Niemieckie zabezpieczenia sieci 5G. Jak kwestię bezpieczeństwa rozwiązano za Odrą?

14 sierpnia 2020, 13:56
5G_Niemcy
Fot. CyberDefence24.pl

„Niemcy przygotowały bardzo ciekawe rozwiązania w zakresie zapewnienia bezpieczeństwa sieciom 5G. W kategoriach benchmarków to z pewnością model nad którym warto się pochylić i zastanowić czy nie mógłby być zastosowany także w Polsce” – mówi profesor Maciej Rogalski z Uczelni Łazarskiego.

Polska w dalszym ciągu jest w trakcie tworzenia rozwiązań bezpieczeństwa odnoszących się do sieci nowej generacji. Pracując nad tak ważnymi kwestami, warto przeanalizować, jak z tym problemem poradziły sobie inne państwa, wyciągnąć dobre praktyki i sprawdzić czy można je przenieść również na polski grunt. O opinię w tym zakresie zapytaliśmy profesora Macieja Rogalskiego z Uczelni Łazarskiego.

„Bardzo dobrym przykładem rozwiązań, które w największym zakresie realizują wymagania w zakresie cyberbezpieczeństwa sieci 5G, a jednocześnie odpowiadają na oczekiwania przedsiębiorstw telekomunikacyjnych oraz służb odpowiedzialnych za bezpieczeństwo państwa i obywateli, są rozwiązania, które zostały zaprezentowane w Niemczech przez Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn, czyli niemieckiego regulatora zajmującego się m.in. rynkiem telekomunikacyjnym” – mówi profesor Rogalski.

„Niemcy już w kwietniu br. przygotowały opracowanie („Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG)”), gdzie zaprezentowali swoje podejście w zakresie cyberbezpieczeństwa, a niedawno (11 sierpnia br. – przyp. red.) przedstawili aktualizację tego modelu, który realizuje postanowienia paragrafu 109 niemieckiego prawa telekomunikacyjnego” – podkreślił profesor.

Przede wszystkim Niemcy stworzyli katalog wymagań w zakresie bezpieczeństwa. Niemiecki rząd zakłada, że ich realizacja zapewni bezpieczeństwo lub przynajmniej ograniczy negatywne oddziaływania. „Przygotowana została lista wymagań, które muszą być spełnione dla zapewnienia bezpieczeństwa. Przykładowo częścią tych wymagań jest zidentyfikowanie składników infrastruktury telekomunikacyjnej dla 5G, które posiadają charakter krytyczny. Z kolei elementami krytycznymi infrastruktury są te jej składniki, które realizują funkcje krytyczne. W opracowaniu tym są także wymienione w formie listy funkcje krytyczne, do których zalicza się przykładowo funkcję infrastruktury telekomunikacyjnej zapewniającej podsłuch czy przechwytywanie danych telekomunikacyjnych. Podejście to jest zdecydowanie właściwe, gdyż infrastruktura telekomunikacyjna składa się z tysięcy elementów, których znaczenie i realizowane funkcje są różne. Brak uzasadnienia do jednakowego traktowania składników infrastruktury, które posiadają różne znaczenie” – tłumaczy profesor.

„W dokumencie niemieckiego regulatora jest przewidziana także, jako element omawianego modelu, certyfikacja składników infrastruktury, które uznane zostały za krytyczne. Certyfikacja, oznacza wydawanie, po przeprowadzeniu odpowiedniej procedury technicznej, swoistej gwarancji, że dany komponent spełnia wymagania w zakresie bezpieczeństwa. W UE obowiązują już przepisy w zakresie certyfikacji. W Polsce trwa obecnie proces wypracowywania krajowych rozwiązań w zakresie certyfikacji. Z pewnością więc proces certyfikacji mógłby się odbywać także w Polsce” tłumaczy prof. Rogalski.

