Czujemy się dobrze, jeśli ufamy technologii, z której korzystamy, ale znacznie lepiej jest, gdy potrafimy ją zweryfikować. Taka właśnie racjonalna weryfikacja, w miejsce trudno mierzalnego zaufania legła u podstaw konsultowanego od 11 sierpnia Katalogu wymagań bezpieczeństwa wobec operatorów sieci telekomunikacyjnych i listy funkcji krytycznych opublikowanego przez niemiecką Agencję ds. Sieci („BNetzA” to odpowiednik połączonych trzech polskich urzędów: Urzędu Komunikacji Elektronicznej, Urzędu Transportu Kolejowego oraz Urzędu Regulacji Energetyki). Tym samym niemiecka administracja nie znalazła podstaw merytorycznych do wsparcia amerykańskich wysiłków, aby odciąć chińskie firmy od budowania sieci 5G w Europie.

Autorzy dokumentu świetnie dostrzegają, że sieci 5G będą „stanowić przyszły szkielet naszych coraz bardziej zdigitalizowanych gospodarek i społeczeństw. W ich ramach miliardy urządzeń i systemów, w tym w infrastrukturach krytycznych sektora energetycznego, wodnego, żywnościowego, zdrowotnego, finansowego, ubezpieczeniowego, transportowego i drogowego, technologii informacyjnych i telekomunikacyjnych, będą przetwarzać wrażliwe informacje i wspierać systemy bezpieczeństwa”. Dlatego też radiowe ruchome publiczne sieci telekomunikacyjne piątej generacji zostały zakwalifikowane do infrastruktury o najwyższych wymaganiach, trzeciej grupy o tzw. zwiększonej krytyczności. Jednak nawet mimo tego nie zdecydowano się na wykluczanie a priori jakiegokolwiek kraju czy dostawcy. Ocenę „rzetelności, wiarygodność i jakości dostawcy” pozostawiono przedsiębiorcom.

Dokument powstał w porozumieniu z Federalnym Urzędem ds. Bezpieczeństwa Informacji (BSI) i Federalnym Rzecznikiem Ochrony Danych i Wolności Informacji, trudno więc zarzucać autorom brak kompetencji.

Katalog jest rozwinięciem tzw. skrzynki z narzędziami – „Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” i przewiduje m.in:

Co z powyższego wynika dla Polski?

Po pierwsze warto zauważyć, że jedna z najsilniej powiązanych międzynarodowo gospodarek europejskich nie zdecydowała się na wątpliwe w świetle przepisów międzynarodowych (jak choćby Porozumienie o Wolnym Handlu GATT), dyskryminowanie przedsiębiorców wyłącznie na podstawie kryterium kraju pochodzenia.

Po drugie, kraj o PKB największym w Europie nie zdecydował się na podwyższenie kosztów wdrażania sieci 5G, które skutkowałoby opóźnieniem rozwoju i obciążaniem tymi kosztami zwykłych użytkowników, a w efekcie możliwym wykluczeniem sporych grup społecznych z korzyści wprowadzenia nowej technologii. W Polsce koszt wykluczenia dostawców chińskich szacowany jest przez różnych ekspertów na 20 – 25 miliardów złotych. To kwota wyższa niż cały polski budżet na szkolnictwo wyższe i naukę w 2020 r.

Co jednak chyba najważniejsze, to że po lekturze Katalogu mam wrażenie, że Niemcy postąpili tak, jak postąpiłby każdy szanujący się specjalista od bezpieczeństwa. Założyli, że żadne urządzenie, system, a nawet człowiek, nie zasługuje na bezwzględne zaufanie. Bezpieczeństwo to obiektywne procedury, tworzone i przestrzegane, aby zapewniać ciągłość działania i chronić informacje krytyczne, identyfikować naruszenia i wdrażać działania naprawcze.

Dobrym przykładem na to, że same deklaracje i oparte na nich zaufanie bywają zawodne, jest historia tzw. Tarczy Prywatności – umowy między UE a USA dotyczącej ochrony danych osobowych obywateli państw UE przekazywanych do USA. Trybunał Sprawiedliwości UE uznał, że zaufanie jakim Komisja Europejska obdarzyła administrację USA, nie znajduje potwierdzenia w amerykańskich przepisach i wyrokiem z dnia 16 lipca 2020 r. w sprawie Schrems II – C-311/18 unieważnił tzw. Tarczę Prywatności. W wyroku przychylił się do tezy, że brak jest odpowiednich środków ochrony danych obywateli EU przed inwigilacją administracji USA. W wyniku tego transfer danych osobowych z Europy do USA jest dozwolony na bardzo rygorystycznych warunkach, podobnie jak do Peru, Ugandy, Rosji czy… Chin.

Podsumowując, ani Polska ani inne kraje europejskie nie powinny stać się cywilnymi ofiarami (collateral damage) w wojnie handlowej między USA i Chinami. Dostrzegły to także Czechy, które deklarując wcześniej podpisanie umowy z USA i wykluczenie chińskich dostawców z budowy sieci w swoim kraju, w tym tygodniu zmieniły zdanie, takiej umowy nie podpisały, deklarując że nie chcą podejmować jednostronnych kroków, a swoje działania prowadzić wspólnie z innymi krajami europejskimi. Uważam, że takie podejście powinno zostać przyjęte także w Polsce.

Opieranie bezpieczeństwa na samym zaufaniu jest krótkowzroczne i kosztowne. Regulacja powinna tworzyć środowisko do rozwijania polskich kompetencji w obszarze cyberbezpieczeństwa, a do tego potrzebna jest swobodna konkurencja dostawców technologii w spełnianiu wymagań stawianych przez operatorów telekomunikacyjnych i weryfikowanych przez niezależne podmioty w drodze certyfikacji i audytów.

Mariusz Busiło

CV

Mariusz Busiło jest prawnikiem specjalizującym się w nowych technologiach, wspólnikiem w Kancelarii Bącal, Busiło Sp. k. Zajmuje się łącznością bezprzewodową, prywatnością i bezpieczeństwem. Posiada szerokie doświadczenie w pracach zespołów eksperckich polskich i zagranicznych, w tym Komisji Europejskiej, Europejskiej Konferencji Administracji Poczty i Telekomunikacji (CEPT) oraz Międzynarodowego Związku Telekomunikacyjnego (ITU). Brał udział w całym spektrum prac legislacyjnych, m.in. nad projektami ustaw i rozporządzeń z obszaru telekomunikacji, mediów i sektora technologii informacyjno – komunikacyjnych (ICT). Jest krótkofalowcem (SP5ITI).