Huawei mógł podsłuchiwać rozmowy najważniejszych holenderskich polityków. Ale zaprzecza, by to robił
– Nie stosujemy outsourcingu zarządzania siecią i wszystko pozostaje w ramach Grupy Polsat – informuje Arkadiusz Majewski z Plusa. Podobne deklaracje składają pozostali polscy operatorzy mający własną infrastrukturę: Play, Orange i T-Mobile. To oznacza, że w Polsce wybuch afery podobnej do tej, jaka ma właśnie miejsce w Holandii, jest mało prawdopodobny z braku kluczowego elementu zagrożenia.
Jak podał w sobotę dziennik „De Volkskrant” – chiński koncern Huawei mógł podsłuchiwać rozmowy, łącznie z połączeniami premiera i ministrów. Było to możliwe dzięki powierzeniu Huaweiowi zarządzania rdzeniem sieci przez największego niderlandzkiego operatora KPN.
Gazeta powołała się na tajny raport firmy Capgemini z 2010 r. Zlecił go sam telekom, ostrzegany przez holenderski wywiad o ryzyku działań szpiegowskich ze strony chińskiej firmy. Analiza wykazała, że Huawei miał „nieautoryzowany i niekontrolowany” dostęp do sieci. Nie wiadomo, czy i jak z tego skorzystał. Operator zaprzecza, jakoby rozmowy były podsłuchiwane.
Doktor Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa, zwraca uwagę, że zlecenie firmie zewnętrznej kontroli nad infrastrukturą pozwala telekomom obniżyć koszty. – Ceną jest przekazanie kontroli i nadzoru nad własną siecią, czyli także bezpieczeństwa. Zwłaszcza gdy udostępnia się rdzeń sieci, jak to miało mieć miejsce w KPN. Takie zmniejszanie kosztów może nieść wiele ryzyka cyberbezpieczeństwa i bezpieczeństwa informacji – stwierdza Olejnik. – Każdy chciałby płacić mniej, ale za jaką cenę? – zastanawia się.
Niderlandzki oddział Huawei oświadczył, że jego pracownicy „nie mieli nieautoryzowanego dostępu do sieci” KPN ani pochodzących z niej danych. „Zarzut, że premier mógł zostać przez nas podsłuchany, jest całkowicie niewiarygodny” – podkreślił w komunikacie dyrektor operacyjny firmy. Huawei zapewnił też, że przez 15 lat działalności w Holandii nigdy nie był pociągnięty do odpowiedzialności „za niedozwolone działania”, mimo że raport o KPN „najwyraźniej znajdował się w posiadaniu służb wywiadowczych od ponad 10 lat”.
Chiński producent ma silną pozycję także na polskim rynku, choć skupia się tu na radiowej części sieci. – Udział naszego sprzętu w polskich sieciach rdzeniowych jest śladowy – informuje Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huaweiu.
Czy jesteśmy przygotowani na ewentualne zagrożenie?
– Operatorzy powinni budować swe sieci i przydzielać dostęp tak, by była zapewniona odpowiednia segregacja. W przypadku KPN najwyraźniej poprzez rdzeń można było mieć wgląd w warstwę „legalnego przechwytu komunikacji”, czyli standardowej możliwości podsłuchu komunikacji lub nawet poznania tego, jakie numery są na policyjnych podsłuchach. Takie techniczne możliwości są wbudowane w sieci telekomunikacyjne domyślnie i zwykle stosuje się je np. po uzyskaniu odpowiedniego nakazu sądowego – analizuje Łukasz Olejnik.
Zwiększenie poziomu bezpieczeństwa sieci – szczególnie 5G – jest celem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nad którą pracuje resort cyfryzacji (wchodzący w skład kancelarii premiera). Projekt KSC obejmuje m.in. kryteria oceny ryzyka, jakie mogą stanowić dostawcy sprzętu sieciowego i możliwość nakazania telekomom wycofania z infrastruktury urządzeń od firm uznanych za niebezpieczne.
