Jednym z tematów coraz silniej pobudzających wyobraźnię operatorów konfrontujących się z wprowadzeniem danych do systemu Punktu Informacyjnego ds. Telekomunikacji są kwestie bezpieczeństwa.
– W aktualnej sytuacji geopolitycznej, mówię rzecz jasna o wojnie w Ukrainie, należy postawić tezę, że publikowanie tak szczegółowych danych o infrastrukturze telekomunikacyjnej i udostępnianie ich wszystkim zainteresowanym wpływa na osłabienie bezpieczeństwa państwa – mówi Krzysztof Kacprowicz ze Związku Pracodawców Mediów Elektronicznych i Telekomunikacji Mediakom. – Podczas ostatnich webinarów UKE pytaliśmy o możliwość zastrzeżenia (nieupubliczniania) przynajmniej niektórych elementów infrastruktury operatorów telekomunikacyjnych, ale możliwość taka zachodzi jedynie w przypadku infrastruktury krytycznej. Oznacza to, że mali i średni operatorzy muszą odkryć praktycznie wszystkie swoje sieci.
Poważne zagrożenie
Mówiąc bardziej dosadnie słowami jednego z uczestników dyskusji na grupie DrMiŚOT, dzięki PIT będzie wiadomo do której studzienki telekomunikacyjnej w Wawie wystarczy wlać trochę paliwa i rzucić papieroskiem by wywołać Armageddon.
Warto przy tym podkreślić, że Mediakom i inne izby podnosiły temat bezpieczeństwa w uwagach do projektu zmiany ustawy szerokopasmowej (SIDUSIS). Okazuje się też już teraz, że na podstawie danych zamieszczonych w PIT można pozyskać bardzo dużo interesujących informacji.
– Zaniepokoiło mnie, że umieszczone już na stronie PIT i publicznie dostępne są tak dokładne przebiegi infrastruktury telekomunikacyjnej i energetycznej – zauważa Andrzej Fudała, ekspert ds. telekomunikacji w SayF. – Znalazłem tam zaskakująco dużo danych, z których nie zrobi użytku przeciętny klient dostawcy internetu. Są tam między innymi informacje o położeniu bardzo ważnej jednostki wojskowej, które w moim przekonaniu powinny być tajne.Odłączenie konkretnego, również widocznego na mapie UKE, kabla może potencjalnie odciąć ją od świata. Podobnie urzędy, centrum powiadamiania ratunkowego, szpitale. Cyberatak jest kosztowny, a tutaj wystarczy przysłowiowy wiecheć słomy, który spali połączenia. Sygnalizowałem ten problem w stanowisku Związku Telewizji Kablowych Izba Gospodarcza z siedzibą w Łodzi, niestety w toku prac nad ustawą zostało to praktycznie pominięte.
Warto zauważyć, że piszemy to niedługo po wielu kosztownych atakach na infrastrukturę jednostek samorządu terytorialnego w Polsce i na świecie. Pojawiły się też opinie, że niebawem (po wprowadzeniu wszystkich danych do PIT i ich opublikowaniu) cyberterroryści nie będą musieli inwestować w cyberatak albo skomplikowane uzbrojenie. Wystarczy będzie uderzyć w powszechnie znane punkty związane z infrastrukturą.
Pewne informacje nie powinny być jawne
– Już poprzednie systemy raportowania infrastruktury (SIIS, SIDUSIS) nadmiernie obnażały infrastrukturę techniczną wszystkich operatorów w Polsce – uważa Krzysztof Czuszek, wiceprezes Stowarzyszenia e-Południe. – Dane, których oczekuje od nas ustawodawca, powinny być co najmniej poufne. Obecne podejście to pokazanie światu nie tylko “kabli telekomunikacyjnych”, ale także ich zagęszczeń oraz obiektów i budowli wraz z ich precyzyjną lokalizacją, właścicielem i klasami świadczonych usług. Nie rozumiem pośpiechu i niedbałości we wprowadzaniu tak ważnych regulacji, jak ta dotycząca raportowania do PIT. Wszystko odbyło się na ostatnią chwilę, system nie działa w pełni, a szkolenia UKE były na bardzo niskim poziomie, a do tego zrealizowane zaledwie kilka tygodni przed godziną zero – dodaje.
Ponadto, w nieco szerszym kontekście, można odnieść wrażenie, że z jednej strony ustawodawca stawia przed operatorami wyśrubowane oczekiwania dotyczące cyberbezpieczeństwa w zakresie sprzętu (ustawa o KSC), a z drugiej strony z nonszalancją podchodzi do danych niezwykle istotnych dla bezpieczeństwa telekomunikacyjnego.
– Należy zadać publicznie pytanie o to, czy te rozwiązania były konsultowane z Agencją Bezpieczeństwa Wewnętrznego albo choćby z twórcami ustawy o krajowym systemie cyberbezpieczeństwa – uważa Marcin Kuczera, wiceprezes zarządu spółki Leon.
Operatorzy podnoszą też argument, że wykazują w raportach lokalizacje obiektów energetycznych, ciepłowniczych, zaopatrzenia w wodę, transportowych, ochrony zdrowia, ale także i sieci i obiektów specjalnego znaczenia. Pokazują, gdzie przebiegają kable związane z monitoringiem, a także sieci strategiczne Exatel, NASK, PERN czy MON.
– Zgodzę się z tym, że rejestry powinny istnieć, natomiast krąg osób, które mają dostęp do tych danych, powinien być ograniczony – mówi Tomasz Śląski ze spółki Netronik. – Przedstawiciele administracji publicznej, służb bezpieczeństwa, być może także operatorzy, ale tylko w konkretnych celach i po weryfikacji. Nie można też zapominać, że część infrastruktury, także tej stworzonej przez małych i średnich operatorów, ma charakter niejawny. Informacje o niej powinny być przekazywane jedynie osobom, które posiadają odpowiedni certyfikat dostępu.
