Trudno, byśmy wnioskowali do tego, który nas atakuje, żeby uprzejmie wyraził zgodę, by go wyłączono. O Krajowym Systemie Cyberbezpieczeństwa mówi Marek Zagórski, sekretarz stanu w Kancelarii Prezesa Rady Ministrów.
Prezydent Andrzej Duda na szczycie 17+1 powiedział , że Polska chce szerszego otwarcia rynku chińskiego na nasze towary. Z drugiej strony projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) zamyka polski rynek telekomunikacyjny przed chińskimi dostawcami.
Projekt nie odnosi się bezpośrednio do żadnego podmiotu i nikogo nie wyklucza. Ustanawia tylko procedurę, w której możemy uznać firmę za dostawcę wysokiego ryzyka.
Łatwo będzie to można zrobić wobec chińskiego dostawcy, np. wykorzystując kryterium powiązania z państwem spoza UE i NATO.
Za dostawcę wysokiego ryzyka będzie można uznać każdą firmę. Pamiętajmy też o kontekście. Po pierwsze, kwestie zagrożenia ze strony różnych podmiotów – w tym chińskich – były podnoszone w ramach NATO i Komisji Europejskiej. Dlatego też powstał toolbox 5G (przygotowany przez KE zestaw narzędzi do zapewnienia bezpieczeństwa sieci – red.). Po drugie, nie jest tak, że z jednej strony mamy całkowicie otwarte rynki chińskie, a z drugiej blokowany obszar UE. Każde państwo prowadzi politykę, która chroni poszczególne branże i sektory jego gospodarki, np. polskie produkty rolne nie mogą w dowolny sposób wchodzić na rynek chiński.
Czy to znaczy, że zapisy w KSC, które mogą posłużyć do zablokowania Huaweia, są naszym argumentem przetargowym, żeby Chińczycy kupowali polskie mleko?
Nie, kwestie bezpieczeństwa nie są argumentem przetargowym. Musimy się przyzwyczaić do tego, że sieci telekomunikacyjne – a zwłaszcza sieć 5G – to nie jest tylko obszar swobodnej działalności gospodarczej, lecz także sfera istotna dla bezpieczeństwa państwa. To, że aktywność państwa, przedsiębiorców i obywateli przeniosła się do internetu, powoduje potrzebę silniejszego zabezpieczenia sieci. I tu nie ma pola do handlowania. Bezpieczeństwo ma najwyższy priorytet i sięgniemy po wszelkie konieczne narzędzia, by je zapewnić.
Przyjrzyjmy się tym narzędziom. Intryguje mnie, dlaczego przestał pan dbać o prawa człowieka – ich przestrzeganie służyło do oceny ryzyka w poprzedniej wersji projektu, a teraz już nie.
Bo nie jest to najważniejsze kryterium w kontekście cyberbezpieczeństwa. Jest istotne, bo przestrzeganie praw człowieka jest jednym z filarów demokratycznego państwa, dlatego je wtedy wpisaliśmy, ale nie jest kluczowe. Wzięliśmy pod uwagę kontrowersje, jakie to wzbudziło. Chcieliśmy uniknąć zarzutu, że bazujemy na ocenach politycznych. Zamierzamy w miarę możliwości wprowadzić kryteria, które można zważyć. Inna sprawa, że uderz w stół, a nożyce się odezwą. Jak ktoś czuje się pod tym względem w porządku, nie powinien mieć z tym warunkiem problemu. Ale odłożyliśmy to na bok, by nie kierować dyskusji w stronę polityczną.
Dlaczego nie pozostać przy kryteriach technicznych?
W naszej ustawie, a także w toolboxie KE, występują dwie kwestie: jedną jest ocena sprzętu i oprogramowania, a drugą – ocena dostawcy.
Można być bezpiecznym dostawcą i oferować niebezpieczny sprzęt?
Może się tak zdarzyć, bo błędy mogą przytrafić się każdemu. A ponadto może dojść do ataku i np. do zhakowania i zainfekowania oprogramowania. Natomiast co do zasady inaczej należy podejść do oceny konkretnego produktu, a inaczej do oceny dostawcy. I do oceny dostawcy potrzebujemy innych kryteriów niż w odniesieniu do produktów. Stąd w ustawie takie zapisy, jak pochodzenie z państwa należącego do naszego kręgu zaufania: UE i NATO.
Bardziej od zmian w ocenie dostawców branżę zelektryzowało to, co do KSC dopisaliście, czyli rozdział pt. „Operator sieci komunikacji strategicznej”. Podobny pomysł z początku XXI w. przewidywał powołanie Krajowego Operatora Telekomunikacyjnego, KOT-a. W 2007 r. wrócił do niego premier Kaczyński. A teraz wy.
