Jest dużo dezinformacji w związku z ustawą o cyberbezpieczeństwie – rozmowa z Robertem Koślą, dyrektorem Departamentu Cyberbezpieczeństwa w KPRM

543
Robert Kośla
Robert Kośla

Departament Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów zajmuje się szeroko rozumianym bezpieczeństwem cyberprzestrzeni. Do jego głównych zadań należy opracowywanie i wdrażanie dokumentów strategicznych oraz aktów prawnych z tego zakresu. Tutaj opracowywana jest też nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa.

W rankingu bezpieczeństwa cyfrowego Check Point Research z grudnia 2020 roku nasz kraj zajął dopiero 26 pozycję w Europie pod względem bezpieczeństwa cyfrowego. Dlaczego nie jesteśmy w czołówce?

Miejsce w tego typu rankingach zawsze zależeć będzie od tego, jakie kryteria weźmiemy pod uwagę. Jeśli zaś chodzi o przepisy, które u nas funkcjonują, to nie odbiegają one od standardów europejskich. Co więcej, byliśmy jako Polska pomysłodawcą wielu zmian omawianych aktualnie z innymi państwami członkowskimi w ramach prac nad rewizją Dyrektywy NIS (o bezpieczeństwie sieci i informacji) – tzw. NIS2. Ponadto włączamy się w prace nad dokumentami opracowywanymi na zlecenie państw członkowskich przez Europejską Agencję ds. Cyberbezpieczeństwa (European Union Agency for Cybersecurity – ENISA) i wdrażamy wypracowane tam rozwiązania. Problemem mogą być natomiast inwestycje w środki techniczne i organizacyjne związane z procesami szacowania i zarządzania ryzykiem. Gdy jednak weźmiemy pod uwagę dostosowanie procesów do realnie występujących zagrożeń oraz liczbę incydentów, to wcale nie wypadamy tak źle.

Dotyczy to także telekomunikacji?

Tu występuje dodatkowy problem – brak pełnej informacji i statystyk dotyczących incydentów związanych z cyberbezpieczeństwem w telekomunikacji. Ich zgłaszanie po prostu nie było przestrzegane. Rejestrowana na podstawie przepisów Prawa Telekomunikacyjnego była ogólna kategoria naruszeń, które w dużej mierze nie dotyczyły incydentów cyberbezpieczeństwa, a zakłóceń w usługach telekomunikacyjnych, np. spowodowanych przez fizyczne uszkodzenie infrastruktury podczas prac drogowych. Zamierzamy to zmienić w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Czy oznacza to nowy obowiązek raportowy? Nadmierna biurokracja i raportowanie to jedne z największych bolączek operatorów. A może będzie ich więcej?

Nie wprowadzamy nowych obowiązków raportowych, tylko wdrożymy te, które zostały już zdefiniowanie bardziej precyzyjnie w Europejskim Kodeksie Łączności Elektronicznej. Żeby podnosić cyberbezpieczeństwo w sferze komunikacji elektronicznej, musimy dysponować bardziej precyzyjnymi danymi na poziomie krajowym i europejskim – nota bene informacje dotyczące incydentów cyberbezpieczeństwa na poziomie krajowym będą wprowadzane do wspólnego unijnego systemu CIRAS, utrzymywanego przez ENISA.

Nowelizacja tej ustawy ma oczywiście dużo większy zakres, a raportowanie incydentów nie wzbudza takich kontrowersji, jak na przykład kwestia konieczności wymiany sprzętu pochodzącego od konkretnych dostawców. Czy departament wsłuchał się w krytyczne opinie operatorów w tym zakresie?

Tak, kwestia dostawców wysokiego ryzyka była przedmiotem konsultacji. Zaproponowaliśmy zmiany w procesie uznawania dostawców sprzętu i oprogramowania za dostawców wysokiego ryzyka dla krajowego systemu cyberbezpieczeństwa. Przypominam, że środki dotyczące dostawców wysokiego ryzyka zostały uzgodnione przez państwa członkowskie, Komisję Europejską i ENISA w dokumencie 5G Toolbox, opublikowanym w dniu 29 stycznia 2020 r. Niestety wokół tego tematu wprowadzono wiele nieprawdziwych informacji, spekulacji, a nawet poważnej dezinformacji – jak się okazuje, nie tylko w Polsce (w Belgii zespół Graphika Team zidentyfikował skoordynowaną kampanię dezinformacyjną).

