Poprawa cyberbezpieczeństwa lub pozbycie się „niepożądanych” marek

Jeszcze w lutym 2023 r. Parlament Europejski na odprawie rozpatrzył i podpisał Dyrektywę Unii Europejskiej 2022/2555, lepiej znaną jako NIS2, która ma na celu zwiększenie poziomu cyberbezpieczeństwa w Unii. Główne postanowienia dyrektywy obejmują następujące kluczowe aspekty:

1. Rozszerzony zasięg: NIS2 rozszerza kategorie organizacji objętych dyrektywą. Dotyczy to obecnie zarówno organizacji „istotnych”, jak i „ważnych”. Kluczowe organizacje obejmują przedsiębiorstwa energetyczne, usługi transportowe, banki, infrastrukturę rynku finansowego, opiekę zdrowotną, infrastrukturę cyfrową i agencje rządowe. Do ważnych organizacji zaliczają się usługi pocztowe, przemysł chemiczny, spożywczy, producenci wyrobów medycznych i inne.
2. Obowiązkowe minimalne kontrole bezpieczeństwa: NIS2 wymaga od wszystkich organizacji wdrożenia co najmniej 10 podstawowych elementów bezpieczeństwa, w tym obsługi incydentów, bezpieczeństwa łańcucha dostaw, stosowania kryptografii, ciągłości działania i podstawowej higieny cybernetycznej (takiej jak uwierzytelnianie wieloskładnikowe i szkolenie personelu) (Blog Infoblox) (DataGuard).
3. Zgłaszanie incydentów cybernetycznych: Dyrektywa ustanawia wielopoziomowy system zgłaszania incydentów z rygorystycznymi terminami. Organizacje muszą zgłaszać znaczące incydenty swojemu zespołowi CSIRT (zespołowi reagowania na incydenty komputerowe) lub właściwemu organowi w ciągu 24 godzin od wykrycia incydentu, po których następuje 72 godziny na powiadomienie i, jeśli to konieczne, tymczasowe raportowanie.
4. Zarządzanie ryzykiem: Organizacje powinny regularnie przeprowadzać oceny ryzyka swoich systemów informatycznych, identyfikować potencjalne zagrożenia i słabe punkty oraz podejmować kroki w celu ich ograniczenia. Obejmuje to opracowanie planów ciągłości działania i odzyskiwania po incydentach, aby zminimalizować przestoje i zapewnić ciągłość kluczowych usług.
5. Sankcje i środki egzekwowania prawa: Organy krajowe mają prawo zastosować dodatkowe środki, takie jak nakazy zawieszenia lub ograniczenia działalności organizacji w celu ochrony bezpieczeństwa sieci i systemów informatycznych (DataGuard).

Co to oznacza w prostych słowach? Oznacza to, że nie każdy sprzęt może być obecnie dostarczony przez dostawców Internetu (ISP) i dostawców usług telefonicznych, a jedynie taki, który spełnia określone wymagania i certyfikaty.
A sprzęt znanych chińskich firm, takich jak Huawei i ZTE, wpada w tę strefę ryzyka (choć żadne dokumenty nie wspominają o nazwie żadnego kraju ani firmy). W kontekście sprzętu chińskich firm główne obawy dotyczą aspektów bezpieczeństwa łańcuchów dostaw oraz zagrożeń związanych z wykorzystaniem sprzętu i technologii pochodzących z krajów spoza UE, w tym z Chin. Zagraża to całemu już zainstalowanemu sprzętowi tych chińskich marek. Podmioty uznane za krytyczne i ważne otrzymają siedem lat na usunięcie takiego sprzętu lub oprogramowania. Jednakże przedsiębiorcy telekomunikacyjni, których roczny przychód z działalności telekomunikacyjnej w poprzednim roku obrotowym przekroczył 10 mln zł, będą musieli to zrobić w ciągu czterech lat – przepis ten dotyczy urządzeń odpowiedzialnych za usługi krytyczne dla bezpieczeństwa sieci. Próg przychodów na poziomie 10 mln zł przekroczyło już wielu średnich, lokalnych dostawców usług internetowych, co oznacza, że reżimowi będą podlegać nie tylko największe firmy telekomunikacyjne, np. budujące sieci 5G.

Jak wiadomo Stany Zjednoczone nałożyły zakaz korzystania ze sprzętu sieciowego chińskich firm takich jak Huawei i ZTE, wynika to z działań mających na celu zapewnienie bezpieczeństwa narodowego. Amerykańska Federalna Komisja Łączności (FCC) podjęła decyzję o zakazie udzielania zezwoleń i używania sprzętu tych firm, ponieważ uważa się je za zagrożenie dla bezpieczeństwa narodowego. Posunięcie to było częścią wdrożenia ustawy SAFE Equipment Act z 2021 r., która ma na celu zapobieganie ryzyku związanemu z użytkowaniem obcego sprzętu w infrastrukturze krytycznej (Federal Communications Commission).

