Telekomy mogą odegrać rolę w kontroli bezpieczeństwa sieci

Bez udziału tzw. „służb trzyliterowych”?

Nie wyobrażam sobie, żeby model czy proces certyfikacji powstał bez ich udziału.

Z całym szacunkiem dla Ministerstwa Cyfryzacji, zastanawiałbym się, czy na pewno powinno kierować takim systemem certyfikacji? Podstawowym celem tego resortu jest przecież zapewnienie dostępności usług cyfrowych w Polsce, a nie bezpieczeństwo.

Z pewnością można o tym dyskutować. Być może kierowniczą rolę w systemie certyfikacji powinien odgrywać pełnomocnik rządu ds. cyberbezpieczeństwa, który mógłby skutecznie koordynować współpracę różnych agend publicznych? Dzisiaj jednak odpowiedzialność za cyberbezpieczeństwo jest przypisana do ministra cyfryzacji.

Tylko czy taki system certyfikacji byłby szczelny? Nie ma przecież możliwości poddania badaniu każdego urządzenia ulokowana w sieci telekomunikacyjnej?

Uważam, że w tym systemie istotną rolę powinni odegrać sami operatorzy telekomunikacyjni. Podmioty te są zobowiązane do wykorzystywania własnej infrastruktury zgodnie z prawem. Ciążą na nich konkretne obowiązki związane z ochroną danych klientów. W tych firmach istnieją odpowiednie piony bezpieczeństwa z bardzo kompetentnymi pracownikami, przyjęte standardy i opracowane procedury działania.

Może w takim razie należałoby strukturalnie wciągnąć telekomy do systemu kontroli bezpieczeństwa sieci, łącznie z jakąś formą odpowiedzialności za szczelność? To przecież oni kontrolują każde urządzenie w sieci. To by pewnie oznaczało dla nich (obok już licznych) nowe obowiązki, ale może lepiej je podjąć, niż czekać na kolejne niespodzianki legislacyjne, czy borykać się z niepewnością co do statusu poszczególnych dostawców sprzętu?

Z pewnością telekomy powinny co najmniej brać udział w opracowaniu systemu kontroli. Uczestniczyć w samych procedurach także, choćby dlatego, że mają duże zasoby i wysokie kompetencje związane z bezpieczeństwem sieci oraz oczywiście bezpośredni dostęp do infrastruktury.

Ale czy z punktu widzenia państwa telekomy mogłoby być wiarygodnym partnerem? Po pierwsze, państwo w ogóle za bardzo nie ufa biznesowi, a po drugie w telekomach silny musi być czynnik ekonomiczny. Mówiąc wprost: czy mają odpowiednią motywację do wysiłków i nakładów na dbanie o szczelność sieci?

Z własnego doświadczenia i pracy dla firm telekomunikacyjnych wiem, że sprawa bezpieczeństwa jest traktowana przez operatorów bardzo poważnie. To nie działa tak, że operator kieruje się tylko kluczowymi parametrami technicznymi i ceną oferowanego mu sprzętu, a bezpieczeństwo danych klientów realnie mało go interesuje. W jego sieci są przecież także bardzo wrażliwe i cenne dane samego operatora! Żadna procedura weryfikacji nie zafunkcjonuje jednak w praktyce jeżeli nie będzie oparta na konkretnych i przejrzystych podstawach prawnych. Dzisiaj, jak mi się wydaje, jesteśmy dopiero na drodze, by je stworzyć.

Dziękujemy za rozmowę.

rozmawiał Łukasz Dec

 
(źr. TELKO.in)