Gwarancje bezpieczeństwe w 5G opierają się na razie na deklaracjach producentów – mówi Karol Okoński, wiceminister cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa.
Jednym z celów przyjętej właśnie przez rząd Strategii Cyberbezpieczeństwa na lata 2019–2024 jest zwiększenie poziomu odporności sieci i systemów teleinformatycznych – w tym 5G. Pojawia się pomysł, by wydawać polskie certyfikaty bezpieczeństwa.
Chcemy wskazać obiektywne przesłanki, które ułatwią operatorom telekomunikacyjnym i wszystkim innym podmiotom wybór sprzętu i oprogramowania.
Resort cyfryzacji ma do tego kompetencje?
Jesteśmy na początku drogi – zarówno na poziomie krajowym, jak i europejskim. W Polsce realizujemy projekt KSO3C, czyli budowę krajowego schematu oceny i certyfikacji produktów i systemów IT zgodnych z Common Criteria (normy bezpieczeństwa systemów teleinformatycznych – red.). Kończymy już wyposażanie laboratoriów i na początku przyszłego roku powinniśmy zacząć pilotaż, a do końca 2020 r. rozpocząć wydawanie certyfikatów – tak jak to robią jednostki certyfikujące w innych krajach.
Ile krajów w Europie wydaje już takie certyfikaty?
Jest to tylko osiem państw. Laboratoria przygotowane do certyfikacji według Common Criteria będą mogły w przyszłości weryfikować zgodność urządzeń i oprogramowania także w ramach innych profili – szczególnie tych, które zostaną zaproponowane dla 5G. Bo dziś zestawu standardów bezpieczeństwa dla sieci piątej generacji jeszcze nie ma.
KSO3C to pierwszy krok. Idąc dalej, trzeba zapewnić odpowiednią przepustowość, by certyfikacja przebiegała sprawnie i nie hamowała rozwoju rynku. Liczymy, że dzięki wzajemnemu uznawaniu certyfikatów między krajami Unii zbudujemy sieć, która sprosta oczekiwaniom rynku. Ale nie ukrywajmy, taką gotowość osiągniemy dopiero za parę lat.
A na razie tam, gdzie sieć 5G w Europie już wprowadzono, działa ona bez certyfikacji.
Gwarancje spełnienia standardów bezpieczeństwa w 5G opierają się na razie na deklaracjach producentów. Dlatego w tym okresie przejściowym wymagania wobec sieci piątej generacji chcemy w pierwszej kolejności adresować do operatorów telekomunikacyjnych, którzy z kolei postawią odpowiednie warunki dostawcom, organizując przetargi na sprzęt i oprogramowanie. Upewnimy się w ten sposób, że operatorzy stosują odpowiednie procedury, przeprowadzają testy i dywersyfikują dostawców, tak by nawet w razie awarii urządzeń jednego producenta sieć mogła nadal działać. Oczekiwania wobec firm telekomunikacyjnych przedstawimy w rozporządzeniu do ustawy – Prawo telekomunikacyjne – do art. 175d dotyczącego integralności i bezpieczeństwa sieci oraz art. 176a na temat ciągłości świadczenia usług.
Kiedy?
Jesteśmy na etapie przygotowywania dokumentów wewnętrznych. Następnie przeprowadzimy prekonsultacje z operatorami, by osiągnąć konsensus co do ogólnych zasad. Zakładamy, że za miesiąc, najdalej dwa zaczniemy konsultacje publiczne, w których dopracujemy szczegóły.
To nie zdążycie przed aukcją częstotliwości na 5G, którą UKE ma zacząć w grudniu?
Zastanowimy się, czy nie zawrzeć naszych wymagań w samej dokumentacji przetargowej. Drugie rozwiązanie to skorelowanie vacatio legis rozporządzenia z terminem rozpoczęcia świadczenia usług w sieci 5G.
Rozporządzenie wykluczy jakiegoś dostawcę?
