Ustawa o krajowym systemie cyberbezpieczeństwa jest potrzebna. Chodzi o to, by był to akt prawny odpowiadający na współczesne wyzwania – oceniają uczestnicy debaty DGP
Ustawa o krajowym systemie cyberbezpieczeństwa jest potrzebna. Chodzi o to, by był to akt prawny odpowiadający na współczesne wyzwania – oceniają uczestnicy debaty DGP
Projekt ustawy o krajowym systemie cyberbezpieczeństwa zdaniem wielu ma służyć jednemu: wykluczeniu Huaweia z polskiego rynku. Czy rzeczywiście znaczenie tego szykowanego aktu prawnego jest takie?
/>
Media
ROBERT SIWIK: Nie, to byłoby zbyt duże uproszczenie. Aczkolwiek rzeczywiście jeśli ustawa wejdzie w życie w takim kształcie, w jakim zaproponowało Ministerstwo Cyfryzacji, uzasadniony byłby zarzut, że chodzi o wykluczenie niektórych firm, w szczególności wspomnianej przez pana. Generalnie mówimy o obszernym akcie prawnym, który ma wprowadzić zestaw środków zabezpieczających na poziomie strategicznym i technicznym polskie cyberbezpieczeństwo. Czy tak się stanie? Pierwsze opinie ekspertów są takie, iż projekt nowelizacji zawiera bardzo dużo niemierzalnych i mało obiektywnych kryteriów oceny dostawców sprzętu i oprogramowania. Przedsiębiorcy mają być klasyfikowani w ramach oceny ryzyka, ale wydaje się, że ta ocena może być kontrowersyjna.
/>
Media
Piotr Mieczkowski Jakie bowiem bezpośrednie przełożenie ma praworządność w danym państwie na cyberbezpieczeństwo w Polsce? Tego projektodawca nie wyjaśnia. Niestety nie podążamy utartymi już ścieżkami, które się sprawdzają. Przykładowo Wielka Brytania podjęła decyzję, że do 2028 r. część sprzętu powinna zniknąć z tamtejszych sieci telekomunikacyjnych. Zrobiono to po merytorycznej debacie na temat klasyfikacji elementów sieciowych, analizując, czy dany sprzęt może być np. w bazie wojskowej, czy w domu. Podobnie podeszły do tematu Niemcy. Dokonano analizy bezpieczeństwa i przyjęto rozwiązania mające ograniczyć ryzyka. W Polsce takiej debaty w ogóle nie ma. Z samego projektu ustawy o krajowym systemie cyberbezpieczeństwa oraz uzasadnienia niewiele się dowiadujemy. To niestety wzmacnia przekonanie, że chodzi wyłącznie o decyzje polityczne, a nie merytoryczne.
/>
Media
Radosław Płonka Projekt ustawy wpisuje się w niebezpieczny, ale niestety już też występujący w Polsce trend. To znaczy prawo jest tworzone bez głębszego zastanowienia, bez rzetelnej analizy, z pozornymi tylko konsultacjami. Na przykładzie projektu ustawy o krajowym systemie cyberbezpieczeństwa doskonale widzimy, że politycy mają swoją wizję, swój cel do zrealizowania, i nic innego ich nie obchodzi. A zarazem projektodawca nie potrafi rzetelnie przedstawić w uzasadnieniu, dlaczego podejmuje pewne decyzje. Obawiam się, że ustawa nie poprawi polskiego cyberbezpieczeństwa. I rzeczywiście może chodzić o wykluczenie konkretnego podmiotu z rynku, co z kolei będzie miało istotne konsekwencje dla wielu innych przedsiębiorców.
Projekt przewiduje, że operatorzy budujący sieci telekomunikacyjne nie będą mogli zaopatrywać się u dostawców uznanych za firmy wysokiego lub umiarkowanego ryzyka. A wśród czynników decydujących o poziomie ryzyka znalazło się „prawodawstwo w zakresie ochrony praw obywatelskich i praw człowieka w państwie dostawcy”. Słuszne kryterium?
