NOWOŚCI W PKE W SPRAWIE BEZPIECZEŃSTWA. A JAK JEST FAKTYCZNIE W PROJEKTOWANYM PKE?
Prace legislacyjne nad projektem ustawy Prawo komunikacji elektroniczne [PKE] zmierzają już ku końcowi. Równolegle z pracami nad PKE trwają prace nad ustawą wprowadzającą przepisy PKE, w której nowelizacją objęto ponad 50 ustaw.
Jako zespół ekspertów specjalizujących w bezpieczeństwie informacji przeanalizowaliśmy projekt ustawy Prawo komunikacji elektronicznej który otrzymaliśmy 3 lutego 2021 roku z Departamentu Telekomunikacji Kancelarii Prezesa Rady Ministrów.
Ze względu na naszą specjalizację skupiliśmy się głownie na przepisach określających obowiązki przedsiębiorców telekomunikacyjnych polegających na zapewnieniu uprawnionym podmiotom (Policji, Biuro Nadzoru Wewnętrznego MSWiA, SG, ABW, CBA, SKW, ŻW, SOP,KAS) dostępu i utrwalania informacji przesyłanej w sieci telekomunikacyjnej lub przetwarzanej przez przedsiębiorcę telekomunikacyjnego.
Zagadnienia związane z bezpieczeństwem sieci, usług, danych i komunikatów elektronicznych określono w projekcie nowelizacji ustawy o Krajowym systemie cyberbezpieczeństwa. Tym zagadnieniem zajmiemy się w jednym z kolejnych materiałów.
Analizując przepisy Rozdziału 5 pod tytułem „Zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego” można by powiedzieć (lub napisać) HURA, OSIĄGNIĘTO KONSENSUS, to znaczy osiągnięto taki stan, w którym wszystkie strony są niezadowolone.
Uprawnione podmioty praktycznie nie będą miały dostępu do informacji przetwarzanych przez przedsiębiorców telekomunikacyjnych, przedsiębiorcy telekomunikacyjni w dalszym ciągu będą musiały wykonywać skomplikowane i kosztowne obowiązki związane z bezpieczeństwem a autorzy projektów aktów prawnych będą krytykowani właśnie za treść tych przepisów.
Pamiętać należy, że dostęp do informacji przetwarzanej przez przedsiębiorcę telekomunikacyjnego jest wykorzystywany w przypadkach zwalczania najcięższych przestępstw.
CZAS - pierwsza trudność
Przed zawarciem uzgodnienia (w domyśle na piśmie) kierownictwo przedsiębiorstwa, na ogół, zasięga opinii specjalistów. W tym przypadku zapewne będzie to prawnik, specjalista od spraw technicznych oraz specjalista od spraw finansowych. Uzyskanie od tych osób w ciągu 24 godzin wyczerpujących stanowisk w większości przypadków będzie niemożliwe.
FINANSE – po drugie trudność
Przy określaniu warunków dostępu i utrwalania brane są pod uwagę możliwości techniczne i finansowe przedsiębiorstwa. Możliwości techniczne wynikają ze specyfiki infrastruktury telekomunikacyjnej i ten warunek na ogół będzie spełniony. Natomiast warunek możliwości finansowych na ogół nie będzie spełniony, dlatego, że żaden przedsiębiorca nie utrzymuje bliżej nieokreślonej rezerwy finansowej, a każde wolne środki są natychmiast zagospodarowane np. w rozwój firmy. Oznacza to, że przedsiębiorca telekomunikacyjny ze względu na brak możliwości finansowych, nie może realizować obowiązków zapewnienia dostępu i utrwalania.
Projekt PKE nie zawiera przesłanek służących do określenia „możliwości technicznych i finansowych”, dlatego może być tu stosowana pełna dowolność w ich określaniu.
Projekt PKE również nie określa skutków braku uzyskania porozumienia w ciągu 24 godzin lub braku możliwości zapewnienia warunków dostępu i utrwalania ze względu na warunki np. finansowe. Skoro ustawodawca nie przewiduje takich skutków to oznacza, że ze względu na upływ 24 godzin oraz bliżej nieokreślone warunki finansowe przedsiębiorca telekomunikacyjny nie musi, a nawet nie może, zapewnić uprawnionemu podmiotowi dostępu do informacji.
