Bezpieczeństwo cyfrowe, podobnie jak fizyczna ochrona granic, wymaga ścisłej współpracy wielu podmiotów, nie tylko po stronie państwa (odpowiednich służb oraz instytucji), ale również partnerów komercyjnych. Dynamiczny rozwój usług cyfrowych, to wzrost potencjalnych zagrożeń, dlatego potrzebny jest stały przegląd dotychczasowych procedur bezpieczeństwa.
Odpowiedzią na nowe wyzwania w przestrzeni cyfrowej ma być projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), przygotowany przez Ministerstwo Cyfryzacji. W lipcu tego roku, po 3 latach prac nad przepisami, projekt ostatecznie trafił do Sejmu. Zanim posłowie zdecydują o dalszych losach noweli w tej kadencji Sejmu, 11 września w parlamencie odbędzie się debata publiczna z udziałem ekspertów od cyberbezpieczeństwa.
Dokument nakłada szereg nowych obowiązków na przedsiębiorców komunikacji elektronicznej, które wpłyną na przyszły kształt całego rynku. Inaczej niż dotychczas, firmy będą zobowiązane m.in. do szacowania ryzyka wystąpienia sytuacji szczególnego zagrożenia i podejmowania działań minimalizujących. Przedsiębiorca telekomunikacyjny zostanie zobowiązany do szybkiej reakcji i obsługi takiego incydentu. Nowe wymagania dotyczą tak istotnych kwestii, jak: skrócenie terminu raportowania incydentów przez przedsiębiorców komunikacji elektronicznej z 24 godzin do 8 godzin, wymogu posiadania wszystkich zasobów SOC (Security Operations Center) w Polsce czy posiadania przez cały personel SOC poświadczeń bezpieczeństwa.
„Jeżeli dodatkowe, większe niż dotychczas wymagania wobec przedsiębiorstw, przełożą się na adekwatny i realny wzrost poziomu bezpieczeństwa infrastruktury strategicznej państwa, warto realizować taki krok. Zależy nam również na zwiększeniu cyberochrony klientów indywidualnych. Jesteśmy otwarci na dyskusję o szczegółowych rozwiązaniach zaproponowanych w noweli o KSC i rozporządzeniu wykonawczym. Przepisy powinny być jednoznaczne, aby obszar analiz, zakres działań i wymiana informacji w jak najkrótszym czasie, realnie odpowiadały na cyberzagrożenia, nie generując dodatkowych problemów organizacyjnych, komunikacyjnych czy finansowych” – powiedział Krzysztof Dyki, ekspert od cyberbezpieczeństwa i rynku telekomunikacyjnego, prezes ComCERT S.A., poproszony przez redakcję o komentarz do tych propozycji.
Eksperci od usług telekomunikacyjnych zwracają uwagę na to, że przepisy są także mało precyzyjne w przypadku procedury, która ma weryfikować status dostawcy sprzętu i oprogramowania tzw. „wysokiego ryzyka”. Niejednoznaczność regulacji da możliwość uznaniowego wykluczania firm spoza Europy, choć oferujących nowoczesne i sprawdzone rozwiązania, jak w przypadku podmiotów z państw azjatyckich. Jeżeli w przeprowadzonej analizie dostawca urządzeń lub oprogramowania zostanie uznany za podmiot wysokiego ryzyka (HRV), wówczas operatorzy nie będą mogli więcej kupować od takiej firmy sprzętu, a ten już posiadany będą musieli wymienić w ciągu 5 i 7 lat.
„Warto zauważyć, że wykluczenie dotyczy kraju pochodzenia dostawcy, a nie kraju produkcji jego urządzeń. Rodzi to wątpliwości i pytania, ponieważ na tej podstawie można wykluczyć produkty dostawcy z kraju A, zezwalając na produkty dostawcy z kraju B, pomimo tego, że produkty dostawcy z kraju B mogą nawet w całości powstawać w kraju A” – wyjaśnia Krzysztof Dyki, ekspert od cyberbezpieczeństwa.
I dodaje, że choć idea ochrony jest zrozumiała, to wydaje się, że skala przedsięwzięcia związanego z przyszłą wymianą całej infrastruktury na certyfikowaną przez podmioty europejskie, może być ogromna. Szczegółowych analiz w tym zakresie nie ma. Tymczasem koszt inwestycji technologicznych, przy ograniczaniu konkurencji, może być zbyt dużym ryzykiem ekonomicznym – w szczególności dla polskich podmiotów z sektora MŚP.
11 września w Sejmie odbędzie się debata w formule wysłuchania publicznego. Jeśli posłowie zdecydują o wniesieniu uwag do projektu, możliwe jest przesunięcie harmonogramu prac legislacyjnych nad projektem, związane z koniecznością przegłosowania zmian w Sejmie, a następnie skierowania projektu do Senatu. Nieuchwalenie noweli do końca tej kadencji, spowoduje przerwanie prac nad ustawą i rozpoczęcie całego procesu legislacyjnego od nowa – już po wyborach parlamentarnych, w nowej kadencji Sejmu.
Podcasty
Playlisty tematyczne
