Okoński o bezpieczeństwie sieci 5G: przygotowujemy zmiany legislacyjne

Perspektywa powstania systemu certyfikacji nie zgrywa się z naszymi ambicjami harmonogramu budowy sieci 5G. Musimy mieć rozwiązanie mieszane: częściowo obejmujące certyfikację urządzeń, częściowo narzucające sposób postępowania – mówi nam Karol Okoński, wiceminister cyfryzacji, pełnomocniki rządu ds. cyberbezpieczeństwa pytany o to, w jaki sposób państwo zamierza postąpić w kwestii zapewnienia bezpieczeństwa mających powstać sieci 5G.

Rpkom.pl: Kto de facto prowadzi w Polsce analizy dotyczące bezpieczeństwa mających powstać sieci 5G?

Karol Okoński: – Inicjatywa i koordynacja oraz przygotowywanie opinii do dyskusji wewnątrz rządu to zadanie ministerstwa cyfryzacji, w tym moje, jako pełnomocnika rządu ds. cyberbezpieczeństwa. Wspieramy się też Instytutem Łączności oraz NASKiem, jako podmiotami nadzorowanymi przez nas.

Przygotowujemy analizę na podstawie danych zebranych od operatorów i dyskusji z nimi, a także danych ze świata, uzyskanych poprzez rozmowy pracowników resortu lub poprzez placówki dyplomatyczne. Wyniki prac zaprezentujemy na kolegium ds. cyberbezpieczeństwa, które obraduje pod kierunkiem premiera, a wcześniej skonsultujemy ze służbami (z ABW na czele) i innymi kluczowymi resortami.

Na jakim etapie są owe analizy?
– Wydaje się, że mamy zebrane wiekszość informacji, mogących posłużyć jako wkład do końcowego raportu. Choć co pewien czas pojawiają się nowe okoliczności. Należy do nich także sama rekomendacja Komisji Europejskiej, jak i raport brytyjskiego Narodowego Centrum Bezpieczeństwa.
Zakładam, że propozycja MC będzie przygotowana w najbliższych tygodniach, a potem mimo wszystko parę miesięcy może zająć proces uzgodnieniowy z pozostałymi uczestnikami w ramach rządu.

Nawet kilka miesięcy? 
– Na pewno do końca czerwca chcielibyśmy mieć ustalone stanowisko rządowe. Korespondencja odbywać się będzie w trybie niejawnym i dopóki nie powstanie dokument finalny, nie będę mógł dzielić się jej szczegółami.

Chciałbym zaznaczyć, że choć pojawiła się ogólna rekomendacja Komisji, to mogą wystąpić różnice między poszczególnymi krajami co do podejmowanych środków zaradczych. Wynika to z tego, że w każdym kraju punkt wyjścia jest inny. Francja, czy Wielka Brytania mogą proponować system oparty na certyfikacji infrastruktury ponieważ mają przygotowane procesy i odpowiednie laboratoria. Kraje te też upewniły się też, że w szkielecie sieci komórkowych nie ma u nich sprzętu chińskiego i mogą spokojnie planować zupełnie nowe inwestycje w 5G.

Co do zasady popieramy pomysł certyfikowania infrastruktury 5G, ale nie możemy sobie pozwolić na dwa lata oczekiwań na certyfikację. Perspektywa powstania systemu certyfikacji nie zgrywa się z naszymi ambicjami harmonogramu budowy sieci 5G.  Musimy mieć rozwiązanie mieszane: częściowo obejmujące certyfikację urządzeń, częściowo narzucające sposób postępowania.

W Polsce musimy sobie odpowiedzieć na pytanie, co zrobimy z istniejącą już częścią infrastruktury. Przegląd, który przeprowadzamy pokazuje, że producenci chińscy są u nas dostępni zarówno w warstwie szkieletowej, jak i dostępowej. W jakim stopniu nie mogę ujawnić. W konsekwencji, nie mamy takiego komfortu, jak kraje typu Francja, Wielka Brytania, czy USA.

Czego dokładnie dotyczą analizy, które prowadzi państwo? 
– Staramy się oszacować ryzyko wycieku danych w sytuacji ataków, czy nieuprawnionych działań, w szczególności destabilizacji działania, biorąc pod uwagę sam sposób budowy sieci 5G. Oczywiście jesteśmy tu w sposób naturalny ograniczeni, ponieważ standardy dla sieci 5G są nadal przygotowywane. Chcemy też wyeliminować ryzyko uzależnienia od jednego dostawcy infrastruktury i upewnić się, że będziemy mieli kontrolę nad bezpieczeństwem sieci niezależnie od tego, skąd pochodzą urządzenia.  Dla przykładu, Wielka Brytania i Francja zastosowały od początku regułę, że na danym obszarze geograficznym nie może dominować infrastruktura dostarczona od jednego dostawcy. Podoba nam się to rozwiązanie.

Czy państwo ma narzędzia prawne, aby nakazać operatorom wymianę urządzeń i narzucić konkretne warunki jak to zrobić? 
– Analizujemy to. KE zwraca uwagę już dziś, że takie możliwości istnieją. Wskazuje na dyrektywy unijne implementowane do przepisów krajowych. Jeśli uznamy, że musimy interweniować, będziemy postulować zmiany prawne. Prawdopodobnie zmian legislacyjnych nie unikniemy.

Na jakim etapie jest przygotowanie zmian w przepisach? 
– Na wstępnym. Mamy propozycje potencjalnych zmian zapisów w różnych ustawach.  Biorąc pod uwagę dynamikę bieżącego roku, roku w którym są wybory chcielibyśmy mieć pewną propozycję zmian w prawie przed wakacjami.

Wykluczymy chińskich dostawców? 
–  Nie mogę wykluczyć, że kogoś nie wykluczmy o ile w krótkim terminie nie uda się inaczej zapewnić bezpieczeństwa sieci. Analizujemy, a przede wszystkim zakres ewentualnej interwencji.

Huawei zadeklarowało, że udostępni Polsce swoje kody i podda się weryfikacji. To wystarczy?  
– To element ważny, może niezbędny, dlatego prowadzimy rozmowy z Huawei. Natomiast fakty są takie, że w przypadku 5G, urządzenia bazują na oprogramowaniu, które można zdalnie aktualizować i w ten sposób za każdym razem zmieniać sposób ich działania.

To znaczy, że dostawcy trzeba po prostu zaufać?
– W dużej mierze to kwestia zaufania. Ważna jest też transparentność. To dotyczy nie tylko samej dokumentacji, czy testowanego urządzenia, ale całego łańcucha dostaw: kiedy, kto, w jakiej fabryce, jakim transportem, jak dostarcza infrastrukturę.
Aby Polska uzyskała kontrolę nad całym tym procesem, potrzebuje nowego podejścia do certyfikacji. W pewnej mierze na poziomie unijnym zapewnić ma ją tzw. „akt ds. cyberbezpieczeństwa”.

Powiedział pan: „Perspektywa powstania systemu certyfikacji nie zgrywa się z naszymi ambicjami harmonogramu budowy sieci”. Czy na poziomie UE nie ma pomysłu, aby przesunąć terminy wdrożenia 5G w pierwszych miastach, który przypada na 2020 r.?

– Dziś nie ma takich rozmów. Kraje UE są zdeterminowane, aby dotrzymać założonych terminów. To kwestia dotrzymania tempa takim krajom jak Japonia, czy USA, lub Kanada.