- Nie chciałbym, aby wydźwięk naszej rozmowy był taki, że obywatele powinni wyrzucić telefony Huawei. Dużo bardziej niebezpieczne niż marka telefonu jest to, jak go używamy- mówi Karol Okoński, wiceminister cyfryzacji, pełnomocnik rządu ds. cyberbezpieczeństwa.
DGP
Z Huawei czy bez? Jak lepiej wprowadzać w Polsce technologię 5G?
To jest obecnie przedmiotem analizy. Sam fakt jej podjęcia wynika z naszych wątpliwości co do funkcjonowania firmy Huawei. Podobny proces odbywa się zresztą na całym świecie. Pozytywnym aspektem zamieszania z Huawei jest dowartościowanie tematów związanych z cyberbezpieczeństwem: zarówno w kwestiach technicznych, jak i ryzyka uzależniania się od jednego dostawcy. Te zagadnienia stały się w końcu równie ważne jak cena, jakość czy serwisowanie sprzętu.
Jeśli ktoś by zechciał zaatakować naszą sieć 5G, łatwiej byłoby mu działać, gdybyśmy mieli całą infrastrukturę od jednego dostawcy?
Znalezienie luki w jakimś urządzeniu w sytuacji, gdy występowałoby ono w całej sieci, oczywiście znacznie ułatwia atak. Ale raczej chodzi o to, że dywersyfikacja dostawców daje większą pewność ciągłości działania, gdyby coś się działo – także np. w razie przekształceń własnościowych w tej firmie czy w przypadku jej kłopotów.
Co przemawia za wykluczeniem Huawei, a co za współpracą z nimi?
Oceniamy zarówno ryzyko, jak i konsekwencje ewentualnego wykluczenia Huawei. Kwestię ryzyka mamy już dobrze przeanalizowaną. Konsultowaliśmy się w tej sprawie także z innymi krajami. Natomiast badania konsekwencji i rozwiązań alternatywnych wciąż trwają. W tej chwili nie mogę więc ani przesądzić wyniku analizy, ani nawet określić jej trybu. To może być bowiem albo decyzja narzucająca wszystkim uczestnikom rynku pewien sposób postępowania wobec Huawei, sprowadzająca się nawet do zmiany prawa, albo rekomendacje, miękkie sugestie czy indywidualne decyzje podejmowane w każdym przypadku.
Skoro zbadaliście już ryzyko, to jakie niebezpieczeństwa wiążą się z udziałem Huawei w polskiej sieci 5G?
Ryzyko jest duże, część dyskusji na ten temat odbywała się zresztą publicznie. Przed zakończeniem całej analizy nie będę tego podsumowywał, ale wystarczy wspomnieć, że Huawei siłą rzeczy jest związany chińskim prawem, które zobowiązuje firmę do współpracy z wywiadem tego kraju. Już samo to sprawia, że wypada pod względem bezpieczeństwa gorzej od firm z innych krajów. I to nawet jeśli to prawo nie było dotychczas przez chińskie służby wykorzystywane i nie dochodziło do żadnych naruszeń. Pozostaje tylko kwestia oceny wielkości tego ryzyka i możliwości przeciwdziałania. Jednym z potencjalnych rozwiązań – delikatnie sygnalizowanym – mogłaby tu być budowa sieci opartej na infrastrukturze od dostawców chińskich i niechińskich z założeniem, że gdyby coś się działo, będzie można się przełączyć na tych drugich.
Jak się coś stanie, może być za późno.
To po pierwsze. Po drugie, nie wszystkie ataki są od razu wykrywane. Bywa, że wychodzą na jaw z dużym opóźnieniem. Stąd pytanie, czy bylibyśmy w stanie pogodzić się z tym ryzykiem i zarządzać nim.
Czyli mamy dylemat: ponieść większe ryzyko z chińskim, tańszym dostawcą albo wydać więcej na 5G?
