Регулювання питань кібербезпеки у галузі 5G

версія для обговорення під час презентації
Юхименко Станіслав, науковий співробітник ІЕД

Вступ

Питання інтернету п’ятого покоління (5G), його можливостей та потенційних загроз почалося обговорюватися ще до комерційного запровадження технології. Значне зростання швидкості та обсягів передачі інформації дозволяє якісно змінити функціонал використання інтернету.

Обсяги передачі інформації через 5G дозволяють у режимі реального часу управляти транспортом, більш детально досліджувати погодні умови, координувати тисячі ШІ водіїв авто та багато іншого.

Водночас, подібне розширення функціоналу інтернету значно посилює залежність різних галузей економіки від його роботи. Особливо це стосується підприємств критичної інфраструктури.

Впровадження 5G для роботи великих підприємств посилює вимоги до кібербезпеки, адже необхідно оброблювати та перевіряти більшу кількість інформації із більшою швидкістю.

Питання гармонізації законодавства України до стандартів ЄС у сфері кібербезпеки мереж 5G важливе, бо норми ЄС у кібербезпеці починаються не з моменту надання послуги 5G, а з моменту початку формування планів побудови інфраструктури для її надання . Якщо почати впроваджувати 5G, обладнання для якого не буде відповідати нормативам безпеки ЄС і буде вважатись таким, що загрожує національній безпеці, ми ризикуємо значно уповільнити нашу інтеграцію до цифрового простору в ЄС.

Регулювання кібербезпеки мереж 5G в ЄС

Для ЄС питання кібербезпеки постало досить давно, ще в момент запуску перших тестових моделей 5G мереж.

Одним із перших нормативних документів, який фокусувався на розвитку 5G інтернету в ЄС, став 5G Action Plan[1], прийнятий Єврокомісією у 2016 році.

Згодом почали досліджуватись і головні ризики масового використання 5G. У 2019 році було опубліковано Commission Recommendation on Cybersecurity of 5G Networks, де зазначаються ризики масштабного збою системи. Також, через значну пов’язаність інтернет просторів різних країн ЄС, у документі вказується ризик того, що проблеми з кібербезпекою в окремій країні ЄС будуть мати суттєвий негативний вплив і на інші країни союзу. Для подолання цих ризиків пропонується провести національні оцінки ризиків постачальників обладнання і програмного забезпечення із третіх країн, враховуючи особливості їх законодавства. Для подальшого розвитку кібербезпеки в ЄС пропонується розробити координовану оцінку ризиків на рівні ЄС.

Після розгляду рекомендацій Єврокомісії було розроблено EU toolbox on 5G cybersecurity – комплекс інструментів, які можуть застосовуватися державами-членами ЄС для пом’якшення або усунення ризиків, спричинених 5G.[2]

Комплекс заходів включає набір стратегічних та технічних заходів.

Стратегічні заходи передбачають посилення ролі урядів у нагляді за безпекою 5G, контроль за використанням компонентів та обладнання від сторонніх ризикових постачальників, диверсифікація постачальників обладнання та локалізація виробництва обладнання для забезпечення кібербезпеки всередині ЄС. EU toolbox on 5G cybersecurity рекомендує членам ЄС зробити оцінку ризиків постачальників, базуючись на: імовірності втручання у роботу постачальника з боку країни, що не входить до ЄС; наприклад, завдяки наявності сильного зв’язку між постачальником та урядом країни, що не входить до ЄС; або через законодавство країни, що не входить до ЄС.

До технічних заходів входять захищеність мережі, стандартизація обладнання та програмного забезпечення, врахування ризиків при постачанні обладнання із третіх країн, кооперація з іншими країнами ЄС, використання національних бюджетів та фондів ЄС для підтримки розбудови мережі 5G всередині ЄС.

Окрім EU toolbox on 5G cybersecurity, з 16 січня 2023 року в ЄС почала діяти Директива Європейського Союзу щодо мережевої та інформаційної безпеки (NIS2)[3]. Головною задачею нового регулювання було збільшення контролю над ризиками великих компаній різних секторів економіки. Якщо раніше директива стосувалася переважно технологічних ІТ-компаній, то з січня 2023 року вона охоплює критичні галузі економіки (транспорт, енергетика, банківська сфера, охорона здоров’я та інші).

Складнощі імплементації EU toolbox on 5G cybersecurity в країнах ЄС

Хоча питання кібербезпеки у різних країнах ЄС у цілому регулюється EU toolbox on 5G cybersecurity, в його імплементації країни ЄС досягли різного ступеню прогресу. Ступінь досягнення стратегічних та технічних цілей та подолання ризиків різними країнами ЄС більш детально описано у Другому звіті по впровадженню EU toolbox on 5G cybersecurity[4]. Цей інструментарій все ще знаходиться на етапі імплементації.

Одним із найскладніших питань імплементації EU toolbox on 5G cybersecurity є забезпечення безпеки обладнання для мереж 5G. В Європейському Союзу одними з перших компаній, які почали постачати обладнання для мереж 5G, були китайські компанії Huawei та ZTE.

Під час прийняття EU toolbox on 5G cybersecurity країни ЄС прийшли до висновку, що для забезпечення безпеки кіберпростору в ЄС необхідно оцінити постачальників обладнання 5G, визначити, які з них є ризиковими, та обмежити постачання обладнання від таких ризикових постачальників.

Через те, що значна частина інфраструктури 5G в ЄС вже була побудована із використанням обладнання китайських компаній, які були визнані ризиковими, багатьом країнам ЄС доводиться зараз переходити до інших постачальників.

