W 2017 roku Amerykanie zakazali wszystkim swoim rządowym instytucjom korzystania z oprogramowania antywirusowego Kaspersky, bo ustalili, że pomaga ono rosyjskim służbom. W Polsce wciąż nie ma podstaw prawnych do podjęcia takiej decyzji, ale wkrótce to się zmieni.
Czytaj, co jeszcze przewiduje projekt nowelizacji ustawy o cyberbezpieczeństwie >>
Za sprawą nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, przygotowanej przez Ministerstwo Cyfryzacji, dostawcy uznani przez Kolegium do spraw bezpieczeństwa za ryzykownych, znikną z rynku. Ponad 2 tys. podmiotów krajowego systemu cyberbezpieczeństwa, w tym firmy energetyczne, transportowe, telekomunikacyjne, banki, nie będą mogły korzystać z produktów takiego dostawcy, a posiadane będą musiały wymienić na inne. Może chodzić o komputery, telefony, słuchawki, systemy informatyczne: operacyjne, obiegu dokumentów, analityczne, itd.
Nawet dostawcy o umiarkowanym ryzyku muszą się liczyć z tym, że ich produkty nie będą kupowane. Korzystającym z produktów zakazanego dostawcy będzie groziła kara w wysokości do 3 proc. obrotów. Mówi się, że nowe przepisy mają uderzyć w Huawei i korzystające z jego produktów telekomy, ale mogą też w każdego dostawcę nowych technologii, np. właścicieli mediów społecznościowych i firmy z nimi kooperujące. Część ekspertów uważa, że w obecnych czasach to konieczność, inni widzą zagrożenia.
Nowe zasady eliminacji niebezpiecznych dostawców technologii
Zgodnie z nowelizacją, kolegium do spraw bezpieczeństwa będzie mogło sporządzić ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa. W szczególności kolegium ma przeanalizować zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym, prawdopodobieństwo, czy dostawca znajduje się pod wpływem państwa spoza UE lub NATO, w tym uwzględnić stopień i rodzaj powiązań pomiędzy dostawcą a państwem, prawodawstwo w zakresie ochrony praw obywatelskich i praw człowieka, ochrony danych osobowych, strukturę własnościową.
Czy to dobre kryteria? – Zasady są napisane neutralnie, co należy ocenić pozytywnie – ocenia Łukasz Olejnik, niezależny ekspert do spraw cyberbezpieczeństwa, autor bloga Prywatnik.pl. - Nie podana jest nazwa żadnej firmy, np. na literę “H”, ani nawet państwo, np. takie na “Ch”. Nie są nawet wymienione rodzaje systemów, np. sieci społecznościowych do wrzucania śmiesznych filmików, albo oprogramowania antywirusowego. Jest to taki mechanizm merytoryczno-polityczny, bo nie oszukujmy się, to będą decyzje polityczne, choć mają być “poinformowane” obiektywnie. Jak zadziała w praktyce - to się okaże – mówi ekspert. I dodaje, że dziś nie ma wątpliwości, że technologie mają bezpośredni i pośredni wpływ na prawa i wolności ludzi, oraz prawa człowieka.
- Zatem formalnie takie zasady nie dziwią. Zawsze pozostaną jednak kwestie praktycznego egzekwowania. Przykładowo, czy Kolegium będzie dysponowało niezależną opinią o sytuacji praw człowieka w danym państwie? – pyta. Zwraca też uwagę, że kryteria odnoszą się też do tzw. państw trzecich w rozumieniu RODO, czyli takich, z którymi nie ma odpowiedniej umowy o wymianie danych. Obecnie Unia za sprawą wyroku TSUE w sprawie Schrems 2 nie ma jej z USA, po Brexicie może nie mieć jej z Wielką Brytanią.
Szerokie kryteria są niezbędne
O tym, że szerokie kryteria są niezbędne przekonany jest też Michał Kanownik, prezes Związku Cyfrowa Polska. - Ustawa musi być ogólna, dawać szerokie i narzędzia. Dyskutując o cyberbezpieczeństwie, o wykluczeniu danego dostawcy, nie mówimy bowiem o interesie danego podmiotu, tylko o naszym bezpieczeństwie narodowym i interesie całego państwa. To absolutny priorytet, który niektórzy chyba trochę lekceważą lub nie dostrzegają przyszłych zagrożeń. A dziś zagrożenie z cyberprzestrzeni jest dużo bardziej prawdopodobne niż tradycyjne – siłowe - ocenia Kanownik.
Czytaj w LEX: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >>
Rezygnacja z produktu, albo kara
Kolegium może określić ryzyko na poziomie wysokim, umiarkowanym niskim lub wskazać jego brak. Wysokie ryzyko oznacza poważne zagrożenie dla cyberbezpieczeństwa i nie ma szans na jego zmniejszenie. Korzystający z produktów lub usług takiego ryzykownego dostawcy będą musieli wymienić je na nowe w ciągu pięciu lat. Nie będą mogli też zamawiać nowych od dnia ogłoszenia oceny w Monitorze Polskim. Taki dostawca będzie automatycznie wykluczony z rynku zamówień publicznych. W praktyce podwykonawcy banków, firm telekomunikacyjnych, energetycznych też będą musieli zmienić oprogramowanie czy inne narzędzia.
