Ekspertyza powstała na zlecenie Akademii Sztuki Wojennej w momencie, gdy trwa ożywiona dyskusja medialna i polityczna nad kwestią dopuszczalności wprowadzenia ograniczeń dla niektórych dostawców komponentów do budowy sieci nowej generacji (5G).
W nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa pojawiły się stosowne propozycje zapisów w celu umożliwienia eliminowania z rynku tzw. dostawców wysokiego ryzyka. W dyskusji publicznej, jaka toczy się w związku z tą propozycją, argumenty merytoryczne są specjalnie mieszane z elementami dezinformacji, a czasem wręcz z kłamstwami.
Ekspertyza ta porządkuje wiedzę na ten temat w trzech podstawowych obszarach: wynikającym z miejsca Polski w Unii Europejskiej oraz jako jednego z 30 państw Traktatu Północnoatlantyckiego, technologicznym i prawnym.
Pierwsze dwa obszary są oparte na analizie obszernego zakresu publikacji światowych, europejskich i polskich dotyczących omawianego zagadnienia, udokumentowanego licznymi odnośnikami do źródeł, trzeci obszar – analizy prawnej, poza odniesieniami do źródeł, opiera się na praktycznej wiedzy autorów uczestniczących w poprzednich latach w procesach stanowienia prawa.
We wstępie pokazano ogólny kontekst problematyki w podziale na obszar polityki i technologii. To wprowadzenie ma ułatwić dalsze poruszanie się w tematyce.
W części pierwszej – Geopolityka omówiono międzynarodowy kontekst problemu, pokazując występujące zagrożenia i reakcje na nie krajów członkowskich UE oraz NATO. Pokazano w niej także zachowania krajów potencjalnie uważanych za zagrażające cyberbezpieczeństwu, jak Chiny, Rosja, oraz ich wzajemne powiązania. Sojusz Chiny-Rosja budzi nasze najwyższe zaniepokojenie z powodu sytuacji na wschodniej granicy RP w związku z możliwością użycia wszelkich sposobów i środków cyberataków ataków, a także stosowania szantażu wobec polskich władz publicznych i firm. Poddano analizie politykę globalną Chin, a w szczególności powiązania pomiędzy aparatem politycznym i służb specjalnych Chin a warunkami funkcjonowania chińskich podmiotów gospodarczych o charakterze globalnym. Istnieje wiele dowodów, przedstawionych w kolejnych rozdziałach opracowania, na to, że Huawei i ZTE znajdują się pod bezpośrednim wpływem Komunistycznej Partii Chin i jej władz oraz że mają bezpośrednie związki z sektorem militarnym oraz służbami specjalnymi odpowiedzialnymi za ataki na sojuszników w NATO i UE. Podano przykłady polityki gospodarczej i protekcjonistycznej ze strony ChRL oraz przykłady incydentów cyberbezpieczeństwa będących skutkiem tych podatności i zagrożeń, a ich obszar obejmuje największe kraje UE i NATO. Wymieniono też przykłady uczestnictwa w tych incydentach wielu różnych chińskich firm.
Aby lepiej zrozumieć istotę występujących zagrożeń, w części drugiej szczegółowo omówiono kontekst techniczny cyberbezpieczeństwa sieci telekomunikacyjnych nowej generacji. Zaprezentowano typowe wektory ataków na bezpieczeństwo sieci i dokonano ich charakterystyki w warstwie zarządzającej i kontrolnej. W osobnym rozdziale omówiono ryzyka związane z budową sieci 5G w Polsce. W analizie podkreślono zagrożenia związane z groźbami związanymi z brakiem dostatecznie silnych narzędzi dywersyfikacji dostawców z państw spoza UE i NATO, potencjalne i wykryte, i ujawnione przypadki naruszeń standardów zaufania do chińskich dostawców oraz uwzględniono ryzyka wynikające ze świadomej dezinformacji. Na podstawie danych Urzędu Komunikacji Elektronicznej oraz opublikowanych danych i analiz udokumentowano bezpodstawność mitu o gigantycznych kosztach, jakie mogą być związane z uznaniem chińskiego dostawcy za dostawcę wysokiego ryzyka.
W części trzeciej – prawnej omówiono niektóre regulacje światowe wprowadzające ograniczenia dla Dostawcy Wysokiego Ryzyka. Przestawiono regulacje Unii Europejskiej, a wśród nich uwarunkowania prawne i techniczno-organizacyjne wynikające z Toolbox 5G. To ten dokument, który powstał w wyniku ogólnounijnej analizy ryzyk, wskazał przede wszystkim na zagrożenia ze strony państw spoza UE i NATO dla budowy sieci 5G. Dużo miejsca poświęcono tu możliwości stosowania w polskich rozwiązaniach technologii wypracowanych w polskich warunkach.
Część czwartą poświęcono szczegółowemu omówieniu zapisów propozycji nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa w kontekście wprowadzanej tą nowelizacją do polskiego porządku prawnego instytucji prawnej – Dostawcy Wysokiego Ryzyka. Zdaniem autorów ekspertyzy jest to aspekt kluczowy dla zapewnienia wpływu państwa na bezpieczeństwo tej sieci.
Zapraszamy do lektury raportu, który dostępny jest zamieszczony na naszej stronie.Załącznikiem do opracowania jest dokument opracowany przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) pt. „Labelling Cybersecurity Certification”.