Internet pełen jest zagrożeń – zarówno z punktu widzenia całego państwa, ale i korporacji, małej firmy, czy po prostu każdego z nas, bo cyberatak może dotyczyć każdego – bez wyjątku. Dlatego też Komisja Europejska opublikowała kolejne zalecenia, tym razem w sprawie skoordynowanego podejście do wzmocnienia odporności infrastruktury krytycznej.

Dla Polski dziś bardzo istotne jest wdrożenie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jest to kluczowe nie tylko dlatego, że to umożliwi funkcjonowanie sieci 5G w pełnym zakresie. Ale chyba ważniejsze jest to, że pozwoli to wyeliminować z rynku dostawców wysokiego ryzyka. Jako branża cyfrowa jesteśmy zaangażowani w rozwój łączności i bezpiecznych usług cyfrowych. Dlatego pozytywnie oceniamy prace nad KSC, uważamy jednak, że należy je przyspieszyć, by odpowiedzieć na ostatnie wezwanie KE do poprawy cyberbezpieczeństwa. 

Dlaczego to tak istotne? Kilkaset kilometrów od Polski toczy się regularna wojna. To nie tylko działa czołgów, to również działa cyberprzestępców, które są wymierzone w Ukrainę, ale i pośrednio w Polskę i całą Unię Europejską. Każde działanie agresora możliwe jest dzięki technologicznemu wsparciu. Dlatego tak konieczne jest dziś określenie ram prawnych i formalnych do zwalczenia dostawców wysokiego ryzyka. A to może się odbyć tylko poprzez implementację nowelizacji ustawy o KSC. Kraje potencjalnie uważane za zagrażające cyberbezpieczeństwu to przede wszystkim Rosja i Chiny, ale przepisy powinny być tu bezwzględne i eliminować z rynku każdego technologicznego gracza, który choćby spróbuje grać nieczysto.

Wzmocnienie infrastruktury krytycznej

Pojęcie "infrastruktura krytyczna" do niedawna było pojęciem, które przodowało wśród specjalistów od cyberbezpieczeństwa, w administracji publicznej zajmującej się cyfryzacją i wśród technologicznych geeków. Jednak rozwój nowych technologii w kontekście wojny w Ukrainie i agresywnych działań nie tylko zbrojnych, ale i cyfrowych, stosowanych przez agresora z Rosji sprawiły, że termin "infrastruktura krytyczna" jest coraz bardziej powszechny. Wzrost świadomości to dobry symptom, tym łatwiej było unijnym komisarzom podjąć decyzję o przyspieszeniu prac nad wzmocnieniem odporności infrastruktury krytycznej i to w oparciu o współdziałanie oraz współodpowiedzialność państw członkowskich.

Zalecenia znalazły się w niedawno opublikowanym dokumencie „Resilience of Critical Infrastructure”. Zawiera on zestaw narzędzi dotyczących cyberbezpieczeństwa 5G, ale też – co jeszcze istotniejsze – określa odpowiednie środki oraz plany łagodzące skutki potencjalnych incydentów i kryzysów, bo tak formalnie określa się cyberataki. Coraz więcej usług, szczególnie rozwiązań chmurowych, jest ze sobą wzajemnie powiązanych, przez co współzależnych i opartych o właściwe funkcjonowanie sieci 5G. W ten sposób tworzy się swoisty ekosystem cyfrowy. A to już wymaga odpowiednich zabezpieczeń.

5G zbudowane na bezpiecznych fundamentach

By ten ekosystem funkcjonował, jak należy, czasem potrzeba odpowiednich regulacji, gdy rozwój nowych technologii wyprzedza prawo, a to nie nadąża z reakcjami na czyhające zagrożenia. Dlatego – zdaniem Komisji Europejskiej – tak istotne jest, by wszystkie państwa członkowskie pilnie doprowadziły do wdrożenia środków zalecanych w przygotowanym przez unijnych urzędników zestawie narzędzi.