/>
Media
JAROSŁAW TWORÓG: To niestety stricte polityczna sprawa. Z całą pewnością nie chodzi tu ani o ochronę praw człowieka, ani o zwiększenie cyberbezpieczeństwa. Wpisujemy się w pewien globalny konflikt i opowiadamy się po stronie USA w starciu z Chinami. Uważam, że polskie władze nie do końca wiedzą, jak to robić. Chcą wesprzeć swojego silnego sojusznika. Niestety cierpi na tym cyberbezpieczeństwo, gdyż wszelkie realne kwestie są nadmiernie upraszczane. Mieszane są pojęcia, brakuje odpowiedzi na to, na co naprawdę ustawodawca powinien odpowiedzieć. Obawiam się więc, że tu wcale nie chodzi ani o elektronikę, ani o cyberbezpieczeństwo.
PIOTR MIECZKOWSKI: Na pewno opowiadamy się właśnie po jednej ze stron globalnego konfliktu. I jakkolwiek Amerykanie są naszymi największymi sojusznikami, to warto zwrócić uwagę, że chociażby Wielka Brytania, Izrael czy Australia nie działają pod tak dużą presją jak my. Ich podejście do tematu jest racjonalne. Nie jestem naiwny, wiem, że polityka zawsze będzie wpływała na biznes. Biznes jest zresztą tego świadom. Ale to wcale nie wyklucza rzetelnej analizy, merytorycznego podejścia. Dowodem na to są analogiczne regulacje tworzone w innych państwach Unii Europejskiej. Wspomnieliśmy już o Niemcach, ale sensownie postępują także Czesi.
Robert Siwik Chyba nikt nie ma wątpliwości, że proponowane przez Ministerstwo Cyfryzacji rozwiązania powodują, iż opowiadamy się po jednej ze stron geopolitycznego konfliktu. I czy tego chcemy, czy nie, jako Polska będziemy musieli liczyć się z retorsjami ze strony państw wykluczanych z naszego rynku bądź państw sojuszniczych tych wykluczonych. W którymś momencie może się okazać, iż ktoś nie będzie chciał współpracować z nami oraz naszymi firmami, bo będzie miał uzasadnione podejrzenia, że decyzje odnośnie do wykluczanych dostawców mają podłoże czysto polityczne. Podobnie dzieje się obecnie w kontekście obaw innych krajów o niezawisłość polskiego wymiaru sprawiedliwości. Można tutaj przywołać jako przykład zawieszenie wydawania Polsce wszystkich obywateli RP podejrzanych lub skazanych na terytorium Holandii.
Nie użyliśmy jeszcze określenia „5G”. A to właśnie ono rozpala wyobraźnię. I w ustawie chodzi o dostęp poszczególnych podmiotów, w tym Huaweia, do tortu, który jest do podziału. Moją uwagę zwróciło, że projekt ustawy przewiduje, że urządzenia i oprogramowanie kupione od firm wysokiego ryzyka będzie trzeba usunąć z sieci najpóźniej w ciągu pięciu lat. Czy polscy operatorzy telekomunikacyjni – jeśli rządzący zdecydują się wykluczyć Huaweia z rynku – będą musieli rozebrać infrastrukturę obsługującą dziś sieć 4G, a nawet 3G?
PIOTR MIECZKOWSKI: Dokładnie tak. Sieci 5G nie funkcjonują w oderwaniu od poprzednich generacji. Już uruchomione przez operatorów sieci 5G są na bazie wcześniejszej infrastruktury. Co to oznacza w praktyce? Ano tyle, że gdyby wykluczyć z polskiego rynku dostawców spoza UE, byłby to gigantyczny koszt dla operatorów. Szacuje się, że w Polsce 70 proc. infrastruktury bazuje na dostawcach spoza UE. W konsekwencji polityczna decyzja miałaby przełożenie na koszty po stronie działających od wielu lat w Polsce operatorów telekomunikacyjnych.
Moim zdaniem byłoby to łącznie powyżej 8 mld zł. To, oprócz samej wymiany sprzętu na nowy od dostawców zaakceptowanych przez polskie władze, kwestia rekonfiguracji sieci, wydatków związanych ze skomplikowanym procesem budowlanym, a także pensje, podatki, składki na ubezpieczenia społeczne pracowników itd.
JAROSŁAW TWORÓG: Tak, bez wątpienia mowa o ogromnych pieniądzach i kosztach, które musieliby ponieść działający na polskim rynku operatorzy. Ale chciałbym wyrazić nieco optymizmu. Otóż wszyscy mamy zastrzeżenia do projektu ustawy – i słusznie, bo nie jest on najlepszy. Ale praktyka stosowania prawa często koryguje błędy ustawodawcy. Mamy wiele przykładów, że w rzeczywistości jest lepiej, niż wynika to z suchej litery prawa. Wierzę więc, że nawet jeśli ustawa zostanie uchwalona w proponowanym kształcie, to zadziała rozsądniej niż wskazujemy.
