm. Jeśli polski rząd ma nadzieję, że uderzając w Huawei zyska sobie kartę przetargową w rozmowach z Chinami, to jest raczej w ogromnym błędzie.

Kraj o naszej pozycji, z naszymi problemami finansowymi, nie powinien wymachiwać szabelką w kierunku największego światowego mocarstwa z nadzieją, że może coś na tym zyskać.

Co jeszcze znalazło się w Projekcie nowelizacji Ustawy o KSC?

Na dobrą sprawę to nie kwestia blokowania dostawców, a zupełnie inna zablokowała Projekt na wiele miesięcy. Rząd nie mógł dojść do porozumienia w sprawie operatora sieci strategicznej. Ostatecznie ma powstać spółka Polska 5G, która rozdysponuje pasmo 700 MHz do budowy sieci 5G. W tym sieci strategicznej dla służb, ale już w Projekcie nie mówi się o operatorze tej sieci. Do rozdysponowania będą bloki 2×20 MHz dla użytku komercyjnego oraz 2×10 MHz do użytku strategicznego. W tym wszystkim albo któryś operator będzie uprzywilejowany, albo obecni w Polsce gracze będą musieli dogadać się w ramach konsorcjum.

Kompletnie niezrozumiałe jest jak ma do tego dojść, bo wszystko ma działać już na początku przyszłego roku. Podczas gdy z 5G na 700 MHz nie da się w Polsce korzystać w większości wschodniej części kraju. Najpierw nasi wschodni sąsiedzi muszą przestać nadawać w tym paśmie telewizję naziemną, a w grę wchodzą też systemy wojskowe. Też widzicie jak prezydent Łukaszenka idzie nam na rękę i uwalnia częstotliwość? W ciągu kilku miesięcy? Przez to mam nieodparte wrażenie, że projekt Polskiego 5G może być fikcją na miarę CPK. Powstanie twór, który będzie finansowany, ale z przyczyn niezależnych nie będzie w stanie funkcjonować.

Projekt zakłada też powołanie dwóch funduszy – cyberbezpieczeństwa oraz celowego zajmującego się siecią strategiczną. W przypadku tego drugiego, finananse na jego działalność będą pochodzić z opłat za rezerwację pasma sieci 5G (700 MHz oraz 3,6 GHz) oraz z opłat rezerwacyjnych. Ma to więc ścisłe powiązanie z aukcją pasma 3,6 GHz, które dzięki temu może (w końcu!) wystartuje.

Czy jeszcze cokolwiek zmieni się w przepisach? Szczerze wątpię. Wymagałoby to bardzo dużych nacisków ze strony Chin, na które możemy być bardzo odporni, albo np. operatorów komórkowych. Choć mam wrażenie, że w sprawie KSC ani naciski, ani głosy rozsądku mogą nie zdać żadnego egzaminu. Oczywiście nie musimy zakładać, że rządzący skorzystają z nowych przepisów i od razu zablokują Huawei bez zlecania testów polskim instytucjom. Ale przy aktualnym poziomie zaufania do władzy, jeśli powstają takie ustawy, to z automatu każą nam podejrzewać, że zostaną w pełni wykorzystane.