Wszystkie newsy

– Ustawa o krajowym systemie cyberbezpieczeństwa ma wiele dobrych elementów, ale paru kwestii tam brakuje, m.in. odniesienia do urządzeń internetu rzeczy (IoT), które będą bardzo istotne w sieci 5G – mówi gen. Włodzimierz Nowak, były pełnomocnik rządu ds. cyberbezpieczeństwa. Jego wątpliwości budzi także pomysł powołania operatora strategicznej sieci bezpieczeństwa. Po pierwsze, tak poważna kwestia powinna zostać uregulowana w odrębnej ustawie. Po drugie, trzeba przeanalizować, czy taki podmiot rzeczywiście przyczyni się do zwiększenia bezpieczeństwa państwa. Zdaniem eksperta może być wręcz odwrotnie.

Pandemia COVID-19 przyspieszyła wdrażanie technologii na rzecz bezpieczeństwa publicznego. Z globalnego badania Motorola Solutions, przeprowadzonego w 10 krajach, wynika, że ten trend ma poparcie obywateli. 88 proc. respondentów chce zmian w dziedzinie bezpieczeństwa publicznego, wynikających ze stosowania zaawansowanych technologii. Zdaniem 70 proc. służby ratunkowe powinny być w stanie przewidzieć zagrożenie, a zaawansowane technologie mogą im w tym pomóc. Warunkiem jest jednak wykorzystywanie ich w sposób przejrzysty i sprawiedliwy.

– Prace nad ustawą o krajowym systemie cyberbezpieczeństwa przebiegają zbyt szybko i nie uwzględniają rzetelnej debaty publicznej. Uwagi zgłoszone przez przedsiębiorców z różnych branż powinny zostać uwzględnione i poprzedzone merytoryczną dyskusją – wskazuje Krajowa Izba Gospodarcza w piśmie skierowanym do ministra Janusza Cieszyńskiego. Jej eksperci podkreślają, że nowa ustawa, która niemal od początku budzi kontrowersje, będzie mieć daleko idące skutki dla operatorów i całego rynku telekomunikacyjnego. Dlatego okres vacatio legis powinien być nie krótszy niż 24 miesiące, aby nie wywoływać na rynku chaosu. – Zmiany prawa w formule ad hoc na pewno nie są oczekiwane przez przedsiębiorców, dla których stabilność prawa jest fundamentem prowadzenia biznesu – podkreśla prezydent KIG Andrzej Arendarski.

– Każdy system, nieważne z jakich urządzeń się składa, można odpowiednio zabezpieczyć – ocenia gen. Włodzimierz Nowak, ekspert ds. cyberbezpieczeństwa, nawiązując do proponowanej przez rząd oceny ryzyka dostawców sprzętu i technologii. Jego zdaniem skupianie się jedynie na dostawcy to tylko dotykanie wierzchołka góry lodowej, bo czynników ryzyka jest znacznie więcej. Zapisy ustawy o krajowym systemie cyberbezpieczeństwa wskazują, że jeśli firma technologiczna zostanie uznana za dostawcę wysokiego ryzyka, będzie de facto wykluczona z polskiego rynku, a operatorzy telekomunikacyjni będą musieli zrezygnować z jej urządzeń i usług. Kryteria oceny w dużej mierze są oparte na kwestiach przynależności państwowej, co według części ekspertów jest wymierzone w koncerny chińskie.

– Państwa, które stosują restrykcje wobec chińskich firm technologicznych, argumentują, że stanowią one zagrożenie dla bezpieczeństwa narodowego. W istocie kontekst jest amerykański. Krótko mówiąc, dobre stosunki z USA są tu ważniejsze niż ewentualne korzyści ze współpracy z chińskimi firmami – mówi prof. Edward Haliżak, ekspert ds. stosunków międzynarodowych z UW. Jak wskazuje, rywalizacja w obszarze 5G się zaostrza, a Stany Zjednoczone próbują wykluczyć z globalnego rynku chińskich dostawców tej technologii. Za ich przykładem podąża też część państw UE, w tym m.in. Polska, dla której USA są jednym z głównych sojuszników. – Polska wybiera technologię firm europejskich, które po prostu są droższe. Problem polega na tym, że to przełoży się na ceny usług w tej dziedzinie. To trzeba jasno powiedzieć – podkreśla ekspert.

