Dobrze zdefiniowane, mierzalne i weryfikowalne kryteria techniczne gwarancją bezpieczeństwa 5G [OPINIA]
Jeszcze w tym roku - według zapowiedzi Ministerstwa Cyfryzacji i Urzędu Komunikacji Elektronicznej - powinna zostać ogłoszona w Polsce aukcja na pasmo 3,4-3,8 GHz najbardziej obecnie interesujące dla operatorów, którzy zamierzają rozwijać sieci 5G. Przy tej okazji toczy się od dłuższego czasu dyskusja, w jaki sposób najefektywniej zapewnić bezpieczeństwo sieci nowej generacji, która ma powstać. Temat ten nie dotyczy tylko Polski, ale ma charakter ogólnoeuropejski i globalny.
Piotr Muszyński - doradca Prezydenta Pracodawców RP ds. Telekomunikacji
Polska jest w trakcie tworzenia rozwiązań prawnych w zakresie wymagań bezpieczeństwa dotyczących sieci nowej generacji. Będą one regulowane m.in. w nowelizowanej ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC), która niebawem ma być przedstawiona do konsultacji. W ustawie wprowadzone zostaną kryteria, które musi spełnić tzw. zaufany dostawca sieci telekomunikacyjnych, aby jego rozwiązania mogły być wykorzystywane przy budowanie sieci 5G.
Niestety dyskusje medialne na ten temat koncentrują się głównie na wątku politycznym: czy chińscy dostawcy zostaną wykluczeni z dostaw 5G. Pada też pytanie, czy ewentualnie operatorzy będą musieli usunąć ze swych istniejących sieci znaczną część działających urządzeń.
To drugie jest praktycznie niewykonalne. Obecnie bowiem rozwój sieć 5G odbywa się głównie w oparciu o tzw. architekturę non-standalone (NSA), czyli taką, która jest powiązana z siecią poprzedniej generacji 4G. A operatorzy w Polsce bardzo w szerokim zakresie rozwijając sieci LTE opierali się na technologii Huawei, wybierając te rozwiązania dlatego, że oferowały najlepszy stosunek jakości do ceny.
Czy operatorów stać w tej chwili na wymianę znacznej części działającej bezawaryjnie infrastruktury? Byłoby to olbrzymie wyzwanie techniczne i w dodatku bardzo kosztowne. Ostatnio Haitong Bank oszacował, że koszty pełnego zastąpienia dotychczas zainstalowanej w Polsce infrastruktury Huawei mogą sięgnąć około 2,5-2,9 mld zł.
Czy jednak eliminacja jednego czy grupy dostawców z dostaw 5G jest gwarancją, która zabezpieczy powstające sieci przed ryzykiem incydentów cyberbezpieczeństwa? Wydaje się, że pewniejszym rozwiązaniem jest postawienie bardzo konkretnych i ostrych wymagań związanych z bezpieczeństwem i kontrolą krytycznych elementów sieci 5G, np. poprzez certyfikację krytycznych składników infrastruktury. Eliminacja jakiegoś dostawcy niewiele też pomoże, jeśli nie będzie się prowadzić ciągłego monitoringu bezpieczeństwa w sieciach czy oszczędzać na zatrudnianiu wysokiej klasy specjalistów od cyberbezpieczeństwa w instytucjach odpowiedzialnych za ten obszar.
Oczywiście stosowanie strategii, która nie pozwala operatorom uzależniać się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej, jest właściwa, ale czy wyeliminowanie z tej grupy niektórych dostawców nie utrudnia spełnienia tego kryterium? Tym bardziej, że katalog dostawców mogących dostarczyć najwyższej klasy rozwiązania 5G jest i tak bardzo wąski.
Warto przyjrzeć się, jak do tej kwestii podeszło państwo, które bardzo poważnie podchodzi do bezpieczeństwa sieci 5G. W Niemczech Federalna Agencja ds. Sieci (Bundesnetzagentur - BnetzA) określiła bardzo konkretny katalog (listę) wymagań w zakresie bezpieczeństwa. Szczególnie pod lupę - według zaostrzonych kryteriów - będą brane te elementy infrastruktury, które realizują tzw. funkcje krytyczne.
Będą one musiały przejść przez proces certyfikacji, tj. po przeprowadzeniu odpowiedniej procedury technicznej zdobyć świadectwo, że dany komponent spełnia wymagania w zakresie bezpieczeństwa. Wydaje się, że nic nie stoi na przeszkodzie, by takie wymogi w zakresie certyfikacji wprowadzić także w Polsce na równych warunkach dla każdego.
Warto podkreślić, że niemieckie rozwiązanie powstało w oparciu o zestaw narzędzi ograniczających ryzyko w sieciach - unijny 5G toolbox (zestaw rekomendacji w zakresie budowy i zakupu sprzętu przeznaczonego do infrastruktury 5G) zatwierdzony w styczniu br. przez Komisję Europejską. Model ten oparty jest na współpracy operatora i dostawcy, w której ten drugi zobowiązuje się do ścisłej współpracy w zakresie bezpieczeństwa, w szczególności wczesnego informowania o nowych produktach i usługach.
Niemcy przyjęli w swym rozwiązaniu zasadę, że rozstrzygnięcia w zakresie cyberbezpieczeństwa sieci 5G powinny opierać się na mierzalnych i weryfikowalnych rozwiązaniach oraz jasnych procedurach. Warto pójść tą drogą, nie wplatając w to polityki, bo też budowa sieci 5G będzie dużym wysiłkiem inwestycyjnym dla operatorów, a powstające infrastruktura będzie służyć gospodarce i społeczeństwu przez wiele następnych lat. Pamiętajmy również, że architektura sieci składa się z kilku warstw, o różnym poziomie wrażliwości na incydenty bezpieczeństwa. Zależnie od poziomu ryzyk można i należy dobierać dostawców dla poszczególnych warstw sieci w oparciu o zasadę dywersyfikacji.
Należy więc dać szansę operatorom, by mogli wybierać najlepsze i najnowocześniejsze rozwiązania i oczywiście także te bezpieczne, ale sprawdzane w oparciu o jasne i weryfikowalne kryteria techniczne, a nie tylko na podstawie tego, z jakiego kraju pochodzi dany komponent. Z pewnością pozwoli to im wybudować sieci 5G sprawniej i bardziej efektywnie kosztowo. Klienci zaś będą mogli cieszyć się z zalet 5G szybciej i zapewne będą mogli też liczyć, że operatorzy nie przerzucą na nich kosztów, które musieliby ponieść, gdyby byli zmuszeni usuwać kupiony niedawno sprzęt.
Autor: Piotr Muszyński - doradca Prezydenta Pracodawców RP ds. Telekomunikacji, prezes Fixmap. Wcześniej pełnił funkcję wiceprezesa Orange, odpowiadając za strategię i transformację.
