W ostatnim dniu kadencji rządowy think tank przyjął stanowisko, w którym wskazuje m.in. na potrzebę audytu systemów rządowych i zagrożenia ze strony chińskich dostawców.
Rada ds. Cyfryzacji w trybie obiegowym w środę wieczorem, czyli w ostatnim dniu kadencji, przyjęła stanowisko w sprawie zagrożeń ze strony dostawców wysokiego ryzyka (DWR). Pierwotnie zapisy w tej sprawie znalazły się w stanowisku rady ws. usunięcia aplikacji TikTok, ale w poniedziałek zdecydowano się przenieść je do oddzielnego dokumentu.
W porównaniu z pierwotnym projektem w przyjętym w czwartek stanowisku nie znalazły się nazwy firm i technologii, które były przykładami ekspansji chińskich firm technologicznych w Polsce.
W stanowisku rada apeluje o przyspieszenie prac nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i modyfikację projektowanych zapisów dotyczących DWR w taki sposób, by sprzedawca lub producent uznany za DWR został wykluczony z dalszych zakupów sprzętu oraz usług, a jego sprzęt został usunięty z dalszego użytkowania w ciągu czterech lat.
„Rada uważa, że brak ustawowych kryteriów uznawania za DWR powoduje szereg zagrożeń dla bezpieczeństwa państwa - także w związku z założeniami aukcji na częstotliwości 5G, będącej obecnie przedmiotem konsultacji, według których operatorzy telekomunikacyjni mają sami decydować, kogo uznać za DWR” – czytamy w stanowisku.
Zdaniem rady dokonywanie takich ocen powinno być zadaniem kompetentnego organu państwowego i odbywać się na podstawie ustawowych kryteriów, z poszanowaniem konstytucyjnych zasad zarówno ochrony własności prywatnej, jak i bezpieczeństwa państwa i obywateli.
Rada w stanowisku wskazała, że widzi pilną potrzebę wprowadzania do procedury zamówień dla najważniejszych podmiotów i systemów objętych postanowieniami dyrektyw CER i NIS2, zapisów hamujących napływ urządzeń i systemów wygrywających ceną, a nie jakością cyberbezpieczeństwa.
„Rada widzi pilną potrzebę dokonania audytu systemów IT, będących w posiadaniu administracji publicznej a zwłaszcza administracji rządowej, pod kątem zagrożeń ze strony dostawców wysokiego ryzyka” – napisano.
Think tank wyraził też zaniepokojenie „wykorzystywaniem chińskich technologii do masowego transferu danych do Chin, czego przykładem jest raport litewskiego Ministerstwa Obrony Narodowej.”
„Należy zauważyć, że zgodnie z obowiązującym w Chińskiej Republice Ludowej prawem wszystkie podmioty, jak i osoby, są prawnie zobowiązane do pełnej współpracy z instytucjami bezpieczeństwa państwa, w tym do wszelkiej pomocy, asysty i wsparcia dla służb specjalnych poza granicami Chin” - czytamy w stanowisku.
Rada zwróciła też uwagę, że we wrześniu 2019 r. polski rząd podpisał z USA porozumienie dotyczące bezpieczeństwa sieci 5G, w którym wskazano wymagania względem dostawców według kilku kryteriów, w tym, czy dostawca jest kontrolowany przez obcy rząd bez możliwości odwołania się do niezawisłego sądu lub czy dostawca ma przejrzystą strukturę własności.
„Zdaniem Rady powyższe kryteria eliminują chińskie firmy z kręgu dostawców kluczowych systemów ICT dla instytucji publicznych w Polsce” – napisano.
Pierwotny projekt stanowiska rady wzbudził dużo emocji. Stanowczo zareagowały Huawei Polska i Polsko-Chińska Główna Izba Gospodarcza, które wysłały do członków rady pisma sugerujące możliwość skierowania sprawy na drogę sądową. Nie spodobało się to członkom rady, którzy uznali to za próbę wywierania wpływu. Przewodniczący rady za pośrednictwem KPRM zawiadomił o tym prokuraturę.
