Tik pred Novu godinu, točnije 29. prosinca u javno savjetovanje pušten je dugo očekivani nacrt Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže. U prijevodu, radi se uglavnom o proizvođačima mrežne opreme koja se koristi za petu generaciju mobilnih mreža, popularnoj 5G mreži.

Sigurnost 5G mreža pod velikim je povećalom Europske komisije te se od kada je ta tehnologija stigla u upotrebu, raspravlja se o njezinim ranjivostima u kontekstu sigurnosti. Stoga je Europska komisija izdala i smjernice takozvani 5G Toolbox kojeg sve zemlje članice trebaju implementirati u svoje zakonodavstvo.

A sve je počelo u Sjedinjenim Državama, koje su kineske proizvođače, posebice Huawei, u naletu tržišne svjetske ekspanzije označili nepoželjnima, smjestili ih na crnu listu te ih izgnali s tržišta. Tomu je kumovalo niz optužbi za špijunažu, kršenje sankcija prema Iranu, te kineski zakoni koji nalažu da sve njihove tvrtke moraju omogućiti uvid u podatke kineskim vlastima ako to zatraže.

Europi je trebalo neko vrijeme da se zabrine oko svojih sustava komunikacija i opreme koja se implementira, a poseban fokus stavljen je na 5G, jer tehnološki, kazuju nam stručnjaci, radi se o novinama koje se razlikuju od prijašnjih generacija mobilnih mreža. Tu svakako valja pridodati i geopolitičke odnose s Kinom koji su sve napetiji kada se radi o relacijama Istok – Zapad.

Gledano strogo poslovno, kineski proizvođači, a radi se mahom o Huaweiju i ZTE-u, tržište su osvajali niskim cijenama, ali i kvalitetnom tehnologijom, i zapravo time uzburkali tržišnu utakmicu po pitanju oba segmenta. Stoga ne čudi da su se europski telekomi često odlučivali upravo za kinesku mrežnu opremu, pa im ni trenutačno nije drago da se istiskuju vjerojatno povoljniji igrači s tržišta ili čak nalaže i zamjena opreme koja ih stoji milijune eura. Europsku konkurenciju tu čine Ericsson i Nokia, a u igri je i južnokorejski Samsung.

No, sigurnost je u trenutačnim geopolitičkim uvjetima prioritet na kojem inzistiraju europski zakonodavci. Europljani nisu imenovali nepoželjne igrače po uzoru na SAD, ali su odredili smjernice prema kojima treba procjenjivati sigurnosni rizik dobavljača i proizvođača opreme, posebice onih iz trećih zemalja.

Hrvatska, za početak nije odlučila zakonom riješiti taj sigurnosni zahtjev već je odlučila to regulirati zasebnim Pravilnikom. Ovaj Pravilnik, doznajemo, bio je u ladici premijera još od lanjskog ožujka, a osvanuo je na stranicama e-savjetovanja 29. prosinca, rasprava traje do 28. siječnja, a 27. veljače, trebao bi poprimiti svoj konačni oblik i potom, u skladu s procedurom stupiti na snagu.

S obzirom na kontekst i intenciju EU da se proizvođači, temeljito provjere i dobiju svoju ocjenu sigurnosnog rizika i posljedično zabrane za upotrebu, mnogi su hrvatski Pravilnik i iščitali kao strogu buduću procjenu rizika dobavljača i proizvođača iz trećih zemalja, izglednu zabranu ali i zamjenu mrežne opreme, posebice onih za 5G. No, nacrt Pravilnika upravo nalaže suprotno, upozorili su nas iz stručnih krugova dobavljača, a potom to potvrdili i pouzdani izvori iz ministarstva. Uostalom pažljivim čitanjem to je vidljivo iz nacrta Pravilnika.

Dakle, Pravilnik nalaže da će Sigurnosno obavještajna služba biti ta koja će procjenjivati sigurnosni rizik, ali samo za kritične mrežne komponente. A u njih spadaju navodi se u Pravilniku: “jezgrena mreža, elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te mrežni elementi za međupovezivanje. U elektroničkim komunikacijskim mrežama, koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura, kritične mrežne komponente obuhvaćaju i radijsku pristupnu mrežu (RAN)”.