Stan wiedzy małych i średnich operatorów jest taki, że Kolegium ds. Cyberbezpieczeństwa będzie miało kompetencje do uznania konkretnego dostawcy sprzętu za stwarzającego ryzyko w zakresie cyberbezpieczeństwa i nakazania wycofania z rynku jego sprzętu. Czy to się zgadza?

Rzeczywiście w projekcie zmian w ustawie zaproponowany został mechanizm wycofania z rynku sprzętu i oprogramowania konkretnego producenta, który został uznany za dostawcę wysokiego ryzyka. Nie dotyczy to jednak każdego operatora ani całego posiadanego przez przedsiębiorców sprzętu z konkretnym logo. Opisywana przez media i przedstawicieli branży sytuacja, w której zapada odgórna decyzja, że określony producent zostaje uznany za niewiarygodnego i w związku z tym dochodzi do wymiany całego sprzętu, łącznie z routerami użytkowników końcowych, jest wręcz absurdalna i byłoby to zupełnie nieuzasadnione działanie.

To samo twierdzą operatorzy i chyba najwyższa pora wyjaśnić sytuację. Kogo więc może dotyczyć konieczność wymiany sprzętu?

W projekcie ustawy wskazano podmioty, które będą zobowiązane do stosowania jej przepisów. Będą to podmioty krajowego systemu cyberbezpieczeństwa; przedsiębiorcy telekomunikacyjni, którzy na podstawie ustawy prawo telekomunikacyjne obowiązani są posiadać aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń (jest ich obecnie około setki); właściciele i posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w ustawie o zarządzaniu kryzysowym; a także przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w ustawie o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców.

Czyli w praktyce dotyczy to setki operatorów?

Tak. Przepisy dotyczące ograniczania stosowania określonych typów produktów, rodzajów usług i konkretnych procesów ICT pochodzących od dostawców wysokiego ryzyka będą dotyczyły około stu przedsiębiorców telekomunikacyjnych. Ponadto wśród operatorów usług kluczowych w sektorze infrastruktura cyfrowa (DNS, IXP, TLD) jest dziewięć podmiotów, których te przepisy będą również dotyczyły.

Jednak infrastruktura nawet najmniejszych lokalnych operatorów ma podstawowe znaczenie dla funkcjonowania usług odbiorców końcowych i w tym sensie możemy ją nazywać krytyczną. Ma też znaczenie gospodarczo-obronne. Czy mimo to nie spełnia kryteriów ustawowych?

Sformułowania użyte w ustawie mają bardzo konkretne definicje i odniesienia. Mieszanie ich z potocznym znaczeniem rodzi nieścisłości.

Robert Kośla

Przejdźmy więc do kolejnego punktu. W jakim zakresie owa setka operatorów posiadających uzgodnione plany działań w sytuacjach szczególnych zagrożeń może być zmuszona do wymiany sprzętu?

Decyzję w tym zakresie wydawał będzie minister właściwy do spraw informatyzacji. Wydanie decyzji będzie poprzedzone formalnym postępowaniem prowadzonym na podstawie Kodeksu postępowania administracyjnego. Postępowanie to ma zweryfikować, czy dostawca określonej kategorii sprzętu lub oprogramowania może być uznany za dostawcę wysokiego ryzyka, który stanowi poważne zagrożenie dla bezpieczeństwa narodowego. W wydanej decyzji minister zobowiązany będzie wskazać dane identyfikujące konkretnego dostawcę oraz, co najważniejsze, typy produktów ICT, rodzaje usług ICT i konkretne procesy ICT pochodzące od tego dostawcy. Czyli będzie to konkretne urządzenie, usługa lub oprogramowanie. Warto przy tym podkreślić, że te same dane będą musiały być wcześniej uwzględnione we wniosku wszczynającym postępowanie.

Czy decyzja ministra wskazująca konkretny sprzęt, usługę lub proces będzie automatycznie dotykać innych operatorów?

Zakres stosowania decyzji będzie uwzględniony w jej treści oraz w uzasadnieniu. Przedmiotem postępowania będzie zastosowanie ich przez konkretnego operatora w konkretny sposób. To, że inny podmiot poza KSC wykorzystuje to samo urządzenie, nie oznacza przecież, że stwarza takie samo zagrożenie dla krajowego systemu cyberbezpieczeństwa. Inne wymogi stawiane przecież będą urządzeniom umieszczonym w pojazdach autonomicznych aktywnie uczestniczących w ruchu miejskim, a inne, gdy chodzi o zapewnienie dostępu do Internetu na potrzeby rozrywki. Decyzje będą w związku z tym precyzyjne i ograniczone podmiotowo.