Byłoby to bardzo pożądane z jeszcze jednego powodu, o którym nie wspomnieliśmy. Otóż mówimy o wykluczeniu dostawców, ale warto spojrzeć na pozycję dostawców niewykluczonych. Co się stanie, jeżeli ograniczymy rynek, administracyjnie wyeliminowana zostanie część konkurencji? Kto nam da gwarancję, że ci „zaufani” dostawcy nie przestaną być zaufani? Ograniczanie konkurencyjności może przełożyć się i na ceny, i na inne działania podmiotów, które poczują się zbyt pewnie.
RADOSŁAW PŁONKA: Każde ograniczenie konkurencyjności, a z projektu ustawy wynika niestety, że to całkiem możliwe, trzeba wnikliwie przemyśleć. Najczęściej bowiem podmioty, które zostają na rynku, czują się silne i niekiedy pozwalają sobie na zbyt wiele.
Przede wszystkim do kryteriów decydujących o tym, który dostawca będzie zaufany, a który nie, należałoby podejść przedmiotowo, a nie podmiotowo. Kłopotem projektowanych przepisów jest to, że pyta pan wprost o Huaweia i żaden z nas nie może powiedzieć, że projektodawcy wcale nie chodzi o chiński koncern.
BCC zawsze powtarza to samo: im większa konkurencja i im więcej przedsiębiorców na rynku, tym lepiej dla wszystkich. Wówczas jest wyższa jakość usług, niższe ceny dla konsumentów, większa transparentność. A i przedsiębiorcy są zadowoleni, bo co prawda biznesowo opłacalnie jest być tym niewykluczonym, gdy inni są wykluczani, ale przepisy pozwalające na arbitralne działania władzy są niebezpieczne dla każdego przedsiębiorcy – nigdy nie wie, kiedy on może paść ofiarą regulacji.
Piotr Mieczkowski wskazał, że jeśli czołowy dostawca zostanie wykluczony z polskiego rynku, to będziemy mówić o kosztach dla operatorów telekomunikacyjnych rzędu 8 mld zł. Przecież to szaleństwo! Trzeba pamiętać, że w takiej sytuacji to nie tylko operatorzy zapłacą, lecz konsumenci. Nazywajmy rzeczy po imieniu: jeśli realizacja ustawy o krajowym systemie cyberbezpieczeństwa będzie zła, to każdy posiadacz telefonu komórkowego będzie musiał liczyć się z wyższymi rachunkami. I tu ustawodawca powinien zadać sobie pytanie: czy warto dopuścić do takich konsekwencji w imię realizacji geopolitycznych celów.
PIOTR MIECZKOWSKI: Pamiętajmy też, że pięcioletni okres na usunięcie sprzętu jest niesłychanie krótki. Czas amortyzacji, który stosują operatorzy telekomunikacyjni, najczęściej wynosi między 7 a 10 latami. Stąd też decyzja Wielkiej Brytanii, która dała operatorom 8 lat na dostosowanie się do nowych wymogów. W uzasadnieniu projektu ustawy nie ma nawet jednego słowa na temat tego, dlaczego wybrano wariant pięcioletni. Całość sprawia wrażenie, jakby pisała to osoba bez technicznej wiedzy i bez zasięgnięcia jakiejkolwiek informacji z rynku telekomunikacyjnego.
Projektodawca przyznaje, że polscy operatorzy telekomunikacyjni muszą liczyć się z wydatkami. Ale „jest to inwestycja we własne cyberbezpieczeńswo pozwalająca skuteczniej dbać o cyberbezpieczeństwo w swojej działalności, co przełoży się na bezpieczne prowadzenie biznesu”. Przekonałem?
