Niemiecka Federalna Agencja ds. Sieci w porozumieniu z Federalnym Urzędem ds. Bezpieczeństwa Informacji (BSI) i Federalnym Rzecznikiem Ochrony Danych i Wolności Informacji publikowała aktualny projekt katalogu wymagań bezpieczeństwa funkcjonowania sieci telekomunikacyjnych i przetwarzania danych oraz przetwarzania danych osobowych. Rozpoczęto także konsultacje w celu sporządzenia listy funkcji krytycznych. W katalogu kluczowe są kryteria techniczne, całkowicie pominięto natomiast zagadnienia związane z polityką międzynarodową.
Zaprezentowany katalog wymagań bezpieczeństwa dotyczy operatorów sieci telekomunikacyjnych i systemów przetwarzania danych, także przetwarzania danych osobowych. Stanowi on podstawę koncepcji bezpieczeństwa oraz technicznych środków ostrożności i innych środków, jakie muszą podjąć działające w Niemczech podmioty w celu zwiększenia bezpieczeństwa sieci i usług. Opublikowany wczoraj katalog zakłada, że:
• krytyczne komponenty są certyfikowane,
• uzyskiwane są deklaracje wiarygodności od producentów i dostawców systemów,
• zapewniona jest integralność produktu,
• wprowadzany jest monitoring bezpieczeństwa,
• tylko przeszkoleni specjaliści są zatrudniani w obszarach związanych z bezpieczeństwem,
• dostępne są wystarczające rezerwy,
• unika się monokultur.
Co istotne, komponenty telekomunikacyjnej sieci radiowej (RAN) nie zostały w katalogu uwzględnione jako część obszaru krytycznego. Ocena dostawców tak jak w poprzednich projektach, odbywa się na podstawie oświadczenia własnego. Dostawca zapewnić musi między innymi, że zobowiązuje się do ścisłej współpracy w zakresie bezpieczeństwa, a w szczególności wczesnego informowania o nowych produktach, technologiach i aktualizacjach istniejących linii produktów. Obowiązkowe jest także zapewnienie, za pomocą środków organizacyjnych i prawnych, że poufne informacje od lub o jego klientach nie trafią za granicę ani z własnej inicjatywy, ani z inicjatywy osoby trzeciej. Co więcej, konieczna jest także deklaracja na temat skutecznej i zgodnej z prawem możliwości odmowy ujawnienia informacji poufnych od lub za pośrednictwem swoich klientów stronom trzecim.
Jedną z głównych zasad opublikowanych w katalogu jest Zasada Proporcjonalności, która przedstawiona została już w 4 paragrafie, punktu pierwszego. „Ma ona zastosowanie do przepisów rządowych. W związku z tym od przedsiębiorstw można oczekiwać jedynie odpowiednich, niezbędnych i odpowiednich ustaleń technicznych i innych środków. (…) Przepis lub środek jest odpowiedni, jeżeli związane z nim obciążenie techniczne i ekonomiczne nie przeważa znaczenia sieci lub usług telekomunikacyjnych, które mają być chronione"
„Ważna jest ochrona integralności systemów teleinformatycznych przed zagrożeniami oraz ustanowienie najwyższych standardów bezpieczeństwa. W tym celu krytyczne funkcje sieci i usług telekomunikacyjnych powinny mieć szczególnie wysoki poziom ochrony” - mówi dr hab. Wilhelm Eschweiler, wiceprezes Federalnej Agencji ds. Sieci.
W celu sporządzenia listy funkcji krytycznych, Federalna Agencja ds. Sieci rozpoczęła konsultacje. Mają one służyć ustaleniu dodatkowych wymagań bezpieczeństwa dla publicznych sieci i usług telekomunikacyjnych o podwyższonym potencjale ryzyka. BSI podaje, że lista ustalonych funkcji krytycznych ma być w przyszłości stale aktualizowana i uzupełniana, a wyniki analiz międzynarodowych, np. przeprowadzonych przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) czy Organ Europejskich Regulatorów Łączności Elektronicznej (BEREC), były i będą brane pod uwagę. Na ten moment, sieć radiowa nie została uznana za obszar krytyczny.
„Przygotowany przez niemieckie organy dokument stanowi przede wszystkim rzeczowy przegląd warunków technicznych, jakie muszą spełnić między innymi dostawcy sprzętu telekomunikacyjnego, aby zostać dopuszczonym do budowy sieci. Podejście oparte na jasnych kryteriach i jednakowych dla wszystkich zasadach niezmiernie nas cieszy i liczymy, że podobne rozwiązania zostaną wprowadzone również w Polsce. Co szczególnie istotne, Niemcy promują system deklaratywny, połączony m.in. ze zobowiązaniem dostawców do nieprzekazywania danych podmiotom trzecim. Jest to podejście niezwykle racjonalne, zakładające, że rynek pozostanie otwarty dla wszystkich producentów, a ustawodawca nie będzie brał pod uwagę bezpodstawnych uprzedzeń” – powiedział Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei.
Niemiecki portal Golem.de informuje, że w obliczu przedstawionych dokumentów, „wykluczenie Huawei z niemieckiego rynku praktycznie nie wchodzi w grę”. Według Frankfurter Allgemeine Zeitung tylko wtedy, gdy Kancelaria Federalna, MSZ, Ministerstwo Spraw Wewnętrznych i Ministerstwo Gospodarki wzajemnie wyrażą obawy o dostawcę w drugim etapie, mogą odmówić producentowi pomimo kontroli bezpieczeństwa według przygotowanego przez BSI katalogu. Jest to jednak praktycznie niemożliwe, ponieważ Kancelaria Federalna i Federalne Ministerstwo Gospodarki wielokrotnie wypowiadały się przeciwko wykluczeniu Huawei ze względu na pochodzenie z Chin.