Takiego dylematu nie ma, bo z perspektywy państwa bezpieczeństwo jest kluczowe. Cena oczywiście jest istotna dla firm telekomunikacyjnych, co musimy brać pod uwagę, analizując konsekwencje ewentualnego zakazu.
Wszystkie światła są skierowane na Chińczyków. Czy inni dostawcy sprzętu do budowy sieci 5G – jak Ericsson czy Nokia – też powinni być sprawdzeni?
Bezwzględnie. Chodzi o postawienie na bezpieczeństwo i takie zbudowanie sieci, by nie być uzależnionym od kogokolwiek, czy nazywa się Huawei, czy Nokia. Musimy brać pod uwagę nie tylko ewentualność świadomych ataków danego dostawcy, ale również niezamierzone podatności na atak, jakie mogą się pojawić w jego oprogramowaniu. Awaria jakiegoś urządzenia czy nawet seria awarii nie mogą prowadzić do tego, że cała sieć 5G nagle przestanie działać.
Zakładając, że z analizy wyniknie, iż jest taka potrzeba – można będzie zabronić telekomom używania sprzętu Huawei przy budowie sieci 5G?
W obecnym stanie prawnym nie da się z góry wykluczyć żadnej firmy.
A kiedy zapadnie decyzja?
Kwiecień to najwcześniejszy możliwy termin. Sytuacja jest jednak dynamiczna. W każdej chwili mogą się pojawić nowe okoliczności czy fakty. W podobnym trybie pracują przecież nad tą sprawą inne państwa. W Polsce trwa śledztwo, w ramach którego jednego z dyrektorów Huawei aresztowano pod zarzutem szpiegostwa. Może się więc wydarzyć coś, co przyspieszy zajęcie przez nas publicznego stanowiska.
Śledztwo dotyczące Weijinga W. ma duży wpływ na waszą ocenę sytuacji?
Nie, bezpośredniego wpływu nie ma. Może nam co najwyżej przynieść nowe informacje, ale i tak byśmy wykonywali analizę aspektów bezpieczeństwa przy współpracy z Huawei. Na temat śledztwa nie chcę się wypowiadać. Prowadzą je odpowiednie służby.
Analiza obejmuje rozmowy z Huawei?
Tak. Chcąc zachować obiektywizm i odpowiadając na deklaracje tej firmy, że są gotowi do rozmów, prowadzimy z nimi warsztaty techniczne.
To teraz będzie pan pewnie rozmawiał z Ryszardem Hordyńskim, nowym dyrektorem ds. inwestycji, strategii i komunikacji w polskim oddziale. Znacie się?
Tak. Mieliśmy okazję współpracować, gdy pan Hordyński był w Ministerstwie Finansów, a także gdy obaj pracowaliśmy w Ministerstwie Cyfryzacji.
Będzie łatwiej dojść do porozumienia?
Z mojej perspektywy to nie ma większego znaczenia. Zawsze staram się utrzymywać dobre relacje ze wszystkimi i rozmawiać z każdym.
Do wprowadzenia 5G w Polsce jeszcze daleko, a już dziś nasza infrastruktura telekomunikacyjna w połowie pochodzi od Huawei. To niebezpieczne?
Co do danych, to nie potwierdzę ani nie zaprzeczę. Ale na pewno Huawei ma bardzo mocną pozycję na polskim rynku. Poleganie na jednym dostawcy generuje dodatkowe zagrożenia na każdym etapie rozwoju technologii. Proszę jednak wziąć pod uwagę, że czym innym jest sprzęt sieciowy, o którym rozmawiamy, a czym innym smartfony. W przypadku tych drugich trzeba pamiętać o tych samych zasadach bezpieczeństwa, i to niezależnie od marki.
Decyzja, co zrobić z Huawei, będzie nasza, czy przeważy sojusz z USA?