Jaka będzie w tym procesie rola Kolegium ds. Cyberbezpieczeństwa?

Przewodniczący Kolegium powoła zespół w celu opracowania projektu opinii w sprawie uznania dostawcy za dostawcę wysokiego ryzyka. W skład tego zespołu wejdą przedstawiciele członków Kolegium wskazanych przez Przewodniczącego Kolegium. Następnie każdy członek Kolegium przygotuje stanowisko w obszarze swojej właściwości w oparciu o zakres analizy uwzględniającej zarówno ryzyka o charakterze technicznym, jak i pozatechnicznym. Opinia Kolegium będzie zawierała analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów Unii Europejskiej i Organizacji Traktatu Północnoatlantyckiego. Analiza będzie dotyczyła przepisów prawa regulujących stosunki pomiędzy dostawcą a państwem spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego oraz praktyki stosowania prawa w tym zakresie, a także struktury własnościowej dostawcy sprzętu lub oprogramowania oraz zdolności ingerencji tego państwa w swobodę działalności gospodarczej tego dostawcy. Bardzo istotna będzie również analiza trybu, zakresu i rodzaju powiązań dostawcy sprzętu lub oprogramowania z podmiotami objętymi sankcjami unijnymi w związku ze zwalczaniem cyberataków zagrażających Unii lub jej państwom członkowskim. Z kolei w zakresie aspektów technicznych analiza obejmie zdolności reagowania dostawcy na incydenty oraz wykrywania i usuwania podatności w dostarczanym przez niego sprzęcie lub oprogramowaniu oraz rekomendacje wydane przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa na podstawie badań podatności w urządzeniach i oprogramowaniu tego dostawcy. Pod uwagę przy sporządzaniu opinii będzie brane również bezpieczeństwo łańcucha dostaw urządzeń i oprogramowania tego dostawcy.

Chciałem podkreślić, że przy formułowaniu opinii Kolegium uwzględniane będą certyfikaty w zakresie cyberbezpieczeństwa wydane lub uznane w państwach Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego.

W tym zakresie pierwotne założenia były inne. Zmieniliście je?

Tak, pierwotna wersja zakładała prowadzenie oceny ryzyka dostawców przez Kolegium ds. Cyberbezpieczeństwa i nie było odwołania do transparentnego trybu postępowania administracyjnego. W tym zakresie uwzględniliśmy uwagi. Co więcej, w efekcie zgłoszonych uwag wprowadziliśmy dodatkowe przepisy dotyczące badań i certyfikacji cyberbezpieczeństwa (wdrażające unijne Rozporządzenie „Cybersecurity Act”) oraz rozdział dotyczący operatora sieci komunikacji strategicznej, którego zadaniem będzie zapewnienie bezpiecznych usług telekomunikacyjnych dla realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Niestety i wokół tych propozycji pojawiło się wiele spekulacji i celowej dezinformacji.

W środowisku MiŚOT nie brak było też opinii, że ze względu na strategiczny sojusz z USA polska ustawa jest najbardziej restrykcyjna w Europie. To prawda?

Nie. Rozwiązania wypracowywane w ramach wdrażania przez państwa członkowskie środków uzgodnionych w 5G Toolbox wprowadzane są w podobnym zakresie. Co więcej, proces ten monitoruje Komisja Europejska, a państwa członkowskie wymieniają się informacjami o przygotowywanych i wdrażanych rozwiązaniach legislacyjnych. Samo pojęcie „dostawców wysokiego ryzyka” również jest obecne w rozwiązaniach legislacyjnych innych państw członkowskich. Dalej niż Polska poszła na przykład Szwecja, wskazując wprost, że sieć 5G ze względu na zagrożenia dla bezpieczeństwa narodowego nie będzie budowana z wykorzystaniem komponentów wytwarzanych przez chińskie firmy ZTE i Huawei.

Na konferencjach branżowych przedstawiciele tej firmy głośno zapewniają, że ich sprzęt nie zagraża bezpieczeństwu i wspierają argumenty operatorów. Co o tym sądzić?