– Projekt nowelizacji ustawy o cyberbezpieczeństwie powinien trafić do ponownych konsultacji – ocenia Mikołaj Troć, ekspert Warsaw Enterprise Institute. Jak zauważa, w obecnym kształcie nowela nie uwzględnia głosów z rynku, za to zawiera wiele nowych daleko idących zapisów, które nie były z nim wcześniej konsultowane. Na dodatek wcale nie gwarantuje ona zwiększenia poziomu polskiego cyberbezpieczeństwa i zawiera zapisy budzące kontrowersje, które dotyczą m.in. mechanizmu oceny dostawców usług i sprzętu ICT. – Warto też rozważyć szersze włączenie operatorów i innych uczestników rynku w tę procedurę oceny dostawców – podkreśla ekspert.

Masowe przejście na pracę zdalną okazało się czynnikiem, który wpłynął na cyberbezpieczeństwo polskich firm. Prawie co piąta z nich odnotowała w ubiegłym roku wzrost liczby ataków hakerskich. Ich celem, będącym zarazem najsłabszym ogniwem całego systemu cyberbezpieczeństwa, najczęściej są pracownicy i ich skrzynki mailowe. W przypadku ataku phishingowego mogą posłużyć hakerom jako punkt wejścia do organizacji. Jednak sami pracownicy też często wykazują się niefrasobliwością, np. przesyłając służbową korespondencję na swoje prywatne, słabo chronione skrzynki mailowe. Dlatego – jak podkreślają eksperci ING Tech Poland – pierwszą linią obrony firm przed cyberatakami jest podnoszenie świadomości pracowników. W drugim kroku potrzebne są zabezpieczenia techniczne.

Zaledwie tydzień przewidzieli projektodawcy na konsultacje społeczne ustawy o cyberbezpieczeństwie. Po protestach branży zdecydowali się na przedłużenie terminu, ale tylko o kolejne siedem dni. Zdaniem Pracodawców RP to termin zbyt krótki, zważywszy na wagę zagadnienia. – Ustawa wpłynie nie tylko na rynek telekomunikacyjny, lecz także na całą gospodarkę cyfrową w Polsce – podkreśla prezydent tej organizacji. Niektóre zapisy mogą wręcz uderzyć rykoszetem w firmy z innych branż. Zdaniem Andrzeja Malinowskiego chodzi o możliwość ograniczenia działalności Huaweia w Polsce, co może popsuć relacje gospodarcze z Chinami i zakłócić dostawy komponentów dla przemysłu.

Wykluczanie z rynku dostawców technologii, których nowo powołane kolegium ds. cyberbezpieczeństwa określi jako dostawców wysokiego ryzyka, może naruszać szereg różnych przepisów międzynarodowych. Takie propozycje przepisów znajdują się w procedowanej ustawie o cyberbezpieczeństwie. Wątpliwości prawników budzą m.in. kryteria narodowościowe, czyli analiza pozostawania pod kontrolą państwa spoza UE i NATO, natychmiastowa wykonalność decyzji kolegium i brak możliwości odwołania się od niej. Procedowane przepisy mogą przede wszystkim uderzyć w koncerny z Chin, m.in. Huaweia, choć nie jest to wprost określone w ustawie. Istnieje ryzyko, że w przypadku wykluczenia z rynku koncern będzie dochodzić swoich praw przed unijnym trybunałem.

Branża telekomunikacyjna jest zaniepokojona kształtem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nad którą pracuje rząd. Chodzi o zapisy dotyczące uznawania firm technologicznych za dostawców wysokiego ryzyka. Kryteria są tak sformułowane, że mogą wykluczać dostawców z Azji. Operatorzy telekomunikacyjni, którzy korzystają z ich sprzętu lub usług, mogą być zmuszeni do wycofania przynajmniej części z nich w ciągu kilku lat, co pociągnie za sobą wielomiliardowe straty. Straty poniosą nie tylko duże, ale i mniejsze podmioty – wskazuje Krajowa Izba Komunikacji Ethernetowej (KIKE), zrzeszająca małych i średnich operatorów telekomunikacyjnych.

– To będzie jeden z najważniejszych papierków lakmusowych polskich intencji w stosunku do Chin – mówi prof. Bogdan Góralczyk z Centrum Europejskiego UW, oceniając prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Projekt, który w ocenie rynku telekomunikacyjnego stał się narzędziem politycznych rozgrywek, zawiera zapisy pozwalające wykluczyć z polskiego rynku firmy technologiczne na podstawie kryteriów narodowościowych. W ocenie ekspertów są one wprost wymierzone w chiński koncern technologiczny Huawei, a ich uchwalenie może zaszkodzić polskim relacjom gospodarczym z Państwem Środka.

– W tym projekcie ustawy o krajowym systemie cyberbezpieczeństwa pojawiły się całkowicie nowe przepisy, dotyczące choćby spółki pod nazwą Polskie 5G czy funduszu celowego na rzecz strategicznej sieci bezpieczeństwa. Dlatego potrzebne są ponowne konsultacje – ocenia prof. Maciej Rogalski, rektor Uczelni Łazarskiego. Jak podkreśla, już przy poprzednich wersjach nowelizacji były zgłaszane liczne uwagi z rynku, ale zostały one uwzględnione tylko w niewielkim stopniu. Aktualna wersja projektu nadal zawiera więc szereg wad prawnych i jest wątpliwa pod kątem zgodności z międzynarodowym, unijnym, a nawet polskim prawem.

Po wielomiesięcznych pracach rząd opublikował nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa. Rynek telekomunikacyjny zarzuca, że dodano do niego zupełnie nowe zapisy, za to nie usunięto wad, którymi były obarczone poprzednie wersje i które zgłaszano w toku konsultacji. Mimo to projekt został już skierowany do Komitetu Rady Ministrów ds. Bezpieczeństwa Narodowego i Spraw Obronnych. W propozycjach pozostały niejasne i subiektywne kryteria oceniania dostawców infrastruktury, m.in. na podstawie powiązania z krajem spoza UE i NATO. – To ewidentna dyskryminacja naruszająca międzynarodowe umowy – podkreśla Ryszard Hordyński z Huaweia, chińskiego koncernu, któremu na podstawie nowych przepisów mogłoby grozić wykluczenie z polskiego rynku.

W ciągu najbliższych pięciu lat światowy rynek komercyjnych centrów danych ma wzrosnąć ponad dwukrotnie. W Polsce powierzchnia takich obiektów do 2025 roku będzie przyrastać w tempie 8 proc. rocznie, aby osiągnąć 90 tys. mkw. – wynika z raportu PMR. To odpowiedź na rosnącą dynamicznie ilość przesyłanych danych. Orange Polska tylko w sierpniu odnotował 64-proc. wzrost rok do roku ilości danych przesyłanych po światłowodzie. W sieci mobilnej wzrost ten wyniósł ok. 26 proc. Tak duży ruch w sieci ma obsługiwać nowa infrastruktura operatora – ogromne centrum danych Warsaw Data Hub, jakie powstało w Łazach pod Warszawą. Znajdą się tam nie tylko serwery Orange, ale i jego klientów biznesowych. Nowy obiekt pozwoli zwiększyć niezawodność sieci i zmniejszyć jej opóźnienia, co jest kluczowe przy usługach oferowanych w sieci 5G.

Liczba poważnych ataków hakerskich wzrosła w Unii Europejskiej w czasie pandemii o około 75 proc. Zostały nimi dotknięte m.in. ważne instytucje ochrony zdrowia czy sektora finansowego. Postępująca transformacja cyfrowa gospodarki będzie się wiązać z dalszym wzrostem zagrożenia cyberatakami, dlatego potrzebnych jest więcej rozwiązań do walki z nimi zarówno na szczeblu państwowym czy unijnym, jak i na poziomie każdej firmy, sektora przemysłu czy użytkownika indywidualnego sieci. Wśród działań podejmowanych na bieżąco powinna być także dywersyfikacja platform i narzędzi dla zachowania cyfrowej higieny. To pokazała m.in. ostatnia wielka awaria Facebooka.