Trwa ładowanie...

Notowania

Przejdź na

Huawei: Nowy projekt ustawy o KSC nadal nie uwzględnia uwag z rynku

2
Podziel się

Warszawa, 22.01.2021 (ISBnews) - Nowy projekt noweli ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jest "kosmetycznie lepszy" od poprzedniego, ale nadal nie uwzględnia najważniejszych zgłoszonych w toku konsultacji uwag, ocenił w rozmowie z ISBnews Regional Cyber Security Officer CEE & Nordics, Huawei Rafał Jaczyński.

Huawei: Nowy projekt ustawy o KSC nadal nie uwzględnia uwag z rynku
bDJLmTkl

"Właśnie został przedstawiony został długo wyczekiwany, kolejny projekt noweli ustawy o krajowym systemie cyberbezpieczeństwa. W chwili obecnej jest kosmetycznie lepiej, niż kiedy pierwszy projekt zmian ujrzał światło dzienne, ale daleko mu jeszcze do akceptowalnego kompromisu, przede wszystkim dlatego, że nie uwzględnił najważniejszych zgłoszonych w toku konsultacji uwag" - powiedział ISBnews Jaczyński.

W jego ocenie, projekt nadal zawiera liczne rozwiązania, które wywołują poważne zastrzeżenia z punktu widzenia podstawowych zasad prawa.

"Wbrew komentarzom projektodawców do uwag z konsultacji publicznych, kryteria oceny nie opierają się na kryteriach technicznych, w szczególności na modelu certyfikacji produktów. Obecny projekt wśród kryteriów oceny nadal przewiduje kryteria całkowicie subiektywne, np. stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i z danym państwem, czy zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania. W dalszym ciągu z oceny zostały wyłączone państwa NATO nie będące członkami Unii Europejskiej - co wprowadza dodatkową nierówność w traktowaniu podmiotów gospodarczych" - dodał przedstawiciel Huawei.

bDJLmTkn

W jego ocenie, warto przypomnieć, że dostawca rozwiązań zarządzania infrastrukturą informatyczną, za pomocą których naruszone zostało bezpieczeństwo newralgicznych systemów rządowych i komercyjnych na całym świecie nie zostałby na podstawie przewidzianych w projekcie kryteriów uznany za dostawcę wysokiego ryzyka.

"Poważne wątpliwości budzi ponadto fakt, że w sposób uznaniowy, bez odpowiedniej weryfikacji technicznej i rynkowej, została przygotowana lista kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług. Skutki takiego podejścia mogą być paradoksalne - według zaproponowanej klasyfikacji, urządzeniem krytycznym dla bezpieczeństwa państwa może być np. hotspot Wi-Fi. Bieżący projekt jako jeden z krytycznych dla bezpieczeństwa elementów infrastruktury klasyfikuje też stacje bazowe komórkowych sieci radiowej. Jest to podejście wyjątkowo restrykcyjne i bardzo asekuracyjne, nie znajdujące potwierdzenia ani w przygotowanej w ramach EU analizie ryzyka, ani w 5G Toolbox - jest to tak naprawdę ewenement w skali globalnej. A operatorzy na wymianę krytycznego sprzętu wciąż mają 5 lat, mimo licznych apeli z rynku o wydłużenie tego terminu" - wymienił Jaczyński.

Zaznaczył, że w działających przejrzyście państwach tego rodzaju lista jest tworzona nie poprzez ogłoszenie w ustawie, ale - jak pokazuje praktyka w innych krajach, np. Niemczech lub Finlandii - jest przygotowywana przez regulatora rynku telekomunikacyjnego, we współpracy z organami odpowiedzialnymi za bezpieczeństwo.

"Następnie lista ta jest poddawana konsultacjom rynkowym, przedsiębiorcy telekomunikacyjni mogą zgłaszać do niej uwagi. Lista podlega modyfikacjom, jest ciągle aktualizowana i dostępna na stronie internetowej organu regulacyjnego. Nie rozumiem, dlaczego nasze ministerstwo obawia się merytorycznej rozmowy z uczestnikami rynku. Przygotowanie ustawy w ten sposób pozwala na zadanie pytania o rzeczywisty cel przeprowadzania takiej oceny dostawców, zwłaszcza przy utajnieniu prac i dostępu do ich wyników oraz ograniczeniu skutecznych możliwości odwołania się od nich. Żeby nie być gołosłownym - według projektu, skarżącemu doręcza się tylko odpis wyroku z tą częścią uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych. Podmiot nie ma więc dostępu do pełnej dokumentacji w swojej własnej sprawie. Wyłączono także sądową możliwość wstrzymania na czas postępowania wykonalności decyzji w sprawie dostawcy określonego mianem wysokiego ryzyka - decyzja ta zawsze podlega rygorowi
natychmiastowej wykonalności. Zupełnie nieakceptowalne jest też wyłączenie dostawcy z uczestnictwa w analizie" - wymienił przedstawiciel Huawei.

bDJLmTkt

Podkreślił jednocześnie, żeby przeanalizować bezpieczeństwo produktów lub oprogramowania, trzeba przede wszystkim je mieć.

"Niestety, bez współpracy z dostawcą można je co najwyżej ukraść, bo analiza może dotyczyć rozwiązań, którymi nie dysponuje jeszcze żaden z klientów. Analogicznie wygląda kwestia dostępu do informacji, niezależnie od faktu, że dostawca posiada najbardziej szczegółowe informacje na temat swoich produktów i powinien mieć możliwość ich dostarczenia, próba uzyskiwania informacji z innych źródeł może oznaczać naruszanie praw własności intelektualnej. Czy do tego zostało powołane Kolegium ds. Cyberbezpieczeństwa? Podsumowując, choć przedstawiony niedawno projekt i jest nieco lepszy niż ten sprzed pół roku. Szkoda jednak, że większości merytorycznych uwag nie uwzględniono" - podsumował Jaczyński.

Chiński koncern Huawei to czołowy podmiot w dostarczaniu najnowszych technologii informacyjno-komunikacyjnych (ICT) na świecie.

bDJLmTkO
media
telekomunikacja
Źródło:
KOMENTARZE
(2)
Bart
miesiąc temu
Przecież to nie chodzi o to, żeby coś merytorycznie oceniać, tylko żeby można było wybranego dostawcę (czyli głównie właśnie Huawei) wykluczyć z przetargów. Po zmianie prezydenta w USA może być czas przestać wchodzić w 4 litery Amerykanom stosując się do embarga, które nałożyli i brać towar od Huawei bo jest tańszy. Niech państwo robi audyty bezpieczeństwa, ale wykluczać powinno się za udowodnione winy, a nie dlatego, że USA tak sobie zażyczyły.
Pikapika
miesiąc temu
Czy Polskie firmy mogą dostarczać sprzęt w chinach ? Nie ? To chyba chińskie firmy i obywatele chin powinni mieć zakaz na terenie UE