Pierwszego dnia 2. Wirtualnego Kongresu Przedsiębiorców Telekomunikacyjnych pojawił się temat cyberbezpieczeństwa. W trakcie dyskusji zderzono ustawę o cyberbezpieczeństwie z zagrożeniami, z którymi na co dzień zmagają się operatorzy telekomunikacyjni.
W ramach wprowadzenia do panelu Seweryn Kucharski z firmy SECAWA – pomagającej organizacjom podnosić bezpieczeństwo cybernetyczne – przedstawił prezentacje przybliżającą wszelkie zagadnienia dotyczące cyberbezpieczeństwa. Z jego doświadczeń wynika, że większość ataków hakerskich (90-96 proc) rozpoczyna się od działań phishingowych. A tutaj podstawą jest odpowiednie szkolenie pracowników, bo to czynnik ludzki ma w nich podstawowe znaczenie.
Najważniejsze jest traktowanie wszelkich działań związanych z cyberbezpieczeństwem jako kompleksowych. System jest na tyle mocny, na ile mocne jest jego najsłabsze ogniwo. Niezależnie co nim będzie.
W dodatku jest to stały proces. „Nie możemy tego zrobić raz i mieć odhaczone. To coś, czym trzeba się zajmować codziennie” – powiedział Kucharski.
W panelu, który nastąpił po prezentacji próbowano odpowiedzieć na pytanie „Jak bardzo problemy z cyberbezpieczeństwem Polaków rozwiązuje ustawa o cyberbezpieczeństwie?”
Kucharski zwracał uwagę na wybiórcze traktowanie tematu w ustawie o cyberbezpieczeństwie. Główny nacisk położony jest na sprzęt, wiele przepisów jest z tym związanych i wiele aspektów poruszonych. Jednak zauważył też, że ramy czasowe dotyczące chociażby wymiany sprzętu uznanego za niebezpieczny nie współgrają z wiedzą na temat cyberbezpieczeństwa. 5-7 lat przy kwestiach, które rozstrzygają się w kilka minut czy godzin to sytuacji, która sprawi, że „prawo sobie, a praktyka sobie” – mówi Kucharski.
W obronie ustawy stanął Robert Kośla z Kancelarii Prezesa Rady Ministrów. Stwierdził, że pojawienie się jej w ogóle pozwoliło na pracę nad krajowym systemem cyberbezpieczeństwa, który wcześniej nie istniał. Jest ten krajowym wdrażaniem dyrektywy unijnej. A ta skupia się na identyfikacji sektorów kluczowych i podmiotów świadczących usługi kluczowe. To do niej odnosi się ustawa o cyberbezpieczeństwie.
„W celu szacowania i zarządzania ryzykiem musimy odpowiedzieć sobie na pytani: co chronimy i przed czym chronimy?” – powiedział Kośla. A ustawa ma chronić operatorów krajowego systemu cyberbezpieczeństwa, a nie poszczególnych obywateli.
Łukasz Bazański ,radca prawny itB Legal, poruszył temat MIŚOT-ów i ich znaczenia w ustawie. Chociaż poprzednia wersja ustawy z 2018 wyłączała ich z działań, to jednak obecny projekt stosuje się do przedsiębiorców telekomunikacyjnych bez określenia ich wielkości i zakresu działań.
Tutaj doszło do ostatnio gorącego i szeroko omawianego tematu jakim jest wymiana sprzętu dostawców uznanych za niebezpiecznych. Bazański określi to problemem politycznym i przypominał, że sieci telekomunikacyjne to systemy naczyń połączonych i nie można usunąć sprzętu w jednej części bez konsekwencji dla całości sieci.
Dlatego nawet jeśli wycofywanie sprzętu dotyczyć miałaby jedynie największych operatorów, to w rezultacie dotknie również mniejszych. Przede wszystkim spowoduje to braki w oprogramowaniu, a także braki serwisowania. Dla niektórych MIŚOT-ów może to być koniec ich działalności.
W odpowiedzi na te wszystkie wątpliwości i pytania Robert Kośla stwierdził, że w samej ustawie jest definicja cyberbezpieczeńtwa, którego ustawa dotyczy. I nie chodzi o ogólne pojęcie z tym związane. A zajmowanie się głównie sprzętem wynika z przepisów ogólnoeuropejskich. Do tej pory nie było wymagań dla produktów ICT, a teraz one się pojawiły. Dalsze kroki to będzie analiza produktów i określenie, które wymagają certyfikacji.
Jednoznacznej odpowiedzi na to, jak wprowadzenia ustawy i jej przepisów wpłynie na MIŚOT-y, brak.
ISPortal oraz kwartalnik ICT Professional są patronami medialnymi wydarzenia.
