Wysłaliśmy jako kraj analizę bezpieczeństwa sieci telekomunikacyjnych w kontekście wdrożenia technologii 5G?

– Tak, choć w praktyce polegało to na załadowaniu dokumentu z wypełnionym formularzem do folderu wskazanego przez Komisję Europejską.

Zdążyliśmy na czas?

– Zmieściliśmy się w czasie, podobnie jak – z tego co wiem – większość państw UE, z wyjątkiem dwóch.

 Których?

– Nie mogę tego chyba zdradzić.

 Jest ryzyko wycieku danych?

– Do tej pory nie mieliśmy zbytniej możliwości weryfikacji. M.in. to chcemy zmienić.

 Jakie wnioski płyną z analizy? Czy i co powinniśmy zmienić zanim zacznie się budowa 5G?

Analizowaliśmy ryzyka w poszczególnych warstwach sieci, ataków zewnątrz i wewnątrz wraz z prawdopodobieństwem ich wystąpienia i skalą konsekwencji. Zaproponowaliśmy także działania mitygujące ryzyko. W sumie  mamy kilkanaście scenariuszy ryzyka i 10 naszych działań mitygujących. W toku analizy wyszło nam, że w większości wypadków musimy wprowadzić zmiany w prawie albo wręcz sugerujemy synchronizację na poziomie europejskim.  Długofalowo – będziemy popierać wprowadzenie certyfikacji na poziomie unijnym, ale wśród działań krótkoterminowych przewidujemy nowelizację rozporządzeń do prawa telekomunikacyjnego i uzupełnienie listy warunków, które spełnić będą musieli uczestnicy przetargów czy aukcji na częstotliwości 5G.

O jakie nowe zadania dla operatorów chodzi?

– Chcemy, aby operatorzy telekomunikacyjni mieli obowiązek oszacowania ryzyka naruszenia bezpieczeństwa sieci i prezentacji sposobów ograniczania go. Dane te podlegałyby akceptacji. Dziś sądzimy, że akceptowałby je prezes UKE.  Operatorzy  będą mieli także obowiązek budowy odpowiednich procesów wewnętrznych określających kto i jakie operacje może wykonywać na infrastrukturze danego operatora.

Z legislacyjnego punktu widzenia nowelizacji podlegać będzie rozporządzenie związane z działaniami obronnymi spoczywającymi na operatorach, o którym mowa w art. 176 Pt. Chcemy także wprowadzić w życie rozporządzenie do tej pory nigdy nie wydane, przewidziane art. 175 d o warunkach zapewnienia bezpieczeństwa i integralności sieci. Na ile wprost narzucimy operatorom budującym sieci wymagania, a na ile pozostawimy im ocenę ryzyka zastosowania konkretnych rozwiązań technicznych – dopiero się okaże.

W obu tych rozporządzeniach planujemy ująć dwa kolejne aspekty: obowiązek dywersyfikacji dostawców infrastruktury oraz wprowadzoną m.in. w Wielkiej Brytanii i Niemczech kategorię „zaufanego dostawcy” (ang. trusted vendors).  Chodzi nam też o to, aby działał tak zwany lokalny roaming: w sytuacji, gdy awaria u jednego operatora pozwalałaby przełączyć usługi na innego operatora, korzystającego z innego dostawcy.  Z kolei kategoria „zaufanego dostawcy” dotyczy dziś wszystkich nowych przedsięwzięć, a w toku dalszych prac będziemy przesądzać na ile także istniejącej infrastruktury.

Jak i kto definiować ma zaufanego dostawcę?

– Szczegółowe rozwiązanie dopiero powstanie.

Kiedy powinny być gotowe rozporządzenia?

– Chcielibyśmy aby zostały wydane do końca października.

W kwietniu zapowiadał pan narzędzia pozwalające wykluczyć konkretnego dostawcę z budowy sieci. Czy to nadal aktualne?

– W ustawie o krajowym systemie cyberbezpieczeństwa opiszemy dwuetapowy mechanizm wykluczania: wydawanie ostrzeżeń, sygnalizujących problem oraz  mechanizm jednoznacznego zakazu stosowania. Te prace planujemy na przyszły rok.

Stosowania czego? Wszelkich rozwiązań dostawcy, czy konkretnego urządzenia?

– Zakaz będzie miał sterowalny zakres w zakresie tego, co jest nim objęte i  w odniesieniu do kogo może być użyty.

Czy operatorzy znają propozycje zawarte w analizie?

– Ujmę to tak: prowadziliśmy „prekonsultacje”, ale ich zakres i tryb nie był publiczny. Otrzymaliśmy wówczas sygnalne opinie. Sądzę, że operatorzy nie powinni być zaskoczeni, że nakładamy na nich dodatkowe obowiązki.  Gdy koszt i czas ich wdrożenia okaże się długi będziemy musieli korygować nasze działania.