Cyberbezpieczeństwo – powinniśmy o nie dbać sami, czy razem z Unią Europejską?

cyberbezpieczeństwo

Cyberbezpieczeństwo to ostatnio gorący temat. Nie tylko w kontekście nowelizacji Ustawy o KSC. Jak do niego podchodzić? Indywidualnie, czy wspólnie z Unią Europejską?

Różne podejścia do cyberbezpieczeństwa

Europa stoi obecnie pod wielkim wyzwaniem jakim jest dbanie o cyberbezpieczeństwo. Znalezienie złotego środka nie jest proste i na rynku możemy znaleźć wiele różnych koncepcji.

Jednym z głównych tematów jest kwestia blokowania chińskich dostawców przy budowie sieci 5G. Tutaj, jak Europa długa i szeroka, mamy przeróżne podejścia do sprawy. Od braku ograniczeń, przez ograniczenia częściowe, po całkowite.

Czytaj też: Projekt ustawy o KSC w ogniu krytyki. Resorty pytają o narodowego operatora

Kolejnym zagadnieniem jest pytanie – na podstawie czego blokować? Czy wybrać drogę polską i przyjąć, że wszystko co chińskie jest złe, bo jest chińskie, czy stawiać na merytoryczne kryteria techniczne. A jeśli już to jakie? Korzystać z certyfikatów własnych? Międzynarodowych i uniwersalnych? Ciężko jest znaleźć złoty środek.

Cyberbezpieczeństwo jest trudnym tematem i zawsze w przypadku trudnych tematów warto zasięgnąć opinii kogoś mądrzejszego. O tym zagadnieniu miałem okazję porozmawiać z Detlefem Eckertem. Byłym urzędnikiem Komisji Europejskiej z 30-letnim doświadczeniem w zakresie polityki cyfrowej. W latach 2002 – 2006 współpracował z Microsofrem oraz w latach 2017 – 2020 z Huaweiem. Aktualnie zajmuje się doradztwem w zakresie m.in. cyfrowej transformacji.

Czytaj też: Sztuczna inteligencja zamiast pilotów

Każdy sobie, a Chiny i USA uciekają

Pierwszym tematem jaki poruszyliśmy jest polityka poszczególnych krajów Unii Europejskiej. Czy każde państwo powinno na własną rękę dbać o rozwój cyfrowy i cyberbezpieczeństwo, czy jednak działania w tej kwestii powinny być spójne?

Detlef Eckert:

Regulacje w całej UE powinny być spójne, aby uniknąć dalszej fragmentacji. Pomimo inicjatywy jednolitego rynku cyfrowego gospodarka cyfrowa Europy jest nadal zbyt rozdrobniona. Spójrz na alokację widma i wdrożenie 5G – wszystkie podążają różnymi ścieżkami. W międzyczasie w Chinach zainstalowano 700 000 stacji bazowych 5G. Państwa członkowskie prowadzą własną politykę nie tylko ze względu na interesy narodowe, ale także z powodu dumy narodowej. Wniosek: wszyscy pozostajemy w tyle za Stanami Zjednoczonymi i Chinami w technologiach cyfrowych, więc czas zmienić kurs.

W odniesieniu do cyberbezpieczeństwa potrzebna jest większa harmonizacja. Dlaczego reakcja na cyberzagrożenie miałaby być inna? Na szczeblu UE mamy pewną harmonizację, ale potrzeba więcej współnych działań.

Wykluczanie dostawców 5G to polityka

Jak już wspomnieliśmy, różne kraje różnie podchodzą do wykluczania dostawców sprzętu i oprogramowania przy budowie sieci 5G. Również różnie na tym wychodzą. Jak choćby Szwecja, gdzie pozwy Huaweia najpierw wstrzymały aukcję częstotliwości sieci 5G, a teraz istnieje ryzyko jej całkowitego anulowania. Jeśli sąd przyzna rację chińskiej firmie. Jak to jest z tym różnym podejściem poszczególnych krajów?

Detlef Eckert:

O bezpieczeństwie 5G (wewnątrz Unii Europejskiej) mówilibyśmy jako o ważnym, ale raczej technicznym problemie, gdyby nie nacisk Stanów Zjednoczonych na Huawei. Rzeczywiście, unijny zestaw narzędzi bezpieczeństwa 5G (5G ToolBox) odnosi się do dostawców wysokiego ryzyka, których państwa członkowskie mogą określić. W przypadku Szwecji, Huawei i ZTE otrzymały zakaz dostarczania sprzętu. W Niemczech sytuacja jest bardziej otwarta. Regulator nie skupia się na poszczególnych firmach, ale ustala kryteria, które łączą dostawców z ich krajami pochodzenia. To pokazuje, że chodzi bardziej o politykę niż o bezpieczeństwo.

Czytaj też: Czy aukcja 5G bez Huawei może zaszkodzić Polsce na arenie międzynarodowej?

Taka polityka raczej z nami zostanie. Unia Europejska nie narzuci żadnych regulacji, a jedynie podpowie zestaw narzędzi, którymi będą kierować się kraje członkowskie.