Zacznijmy od tego, że nie tak łatwo jest kogokolwiek wykluczyć. W odniesieniu do administracji publicznej taki efekt mogłaby mieć rekomendacja pełnomocnika rządu ds. cyberbezpieczeństwa sygnalizująca, że jakieś rozwiązanie jest niebezpieczne. Wobec prywatnych operatorów to jednak nie zadziała. Dlatego rozważamy nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, by w przypadku identyfikacji zagrożenia móc w większym stopniu wpływać na rynek. Chodzi o wprowadzenie mechanizmu pozwalającego nam działać, gdy uznamy pewne rozwiązania za niepożądane – bez przesądzania, kiedy i wobec kogo z tego narzędzia skorzystamy.
Pewne rozwiązania – to znaczy jakie? Chińskie?
Zastanawiając się nad tymi przepisami, zakładaliśmy dużą elastyczność: od wskazania konkretnego modelu urządzenia po użycie kategorii sprzętu czy kategorii dostawców.
Zapis „można wykluczyć...” i uzupełnij wykropkowane?
Nie, wykluczenie dostawcy będzie wymagało spełnienia określonych przesłanek związanych z bezpieczeństwem narodowym.
Tak ogólnych jak w polsko-amerykańskiej deklaracji o sieci 5G, które zależnie od interpretacji spełnia każda firma albo żadna?
W deklaracji odwołaliśmy się do propozycji praskich (to ogólne zalecenia dotyczące sieci 5G sformułowane w maju br. przez przedstawicieli UE, NATO i OECD – red.). To są obiektywne kryteria, które naszym zdaniem powinny obowiązywać wszystkich dostawców. Taka elastyczność pojawiła się teraz w przepisach niemieckich mówiących o „dostawcy zaufanym”. Podobnie wygląda to również w Szwecji, gdzie ta kwestia jest na etapie prac legislacyjnych. Z jednej strony państwo chce sobie zostawić swobodę, a z drugiej wprowadzić pewne kryteria – niekoniecznie podawane do publicznej wiadomości, ale obiektywizujące ocenę i wymagające jej udokumentowania. Zapewniam, że nikt decyzji w tej sprawie nie podejmie pochopnie.
Gdy Federalna Agencja Sieci zaprezentowała swój katalog wymagań bezpieczeństwa, przeważały komentarze, że Niemcy otwierają drzwi Huaweiowi, bo nie wykluczono tej firmy wprost.
Trochę się dziwię tym komentarzom. To tak, jakby oczekiwano, że jako niepożądany zostanie wskazany konkretny podmiot, a to się rzadko zdarza i zdziwiłbym się, gdyby Niemcy to zrobili. Z rozmów, jakie z nimi prowadziliśmy, wynika, że do kategorii zaufanego dostawcy chcą podejść bardzo rygorystycznie, więc nie jest przesądzone, czy rzeczywiście otworzy to drogę firmie Huawei.
Polska też nie wskaże konkretnej firmy?
Też nie.
A kryteria bezpieczeństwa wykluczą Huaweia?
Na pewno wszystkich dostawców będą obowiązywały kryteria określone w deklaracji, jaką podpisaliśmy z USA. Czy Huawei je spełni, to dziś kwestia otwarta. Z informacji, jakie mamy o tej firmie, wnoszę, że będzie im trudno.
Tym trudniej, że skarżą się na chłód w stosunkach z polskim rządem.
Nie mnie to oceniać. Krążące w przestrzeni publicznej wiadomości o problemach tej firmy skłaniają nas do ostrożności. Nie chodzi tylko o koronny argument o potencjalnej współpracy z chińskimi służbami, ale również o jakość i bezpieczeństwo ich urządzeń oraz brak możliwości długofalowej współpracy z podwykonawcami amerykańskimi.
Huawei ogłaszał, że stacje bazowe 5G robi już bez amerykańskiego wkładu.