„Niemcy wprowadzają też rozwiązania bezpośrednio odnoszące się do dostawców. Ich podejście nie opiera się tylko na tych kryteriach, które pojawiły się w dokumentach Unii Europejskiej, a w szczególności w Toolbox 5G (czyli zestawienie rekomendacji w zakresie budowy i zakupu sprzętu przeznaczonego do infrastruktury 5G). Model ten oparty jest współpracy operatora i dostawcy. Istotną jego częścią jest deklaracja wiarygodności od dostawców źródła pochodzenia wyposażenia telekomunikacyjnego. Dostawca zobowiązuje się do ścisłej współpracy w zakresie bezpieczeństwa, w szczególności wczesnego informowania o nowych produktach i usługach. Powinna być także realizowana strategia wielu dostawców” – mówi ekspert z Uczelni Łazarskiego.   

Profesor wytłumaczył również, jakie są konsekwencje niestosowania się do zaproponowanych rozwiązań bezpieczeństwa. „Przewidziane są kary dla dostawcy, jeżeli pojawią się uchybienia. W przypadku, gdy uchybienia będą kwalifikowały się jako incydent bezpieczeństwa, informacja o nim będzie przekazywana do regulatora. Generalnie więc niemieckie podejście opera się na weryfikacji technicznej, która ma pozwolić na sprawdzenie czy sprzęt telekomunikacyjny spełnia wymagania w zakresie bezpieczeństwa” – mówi ekspert.

Rogalski ocenia bardzo dobrze niemieckie podejście, z uwagi, że koncentruje się ono na kwestiach technologicznych, które są weryfikowalne, a nie wyłącznie na determinowaniu z jakiego kraju pochodzi produkt. Niemieckie podejście zapewnia odpowiedni stopień profesjonalizacji weryfikacji. Wykładowca Uczelni Łazarskiego dodaje, że kwestie poza technologiczne, np. polityczne, są trudne do zweryfikowania. Nie wiadomo kto miałby je przeprowadzać i w oparciu o jakie narzędzia. „Wydaje się, że ten kierunek jest bardzo przemyślany i dobry, a zwłaszcza, że jest to koncepcja stworzona w największym kraju Unii Europejskiej z największym rynkiem telekomunikacyjnym” – przypomina ekspert.

Czy zatem rozwiązania niemieckie można przenieść na grunt polski? „Jeżeli chodzi o Polskę, to przede wszystkim trzeba zauważyć, że już sporo zrobiono w zakresie implementacji rozwiązań przewidzianych w Toolbox. Przykładowo w rozporządzeniu z dnia 22 czerwca 2020 r., które zostało opublikowane w oparciu o artykuł 175d Prawa telekomunikacyjnego w paragrafie trzecim jest już mowa o dywersyfikacji dostawców” – przypomina profesor. Polski rząd informując odpowiednie agendy UE w zakresie realizacji Toolboxa mówił, co dotychczas już zrealizowaliśmy. W ostatnich dniach został opublikowany również projekt Prawa komunikacji elektronicznej, który zawiera przepisy dotyczące kwestii bezpieczeństwa.

Ekspert podkreśla, że jego zdaniem przeniesienie niemieckich rozwiązań do Polski jest jak najbardziej możliwe. „Jest to mierzalne i weryfikowalne rozwiązanie, które można wprowadzić poprzez przepisy prawa powszechnie obowiązującego czy też poprzez wytyczne regulatora” – uważa profesor. „Ważne jest, aby nie były to kryteria, które są niedefiniowalne i posługują się niedookreślonymi pojęciami, które są bardzo trudne do zweryfikowania i dokonania oceny. Powinna być również zapewniona odpowiednia procedura, jeżeli byłyby podejmowane rozstrzygnięcia, co do danego dostawcy. Powinny być wreszcie zapewnione środki odwoławcze od decyzji w  sprawie danego dostawcy do sądu, który mógłby zweryfikować decyzję odpowiedniego organu”.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24