Наприклад, у Німеччині, станом на грудень 2022 року, частка китайського 5G обладнання складала 59%. Уряд Німеччини планує скоротити цю частку до 25% до кінця 2026 року, але представники телекомунікаційних німецьких компаній називають терміни нереалістичними.[5] Постає питання, чиїм коштом буде проводитися це переобладнання: є приклад США, де держава взяла на себе додаткові витрати по переобладнанню, але німецькі урядовці вказують, що законодавство не вимагає від німецького уряду компенсації операторам.

Швеція у 2020 році заборонила операторам зв’язку використовувати китайське 5G обладнання. До січня 2025 року оператори мають поступово замінити обладнання Huawei та ZTE[6]. Huawei подала до суду, вимагаючи відмінити заборону використання її обладнання для розбудови мережі 5G в Швеції, але суди залишили рішення регулятора без змін.[7]

Португалія також фактично забороняє постачання китайського 5G обладнання, не називаючи це прямо: в Португалії заборонили постачання обладнання для мереж 5G з країн, що не входять до ЄС або НАТО.[8] Huawei повідомляла, що подаватиме до суду на португальського регулятора через порушення прав компанії щодо компенсації.

Кібербезпека 5G в Україні

В Україні головним документом, який наразі регулює сферу кібербезпеки, є Закон України «Про основні засади забезпечення кібербезпеки України»[9]. У ньому описані основи забезпечення захисту життєво важливих інтересів громадян та національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки.

Також в Україні затверджена Стратегія кібербезпеки України[10] та План реалізації Стратегії кібербезпеки України[11].

Україна знаходиться у процесі підготовки до другого читання законопроєкту 8087[12], який покликаний імплементувати вимоги Директиви ЄС про мережеву та інформаційну безпеку (NIS2 Directive) в українське законодавство. Варто зазначити, що деякі експерти вважають[13], що цим законопроєктом надаються занадто великі повноваження для Держспецзв’язку, оскільки закон не містить чіткого визначення підстав та ситуацій, до яких можуть залучати співробітників національної системи кібербезпеки.

Питання мобільного інтернету регулюється Законом України про електронні комунікації. Поки що там згадується лише третє та четверте покоління послуг рухомого зв’язку.

Для впровадження мобільного інтернету п’ятого покоління необхідно вивільнити радіочастоти, що використовуються у мережі 5G (зараз на них працює телебачення, але воно може працювати і в нижчих діапазонах радіочастот), провести аукціони на використання цих радіочастот та сертифікувати надавача обладнання для розбудови інфраструктури.

28 лютого 2023 року Верховний Суд України відмовив ТОВ «Українські новітні технології» у продовженні терміну дії ліцензії на користування радіочастотним ресурсом в смугах радіочастот 3400…3600 МГц для широкосмугового радіодоступу[14]. Це рішення дає можливість Україні провести нові аукціони на цих частотах, які використовуються для мережі 5G інтернету.

Оскільки, фактично, в Україні мережа 5G ще не розбудована навіть на рівні експериментальних зразків, законодавство, яке б регулювало кібербезпеку саме мереж п’ятого покоління, ще відсутнє.

Віцепрем’єр – міністр цифрової трансформації Михайло Федоров в інтерв’ю Forbes заявив, що пілотну версію 5G в Україні можуть запустити вже у 2024 році[15]. Виникає питання, на якому обладнанні це буде зроблено.

Перед впровадженням 5G в Україні варто узгодити своє законодавство з нормами ЄС, у тому числі й щодо безпечності обладнання. Варто зробити все можливе, щоб уникнути ситуації, в яку потрапити Німеччина чи Швеція, які зараз вимушені переобладнувати мережі.

Ще один ризик для швидкого запровадження 5G – це військовий стан. Частина робіт по вивільненню радіоспектру для мереж 5G не може бути проведена у період воєнного стану, адже вона використовується військовими.

Водночас, питання кібербезпеки майбутніх мереж п’ятого покоління рухомого інтернету можна почати впроваджувати вже зараз на рівні законодавства. Це як раз дає час спокійно підготуватись всім учасникам ринку.

Рекомендації

  1. NIS2. Необхідно впровадити законодавство, яке включить норми регулювання Директиви ЄС NIS2 в українське нормативне поле. Як ми писали раніше, законопроєкт, метою якого є гармонізація цього аспекту українського законодавства із нормами ЄС, вже зареєстрований, але представники експертного середовища вважають, що він потребує доопрацювання.
  2. EU toolbox on 5G cybersecurity. Варто почати консультації та імплементацію EU toolbox on 5G cybersecurity, адже це є основним документом ЄС у сфері кібербезпеки мереж 5G. Раніше ми вже показали наслідки для країн, які були змушені переходити на нові стандарти кібербезпеки 5G вже після розбудови мережі рухомого інтернету п’ятого покоління. Наслідком стали або додаткові витрати урядів, щоб компенсувати операторам зв’язку витрати на переобладнання, або це переобладнання відбувалось за рахунок самих операторів.
  3. Дорожня карта впровадження. EU toolbox on 5G cybersecurity не містить дуже жорстких обмежень для країн щодо часових рамок досягнення стратегічних та технічних цілей ЄС, тому завчасно підготовлена дорожня карта впровадження цих норм та цілей ЄС в українське законодавство може значно полегшити процес розбудови мережу рухомого інтернету п’ятого покоління в Україні.