Bezpieczeństwo sieci 5G: rząd ma nowe obowiązki dla operatorów

W nocy z poniedziałku na wtorek Ministerstwo Cyfryzacji przekazało Komisji Europejskiej analizę bezpieczeństwa sieci telekomunikacyjnych pod kątem przyszłego wdrożenia technologii 5G. KE wymagała analogicznych analiz od wszystkich krajów UE na fali zarzutów stawianych przez administrację prezydenta USA Donalda Trumpa wobec chińskiego koncernu Huawei.

O tym, co zawiera polska analiza, rozmawialiśmy w poniedziałek z wiceministrem cyfryzacji i pełnomocnikiem rządu ds. cyberbezpieczeństwa Karolem Okońskim.

Jak wynika z tej rozmowy, analiza jest dokumentem dość ogólnym, w którym nie padają nazwy konkretnych firm, a główny ciężar zapewnienia bezpieczeństwa 5G poniosą telekomy. Tak jest w wypadku sieci starszych generacji. Jednak teraz rząd planuje wprowadzenie nowych przepisów. Mają objąć telekomy jeszcze przed przyszłorocznym przetargiem na pasmo 5G.

– Analizowaliśmy ryzyka w poszczególnych warstwach sieci, ataków z zewnątrz i wewnątrz wraz z prawdopodobieństwem ich wystąpienia i skalą konsekwencji. Zaproponowaliśmy także działania mitygujące ryzyko. W sumie mamy kilkanaście scenariuszy zagrożeń i 10 naszych działań mitygujących. W toku analizy wyszło nam, że w większości wypadków musimy wprowadzić zmiany w prawie albo wręcz sugerujemy synchronizację na poziomie europejskim. Długofalowo – będziemy popierać wprowadzenie certyfikacji (sprzętu – red.) na poziomie unijnym, ale wśród działań krótkoterminowych przewidujemy nowelizację rozporządzeń do prawa telekomunikacyjnego i uzupełnienie listy warunków, które spełnić będą musieli uczestnicy przetargów czy aukcji na częstotliwości 5G – zapowiada Karol Okoński.

– Chcemy, aby operatorzy mieli obowiązek oszacowania ryzyka naruszenia bezpieczeństwa sieci i prezentacji sposobów ograniczania go. Dane te podlegałyby akceptacji. Dziś sądzimy, że akceptowałby je prezes Urzędu Komunikacji Elektronicznej – dodaje Okoński.

Podkreśla, że operatorzy będą mieli także obowiązek budowy odpowiednich procesów wewnętrznych określających, kto i jakie operacje może wykonywać na infrastrukturze danego operatora.

– Z legislacyjnego punktu widzenia nowelizacji podlegać będzie rozporządzenie związane z działaniami obronnymi spoczywającymi na operatorach, o którym mowa w art. 176 Prawa telekomunikacyjnego. Chcemy także wprowadzić w życie rozporządzenie niewydane, przewidziane art. 175d o warunkach zapewnienia bezpieczeństwa i integralności sieci. Na ile wprost narzucimy operatorom budującym sieci wymagania, a na ile pozostawimy im ocenę ryzyka zastosowania konkretnych rozwiązań technicznych – dopiero się okaże – mówi wiceminister.

Z jego słów wynika, że nawet to, jak operatorzy będą budować sieci, opisane zostanie teraz w prawie.

– W obu tych rozporządzeniach planujemy ująć dwa kolejne aspekty: obowiązek dywersyfikacji dostawców infrastruktury oraz wprowadzoną m.in. w Wielkiej Brytanii i Niemczech kategorię „zaufanego dostawcy” (ang. trusted vendors). Chodzi nam też o to, aby działał tak zwany lokalny roaming: w sytuacji, gdy awaria u jednego operatora pozwalałaby przełączyć usługi na innego operatora, korzystającego z innego dostawcy. Z kolei kategoria „zaufanego dostawcy” dotyczy dziś wszystkich nowych przedsięwzięć, a w toku dalszych prac będziemy przesądzać, na ile także istniejącej infrastruktury – mówił Okoński. Pytany o definicję „zaufanego dostawcy” odpowiada, że szczegółowe rozwiązanie dopiero powstanie.

Telekomy ostrożnie komentują pomysły, sygnalizując, że nie wszystko jest wykonalne. Witold Drożdż, członek zarządu Orange Polska, apeluje, by obowiązki były proporcjonalne, adekwatne oraz spójne na poziomie UE.

P4, operator sieci Play odniósł się do sprawy na razie  na dużym poziomie ogólności. – Dla bezpieczeństwa sieci telekomunikacyjnej decydująca jest warstwa szkieletowa sieci. Stanowi ona jedyny punkt styku ze światem zewnętrznym, tj. sieciami innych operatorów telekomunikacyjnych, zagranicznych i krajowych oraz z Internetem – przekazało nam biuro prasowe.

– W sieci PLAY wszelka wymiana informacji z sieciami innych operatorów odbywa się przez elementy warstwy szkieletowej dedykowane do kontroli cyberbezpieczeństwa – tzw. firewalls. W konsekwencji uważamy, że już w chwili obecnej sieć Play jest przygotowana zarówno na zmianę wymogów regulacyjnych w zakresie cyberbezpieczeństwa, jak również jest zabezpieczona przed zagrożeniami w tym zakresie obecnie obserwowanymi na rynku – zapewnia P4.

Telekom zapowiada bardziej szczegółowy komentarz, gdy pozna całościowe rozwiązanie proponowane w analizie.