ROBERT SIWIK: Nie. Retoryka Ministerstwa Cyfryzacji pokazuje, że doskonale zdaje ono sobie sprawę z kosztów, które poniosą przedsiębiorcy. Ale tłumaczy to samo przez to samo. Co bowiem wynika ze stwierdzenia, że to inwestycja w cyberbezpieczeństwo, która pozwoli skuteczniej dbać o cyberbezpieczeństwo? Nic. Uzasadnienie dołączone do projektu ustawy nie odpowiada nam na żadne istotne pytanie. Ba, projektodawca nawiązuje cały czas do pojęcia cyberbezpieczeństwa, podczas gdy tak naprawdę nie wiemy, co rozumie pod tym pojęciem. Moim zdaniem to jeden z największych mankamentów projektu. Przyjmuje się szereg rozwiązań i nawet nie stara do nich przekonać rynkowych ekspertów. Ministerstwo Cyfryzacji nawiązuje do praw człowieka w państwach dostawców, ale nie wyjaśnia, jaki to ma realny związek. W projekcie roi się od ogólnikowych sformułowań dających duży margines swobody politykom, którzy będą decydowali o tym, kto może w Polsce budować sieć 5G, a kto nie może.
Klauzule generalne nie są niczym nadzwyczajnym w prawie. Rozsądne jest odchodzenie od kazuistyki. Powinniśmy zakładać, że egzekwujący prawo będą robić to rozsądnie.
RADOSŁAW PŁONKA: A zarazem krytykujemy projektodawcę ustawy o krajowym systemie cyberbezpieczeństwa, że rozsądku mu zabrakło. Generalnie się zgadzam – klauzule generalne, ogólnikowe sformułowanie niektórych kwestii jest konieczne. Tyle że nie jestem przekonany, czy tak powinno być w temacie, który – jak mniemam – można by ująć w sposób bardziej precyzyjny, zrozumiały technicznie dla wszystkich zainteresowanych podmiotów.
Niestety ze stosowaniem klauzul generalnych jest w Polsce problem. Każdy ma inną interpretację. Mogłoby się więc okazać, że nawet bez czyjejkolwiek złej woli pojawiałby się kłopot za kłopotem. Dlatego jeśli tylko się da, powinno się kryteria określić precyzyjnie i przy założeniu, że ustawodawca prezentuje podejście przedmiotowe, a nie podmiotowe. A jak te kryteria powinny dokładnie wyglądać, to już zadanie dla ekspertów rynku telekomunikacyjnego.
Jak miałyby wyglądać te kryteria?
PIOTR MIECZKOWSKI: Mamy już przetarte szlaki przez Wielką Brytanię, Niemcy, kilka innych państw. Przede wszystkim trzeba by zacząć od analizy, jakie mamy elementy sieciowe w telekomunikacji i u operatorów, które mogą zostać zaatakowane. Następnie musimy spojrzeć na ich istotność dla działania całej sieci. I wreszcie opracować plan redukcji ryzyka.
Warto odpowiedzieć sobie na kilka pytań. Czy przykładowo hakerzy wpinają się do sieci radiowych? Oczywiście nie. Atakują nasze urządzenia takie jak laptopy, podrzucają darmowe zainfekowane aplikacje. Przypadki hakowania całych sieci telekomunikacyjnych w zasadzie nie występują.
Najlepszym merytorycznym i uznanym globalnie sposobem redukcji zagrożeń jest certyfikacja urządzeń. Powinniśmy oceniać merytorycznie kod źródłowy, który ma każde urządzenie. I dopiero urządzenie certyfikowane mogłoby być wykorzystywane w sferze publicznej. Dlaczego np. Wielka Brytania może mieć swoje centrum certyfikacyjne i w ten sposób decydować o dopuszczeniu sprzętu danego dostawcy, a my skupiamy się na niedookreślonych pojęciach nijak niezwiązanych z cyberbezpieczeństwem jak prawa człowieka?
JAROSŁAW TWORÓG: Piotr Mieczkowski trafił w samo sedno. Wadą projektu ustawy jest to, że rozwiązuje on te problemy, które nie istnieją, i nawet nie dotyka tych problemów, które istnieją. To właśnie tu może dochodzić do kryminalnego procederu. I ustawodawca w ogóle tego nie zauważa
Cyberbezpieczeństwo bynajmniej nie jest zagrożone na poziomie sprzętu operatorów. Kłopot jest na poziomie sprzętu użytkownika.