Przede wszystkim KE wyszczególnia tu odpowiednie ograniczenia dotyczące dostawców wysokiego ryzyka, w odniesieniu do kluczowych aktywów, określonych jako krytyczne i wrażliwe, w skoordynowanej ocenie ryzyka dla całej Unii Europejskiej. Zdaniem Komisji, państwa członkowskie, które nie wprowadziły jeszcze ograniczeń dotyczących dostawców wysokiego ryzyka, powinny to zrobić jak najszybciej, biorąc pod uwagę, że stracony czas może zwiększyć podatność sieci w Unii na zagrożenia.

To kluczowe w podejściu do wzmocnienia odporności infrastruktury krytycznej. Dlatego ważne jest, by w Polsce – śladem Zachodu – postawić na jak najszybsze wdrożenie sieci 5G, ale zbudowanej na odpowiednich fundamentach, które – poprzez odpowiednie zabezpieczenie infrastruktury krytycznej – zapewnią bezpieczeństwo dla państwa, obywateli, ale też przedsiębiorców, więc pośrednio i krajowej gospodarki.

Wytyczne dla państw członkowskich dotyczące budowy odpowiednio zabezpieczonej sieci 5G mówią też o wzmocnieniu fizycznej i nie–fizycznej ochrony krytycznych i wrażliwych części sieci piątej generacji. To ma się dziać m.in. poprzez ścisłą kontrolę dostępu. Ponadto, jak zaznaczono w dokumencie, państwa członkowskie powinny – we współpracy z Komisją – ocenić potrzebę podjęcia działań uzupełniających, w tym prawnie wiążących wymogów na poziomie całej Unii. To ma zapewnić spójność poziomu bezpieczeństwa i odporności sieci 5G.

W projekcie KE, którego podstawowe założenia to zintensyfikowanie i przyspieszenie prac na rzecz ochrony infrastruktury krytycznej, wyróżnia trzy obszary: gotowości, reagowania i współpracy międzynarodowej. Komisja zapewnia silniejsze wsparcie i koordynację działań, by bardziej odpowiednio reagować nowe zagrożenia. Projekt zalecenia zakłada nie tylko pogłębienie współpracy między państwami członkowskimi, ale też z sąsiadującymi państwami trzecimi. Zaznaczono przy tym, że priorytetowo należy potraktować kluczowe sektory energetyki, infrastruktury cyfrowej, transportu i przestrzeni kosmicznej. Porozumienie polityczne w sprawie pogłębienia ram prawnych UE służących wzmocnieniu odporności podmiotów obsługujących infrastrukturę krytyczną zostało osiągnięte latem 2022 roku. Teraz Komisja podkreśla, że ze względu na szybko zmieniający się krajobraz zagrożeń należy szybciej rozpocząć stosowanie nowych przepisów.

Apel polskiej branży cyfrowej

Przyspieszenie prac KE nad wzmocnieniem bezpieczeństwa sieci 5G współgra z apelem polskiej branży cyfrowej do przedstawicieli rządu o jak najszybsze udostępnienie pasma C na potrzeby budowy sieci piątej generacji. W naszej ocenie dostępność dodatkowego pasma jest krytyczna, szczególnie w kontekście wojny na Ukrainie. Bo konsekwencją ostatnich ruchów migracyjnych jest znaczne obciążenie i wykorzystanie sieci. Konieczne jest zatem zwiększenie jej pojemności. Ale warto przy tym pamiętać, że sieć 5G będzie również czynnikiem wspomagającym wzrost PKB, co w czasie spowolnienia gospodarczego ma kolosalne znaczenie. Zwiększy też konkurencyjność polskiej gospodarki na tle krajów UE.

To jednak może bezpowrotnie uciec, jeśli prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa wciąż będą się przedłużały. Apel branży cyfrowej jest jasny: tylko pilne uchwalenie nowelizacji i udostępnienie pasma C pozwoli rozwiązać problemy, z którymi obecnie się borykamy. Co więcej, dalsza zwłoka budowy sieci 5G w Polsce sprawi, że nasz kraj stanie się technologicznie zacofany.

Cyberbezpieczeństwo musi stać się najważniejszym elementem cyfrowej gospodarki, a bez jednoznacznych, jasno sprecyzowanych regulacji prawnych jest to niemożliwe.