– Taki nakaz może i jest w stanie zwiększyć poziom kontroli nad bezpieczeństwem, ale nie rozwiązuje całego problemu, bo tu chodzi nie tylko o sprzęt, lecz także o sposób jego użycia. Zapewne chcielibyśmy też wierzyć, że kontrolę i ocenę tak wrażliwej warstwy komunikacji operator wykonuje bez nakazu ustawowego – ocenia Łukasz Olejnik.
Casus z kraju tulipanów dowodzi, jak trudno jest utrzymać cyberbezpieczeństwo. – Użytkownicy mogą się przed takim ryzykiem bronić. Można to zrobić stosunkowo łatwo, przenosząc wrażliwą komunikację na szyfrowane komunikatory, które szyfrują w warstwie wyższej niż infrastruktura telekomunikacji, między smartfonami – radzi Olejnik.
KPN w 2019 r. zdecydował, że kluczowych elementów sieci 5G nie kupi od Huaweia i rok później wybrał na dostawcę szwedzkiego Ericssona. Ale wczoraj „De Volkskrant”, powołując się na źródła w KPN, podał, że Huawei wciąż bierze udział w zarządzaniu siecią 4G – choć telekom zapewnia, że wdrożył plan ulepszeń i nie zleca tych usług na zewnątrz. „Sprzęt Huawei działa w taki sposób, że część zarządzania zawsze musi być z Huawei” – twierdzi źródło gazety.
U nas jest śladowy udział sprzętu Huawei w sieciach rdzeniowych
Nowelizacja KSC zwiększy skuteczność systemu. Wydział Promocji Polityki Cyfrowej Kancelaria Prezesa Rady Ministrów
Analiza ryzyk dla cyberbezpieczeństwa w sieciach telekomunikacyjnych obejmuje trzy podstawowe kwestie – dostępność, integralność i poufność. Żaden z operatorów telekomunikacyjnych na świecie, w tym również i w Polsce, nie zapewnia 100% ochrony przed wszystkimi ryzykami. Środki ochrony zawarte w regulacjach unijnych, ustawach i rozporządzeniach mają te ryzyka mitygować. W Polsce te kwestie reguluje Prawo Telekomunikacyjne oraz Rozporządzenie Ministra Cyfryzacji z dnia 22 czerwca 2021 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług – weszło ono w życie z końcem grudnia 2020 r. Przepisy te dotyczą bezpieczeństwa sieci i usług operatorów telekomunikacyjnych. Dodatkową kwestią jest zapewnienie poufności rozmów niejawnych, w tym prowadzonych przez najważniejsze osoby w państwie. Wymagania w tym zakresie zawiera rozdział 8 ustawy o ochronie informacji niejawnych – bezpieczeństwo teleinformatyczne. W skrócie przetwarzanie informacji niejawnych wymaga stosowania certyfikowanych rozwiązań kryptograficznych, a system i sieć, która ma przetwarzać informacje niejawne podlega formalnej akredytacji prowadzonej przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego. Sieci przeznaczone do przetwarzania informacji niejawnych są separowane od sieci publicznych i poziom tej separacji jest dostosowany do klauzuli informacji. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma zwiększyć skuteczność tego systemu oraz m.in rozszerzyć jego zasięg na sektor telekomunikacji / przedsiębiorców komunikacji elektronicznej. Jedną z głównych przesłanek nowelizacji jest realizacja rekomendacji Komisji Europejskiej z 26 marca 2019 w sprawie podniesienia cyberbezpieczeństwa w sieciach 5G. W ramach nowelizacji wprowadzone zostaną wymagania cyberbezpieczeństwa zgodne z Europejskim Kodeksem Łączności Elektronicznej, który odwołuje się m.in <http://m.in> . do procesów zgłaszania incydentów zdefiniowanych w Dyrektywie NIS (dotyczącej bezpieczeństwa sieci i informacji). Ponadto wprowadzone zostaną podstawy do budowy krajowego systemu certyfikacji cyberbezpieczeństwa, którym będą objęte również rozwiązania stosowane w komunikacji elektronicznej. Wydział Promocji Polityki Cyfrowej Kancelaria Prezesa Rady Ministrów