Załóżmy jednak wariant taki, że strony określiły te warunki, które polegają na zapewnieniu dostępu i utrwalania w infrastrukturze przedsiębiorcy, to znaczy przedsiębiorca ten przygotuje odpowiedni system teleinformatyczny, wydzieli bezpieczne pomieszczenie oraz zobowiąże się do zapewnienia warunków ochrony informacji niejawnych. Czas realizacji to minimum 6 miesięcy, a praktycznie to 12 – 16 miesięcy. To znaczy w bardzo pilnej sprawie kryminalnej np. dotyczącej uprowadzenia już po kilku miesiącach Policja będzie mogła „posłuchać” o czym rozmawiają potencjalni przestępcy.
SUPER - powinniśmy już czuć się bezpieczniej.
Dodatkowo z przepisu tego jednoznacznie wynika, że przedsiębiorca telekomunikacyjny, będący mikroprzedsiębiorcą albo małym przedsiębiorcą (jest to ok 95 % przedsiębiorców telekomunikacyjnych w Polsce), realizuje obowiązek zapewnienia warunków dostępu i utrwalania proporcjonalnie do skali prowadzonej działalności, osiąganych przychodów oraz możliwości technicznych. W przepisie tym nie określono przesłanek umożliwiających określenie zależności skali prowadzonej działalności oraz osiąganych przychodów i związku tego z wykonywaniem (lub nie wykonywaniem) obowiązków zapewnienia dostępu i utrwalania.
Przepis ten skutkuje tym, że, jeśli przedsiębiorca uzna (bez uzasadnienia), że osiąga bardzo niskie przychody to stosownie do ich (nieokreślonej) skali nie ma możliwości realizacji przedmiotowych obowiązków.
Wnioski
Oznacza to, że na podstawie tak skonstruowanych przepisów art. 43 ust. 3 i 9 projektu PKE, ŻADEN uprawniony podmiot nie będzie miał dostępu do informacji przesyłanych w sieci telekomunikacyjnej i danych z tym związanych i ŻADEN przedsiębiorca telekomunikacyjny nie będzie musiał realizować obowiązków w tym zakresie.
Niezależnie od tego, na przedsiębiorcy telekomunikacyjnym spoczywać będą bardzo skomplikowane i kosztowne obowiązki nakładane przepisami zarówno PKE jak i ustaw odrębnych, ale o tym napiszemy innym razem.
PO CO I KOMU POTRZEBNE SĄ OBOWIĄZKI PRZEDSIĘBIORCY TELEKOMUNIKACYJNEGO NA RZECZ OBRONNOŚCI I BEZPIECZEŃSTWA?
Rozpoczynając rozważania na temat znaczenia telekomunikacji w zapewnieniu szeroko pojętego bezpieczeństwa warto sobie zadać pytania z serii „co by było, gdyby … „
Spróbujmy sobie odpowiedzieć na pytania:
- Czy możliwe jest funkcjonowanie współczesnego społeczeństwa bez sprawnej, bezpiecznej i pewnej telekomunikacji lub, jak określa PKE, komunikacji elektronicznej?
- Wyobraźmy sobie (i niech to pozostanie tylko w wyobraźni), że ktoś chce zrobić lub zrobił coś strasznego bliskiej nam osobie. Czy telekomunikacja może pomóc w zwalczaniu przestępczości?
- W jaki sposób skontaktować się w razie potrzeby wezwania pomocy, szczególnie w sytuacjach kryzysowych itp.?
To tylko niektóre pytania, nasuwające się, gdy mamy na uwadze telekomunikację i bezpieczeństwo.
Bardzo często w środowisku przedsiębiorców telekomunikacyjnych pojawiają się pytania i wątpliwości dotyczące zasadności nakładanych ma nich obowiązków związanych z bezpieczeństwem państwa i społeczeństwa. Bardzo często prezentowane są poglądy, że obowiązki jakie państwo nakłada na przedsiębiorcę telekomunikacyjnego, a są one dość skomplikowane, wymagające dużego nakładu pracy, są poważnym obciążeniem finansowym. Obowiązki te, zdaniem niektórych przedstawicieli przedsiębiorców, nikomu nie są potrzebne, a nakładane są tylko po to, aby był powód kontroli przedsiębiorców i nakładania kar.
JAK ROZUMIEMY POJĘCIE: BEZPICZEŃSTWO ?
Najprościej definiując pojęcie BEZPIECZEŃSTWA można określić, że jest to stan i proces, który daje poczucie pewności i gwarancje zachowania tego bezpieczeństwa oraz szanse na właściwe funkcjonowanie a także daje możliwość przetrwania, niezależność, tożsamość, możliwość rozwoju, ochrony własnych wartości, w każdych warunkach funkcjonowania państwa, narodu, organizacji, przedsiębiorstwa, rodziny lub każdej osoby fizycznej.
CZY BEZPIECZEŃSTWA MA DLA NAS ZNACZENIE?
Na tak postawione pytanie odpowiedź może być tylko jedna – Tak. Nie ma potrzeby kogokolwiek przekonywać, że bezpieczeństwo jest fundamentem wszelkich działań, ma fundamentalne znaczenie dla funkcjonowania nie tylko pojedynczych osób, ale również rodziny, małych lub dużych organizacji, całych społeczności.
CZY JESTEŚMY BEZPIECZNI?
Człowiek, bez względu na wykształcenie, pozycję społeczną, posiadane bogactwo, pełnioną funkcję, wiek, miejsce zamieszkania na Ziemi, oczekuje bezpieczeństwa w każdym miejscu, w którym przebywa i w każdej sytuacji, w domu, w pracy, w szkole, na ulicy, na stadionie, w środkach komunikacji publicznej, na drogach itp. XXI wiek spowodował, że zagrożenie może nas spotkać również w świecie wirtualnym, to znaczy w cyberprzestrzeni.
Rzeczywistość jednak jest taka, że w każdej sytuacji i w każdym miejscu człowiek ma poczucie zagrożenia, a bardzo często systemy bezpieczeństwa nie są w pełni skuteczne.
Wiek XXI daje aż nadto dowodów, że bezpieczeństwo jest najwyższą wartością ludzkości, która stwarza warunki stabilnego rozwoju i porządku społecznego. Pandemia COVID 19, która prawie sparaliżowała funkcjonowanie społeczności światowej, w sposób praktyczny potwierdza powyższe teorie
CZY TELEKOMUNIKACJA MA LUB MOŻE MIEĆ ZWIĄZEK Z BEZPIECZEŃSTWEM ? - ZNACZENIE TELEKOMUNIKACJI W SYSTEMIE ZAPEWNIENIA BEZPIECZEŃSTWA.
W przypadku przedsiębiorcy telekomunikacyjnego bezpieczeństwo to stan i proces, w którym przedsiębiorca taki funkcjonuje w sposób niezakłócony i realizuje swoje zadania na oczekiwanym poziomie.
Trudno znaleźć dziedzinę, która podobnie jak TELEKOMUNIKACJA ma tak wielki wpływ na obecne funkcjonowanie społeczeństwa, organizacji, przedsiębiorstw lub pojedynczych osób.
Czas światowej pandemii COVID-19 był czasem wielkiego egzaminu funkcjonowania przedsiębiorstwa telekomunikacyjnych. Mimo wielu trudności egzamin ten zdano celująco. Z tego też powodu działania związane z zapewnieniem bezpieczeństwa realizowane są w praktyce a pojęcia takie jak bezpieczeństwo, zagrożenie, kryzys w ostatnim czasie wymieniane jest bardzo często.
Właśnie ostatni rok wykazał, że dobrze funkcjonująca telekomunikacja to wartość, której nie da się przecenić, to nie tylko okno na świat i możliwość komunikacji z bliskimi, ale to prawidłowo funkcjonujące państwa, rządy, przedsiębiorstwa, zdalne nauczania, zdalne spotkania biznesowe, itp.
Rozpatrując zagadnienia związane z bezpieczeństwem w telekomunikacji należy uwzględnić co najmniej trzy obszary:
- bezpieczeństwo wewnętrzne przedsiębiorstwa, to znaczy bezpieczne funkcjonowanie sieci, usług, przetwarzanych danych lub przekazów telekomunikacyjnych (komunikatów elektronicznych),
- bezpieczeństwo użytkowników - bezpieczne korzystanie z usług telekomunikacyjnych, to znaczy zapewnienie użytkownikom dostępności, poufności, autentyczności, integralności oraz to, że korespondencja wysłana dotrze do deklarowanego odbiorcy,
- realizacja obowiązków na rzecz obronności, bezpieczeństwa państwa bezpieczeństwa i porządku publicznego.
Obowiązujące jeszcze Prawo telekomunikacyjne oraz projektowana ustawa Prawo komunikacji elektronicznej i ustawa wprowadzająca przepisy PKE dość szeroko określa zagadnienia związane z bezpieczeństwem.
Jeśli uznajemy, że bezpieczeństwo w ogóle, a bezpieczeństwo w telekomunikacji w szczególności, ma fundamentalne znaczenie dla współczesnego społeczeństwa to całe społeczeństwo powinno ponosić ciężar zapewnienia takiego bezpieczeństwa a w imieniu społeczeństwa skarb państwa.
