Wysłaliśmy jako kraj analizę bezpieczeństwa sieci telekomunikacyjnych w kontekście wdrożenia technologii 5G?
– Tak, choć w praktyce polegało to na załadowaniu dokumentu z wypełnionym formularzem do folderu wskazanego przez Komisję Europejską.
Zdążyliśmy na czas?
– Zmieściliśmy się w czasie, podobnie jak – z tego co wiem – większość państw UE, z wyjątkiem dwóch.
Których?
– Nie mogę tego chyba zdradzić.
Jest ryzyko wycieku danych?
– Do tej pory nie mieliśmy zbytniej możliwości weryfikacji. M.in. to chcemy zmienić.
Jakie wnioski płyną z analizy? Czy i co powinniśmy zmienić zanim zacznie się budowa 5G?
– Analizowaliśmy ryzyka w poszczególnych warstwach sieci, ataków zewnątrz i wewnątrz wraz z prawdopodobieństwem ich wystąpienia i skalą konsekwencji. Zaproponowaliśmy także działania mitygujące ryzyko. W sumie mamy kilkanaście scenariuszy ryzyka i 10 naszych działań mitygujących. W toku analizy wyszło nam, że w większości wypadków musimy wprowadzić zmiany w prawie albo wręcz sugerujemy synchronizację na poziomie europejskim. Długofalowo – będziemy popierać wprowadzenie certyfikacji na poziomie unijnym, ale wśród działań krótkoterminowych przewidujemy nowelizację rozporządzeń do prawa telekomunikacyjnego i uzupełnienie listy warunków, które spełnić będą musieli uczestnicy przetargów czy aukcji na częstotliwości 5G.
O jakie nowe zadania dla operatorów chodzi?
– Chcemy, aby operatorzy telekomunikacyjni mieli obowiązek oszacowania ryzyka naruszenia bezpieczeństwa sieci i prezentacji sposobów ograniczania go. Dane te podlegałyby akceptacji. Dziś sądzimy, że akceptowałby je prezes UKE. Operatorzy będą mieli także obowiązek budowy odpowiednich procesów wewnętrznych określających kto i jakie operacje może wykonywać na infrastrukturze danego operatora.
Z legislacyjnego punktu widzenia nowelizacji podlegać będzie rozporządzenie związane z działaniami obronnymi spoczywającymi na operatorach, o którym mowa w art. 176 Pt. Chcemy także wprowadzić w życie rozporządzenie do tej pory nigdy nie wydane, przewidziane art. 175 d o warunkach zapewnienia bezpieczeństwa i integralności sieci. Na ile wprost narzucimy operatorom budującym sieci wymagania, a na ile pozostawimy im ocenę ryzyka zastosowania konkretnych rozwiązań technicznych – dopiero się okaże.
W obu tych rozporządzeniach planujemy ująć dwa kolejne aspekty: obowiązek dywersyfikacji dostawców infrastruktury oraz wprowadzoną m.in. w Wielkiej Brytanii i Niemczech kategorię „zaufanego dostawcy” (ang. trusted vendors). Chodzi nam też o to, aby działał tak zwany lokalny roaming: w sytuacji, gdy awaria u jednego operatora pozwalałaby przełączyć usługi na innego operatora, korzystającego z innego dostawcy. Z kolei kategoria „zaufanego dostawcy” dotyczy dziś wszystkich nowych przedsięwzięć, a w toku dalszych prac będziemy przesądzać na ile także istniejącej infrastruktury.
Jak i kto definiować ma zaufanego dostawcę?
– Szczegółowe rozwiązanie dopiero powstanie.
Kiedy powinny być gotowe rozporządzenia?
– Chcielibyśmy aby zostały wydane do końca października.
W kwietniu zapowiadał pan narzędzia pozwalające wykluczyć konkretnego dostawcę z budowy sieci. Czy to nadal aktualne?
– W ustawie o krajowym systemie cyberbezpieczeństwa opiszemy dwuetapowy mechanizm wykluczania: wydawanie ostrzeżeń, sygnalizujących problem oraz mechanizm jednoznacznego zakazu stosowania. Te prace planujemy na przyszły rok.
Stosowania czego? Wszelkich rozwiązań dostawcy, czy konkretnego urządzenia?
– Zakaz będzie miał sterowalny zakres w zakresie tego, co jest nim objęte i w odniesieniu do kogo może być użyty.
Czy operatorzy znają propozycje zawarte w analizie?
– Ujmę to tak: prowadziliśmy „prekonsultacje”, ale ich zakres i tryb nie był publiczny. Otrzymaliśmy wówczas sygnalne opinie. Sądzę, że operatorzy nie powinni być zaskoczeni, że nakładamy na nich dodatkowe obowiązki. Gdy koszt i czas ich wdrożenia okaże się długi będziemy musieli korygować nasze działania.