Mamy w Polsce wiele sieci łączności wykorzystywanych przez służby państwowe. Te sieci są na różnym poziomie rozwoju, działają w różnych systemach – są to przede wszystkim sieci światłowodowe, ale nie tylko – i od wielu lat trwała dyskusja, jak najefektywniej zapewnić im spójny rozwój i wysoki poziom bezpieczeństwa. Dlatego pojawiła się koncepcja operatora sieci komunikacji strategicznej, który wbrew temu, co mówią operatorzy, nie jest żadnym zagrożeniem dla rynku detalicznego. Jego celem jest zajęcie się łącznością specjalną w sposób uporządkowany.
Czyj to pomysł, żeby taki podmiot powołać?
Nie jest to nowa koncepcja. Przymierzaliśmy się do tego od pewnego czasu. Prace trwały w Ministerstwie Obrony Narodowej, potem w Ministerstwie Aktywów Państwowych. Stwierdziliśmy, że to się ściśle wiąże z cyberbezpieczeństwem, więc skoro nowelizujemy ustawę KSC, dobrze byłoby to uwzględnić. Nie mamy chęci ani potrzeby, żeby wkraczać na rynek komercyjny zarezerwowany dla podmiotów, z którymi dobrze współpracujemy, czego przykładem jest #Polskie5G – projekt wspólnej inwestycji w 5G na częstotliwości 700 MHz.
Tak pan mówi, ale w ustawie nie ma zapisu, że państwowy operator nie będzie konkurował na rynku detalicznym.
Jest napisane, do czego zostanie powołany: do realizacji zadań zleconych mu przez konkretne instytucje wymienione w ustawie. Więc dziwię się obawom operatorów i ich zarzutom. Wygląda na to, że oczekiwaliby zapisu: nie będzie wchodził w paradę operatorom komercyjnym. To dosyć absurdalne, bo i tak już wyraźnie wynika to z projektu ustawy i zaprojektowanych celów i zadań operatora sieci komunikacji strategicznej.
Według Rządowego Centrum Legislacji tych przepisów nie powinno być w KSC, bo „nie odnoszą się do obowiązków wynikających z krajowego systemu cyberbezpieczeństwa”.
Sieci łączności specjalnej – np. sieć GOVNET – są jak najbardziej elementem krajowego systemu cyberbezpieczeństwa. To, że różne podmioty administracji publicznej składają swoje uwagi w procesie uzgodnień, jest naturalne i normalne. Czasami trzeba im wyjaśnić sens danego przepisu. Prawie zawsze dochodzimy jednak do konsensusu.
KOT dostanie rezerwację częstotliwości 700 MHz na 5G?
Nie, bo to dwie różne rzeczy. Czym innym jest operator sieci komunikacji strategicznej, który ma zapewniać bezpieczną łączność specjalną, a czym innym operator hurtowy. Do projektu ustawy o KSC wprowadziliśmy zapis, że prezes UKE może zapewnić częstotliwości operatorowi hurtowemu – i zrobiliśmy to z myślą o projekcie #Polskie5G. Jego celem jest zbudowanie sieci piątej generacji w paśmie 700 MHz jak najszybciej i jak najtaniej. Przy takim trybie udzielenia rezerwacji operatorzy unikną nakładów, z jakimi wiązałby się przetarg.
Z drugiej strony bez przetargu na częstotliwości budżet państwa mniej zarobi.
Tu musimy zważyć, na czym nam bardziej zależy: na doraźnym zasileniu budżetu państwa czy na zbudowaniu nowoczesnej sieci stymulującej rozwój gospodarczy kraju na wiele lat.
Najlepiej mieć jedno i drugie: zastrzyk gotówki z aukcji i długofalowy rozwój.
Dlatego pasmo C będziemy sprzedawać.
Kiedy i za ile?
Nie chciałbym wchodzić w kompetencje prezesa UKE. Myślę, że cena wywoławcza nie będzie dla operatorów niespodzianką.
Nie ma parcia na wysokie wpływy z aukcji? Tak bardzo potrzeba pieniędzy, że powstał projekt podwójnego opodatkowania mediów.
W takich sytuacjach zawsze trzeba wyważyć wszystkie racje. Z jednej strony mamy potrzeby budżetu, ale z drugiej pandemia podkreśliła znaczenie dobrej łączności. Dlatego zwiększymy zobowiązania pokryciowe dla operatów, ale będą rekompensaty za zrealizowanie planów inwestycyjnych.
Czyli kto szybciej zbuduje sieć, ten mniej zapłaci za częstotliwości?
W uproszczeniu tak. Możemy np. uzależnić wysokość opłaty rocznej od postępów inwestycji.
A kiedy będzie aukcja?
Konsultacje aukcji zaczną się – tak deklaruje prezes UKE – gdy ustawa KSC zostanie przyjęta przez rząd.
Dużo jeszcze brakuje?
