Embargo na wątpliwych dostawców rozwiązań informatycznych?

Kiedy w 2017 roku z uwagi na zagrożenie szpiegostwa Amerykanie zakazali swoim rządowym instytucjom korzystania z oprogramowania antywirusowego Kaspersky wszyscy zastanawiali się, czy to jest kierunek, w którym podąży cyberbezpieczeństwo. Świat coraz bardziej zbliża się do wizji rodem z filmów sci-fi, w której megakorporacje ściśle współpracują z władzami i kontrolują każdy aspekt życia mieszkańców. Technologia najwyraźniej osiągnęła już ten etap, zaś dygnitarze powoli dostrzegają profity z korzystania z jej dobrodziejstw. Można rzec, w ten sposób rodzi się nowa epoka w dziedzinie cyberbezpieczeństwa.

Skierowany do konsultacji społecznych projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przewiduje mechanizmy, które na zasadzie brutalnej siły będą mogły wypchnąć podejrzanych dostawców rozwiązań informatycznych. Specjalne, rządowe kolegium zyska kompetencję do sporządzania oceny ryzyka dostawcy sprzętu lub oprogramowania istotnego dla bezpieczeństwa podmiotów należących do krajowego systemu cyberbezpieczeństwa. Chodzi o sytuację telekomów, banków, instytucji finansowych i innych operatorów kluczowej infrastruktury kraju.

pexels-pixabay-60504

W ramach oceny ryzyka sprzęt lub oprogramowanie zostaną przydzielonej do jednej z czterech kategorii:

  1. Kategorii wysokiego ryzyka – jeżeli dostawca stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe
  2. Kategorii umiarkowanego ryzyka – jeżeli dostawca stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa ale zmniejszenie poziomu tego ryzyka możliwe jest przez drożenie środków technicznych lub organizacyjnych;
  3. Kategorii niskiego ryzyka – jeżeli dostawca stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa;
  4. Kategorii braku zidentyfikowanego ryzyka – jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy.

Zakwalifikowanie sprzętu lub oprogramowania do kategorii wysokiego ryzyka ma bardzo znaczące konsekwencje. Podmioty krajowego systemu cyberbezpieczństwa nie mogą wprowadzać takiego sprzętu, oprogramowania czy usług do użytkowania, zaś te rozwiązania, z których już korzystają, muszą zostać wycofane w ciągu 5 lat.

W przypadku kategorii umiarkowanego ryzyka, ocena działa na przyszłość. Wprowadzanie nowych rozwiązań danego dostawcy nie będzie możliwe, zaś oprogramowanie, sprzęt czy usługi dotychczas stosowane mogą być wykorzystywane w takim samym zakresie jak przed opublikowaniem oceny.

Jak więc widać, zakwalifikowanie dostawcy, do którejś z w/w kategorii może być równoznaczne z wprowadzeniem embarga na jego technologię. Poszkodowany dostawca nie będzie mógł zbyt wiele zrobić w związku z jego negatywną oceną. Teoretycznie ma prawo wnieść odwołanie od klasyfikacji, ale organem, który je rozpatrzy będzie to samo kolegium, które w pierwszej kolejności zakwalifikowało rozwiązanie do danej kategorii. Nadto wniesienie odwołania nie wstrzymuje działań związanych z nadaniem oprogramowaniu, sprzętowi czy usługom danej kategorii.

Projekt jest obecnie w fazie konsultacji. Z całą jego treścią możemy zapoznać się tutaj.