Po przeczytaniu artykułu na stronie Ministerstwa Cyfryzacji powtórzę to co już mówiłem wcześniej po styczniowej komisji sejmowej – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest potrzebna. Pomijając sektor telekomunikacyjny, który w większym niż mniejszym stopniu dba o bezpieczeństwo, to zasadniczo, biorąc pod uwagę cały nasz kraj, brak dobrych rozwiązań szkodzi. Rynek cyber został zepsuty.
Wszystko co jest cyber jest dziś dwa razy droższe. Lobby dostawców sprzętu stara się przepychać swoje racje. Efektem jest przepalanie w przetargach publicznych pieniędzy. Brakuje świadomości. Cóż może o bezpieczeństwie powiedzieć włodarz małej gminy? Przecież to nie jest jego dziedzina. Ale skoro są do wzięcia pieniądze z programów rządowych, to nie można nie skorzystać. Następnie kupuję. Nie weryfikuję. W ten sposób cyberodpornosć naszego kraju realnie spada. Gdy wszystko się rozwija – stoimy w miejscu. Dzieje się tak właśnie z uwagi na brak weryfikacji sprzętu, rozwiązań, poprawności wdrożeń. Nowelizacja jest więc potrzebna.
Jak wygląda w obecnym kształcie to inna sprawa. Nie jest doskonała. Ma jednak wiele pożytecznych zapisów. Ostatnia kością niezgody są artykuły z grupy 67, dotyczące tzw. dostawcy wysokiego ryzyka. W mojej opinii w obecnej rzeczywistości te artykuły powinny zniknąć.
Przez lata postulowania wycofania tego zapisu, zrozumiałem, że jest to decyzja polityczna, nie związana z bezpieczeństwem. Ten ostatni argument już mnie nie przekonuje. Wykluczenie vendora z rynku to cios w gospodarkę danego kraju. Z bezpieczeństwem zaś, przy dzisiejszych zasadach rebrandingu i międzynarodowej swobody gospodarczej, nie ma to w mojej opinii nic wspólnego. Mamy wokół rozliczne przykłady polskich firm, które posklejały swój produkt z elementów groźnych, a przynajmniej podejrzanych, a następnie sprzedają go jako wyprodukowany przez firmę z państwa UE i NATO.
Mamy przykłady firm, które posklejały produkt z podejrzanych elementów, a następnie sprzedają go, jako wyprodukowany W UE
Ministerstwo Cyfryzacji w publikowanych materiałach używa mocnych słów, takich jak dezinformacja. To według mnie niepotrzebne i krzywdzące. Nie jest tak aż tak różowo, jak przedstawia to administracja. Dlaczego? Bo jest we wskazanej w nowelizacji ustawy wiele niepokojących elementów, a skutek (uznanie za dostawcę wysokiego ryzyka) ostateczny.
Przyjrzyjmy się krytycznie załączonej grafice, która jest prawdziwą ścieżką pokazaną przez ministerstwo:
Po pierwsze: nie można pisać, że kierowanie się możliwością wykorzystania przepisu nie jest argumentem. Jeśli do ustawy ktoś wprowadza zapis to daje możliwość z jego korzystania, a nikt mi nie zagwarantuje, że kolejni politycy będą na tyle odpowiedzialni wobec tego kraju, że nie skorzystają z możliwości, skoro ona istnieje.
Po wtóre: w ścieżce tej jest odwołanie do KPA, a stroną postępowania jest vendor/dystrybutor (nie jego konsumenci). Vendor nie będzie miał wglądu w całą sprawę (jak to zwyczajowo jest w KPA), bo przecież materiały w dużej mierze będą niejawne. Będzie mógł zgłosić protest, ale nie dowie się dlaczego konkretny model urządzenia trafia na czarną listę.
Idąc dalej: do postępowania może przystąpić podmiot telekomunikacyjny, ale tylko taki, którego przychód wynosi 20 tys. krotność średniego wynagrodzenia. Czyli? Tylko czterech największych. Podmioty, których to najmniej dotyczy. Jeśli ktoś wykorzysta ten zapis, będzie on dotyczył podmiotów uzyskujących przychód 10 mln zł wzwyż. To jest nierówność oraz pole do nadużyć. Reszta może na podstawie Biuletynu wysyłać pisma w trybie wysłuchania. Wydanie dla podmiotu z przychodem 10 mln zł sumy 2 mln to dużo. A wymieniając OLT musimy wymieniać ONT również.
To, że ta decyzja o uznaniu za dostawcę wysokiego ryzyka nie jest związana z bezpieczeństwem pokazuje także projekt Cybersecurity Act 2 w randze rozporządzenia. Tam dostawcą wysokiego ryzyka może zostać cały kraj pochodzenia sprzętu, a w kryteriach są również kryteria polityczne. I taka jest prawda o tym zapisie: bierze on pod uwagę wiele aspektów, ale niezbyt sprawiedliwie traktuje rynek.
W proponowanej obecnie wersji przepisów państwo może powiedzieć: uznaliśmy firmę X i jej urządzenie za dostawcę wysokiego ryzyka, nie możemy powiedzieć dlaczego, bo to tajne, ale musisz je wymienić i za to zapłacić. W Stanach Zjednoczonych państwo po wprowadzeniu zakazu stosowania chińskiego sprzętu przynajmniej płaci za jego wymianę przedsiębiorcom. U nas przepis mówi, że robimy to na własny koszt. To niesprawiedliwość.
W Stanach Zjednoczonych państwo po wprowadzeniu zakazu stosowania chińskiego sprzętu przynajmniej płaci za jego wymianę przedsiębiorcom
CA2, z uwagi na różne przesłanki, w tym polityczne, dopuszcza wprowadzenie dywersyfikacji sprzętu z kraju dostawcy wysokiego ryzyka. U nas wpada się na listę, jak do czarnej dziury – na zawsze. Z rynku mają zniknąć urządzenia, brakuje w zasadzie możliwości skutecznego odwołania (bo dokumentacja w dużej części będzie posiadała klauzule z ustawy o informacjach niejawnych).
Wierzę, że ten zapis nie zostanie wykorzystany przez władzę. Teraz. Biorąc jednak pod uwagę zaostrzenie języka, które również obserwowałem na komisji sejmowej po stronie politycznych przedstawicieli rządu (używanie wielkich słów, takich jak właśnie dezinformacja w kierunku strony społecznej i publikowanie artykułów w ostrym tonie) moje obawy budzą się na nowo. Sprawie to z pewnością nie pomaga. Zmiana stylu wywołuje reakcję. Przypomnijmy więc, że to władza jest dla nas, a nie my dla władzy. I to my wybieramy ją, a nie odwrotnie.
Czytaj także:
