Kto dzisiaj odpowiada za bezpieczeństwo sieci i usług telekomunikacyjnych?

Stosownie do ich postanowień operator musi zapewnić bezpieczeństwo i integralność sieci, usług oraz przekazu komunikatów w związku ze świadczonymi usługami. Oczywiste jest, że żaden operator nie będzie odpowiadał za zdarzenia, które dzieją się poza jego siecią. Życie jednak dopiero pokaże, czy podkreślenie związku z usługami operatora nie zaowocuje przerzucaniem odpowiedzialności za naruszenia bezpieczeństwa. A także, czy operatorzy nie skupią sił i środków na wykrywaniu przyczyn… poza swoim podwórkiem.

Jak bardzo bezpieczne muszę być sieci i usługi?

Zaglądamy do przepisu i czytamy, że „odpowiednio do stopnia ryzyka.” Z tak postawionym zdaniem nie sposób się nie zgodzić. Przecież po co zabezpieczać na zapas? To sensowne, że operator musi badać ryzyko zabezpieczać sieć bardziej, gdzie wyższe, a tam gdzie niższe - zabezpieczać mniej. W tej chwili tym z czytelników, którzy kiedykolwiek definiowali ryzyka powinna zaświecić się czerwona lampka. W jaki sposób operator je określi z punktu widzenia odbiorcy usługi, który co do zasady nie wie, jakie jakościowo komunikaty wysyłane są dzięki jego sieci? Tym bardziej, że najnowszą tendencją ataków jest coraz bardziej indywidualne adresowane (ang.spear phishing) i dokładne planowanie pod konkretnego użytkownika. Kto ostatecznie będzie określał stopnie ryzyka? I jak dalece będzie można je ograniczyć na niekorzyść konsumenta usługi podstawowej? Życie pokaże…

Czy abonenci powinni czuć się niepewnie? Jeśli tak, to uspokaja drugi warunek zawarty w nowych przepisach. Środki bezpieczeństwa mają bowiem uwzględniać najnowocześniejsze osiągnięcia techniki. Słowa „technika”, „osiągnięcia” i „najnowocześniejsze” są wystarczająco mocne, by im wierzyć. Jednak w tym momencie zabawa z ufnością abonenta jeszcze się nie skończyła, bowiem jest i warunek trzeci. Należy uwzględnić koszty wprowadzenia tych środków. A jak wiadomo najnowocześniejsze osiągnięcia techniki przeważnie kosztują najdrożej.

Przy każdym naruszeniu przez osobę trzecią integralności sieci lub usługi operator będzie mógł dyskutować właściwą odpowiedzialność. Ustawa pozwala mu nawet na więcej. Nakazuje informować użytkowników o „szczególnym ryzyku naruszenia bezpieczeństwa”, które wymaga „podjęcia środków wykraczających poza podjęte przez dostawcę”. Równocześnie nakazuje informować o istniejących możliwościach zapewnienia bezpieczeństwa i związanych z tym kosztach. Nie ma lepszej zachęty do budowania „ofert strachu” i namawiania abonentów na „lepszą, bezpieczniejszą usługę”, ratując spadającą rentowność podstawowych usług telekomunikacyjnych.

Są jeszcze urzędy...

I znowu ktoś uważny powie, że nie będzie tak źle. Że przecież są regulatorzy i oni dopilnują, by - zdrowa skądinąd - chęć zysku operatorów, nie zaszkodziła konsumentom. Niestety rzut oka do ustawy nie napawa optymizmem. Obowiązki regulatora, którym w Polsce w tym zakresie jest Urząd Komunikacji Elektronicznej, zostały ograniczone  w głównej mierze do zbierania informacji o ważniejszych incydentach w sieci i działaniach interwencyjnych oraz zapobiegawczych.

Na szczeblu europejskim urzędy krajowe wymieniają między sobą takie informacje, gdy uznają to za stosowne. UKE może również je publikować na swojej stronie internetowej. W przypadkach drastycznych może nawet wydać decyzję administracyjną (w ile dni po incydencie?!) z obowiązkiem podania informacji o incydencie do publicznej wiadomości, jeżeli uzna, że to leży w interesie publicznym. Ustawa nie określa jednak formy takiej publikacji, więc teoretycznie może to być nawet outdoor, czy ogłoszenie telewizyjne. Na podstawie zebranych informacji o zaistniałych zagrożeniach UKE sporządzi raz do roku raport dla Ministra Administracji i Cyfryzacji.

Urząd może też na swoich stronach informować użytkowników m.in. o aktualnych „potencjalnych” zagrożeniach i „sposobach zabezpieczania urządzeń końcowych”. Osobiście czekam na wskazówkę, jak zwykły użytkownik może zabezpieczyć - dajmy na to - modem kablowy, będący najczęściej w całości pod kontrolą operatora sieci. Jeśli autorom przepisu chodziło o komputery, to niestety, ale w zdecydowanej większości przypadków nie będą one urządzeniami końcowymi w rozumieniu ustawy, którą znowelizowali. Przy okazji odnajduje się również podmiot, który do tej pory najwięcej robił w obszarze bezpieczeństwa sieci i usług, tj. CERT, a został pominięty w nowych procedurach ustawowych. Czytamy bowiem, że „obowiązek (informowania) może zostać zrealizowany przez umieszczenie odnośnika do (…) innego podmiotu zajmującego się bezpieczeństwem”. To w sumie lepsze od wybiórczego “kopiuj i wklej”.

Co może operator

Tu dochodzimy do kolejnego problemu. Wygląda na to, że w przypadku poważnego incydentu w swojej sieci, operator zajmując  się incydentem i jego skutkami, musi jednocześnie wypełnić wielokratkowy formularz, aby niezwłocznie poinformować UKE ”o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało wpływ na funkcjonowanie sieci lub usług, o podjętych działaniach zapobiegawczych i środkach naprawczych” oraz o działaniach szczególnych, tj. eliminacji przekazu lub przerwaniu lub ograniczeniu usługi”. Operator „eliminuje przekaz komunikatu, który zagraża bezpieczeństwu sieci lub usług”. Może także przerwać lub ograniczyć świadczenie usługi na zakończeniu sieci, z którego następuje wysyłanie „niedobrych” komunikatów. Życie pokaże, czy i w jakim stopniu będzie realizowana eliminacja „złego” przekazu, szczególnie w kontekście prowadzenia analizy postincydentalnej i zabezpieczenia jej wyników i dowodów.

Do wypełniania wskazanych wyżej obligów zobowiązani są przedsiębiorcy telekomunikacyjni, jednak w sposób oczywisty po drugiej stronie „uprawnionymi do bezpieczeństwa” są wszyscy użytkownicy usług. Wszyscy użytkownicy. Potraktowani jednolicie. Zarówno ci, którzy korzystają z usług telekomunikacyjnych dla celów prywatnych, nie wnikając w to „jak działa” internet i „skąd mam połączenie”, jak też profesjonalne działy ICT dużych firm, czy urzędów. Ten brak zróżnicowania jest kolejnym poważnym błędem autorów tych przepisów.

W szczególności widać to w kontekście drugiego „środka specjalnego”. Przerwanie lub ograniczenie usługi na zakończeniu sieci jest niebezpieczne dla zwykłego użytkownika, ale już arcyniebezpieczne dla przedsiębiorcy, który wykorzystuje usługi telekomunikacyjne do prowadzenia swojej działalności gospodarczej. W efekcie bowiem łączność, na której polega może zostać całkowicie odcięta

Pozostaje mieć nadzieję, że operatorzy zachowają w tym przypadku wyczucie, a regulator informowany o takich środkach wykaże „rewolucyjną czujność” zakazując złych praktyk w drodze decyzji i instrument ten nie ulegnie wypaczeniu. W skrajnym przypadku można przecież go użyć do ograniczania wolności obywatelskich, w tym prawa do informacji i interesowania się np. treściami na serwerach rządowych („zagrażający sieci atak DDoS”), do wymówek operatorów dla niedotrzymywania SLA(„musieliśmy ograniczyć ten ruch bo szkodził sieci”), czy wreszcie do prowadzenia nieuczciwej walki konkurencyjnej poprzez eliminowanie rywali z internetu (OTT). Z pewnością też działy ICT będą musiały jeszcze lepiej monitorować co się dzieje w ich sieciach, by nie dawać operatorom telekomunikacyjnych powodów do odcinania ich firm od łączności ze światem.

[tytuł i śródtytuły od redakcji]

Mariusz Busiło