- Umiarkowana ocena powoduje, że można nadal korzystać z posiadanego już sprzętu i oprogramowania, ale nie można wprowadzać nowego. - Co niektórzy uznają taką za decyzję restrykcyjną, ale pewnym podmiotom pozwoli to zachować twarz - ocenia Łukasz Olejnik. Co ważne, podmioty, które będą kooperować z ryzykownym dostawcą mogą otrzymać karę w wysokości do 3 proc. rocznego obrotu, a te współpracujące z umiarkowanie ryzykownym – do 1 proc. Niższe kary – wynoszące do 100 tys. zł – przewidziano tylko dla podmiotów publicznych. – Proponowane zasady nie powinny dziwić, bo mówimy o cyberbezpieczeństwie kraju– ocenia Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners. - Dzięki realnym sankcjom może skończą się czasy „hulaj dusza”. Czas na wycofanie 5 lat to sporo, nie widzę tu problemów o - dodaje. Marek Zagórski, minister cyfryzacji, wyjaśnia, że przepis został zaprojektowany tak, by operacja eliminowania sprzętu od dostawców wysokiego ryzyka była jak najmniej dolegliwa dla operatorów, żeby to się nie wiązało z koniecznością pozbycia się sprzętu, który jest sprawny, a na który zostały poniesione jakieś nakłady. Według analiz MC naturalny cykl wymiany sprzętu to około 3-5 lat. Rząd nie planuje żadnych rekompensat za wymianę sprzętu na nowy. Mec. Gawroński zagrożenie widzi w nieproporcjonalnści wysokości kary dla sektora prywatnego i publicznego. - Myślę, że niektórym podmiotom publicznym narażającym Polaków na niebezpieczeństwo powinny grozić wyższe kary – ocenia mec. Gawroński. Inni prawnicy widzą jednak problemy.
Czytaj w LEX: Praktyczne konsekwencje dla banków stosowania Ustawy o krajowym systemie cyberbezpieczeństwa >>
Odwołanie rozpatrzy to samo kolegium
Dyskusję wśród ekspertów wzbudza też procedura odwoławcza. Ryzykowny dostawca będzie mógł odwołać się od oceny w ciągu 14 dni od jej publikacji. Kolegium na jej rozpatrzenie będzie miało dwa miesiące. W tym czasie jednak korzystający z jego usług będą musieli wstrzymać nowe zamówienia. Dr Arwid Mednis, radca prawny, partner w kancelarii Kobylańska Lewoszewski Mednis zauważa, że proponowane środki odwoławcze są iluzoryczne, bo odwołanie od oceny będzie rozpatrywało to samo kolegium, które ją wydało. - Ocena nie będzie decyzją administracyjną, więc jej weryfikacja kończy się na kolegium, nie dokona jej na przykład sąd. Obowiązek wycofania spoczywa na podmiotach krajowego systemu cyberbezpieczeństwa, czyli np. na bankach, a nie na dostawcach. W praktyce więc odwołanie się dostawcy niewiele da, bo nie ma przewidzianej kontroli nad gronem ludzi, którzy mogą nakazać np. wycofanie urządzeń z całej sieci. To nie jest pożądany standard – ocenia dr Mednis.
Czytaj w LEX: Zakres podmiotowy zastosowania ustawy o cyberbezpieczeństwie w sektorze ochrony zdrowia >>
Mec. Gawroński uważa, że sądy nie mogą zajmować się oceną ryzyka. - Jakiekolwiek decyzje będą podejmowane, będą miały z konieczności podłoże polityczne, a zapewne taki efekt. Będą więc miały charakter merytoryczno-polityczny. Będą podejmowane na bazie ściśle tajnych danych dostarczonych przez służby i specjalistów. Informacje te nie zawsze jednak będą pewne, a ich źródła niekoniecznie zostaną ujawnione - wyjaśnia Gawroński. Przyznaje jednak, że potrzebny będzie jakiś mechanizm kontrolny, na przykład rozdzielenie grup decydentów, żeby ponowne rozpoznanie sprawy nie było fikcją. - Alternatywą mogłaby być jedynie wyspecjalizowana izba sądu administracyjnego, z dostępem do informacji o wysokiej klauzuli niejawności, ale czym by się tak izba różniła od sądu kapturowego - pyta mec. Gawroński.
Michał Kanownik zwraca uwagę, że służby często nie mogą publicznie powiedzieć, dlaczego dany dostawca nie spełnia wymagań i z tego powodu podjętych decyzji nie może kontrolować sąd. Dodaje jednak, że proponowane przepisy to krok w dobrym kierunku, bo cyberbezpieczeństwo jest niezwykle ważne, a zagrożona atakami jest także administracja samorządowa, co pokazuje przykład Kościerzyny. Pod koniec listopada 2019 roku Urząd Gminy Kościerzyna został zaatakowany przez cyberprzestępców - dane urzędu zostały zaszyfrowane, a za odszyfrowanie plików przestępcy żądali okupu. Ireneusz Piecuch, partner zarządzający w kancelarii IMP i Michał Kibil, uważa jednak, że kolegium dostanie zbyt duże uprawnienia, co w połączeniu z brakiem niezależnej weryfikacji podejmowanych działań może naruszać słuszne interesy przedsiębiorców.
Przewodniczącym kolegium jest premier, a jego skład wchodzą: pełnomocnik rządu ds. cyberbezpieczeństwa (obecnie to Marek Zagórski, minister cyfryzacji), ministrowie: spraw wewnętrznych, obrony narodowej. Spraw zagranicznych, szef kancelarii premiera, szef Biura Bezpieczeństwa Narodowego, minister do spraw koordynowania działalności służb specjalnych lub osoba przez niego upoważniona. W obradach Kolegium uczestniczą dyrektor Rządowego Centrum Bezpieczeństwa, szefowie ABW, Służby Kontrwywiadu Wojskowego, dyrektor Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (NASK).
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.