Zgodnie z nowymi przepisami amerykańskie firmy muszą pozbyć się sprzętu chińskich firm, który został uznany za zagrożenie dla bezpieczeństwa narodowego. Środki te obejmują wymianę istniejącego sprzętu oraz zakaz jego dalszego zakupu i użytkowania (Orrick).

Ze względu na niestabilną sytuację polityczną na świecie, gdy Chiny są bardziej skłonne do Wschodu, wiele krajów widzi w swoich technologiach zagrożenie ze strony Chin, dlatego starają się ograniczać do stosowania chińskiego sprzętu na infrastrukturze krytycznej (w obawie przed szpiegostwem lub sabotażem ).

Hiszpania przekazała już ponad 500 mln euro pomocy na rozwój sieci 5G na obszarach wiejskich, ale stwierdziła, że niektórzy dostawcy uznani za „wysokiego ryzyka” zostaną wykluczeni z programu. Hiszpański oddział Huawei wszczął tzw. procedurę. „apelacja administracyjna”, w której zarzucono, że wykluczenie poszczególnych dostawców jest „nieproporcjonalne”, „motywowane politycznie” i po prostu nielegalne. Od czerwca 2023 r. Komisja Europejska wywiera presję na kraje UE, zachęcając je do rezygnacji ze sprzętu Huawei i ZTE. Jednocześnie Niemcy i w mniejszym stopniu Hiszpania w większym stopniu niż inne w UE polegają na sprzęcie niektórych chińskich marek, do tego stopnia, że UE uważa to za „niedopuszczalne”. Niemcy już rozważają rezygnację z takiego sprzętu, a chińska ambasada oświadczyła, że ChRL „nie pozostanie obojętna” na tak nieprzyjazne posunięcia.

W Hiszpanii 38% sieci 5G według stanu na grudzień 2022 r. jest zbudowanych na sprzęcie Huawei, a w Niemczech mówimy o 59% (17% we Francji i 51% we Włoszech). Wiadomo, że Huawei złożył już w Portugalii apelację od decyzji zakazującej lokalnym operatorom wykorzystywania sprzętu firmy do budowy sieci 5G.

Co te wszystkie modne hasła o cyberbezpieczeństwu oznaczają dla przeciętnego internauty i co się dla niego zmieni? Tak, w zasadzie nic się nie zmieni, wszystkie te przepisy i poprawki spoczywają na głowach dostawców Internetu i komunikacji. Jeśli jednak prawo wejdzie w życie, a operator nie zmieni sprzętu lub po prostu nie będzie na to gotowy, prawdopodobnie zniknie Twój Internet domowy, zniknie Internet mobilny, a Twoje połączenie 5G zostanie zerwane. A najgorsze jest to, że przeciętny użytkownik nie będzie mógł nic zmienić; będzie musiał jedynie poczekać, aż operator podejmie niezbędne działania, aby szybko rozwiązać obecną sytuację. A jeśli operator nie ma sprzętu zastępczego, odłączenie od komunikacji i Internetu może trwać nie tylko kilka godzin, ale także kilka dni, a nawet miesięcy.

Dyrektywa Unii Europejskiej NIS2 wyznacza ambitne cele w zakresie poprawy cyberbezpieczeństwa poprzez rozszerzenie zakresu organizacji nią objętych oraz ustanowienie rygorystycznych wymogów w zakresie bezpieczeństwa i raportowania. Istotną konsekwencją tych działań jest zaostrzenie wymagań wobec sprzętu, z którego korzystają dostawcy usług internetowych oraz firmy telekomunikacyjne, co jest szczególnie istotne w świetle obecnych ograniczeń nałożonych na sprzęt chińskich producentów, takich jak Huawei i ZTE. Zmiany te mogą znacząco wpłynąć na strukturę rynku telekomunikacyjnego w Europie, przyspieszając modernizację sprzętu sieciowego i zwiększając ogólny poziom cyberodporności w strategicznie ważnych branżach. Jednocześnie dyrektywa ta wzmacnia pozycję Unii Europejskiej na globalnej arenie cyberbezpieczeństwa, zapewniając ściślejszą kontrolę nad źródłami ewentualnych zagrożeń i dostosowując wymogi bezpieczeństwa do wiodących światowych standardów.
Dyrektywa ta może także znacząco wpłynąć na sprzęt ISP na polskim rynku telekomunikacyjnym. Dostawcy Internetu i operatorzy telekomunikacyjni mają nadzieję, że Minister Cyfryzacji nie będzie próbował piętnować chińskich firm jako dostawców wysokiego ryzyka, a regulacje będą jedynie zagrożeniem. Zawsze jednak warto mieć na uwadze, że polityka i sytuacja międzynarodowa mogą popchnąć polski rząd do jeszcze szybszych działań i konkretnych decyzji.

Autor:
Aliaksandr Roslikau