Detlef Eckert:

W moim rozumowaniu państwa członkowskie będą mogły wybrać, w jaki sposób chcą regulować aspekty bezpieczeństwa sieci 5G. Nie widzę dalszej harmonizacji poza zestawem narzędzi, który jest zaleceniem, a nie dyrektywą.

Czytaj też: Sieć 5G w Szwecji bez Huawei. Sprawa nie jest jeszcze zamknięta

Czy polskie określanie sieci RAN jako sieci krytycznej to dobry kierunek postępowania?

W projekcie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa znalazły się zapisy wskazujące sieć RAN jako sieć krytyczną. Co wzbudziło sporo kontrowersji, bo nieprecyzyjne zapisy powodują, że w skrajnym przypadku nasz domowy router dzierżawiony od operatora będzie częścią infrastruktury krytycznej. Czy faktycznie cała sieć RAN powinna być brana pod uwagę jako krytyczna?

Detlef Eckert:

Całe sieci komunikacji mobilnej, w tym 4G i 5G, można uznać za infrastrukturę krytyczną. Nie oznacza to jednak, że profil ryzyka i odpowiedzi dotyczące zabezpieczeń muszą być takie same.

Rdzeń sieci (tzw. core) jest bardziej wrażliwym elementem, w kontekście kontroli i danych użytkowników. Ryzyko związane z RAN jest bardziej związane z niezawodnością. Niektórzy twierdzą, że granice między rdzeniem 5G a 5G RAN są zatarte. Nie jest to poprawne myślenie, ponieważ standardy zapewniają wyraźne rozgraniczenie, a nawet niektóre podstawowe funkcje są coraz bliżej krawędzi sieci.

Niektórzy twierdzą, że 5G będzie ważniejsze w zastosowaniach przemysłowych i dlatego wymaga ściślejszego dbania o bezpieczeństwo. Może to prawda, ale zabezpieczenia należałoby umieścić na krawędzi, w sieci firm. RAN można doskonale oddzielić od pozostałych części sieci, w których te aplikacje (zabezpieczenia) będą działać. Innymi słowy, bezpieczeństwo sieci 5G wymaga zwrócenia większej uwagi na bezpieczeństwo aplikacji i sieci brzegowych.

Czytaj też: Sieć RAN – czym jest i czy faktycznie jest kluczowa dla cyberbezpieczeństwa?

Czy Open RAN to dobra alternatywa?

Wśród zwolenników blokowania chińskich dostawców często lansowana jest koncepcja budowy sieci w modelu Open RAN. Czyli takim, w którym sieć jest otwarta na rozwiązania różnych firm, które można ze sobą łączyć. Koncepcja ciekawa, ale obecnie za słabo rozwinięta, aby stanowić alternatywę dla klasycznego podejścia do budowania sieci. Czy faktycznie tak jest?

Detlef Eckert:

Masz rację mówiąc, że na dzień dzisiejszy Open RAN nie jest realną alternatywą. Jednak nic nie stoi na przeszkodzie, aby operatorzy mogli wypróbować to rozwiązanie, a niektórzy wydają się do tego skłonni. Jednak tylko dlatego, że coś jest nazywane Otwartym, nie oznacza bezpieczniejszego ani lepszego. Chodzi o to, aby mieć większy wybór, więcej konkurencji, co samo w sobie nie jest złym pomysłem. Ale to musi działać i wymusza radzenie sobie z większą złożonością sieci. Wskazałbym również na wyzwanie, jakim jest ochrona komputerów ogólnego przeznaczenia, ponieważ ich architektura jest znacznie lepiej rozumiana przez hakerów na całym świecie.

Czytaj też: Dezinformacja na temat sieci 5G na celowniku państw Unii Europejskiej

5G w Polsce nie zrobi się samo

Detlef Eckert:

Gdybym mógł doradzić polskiemu rządowi, to skupiłbym się na tym, jak wdrażać aplikacje i rozwiązania oparte na 5G w całej gospodarce. Nie stanie się to automatycznie. Gdy operatorzy włączą 5G, konsumenci skorzystają na lepszych wrażeniach z oglądania wideo i to wszystko. Jeśli chcesz wykorzystać 5G do zastosowań przemysłowych lub społecznych, konieczne są dodatkowe inwestycje i wiedza. Nie należy tracić czasu i zasobów na niepotrzebne ataki na poszczególnych dostawców. Należy skoncentrować się na ulepszaniu i wdrażaniu zastosowań sieci 5G i zwiększaniu produktywności.

Tymczasem polskie władze nie śpieszą się z wdrożeniem sieci 5G na docelowych pasmach oraz jej wykorzystaniem do rozwoju kraju. Brakuje działań, brakuje wsparcia dla startupów, brakuje spójnej polityki dalszego, cyfrowego rozwoju. Im dłużej to trwa, tym bardziej powinniśmy czekać na sieć… 6G. Bo z 5G na pewno nie uda nam się dogonić reszty świata.

Póki co ważniejszym tematem jest w Polsce to, jak wykluczyć chińskich dostawców z budowy czegoś, czego aktualnie budować nie możemy. Rząd kombinuje jak wykluczyć z procesu budowy chińskie gwoździe, ale zapomina o tym, aby wyposażyć operatorów w młotki i dać im odpowiedni plac budowy.

Chcesz być na bieżąco z WhatNext? Śledź nas w Google News