Niebawem jeszcze operatorzy stracą kontrolę nad komunikacją tekstową, kiedy RCS wyprze SMS-y.
Czy to ma skutki czysto biznesowe?
Owszem, jeżeli komercyjna usługa bazuje, na przykład, na DNS. W takiej sytuacji operator może stracić możliwość oferowania usług w rodzaju kontroli rodzicielskiej.
Macie na to jakiś wpływ?
To wynika z wyboru użytkowników końcowych, którzy (nie wiedzieć czemu) często uważają, że globalna firma technologiczna może zrobić dla nich coś więcej lub lepiej niż lokalny podmiot ‒ poddany lokalnym przepisom prawa i lokalnym urzędom regulacyjnym (jakby najwięcej phishingu nie było właśnie na największych portalach społecznościowych, w największych serwisach wideo, czy w największych wyszukiwarkach internetowych). Współczuję też polskiej policji i prokuraturze, jeżeli będzie musiała pytać Big Techy o użytkowników i generowany przez nich ruch w sieci...
Telekomy stopniowo tracą narzędzia przeciwdziałania cyberprzestępstwom i źródło inteligencji jakim te narzędzia zasilają. Pozostaje nam ostatni przyczółek…
Jaki?
Domowe urządzenia abonenckie, które również mogą być elementem platformy cyberochrony. Do tej pory główną barierą była wydajność tych urządzeń. Dzisiaj to jest jeszcze w powijakach, chociaż są już na rynku routery, które realizują funkcję cyberochrony.
Co wam daje dostęp do urządzeń domowych? Przecież ruch nadal realizowany jest w sieci.
Zyskujemy dodatkowe narzędzia zarządzania tym ruchem, czym można równoważyć negatywne trendy, o których wspomniałem wcześniej. Jeżeli zaś klient się zgodzi, to możemy mu pomóc w zarządzaniu i zabezpieczaniu jego sieci domowej.
Planujecie takie rozwiązania w urządzeniach domowych pod marką Orange?
W Grupie Orange szykujemy się do wprowadzenia na CPE otwartego systemu operacyjnego, co otwiera drogę do bardzo różnorakich rozwiązań, w tym z zakresu cyberbezpieczeństwa.
Działania Big Techów często oznaczają regulacje. Na ile w pana pracy ważą ostatnio dokonane i jeszcze planowane zmiany w prawie dotyczące bezpieczeństwa w sieci?
Istnieje bazowy zestaw regulacji: niegdyś Prawo telekomunikacyjne, teraz Prawo komunikacji elektronicznej. W dziedzinie cyberbezpieczeństwa ani jedno, ani drugie za dużo nie pomaga... Jest także dyrektywa NIS, która nakłada obowiązek raportowania incydentów sieciowych; jest też RODO, które dotyczy ochrony informacji osobowych.
Z najświeższych aktów prawnych ważna jest ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. To jest ewenement na skalę europejską. Nie znam kraju, w którym oferowano by pakiet cyberbezpieczeństwa na zasadzie usługi publicznej (na skalę globalną punktem odniesienia jest Australia).
Ekosystem prawny jest dosyć dynamiczny. Trudno za nim nadążyć?
W Orange, gdzie wiele w tym obszarze robimy od lat, nie jest to znowu takie trudne. Zbliża się wdrożenie dyrektywy NIS2 i też nie spodziewam się, żeby to było dla nas kłopotliwe, bo pod wieloma względami jesteśmy już gotowi.
Jak się pan odnajduje w tym prawnym ADHD?
Problematyka jest ważna, więc rozumiem zainteresowanie decydentów. Nie negując potrzeby regulacji, życzyłbym sobie tylko, żeby ustawy i dyrektywy nie przesłaniały tego, co realnie dzieje się w sieci i z jakimi zagrożeniami mamy dzisiaj do czynienia. Bo to niekoniecznie jest to samo. Dostawcy usług sieciowych mają identyfikować prawdziwe zagrożenia i je neutralizować, a nie zastanawiać się, jakie procedury wynikają z ostatnich aktów prawnych i jak się do nich dostosować. Nie chciałbym, aby w pionach bezpieczeństwa prawnicy zaczęli wypierać inżynierów.
Ostatnie pytanie. Gdzie leży punkt ciężkości cyberbezpieczeństwa na poziomie sieciowym: na dbałości o nieprzeciążanie sieci zbędnym ruchem, czy na bezpieczeństwie klientów (czytaj: na jakości usług)?
Bez wątpienia ważne są obydwa czynniki, ale bez filtrowania ruchu nasza sieć też nie uległaby przeciążeniu (z tego punktu widzenia najważniejsze jest pewnie blokowanie ataków DDoS). Korzyści po stronie jakości usług są zdecydowanie wyraźniejsze. Dodam, że klient końcowy niekoniecznie sobie jeszcze zdaje z tego sprawę. Świadomość cyberzagrożeń rośnie powoli.
Dziękujemy za rozmowę.
rozmawiali Łukasz Dec i Wojciech Piechocki
[materiał powstał we współpracy z Orange Polska]
Czytaj także:
Cyberbezpieczeństwo w firmach, czyli analiza podatności i szacowanie ryzyka
Jak nabyć w Polsce stadnej e-odporności na oszustwa?