Nie ma co ukrywać, że stanowisko USA jest jednym z kryteriów naszej decyzji. Ale bierzemy również pod uwagę opinię innych państw NATO i Unii Europejskiej. Niewykluczone, że kiedy jakieś państwo ogłosi swoją decyzję, to przyspieszy działania pozostałych. Pytanie, kto pierwszy przekroczy ten próg. Oczywiście każdy kraj ma trochę inne podejście, chociażby ze względu na udział Huawei i dojrzałość rynku. Różny jest stosunek do USA. Staramy się korzystać z doświadczeń większych państw, jak Francja, Niemcy czy Wielka Brytania, która ma najdłuższe w Europie doświadczenie we współpracy z Huawei.
Wielka Brytania podeszła do sprawy bardzo pokojowo, uznając wykorzystanie technologii Huawei w sieci 5G za możliwe – przy zachowaniu ostrożności.
Podeszli pokojowo, ale tam Huawei nie jest obecny w administracji publicznej. Takie mają porozumienie: współpracujemy, ale nie startujecie w przetargach dla administracji publicznej.
A jaki pan ma telefon?
Innej marki niż ta, o której rozmawiamy.
Rządowy czy prywatny?
Rządowy. Prywatnie mam jeszcze innej marki.
Żadnego sprzętu Huawei?
Nie. Ale przestrzegałbym przed traktowaniem smartfonów czy w ogóle urządzeń dla użytkownika końcowego na równi z infrastrukturą sieci szkieletowej, bo to ona ma zasadnicze znaczenie. I nie chciałbym, aby wydźwięk naszej rozmowy był taki, że obywatele powinni wyrzucić telefony Huawei. Dużo bardziej niebezpieczne niż marka telefonu jest to, jak go używamy. Największe zagrożenia wynikają z tego, jakie aplikacje instalujemy, na ile jesteśmy czujni, korzystając z programów pocztowych i komunikatorów, co publikujemy w mediach społecznościowych.
Pana zdaniem należałoby wykluczyć Huawei z przetargów na telefony i inny sprzęt dla administracji rządowej i sektora publicznego?
To zagadnienie również jest elementem naszej analizy. Nie mamy konkretnej tezy, po prostu rozważamy to. W NATO są wskazania, który sprzęt jest dopuszczony. Niewykluczone więc, że takie ruchy będą podejmowane.
Prawo zamówień publicznych pozwala odrzucić ofertę ze względów bezpieczeństwa.
Tak, ale nie ma przepisów zabraniających startowania w przetargach.
Abstrahując od Huawei: jak to jest z 5G? Czy stwarza nowe zagrożenia i stąd tak duże zainteresowanie ryzykiem w odniesieniu do tej technologii?
Poziom przepustowości tej sieci, możliwość wydzielania w niej podsieci, ogromna liczba urządzeń, które będzie można równocześnie podpiąć – to wszystko sprawia, że zakłócenie rdzenia 5G może dosłownie zdestabilizować funkcjonowanie całych miast. Ryzyko dotyczy też transportu, przesyłu energii, służby zdrowia... Zagrożenie jest więc dużo większe niż obecnie. Oczywiście nie stanie się to dziś ani jutro, ale w perspektywie 5–10 lat to ryzyko będzie realne. Te kwestie musimy brać pod uwagę, projektując rozwiązania dla 5G.
Krajowy System Cyberbezpieczeństwa stał się już ciałem?
Tak. Jest na etapie wdrażania w tym sensie, że wciąż są jeszcze wybierani operatorzy usług kluczowych. Mamy już powyżej 30 decyzji, a 350 postępowań jest w toku i powinny się zakończyć w najbliższych tygodniach. Ujednolicamy też procedury komunikowania się między CSIRT-ami (Computer Security Incident Response Team – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Dotychczasowy przebieg wdrażania wskazuje, że ten system bezpieczeństwa działa.
Żeby to porządnie sprawdzić, trzeba by wywołać jakiś kryzys.
Kryzys kontrolowany… Planujemy w tym roku takie ćwiczenia. Chodzi o przetestowanie działań opisanych w ustawie. Rozważamy też symulację incydentu międzynarodowego.