Radijska pristupna mreža RAN pak, kaže Pravilnik i potvrđuju svi upućeni, postaje kritična komponenta koje podliježe sigurnoj procjeni tek ako se upotrebljava kao potpora sustavima kritičnih infrastruktura. To primjerice znači, da će se sigurnosni rizik procjenjivati za opremu u Hrvatskim željeznicama, koja spada u kritičnu infrastrukturu i koristi se unutar vlastitog sustava za komunikaciju strojovođa, ili pak Janafa, koji je koristi u svojim internim logističkim komunikacijama.

Kako tvrde stručnjaci, takvih sustava, zasad uopće nemaju u upotrebi tu vrstu komunikacije i s obzirom na Pravilnik, vjerojatno se neće dogoditi da se u tim sustavima uopće razmatraju proizvodi iz trećih zemalja. I to nije sporno. No ono što jest, jest RAN oprema koja se upotrebljava u javnim komunikacijama, smatraju. A ta oprema, u nacrtu Pravilnika označena je kao ‘osjetljiva mrežna oprema’, i kao takva ne podliježe sigurnosnoj procjeni.

Valja znati da se mreža nove generacije – 5G, pojednostavljeno, sastoji od jezgrenog dijela, te RAN-a, u koji spadaju primjerice bazne stanice. Stručnjaci iz krugova dobavljača tvrde, specifičnost 5G-a ali i sigurnosni rizik proizlazi iz strogo tehničkog dijela. Jer, kazuju, u 5G-u dizajniranju mreža, razgovori koji se vode putem te mreže enkriptirani su do dolaska u baznu stanicu, a tada, uslijed tehnologije moraju se dekriptirati, što je, smatraju izniman sigurnosni rizik, ako se dodatno uzme u obzir dodaju, da se sva komunikacija znanstvene i tehnološke zajednice, koja se označava kritičnom, odvija tim putem.

Kada se radi o domaćim telekomima nitko u dijelu jezgrene infrastrukture nije uposlio ‘treće’ već su ti poslovi pripali Ericssonu i Nokiji, no u RAN dijelu nije tako. Telemach kao treći mobilni operator s 19 postotnim udjelom na tržištu odlučio se RAN dio graditi Huaweijevom opremom.

I kako tvrde upućeni, spram nacrta Pravilnika, neće se ni propitivati. Jer radijska pristupna oprema proizvođača trećih zemalja (čitaj Huawei i ZTE), u javnim komunikacijama ne podliježe sigurnosnoj procjeni. Propituje se tek jezgreni dio mreže što posljedično znači da će se propitivati isključivo Ericsson i Nokia, dok Huawei i ZTE ostaju nedodirljivi. To je, kazuju naši izvori, potpuni ‘nonsense’ i nije u skladu s intencijom, propisima te 5G toolboxom EK-a.

Izvori iz ministarstva, ne negiraju te tvrdnje, dapače, potvrđuju da spram Pravilnika RAN odnosno oprema radijske pristupne mreže koja se koristi u javnim komunikacijama ne podliježe procjeni sigurnosnog rizika. No, usto tvrde u potpunosti su poštivali europske propise te Pravilnik izradili spram 5G toolbox smjernica.

Kada bi se i možebitno RAN u javnim komunikacijama, uslijed prigovora u e-savjetovanju ‘prebacio’ u mrežne komponente za koje će se procjenjivati sigurnosni rizik, telekomi bi po pitanju do sada ugrađene opreme ostali zaštićeni. Jer Pravilnik, propisuje i možebitnu zamjenu već ugrađenih dijelova, no rokovi se protežu do 6 godina, a tada, kazuju iz stručnih krugova dobavljača, već će na redu biti nova zamjena mreža 6G-om.

S obzirom na to da Pravilnik nije konačan jer je tek u e-savjetovanju, komentari dobavljača se očekuju. Iz Ericssona Nikole Tesle su nam to i potvrdili te kažu da će svakako komentirati nedorečenosti Pravilnika u tehničkom dijelu.

Kako će i hoće li europska komisija ocijeniti hrvatsko usklađivanje sa sigurnosnim propisima po pitanju 5G mobilnih mreža tek će se vidjeti. Prema ovom nacrtom Huawei i ZTE nisu, kao potencijalni ‘treći’ dobavljači RAN opreme za javne komunikacije niti dotaknuti, ujedno je Telemach na sigurnom terenu po pitanju svoje opreme jer se da, zaključimo telekom oprema ne ide na sigurnosnu provjeru.