Skoro do tej pory w dużej mierze bazowali na rozwiązaniach amerykańskich, powstaje kwestia dojrzałości i sprawności tych nowych urządzeń. To kolejny znak zapytania.
Jest ich więcej. Polska sieć 5G ma powstać na bazie 4G. A ta w większości pochodzi od Huaweia. Firma podaje, że 60 proc. anten 4G jest jej produkcji i sprzęt Ericssona nie będzie z nimi współpracował. Chociaż operator japoński NTT Docomo zdołał połączyć urządzenia 4G i 5G od różnych dostawców. Żadnym z nich nie był Huawei.
Znam podobny przypadek amerykański, też bez udziału Huawei. Ta firma faktycznie jest w Polsce dominującym dostawcą, co przy budowie sieci w modelu non-standalone (tj. na bazie istniejącej sieci 4G – red.) jest dużym wyzwaniem, bo wszyscy producenci stosują takie interfejsy, które nie współpracują z urządzeniami innych firm. Dlatego minimalizacja uzależnienia od jednego dostawcy – nieważne, jak on się nazywa – jest jednym z naszych postulatów w kwestii bezpieczeństwa sieci.
W Polsce mamy w porywach do trzech dostawców: Huaweia, Ericssona i Nokię. Jak wykluczymy jednego, to uzależnienie będzie nieuniknione.
Chyba że pojawią się nowi. Może dołączy Samsung, który na razie na Europę patrzy ostrożnie, ale niewykluczone zmieni zdanie – do czego tę firmę zachęcamy.
Niedawno Ministerstwo Cyfryzacji podpisało z Samsungiem porozumienie na rzecz cyberbezpieczeństwa.
Im więcej konkurentów na rynku, tym większa dostępność i niższy koszt sprzętu – co będzie z korzyścią dla operatorów i konsumentów.
Oprócz standardów dla sieci 5G co jeszcze zmienia strategia cyberbezpieczeństwa?
W porównaniu z dotychczas obowiązującymi Krajowymi Ramami Polityki Cyberbezpieczeństwa strategia kładzie większy nacisk na obszary, na których nam szczególnie zależy. Chodzi m.in. o współpracę sektora publicznego z komercyjnym, edukację i współpracę międzynarodową. W pojedynkę Polska jest słabsza niż działając z partnerami z Unii Europejskiej, Grupy Wyszehradzkiej lub Trójmorza.
Na czym ta współpraca ma polegać?
Na wspólnej budowie rozwiązań w zakresie cyberbezpieczeństwa. Teraz pracujemy np. nad wykorzystaniem sztucznej inteligencji do rozpoznawania dezinformacji i anomalii w ruchu sieciowym. Realizując ten projekt na poziomie europejskim, będziemy mieli więcej danych do testowania, i nasze rozwiązania będą skuteczniejsze. Trwają też rozmowy o współpracy w Unii na zasadzie centrów kompetencji, tzn. każdy kraj będzie się specjalizować w jednej dziedzinie i wszyscy skorzystają z efektów wspólnej pracy.
W czym Polska może się specjalizować? Jaki jest nasz cybertalent?
Siatka kompetencji nie jest jeszcze ustalona. To może być jedna z trudniejszych dyskusji, bo każde państwo europejskie ma podobny punkt startowy, żadne nie jest liderem ani w dziedzinie sztucznej inteligencji, ani internetem rzeczy, ani big data. Zakładamy, że nas może wyróżnić doświadczenie w takich branżach, jak fintech i drony.
Według pana to realne, żebyśmy wszyscy w Unii zaczęli zgodnie współpracować?
Doszliśmy do takiego momentu, gdy nawet duże państwa europejskie zdały sobie sprawę, że same nie mają szans w technologicznym pojedynku ze Stanami Zjednoczonymi i Chinami, a nawet Japonią i Koreą Południową. To może ostudzić narodowe ambicje. Wola współpracy na pewno istnieje. Pytanie, czy pójdzie za tym zgoda na oddanie części pola partnerom z innych krajów.