Regulator rynku w Finlandii ogranicza kontrolę do rdzenia sieci telekomunikacyjnej. Polska ma ostrzejsze podejście.
Fińska Agencja Transportu i Komunikacji (Traficom) zdecydowała właśnie, że radiowa część sieci komórkowej piątej generacji (stacje bazowe) nie jest elementem krytycznym z punktu widzenia cyberbezpieczeństwa. Nie będą jej więc dotyczyły przepisy umożliwiające usuwanie z infrastruktury sprzętu zagrażającego bezpieczeństwu narodowemu. Inne podejście prezentuje Polska, gdzie projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który ma wkrótce zostać przyjęty przez rząd, kwalifikuje funkcje radiowe jako krytyczne.
Eksperci są w tej sprawie podzieleni. ‒ Z inżynieryjnego punktu widzenia krytyczny jest tylko szkielet sieci – mówi Piotr Mieczkowski, dyrektor zarządzający fundacji Digital Poland. ‒ Jeśli ktoś chce podsłuchiwać rozmowy, wpina się w rdzeń sieci, a nie sto tysięcy stacji bazowych – uzasadnia. ‒ Szczególnie w sieci 5G, gdzie komunikacja między częścią radiową a rdzeniem jest szyfrowana, więc dostęp do tej pierwszej nic nie da. Opowieści o tym, jakoby routery nas podsłuchiwały i uznawanie sieci radiowej za krytyczną to wojna handlowa – dodaje.
Także Centrum Analiz Stowarzyszenia KoLiber w raporcie poświęconym 5G zaznacza, że w sieci radiowej nie ma tak dużego zagrożenia jak w rdzeniu, gdyż jej stacje obsługują ograniczony obszar, więc opanowanie ewentualnego incydentu dotyczącego cyberbezpieczeństwa jest łatwiejsze. „Rozszerzenie planowanych restrykcyjnych ocen ryzyka na elementy tworzące sieć RAN wydaje się rozwiązaniem zbyt daleko idącym” – stwierdzają autorzy raportu.
Innego zdania jest dr Jacek Falkiewicz z Ericssona. ‒ Zarówno część rdzeniową, jak i radiową część dostępową sieci 5G należy uznać za krytyczne – uważa. Argumentuje, że ten, kto kontroluje sieć radiową, może przejąć dane, jakie użytkownicy wysyłają do stacji bazowych i odbierają od nich. ‒ Ponadto standard 3GPP (międzynarodowe normy sieci komórkowych – red.) nie przewiduje specjalnych reguł separacji sieci rdzeniowej od radiowej – uzasadnia Falkiewicz. ‒ To pozwala na fizyczne i wirtualne pokrywanie się funkcji części rdzeniowej i radiowej we wdrożonych sieciach – wskazuje. Rozgraniczenie sieci rdzeniowej i radiowej utrudniają też współczesne trendy technologiczne i specyficzne zastosowania 5G wymagające minimalnego opóźnienia (np. autonomiczne pojazdy).
Kolejny powód, by wszystkie elementy sieci 5G traktować równoprawnie, podaje Izabela Albrycht, prezes Instytutu Kościuszki: ‒ Część radiowa zawiera oprogramowanie, które jest aktualizowane, co oznacza, że nawet jeśli dokonamy oceny poziomu bezpieczeństwa dzisiaj, to nie ma gwarancji, jakie zmiany może przynieść aktualizacja – stwierdza. A to rodzi ryzyko nieuprawnionych działań. ‒ Część radiowa jest immanentnie związana z częścią dostępową sieci, są to zintegrowane moduły. To wymaga szczególnej dbałości o bezpieczeństwo procesowe i namysłu „krytycznego” nad ujęciem specyfiki takiej architektury i wynikającego z niej ryzyka w ramy regulacyjne – dodaje.
Kancelaria premiera nie odpowiedziała nam, jakie jest aktualne stanowisko autorów KSC w tej kwestii. Nic nie wskazuje jednak, by miało się zmienić od kwietnia, gdy dyrektor departamentu cyberbezpieczeństwa w KPRM Robert Kośla mówił, że nieuznawanie radiowej części sieci za element krytyczny może wynikać „z niezrozumienia architektury sieci 5G”.
Rozwiązanie przyjęte w polskim projekcie – jako restrykcyjne i asekuracyjne ‒ od początku krytykuje Huawei. W połączeniu z nietechnicznymi kryteriami oceny ryzyka dostawców (jak kraj pochodzenia danej firmy) dla chińskiego producenta oznacza to groźbę wykluczenia z naszego rynku.