Chciałbym, żeby stało się to jeszcze w lutym. Najpóźniej na początku marca.
Zrobimy jak Szwedzi, którzy w warunkach aukcji wykluczyli Huaweia?
Temperatura dyskusji na ten temat sugeruje, jakbyśmy już smażyli dostawców na patelni. Tymczasem przy ogłaszaniu projektu dokumentacji aukcyjnej nie będą jeszcze obowiązywały przepisy KSC, więc nie będzie podstaw prawnych do wykluczania kogokolwiek. Będą obowiązywały wymagania w zakresie bezpieczeństwa sieci zaaprobowane przez Kolegium ds. Cyberbezpieczeństwa.
Będziecie jeszcze poprawiać projekt KSC?
Tak, w ramach uzgodnień międzyresortowych. Spotkałem się też z operatorami – i po tych rozmowach również będą pewne korekty, choć bez rewolucyjnych zmian.
Więc KOT nie zniknie?
Wolę pozostać przy określeniu operator sieci komunikacji strategicznej. Ten przepis nie zniknie, ale nie wprowadzimy też narodowego operatora do wszystkiego.
Gdy przepisy KSC zaczną obowiązywać, w mediach społecznościowych będzie można zwoływać się na protesty uliczne? Bo ustawa pozwoli odcinać adresy IP i strony internetowe „poleceniem zabezpieczającym”, wydawanym przez ministra ds. informatyzacji.
Oczywiście, że tak. Nie zablokujemy TikToka i nie będziemy wyłączać ludziom routerów. Ustawa odnosi się do podmiotów krajowego systemu cyberbezpieczeństwa (m.in. administracji publicznej, banków, szpitali).
Ale pozwoli odłączać wybrane adresy IP czy strony internetowe, np. Facebook.com.
Tylko w trakcie incydentu krytycznego. Można sobie oczywiście wyobrazić, że wskutek ataku hakerskiego jakaś popularna strona stanie się źródłem takiego incydentu – i dostęp do niej zostanie zablokowany. Ale, po pierwsze, to wręcz nieprawdopodobne, a po drugie, taka decyzja zostałaby podjęta jedynie w sytuacji zagrożenia funkcjonowania państwa.
Te zapisy budzą większe emocje niż w poprzedniej wersji KSC, bo zaszła w nich groźna zmiana: polecenie o wyłączeniu będzie można wydać bez uzasadnienia, „jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”. Tak szerokie kryteria zmieszczą wszystko.
Nie jest groźniej – wręcz przeciwnie. Zacznijmy od tego, że ten przepis został zmodyfikowany w taki sposób, iż polecenie zabezpieczające będzie miało charakter decyzji administracyjnej. Musi ona być jednak skuteczna, bo trudno, byśmy wnioskowali do tego, który nas atakuje, żeby uprzejmie wyraził zgodę, by go wyłączono. Musimy mieć narzędzia, żeby w wyjątkowych okolicznościach szybko reagować. Stąd natychmiastowe wejście w życie takiej decyzji i możliwość odstąpienia od publikacji uzasadnienia w części zawierającej informacje niejawne, ale cały czas z możliwością odwołania się od tej decyzji do sądu.
Oprócz krytyki chciałbym usłyszeć propozycję takiego rozwiązania, które pozwoli nam odpowiadać na zagrożenia – a jednocześnie zawęzi potencjalne pole do nadużyć, którego stworzenie nam się zarzuca. Nie dostałem takiej propozycji.
Może teraz by pan dostał, ale nie zrobiliście konsultacji.
Akurat w tej sprawie było kilka miesięcy na zgłaszanie sugestii. Zapewniam jednak: w tym przepisie nie ma drugiego dna.
Niepokój, jaki budzą przepisy KSC, wynika też z kontekstu – w tym samym czasie resort sprawiedliwości przedstawił projekt ustawy o wolności słowa w internecie, która grozi cenzurą.
Raczej wzmacnia pozycję użytkownika internetu wobec największych platform społecznościowych, które dziś uzurpują sobie prawo decydowania, co można publikować, a czego nie – i nie odpowiadają za to przed demokratycznymi instytucjami.
Ma to zagwarantować unijny akt o usługach cyfrowych (DSA). Po co go dublować przepisami krajowymi?
Bardzo intensywnie pracowaliśmy nad kształtem DSA, wiele naszych propozycji zostało uwzględnionych, ale nadal pozycja platform względem użytkowników wydaje się nam zbyt duża. W najbliższych dniach zgłosimy kolejne, skupiając się właśnie na prawach użytkowników, transparentności działania platform, zapewnieniu właściwych procedur odwoławczych, w tym ścieżki sądowej. I choć DSA musi być podstawą, to – tak jak chociażby w przypadku RODO – będą potrzebne przepisy krajowe.
Rozmawiała Elżbieta Rutkowska