Chodzi o duże pieniądze, nic więc dziwnego, że trwa lobbing. Pojawił się przecież nawet postulat porzucenia prac nad ustawą, stale słyszymy też, że rozwiązania powinny być łagodniejsze. Dotyczy to zwłaszcza przepisów związanych z budową sieci 5G.

Jakie rozwiązania zostały przyjęte w tym zakresie?

Przedsiębiorca telekomunikacyjny dostarczający sieć 5G zobowiązany będzie uwzględniać rekomendacje, o których mowa w ustawie o krajowym systemie cyberbezpieczeństwa, i stosować strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej. Ma też zapewnić interoperacyjność usług i podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych.

Uważa pan, że operatorzy dadzą sobie radę z wyzwaniami wskazanymi w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa?

Zdecydowana większość jest już przecież przez nich wypełniana. Poza wspomnianym już obowiązkiem zgłaszania incydentów praktycznie nie pojawią się nowe.

Czy definicje incydentu na gruncie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i definicje przedstawione na gruncie EKŁE i PKE zostaną zdefiniowane w taki sposób, aby były ze sobą spójne?

Tak. Zharmonizowaliśmy już definicje i wymagania w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, ustawie wprowadzającej Prawo Komunikacji Elektronicznej i samej ustawie Prawo komunikacji elektronicznej. Te trzy projekty procedowane są w równoległych procesach legislacyjnych, co jest dużym wysiłkiem organizacyjnym, ale jednocześnie zapewnia większą przejrzystość zakresu przygotowanych zmian w prawie.

Czy planowane jest opracowanie wytycznych bądź instrukcji w celu przygotowania dokumentacji, o której mowa w ustawie Prawo telekomunikacyjne, na wzór wytycznych przygotowanych dla sporządzenia planów działania w sytuacjach szczególnych zagrożeń?

Już teraz mogę powiedzieć, że będą one bazowały na rekomendacjach ENISA i BEREC dla sektora telekomunikacyjnego, m.in. „Guideline on Security Measures under the EECC” i „5G Supplement”, opublikowanych przez ENISA w grudniu 2020 r.

Dziękuję za rozmowę.

Robert Kośla

Robert Kośla – podpułkownik rezerwy, absolwent Wojskowej Akademii Technicznej, obecnie dyrektor Departamentu Cyberbezpieczeństwa w KPRM. Pełnił wcześniej funkcję dyrektora sektora bezpieczeństwa narodowego i obronności na region Europy Środkowej i Wschodniej w Microsoft Europe, gdzie odpowiadał za sektor bezpieczeństwa w ponad 30 krajach. Pracował także w UOP i ABW. Od 1998 r. bierze udział w pracach Komitetu Bezpieczeństwa Teleinformatycznego NATO, NATO Information Assurance Sub-Committee (SC/4) i Komitetu Bezpieczeństwa Teleinformatycznego Rady Unii Europejskiej.

Jest współautorem koncepcji budowy środków ochrony informacji niejawnych oraz krajowego schematu badań i certyfikacji tych środków oraz współautorem dyrektyw i zaleceń technicznych opracowanych przez grupy robocze Komitetu Bezpieczeństwa Teleinformatycznego NATO. W latach 2006–2008, jako zastępca dyrektora ds. systemów SIS i VIS Władzy Wdrażającej Programy Europejskie MSWiA, pełnił funkcję krajowego lidera projektów włączenia organów administracji publicznej do Systemu Informacyjnego Schengen (SIS1+, SIS II) i Systemu Informacji Wizowej (VIS). Ukończył Wydział Cybernetyki Wojskowej Akademii Technicznej w Warszawie na kierunku systemy informatyczne ze specjalizacją: systemy operacyjne czasu rzeczywistego.

Departament Cyberbezpieczeństwa zajmuje się opracowywaniem i wdrażaniem dokumentów strategicznych oraz aktów prawnych z zakresu cyberbezpieczeństwa; realizacją Strategii Cyberbezpieczeństwa RP; opracowaniem i aktualizacją Narodowych Standardów Cyberbezpieczeństwa; przygotowaniem i prowadzeniem programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i budowania świadomości z zakresu cyberbezpieczeństwa; nadzorem nad kwalifikowanymi dostawcami usług zaufania; budową i koordynacją Krajowego Systemu Certyfikacji Cyberbezpieczeństwa oraz prowadzeniem spraw związanych z nadzorem Ministra nad Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym.