Huawei to nadal wróg w Ustawie o KSC. Nie wszystkie kraje boją się chińskiej firmy

Arkadiusz Dziermański Z-ca Redaktora Naczelnego

Po wielu tygodniach oczekiwania pojawiła się kolejna wersja projektu Ustawy o KSC (Krajowy System Cyberbezpieczeństwa). Choć można próbować pudrować jej założenia, nie da się ukryć, że dokument niezmiennie ma na celu wprowadzenie mechanizmu pozwalającego na wykluczenie Huawei z budowy sieci komórkowych w Polsce. W przeciwieństwie do innych krajów, które stawiają na obiektywne, a nie uznaniowe kryteria doboru dostawców sprzętu do budowy sieci komórkowych.

Nowa wersja Ustawy o KSC, stare metody na wykluczenie Huawei z Polski

Rząd może nas zapewniać w nieskończoność o tym, że projekt Ustawy o KSC nie ma na celu wykluczenia konkretnej firmy z polskiego rynku telekomunikacyjnego. To trochę tak, jakbym chciał kogoś przekonać, że mówiąc o europejskim producencie samochodów z gwiazdą na masce, w ogóle nie mam na myśli Mercedesa.

W obszarze technologii i cyfryzacji ciężko jest oceniać dostawców sprzętu według uznaniowych kryteriów. Sprzęt jest bezpieczny lub nie, co mogą potwierdzić ustandaryzowane, międzynarodowe certyfikaty, wydawane według z góry ustalonych, obiektywnych kryteriów. Na ich podstawie łatwo jest stwierdzić, czy mamy do czynienia z dostawcą bezpiecznym lub nie. Jak będzie to wyglądać według założeń nowego projektu Ustawy o KSC?

Dokładny opis kryteriów znajdziecie w tym materiale, który dodatkowo mocniej analizuje możliwości odwołania się od podjętej decyzji. W uproszczeniu, dostawca sprzętu i usług ICT (technologii informacyjnych i komunikacyjnych) może zostać uznany za dostawę wysokiego ryzyka na podstawie kraju pochodzenia (bo może znajdować się pod kontrolą obcego rządu), historycznych incydentów bezpieczeństwa, czy też możliwości stworzenia zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym. Jedyne obiektywne kryterium, jakim jest możliwość przeprowadzenia technicznych analiz, m.in. przez NASK, jest tylko opcją, z które Kolegium ds. cyberbezpieczeństwa może, ale nie musi korzystać.

Dostawca uznany za niebezpiecznego od decyzji może się odwołać do Sądu Administracyjnego. Ale odwołanie nie zawiesi podjętej decyzji, a dodatkowo decyzja sądu może pozostać tajna, jeśli zawarte w niej informacje zostaną uznane za niejawne. Koniec końców dostawca może do końca nie wiedzieć, za co został uznany za niebezpiecznego. A jak przeczytacie w powyższym odnośniku, opcje odwołania od decyzji ma praktycznie iluzoryczne.

Czytaj też: Huawei prezentuje Zielone 5G. Oszczędność energii to dzisiaj priorytet w budowie sieci

Huawei nie odstrasza nawet naszych sojuszników. Europejskie kraje stają obok wojny Chiny-USA lub mądrzej podchodzą do sprawy

Zdania na temat Huawei w Europie są podzielone. Ale coraz więcej krajów przestaje zwracać uwagę na alarmy podnoszone przez USA w sprawie Huawei. W tym, aktualnie chyba ostatni, nasz bliski sojusznik w Europie.

Węgrzy poinformowali w tym miesiącu o starcie prac przy budowie pierwszego w Europie terminala kolejowego wykorzystującego prywatną sieć 5G zbudowaną przez Vodafone i Huawei. Chińska firma dostarczy sprzęt niezbędny do budowy sieci, a Vodafone zajmie się oprogramowaniem.

Kolejnym europejskim przykładem może być Austria. Zawsze powtarzałem, że to rolnicy będą pierwszymi realnymi beneficjentami sieci 5G i to właśnie wyposażone w moduły 5G Huaweia drony pomagają rolnikom w Górnej Austrii. Zajmują się analizą pól, a zebrane informacje pomagają w odpowiednim planowaniu upraw. W przyszłości drony mogą być wykorzystywane w rolnictwie np. do oprysków, czy ogólnego monitorowania gospodarstwa.

Huawei jest też wykorzystywany do budowy sieci 5G w Szwajcarii, jak również testuje swoje rozwiązania związane z Zielonym 5G w Grecji.

Warto też zwrócić uwagę na to jak inne kraje podchodzą do podobnych przepisów jak nasze KSC. Choćby Niemcy i Finlandia, które ocenę dostawców opierają na międzynarodowych certyfikatach. Takich jak NESAS czy ISO. To wydaje się najrozsądniejsze podejście, bo wyklucza ocenę uznaniową. Jeśli niezależne laboratoria uznają sprzęt za bezpieczny, to jest on tak samo bezpieczny w Niemczech, Finlandii i tak samo powinien być bezpieczny również w Polsce. A przynajmniej wydaje się to logiczne… Warto też dodać, że Niemcy miały być jednym z pierwszych krajów, które podobno dostały od Amerykanów dowody na temat zagrożeń płynących ze strony Huawei. Gdyby faktycznie tak było, nasi sąsiedzi, przynajmniej teoretycznie, powinni postawić przed chińską firmę ogromny mur i nie wpuszczać jej sprzętu do swojego kraju.

W taki sposób nie zbudujemy partnerstwa z Chinami

W obliczu problemów z Unią Europejską polski rząd zaczął ostatnio spoglądać w kierunku Chin. Mieliśmy już pomysły zaciągnięcia pożyczki, w Chinach pojawił się też minister spraw zagranicznych Zbigniew Raw. Jak czytamy na stronie internetowej MSZ:

Omówiono m.in. agendę stosunków polsko-chińskich, przyszłość Inicjatywy „17 + 1”, perspektywy współpracy UE-Chiny. Ministrowie wymienili opinie w kwestiach o strategicznym znaczeniu dla obu państw, w tym na temat źródeł napięć w sprawach globalnych, a także obszarów możliwego współdziałania.

Celem inicjatywy 17+1 jest wzmacnianie roli Chin w Europie Środkowej. Tworzenie przepisów, których celem jest zablokowanie obecności jednej z największych chińskich firm, w jednym z największych krajów Europy Środkowej, nie wróży dobrze relacjom gospodarczym Polski i Chin.

Czytaj też: [Aktualizacja] Wszystko, co wiemy o serii Google Pixel 6

Jeśli boimy się Huawei, wystarczy się odpowiednio zabezpieczyć. Bez wzbudzania podejrzeń o stronniczość

Certyfikacje takie jak NESAS czy ISO to najlepszy sposób określenia, czy dany dostawca spełnia warunki bezpieczeństwa. Czy jego sprzęt i usługi stanowią zagrożenie dla operatora, czy całego kraju, czy nie. Czy pozwalają na łatwe zdalne włamanie się, kontrolowanie, czy szeroko pojęte szpiegowanie, czy też nie.

Jeśli nie wierzymy w europejskie akredytowane laboratoria, problem może łatwo rozwiązać nasz rodzimy Instytut Łączności. W marcu 2020 roku otwarte zostało laboratorium zgodne z Common Criteria (KSO33C, inaczej ISO 15408), gdzie moglibyśmy przeprowadzić własne testy. Co więcej, już w dniu otwarcia placówki Huawei zadeklarował chęć oddania swojego sprzętu do sprawdzenia przez polskich inżynierów.

Już nawet samo dodanie operatorów do procesu oceny dostawców wysokiego ryzyka znacznie poprawiłoby wizerunek Projektu. W końcu to operatorzy korzystają ze sprzętu sieciowego, więc to również w ich interesie jest korzystanie z bezpiecznych rozwiązań, ale też konkurencyjnych cenowo. Jakby nie patrzeć, to właśnie operatorzy będą odpowiadać w przypadku pojawienia się jakichkolwiek incydentów bezpieczeństwa w swojej sieci. Obecny kształt przepisów ogranicza ich możliwości wyboru dowolnego dostawcy.

Oczywiście, zgodnie z Projektem nowelizacji Ustawy o KSC w trakcie postępowania dotyczącego potencjalnego dostawcy wysokiego ryzyka będzie można przeprowadzić testy wykonane przez CSIRT GOV CSIRT MON lub CSIRT NASK. Jeśli polski rząd faktycznie będzie chciał zablokować Huawei w Polsce, to podjęcie decyzji bez ich wykonania wzbudzi ogromne kontrowersje.