Mogę podać dziesiątki, a być może nawet setki przypadków poważnego naruszenia cyberbezpieczeństwa. I daję słowo, że nie znalazłbym ani jednego, gdy zawinił bezpośrednio operator telekomunikacyjny. Przestępcy ingerują w strukturę zakładów przemysłowych, podrzucają wadliwy konstrukcyjnie sprzęt, w który jest wszyte złośliwe oprogramowanie, wykorzystują niedostatki wiedzy pracowników. Po co mieliby atakować sieć, skoro słabszym ogniwem jest bezpośredni cel ataku? Byłoby to nierozsądne: i droższe, i bardziej ryzykowne, i po prostu trudniejsze.
ROBERT SIWIK: Wydaje mi się, że większość osób, która zapoznała się z projektem, zgodzi się, że nawet jeśli intencje projektodawcy są szczytne, to wykonanie pozostawia wiele do życzenia.
Zarazem apeluję o to, by czytelnicy nie mieli wrażenia, że wszyscy torpedujemy przygotowywane rozwiązanie w całości. To nie tak, że nie jest nam potrzebna ustawa o krajowym systemie cyberbezpieczeństwa. Jak najbardziej jest. Szkopuł w tym, by to był akt prawny odpowiadający na współczesne wyzwania. Żyjemy w bardzo dynamicznym świecie, nie mamy pojęcia, gdzie znajdziemy się za pięć lat. Z dużą dozą prawdopodobieństwa można jednak powiedzieć, że będzie rosło znaczenie szeroko pojętej cybernetyki, a pozyskiwanie i wykorzystywanie danych będzie jeszcze istotniejsze w prowadzeniu biznesu. Dlatego patrzę na projekt ustawy trochę na zasadzie straconej szansy. Wierzyłem, że – abstrahując od ryzyka wykluczania dostawców sprzętu z przyczyn niekoniecznie merytorycznych – pójdziemy naprzód w rozwoju myślenia o technologii i cyberbezpieczeństwie. Tymczasem mam wrażenie, że po wejściu w życie nowej ustawy niewiele zmieni się na lepsze.
Jeśli ustawa wejdzie w takim kształcie, jak wygląda jej projekt, dlaczego przeciętnego obywatela powinno to interesować?
RADOSŁAW PŁONKA: Stworzone przepisy stworzą możliwość wykluczania poszczególnych podmiotów z rynku telekomunikacyjnego. Jeżeli więc rządzący skorzystaliby z możliwości, jakie da im ustawa, skutki finansowe odczuje wiele osób. Po pierwsze, na pewno odczują operatorzy. 8 mld zł, o których wspomniał Piotr Mieczkowski, to gigantyczne pieniądze. Wpłynie to na pewno na rozwój usług na rynku telekomunikacyjnym. Po drugie, odczują abonenci. Gospodarka to system naczyń połączonych i pewne jest, że przynajmniej część kosztów przedsiębiorcy będą chcieli przerzucić na konsumentów. Jeśli więc ktoś płaci dziś 80 zł miesięcznie rachunku za abonament telefoniczny, być może będzie płacił 90 zł.
Piotr Mieczkowski Moim zdaniem najpoważniejszą konsekwencją będzie zapóźnienie cyfrowe. Biznes w Polsce będzie miał gorsze warunki do prowadzenia działalności niż w innych państwach UE. W efekcie konsumenci będą mieli ograniczony zasięg sieci 5G, oferta będzie nie tylko droższa, lecz także uboższa. W Polsce nie będą powstawały nowe centra danych. Nie będzie u nas nowoczesnych fabryk, bo dlaczego ktoś miałby je stawiać nad Wisłą, skoro sieć będzie rozwijała się wolniej niż u naszych sąsiadów? Wreszcie, gdyby ziścił się scenariusz konieczności wymiany sprzętu przez operatorów, w zasadzie pewny jest istotny spadek wartości ich akcji. Ucierpią więc na tym ich akcjonariusze.
Wiem, że dla wielu osób kwestie związane z rozwojem telekomunikacji, siecią 5G, dyskusja o zaufanych i niezaufanych dostawcach może wydawać się enigmatyczna. Ale już każdego powinno interesować to, że jakość usług może być gorsza, ceny mogą być wyższe, a dodatkowe 1000 miejsc pracy może powstać nie w Polsce, lecz w Czechach lub na Słowacji.
dr Robert Siwik, radca prawny, adiunkt w Instytucie Nauk Prawnych PAN
Piotr Mieczkowski, dyrektor zarządzający Fundacji Digital Poland
Radosław Płonka, adwokat, ekspert prawny Business Centre Club
dr Jarosław Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji