Krenuo sam baciti pogled na diskusiju o “novoj legalizaciji” (inače jednog od najsramotnijih zakona koji su ikada izglasani u ovoj državi) pa sam na web stranici eSavjetovanja naletio na pravi mali ljetni biser sakriven među kiselim krastavcima.
Naime u ovoj ljetnoj rupi, Ministarstvo mora, prometa i infrastrukture je u eSavjetovanje pustilo nacrt prijedloga zakona o izmjenama i dopunama zakona o elektroničkim komunikacijama. Unutra ima nekoliko zanimljivih dijelova koji malo vrijeđaju moj afinitet za tržišnim natjecanjem i kibernetičkoj sigurnosti. Formalni razlog koji je naveden za promjene je usklađivanje zakonskog teksta s EU direktivom 2014/61/EU, a što je direktiva koja se odnosi na različite mjere čiji je cilj smanjenje troškova postavljanja elektroničkih komunikacijskih mreža velikih brzina (tzv. širokopojasni internet). Otprilike ovo što smo prije nekoliko dana čitali da je propalo (kod nas). Sama direktiva je iz 2014. godine, a zaključci o oblikovanju digitalne budućnosti Europe na koje se zakonodavac poziva su još iz 2020. godine, dvije godine prije nego što su nastale posljednje značajnije izmjene Zakona o elektroničkim komunikacijama. Dakle, samo ako promatramo slijed i starost odluka na koje se ministarstvo poziva, nešto baš ne štima (no eto, svi smo na GO pa nema tko preispitati o čemu se točno radi). Probajte prebrojati koliko se promjena odnosi na tzv. gigabit act, a koliko na sve ostalo? Čudnovati omjer.
Prva bitna točka na koju bih skrenuo pozornost je problematika uvođenja sasvim nove fraze “kritične komunikacije” koja do sada nije postojala niti u javnom diskursu niti u postojećim zakonskim tekstovima. Ako krenete čitati tekst promjena, biti će jasno da se želi koncentrirati kritična komunikacija u jednome pojmu, a zakonodavac želi svu kritičnu komunikaciju ubaciti u jedan (novi) pravni subjekt koji se naziva “jedinstveni pružatelja kritičnih komunikacija“. Zakon eksplicitno kaže da će Vlada RH donijeti o odluku tko bi to bio (a ako malo bolje čitate opise, vjerojatni kandidat za to je državna firma Odašiljači i veze d.o.o.). Obzirom da su OiV već ionako u posjedu ili kontroli većine odašiljača i veza, jedini značajni segment kojeg oni nemaju pokriven, nemaju direktni utjecaj ili posjeduju su mobilne javne telefonske mreže. Moja interpretacija teksta promjene zakona jest da će Vlada kreirati paradržavni telekom (iako ih imamo već nekoliko; FINA i Carnet u nekim segmentima svojeg djelovanja već djeluju kao telco operateri). Nejasno je kako će taj telekom funkcionirati, hoće li biti pravi zakonom definirani telekom bez koncesije ili virtualni telekom ali nešto od toga će biti.
Problematika tržišne ekonomije se sastoji u detalju koji je propisan prijedlogom, a koji kaže da postojeći operateri moraju osigurati pristup svojim mrežama ovom novome jedinstvenom pružatelju kritičnih komunikacija. To otprilike znači da postojeći telekomi o svojem trošku (a svi znamo da je njihov trošak preliven u cijenu naše usluge) moraju osigurati pristup njihovim mrežama a što će sasvim sigurno generirati neki trošak (investicija, održavanja i slično). Taj trošak operateri ne smiju prenositi na novi paradržavni telekom i doslovno je napisano kako je dio tih usluga koje komercijalni operateri moraju pružati besplatan, dio smiju naplatiti po stvarnom trošku održavanja, a dio po “razumnom” trošku povrata investicije (čim vidite u zakonskom tekstu fraze koje ne možete pretvoriti u jasnu matematičku formulu morate se podsjetiti da je perspektiva u oku promatrača, pa je “razumni trošak” subjektivna ocjena državnog činovnika kako bi se izbjegla tržišna utakmica i “ekstraprofit”). Kako je novi državni telekom državni onda je po definiciji izuzet iz javnih nabava i njihove cijene koje će naplaćivati državi nisu predmetom tržišne utakmice te ih stoga nećemo (osim deklarativno) tražiti da budu troškovno efikasni. Taj fenomen često vidimo u različitim državno/administrativnim monopolima poput FINA, APIS, Carnet i sličnima gdje plaćanja države prema tim subjektima u svojoj osnovi čine zakonom i EU pravilima zabranjenu subvenciju (a što će prije ili kasnije doći na naplatu). Naravno tu je i činjenica da će nepoznati broj (vjerojatno nekoliko desetaka tisuća državnih službenika; računajte samo da policija ima preko 30k zaposlenih, vojska dodatnih 15-20k, potom malo civilne zaštite, vatrogasaca, medicinskog osoblja + naši elitni političari) svoje mobilne telefone prebaciti tim dekretom određenom pružatelju kritičnih usluga.
Mimo gornjega, za primjetiti je i opći trend i inflaciju proglašavanja svega i svačega kritičnim, pa smo eto sada dobili i kritične komunikacije koji rade na kritičnoj infrastrukturi (ne kažem da to nije potrebno ili da ne postoji potreba, ali posezanje za ovom klasifikacijom je uglavnom samo izgovor za centralizaciju i zatvaranje tržištu uz inferiornu a istovremeno beskrajno skupu uslugu).
Zanimljivi je i detalj promjene članka 141 Zakona o elektroničkim komunikacijama, odnosno članak 24 nacrta promjena. Do sada je zakonom bila propisana mogućnost razmjene podataka o korisnicima neplatišama između operatera, dok je ovom promjenom ona propisana kao obvezna – ako vam moja interpretacija te semantičke promjene ne izgleda ozbiljnom, onda pročitajte tekst obrazloženja koje doslovno kaže “utvrđivanje obveze operatora javno dostupnih elektroničkih komunikacijskih usluga za prikupljanje i elektroničku razmjenu podataka o korisnicima, u svrhu procjene platežne sposobnosti podnositelja zahtjeva za sklapanje ugovora kojim se uređuju prava i obveze između operatora i krajnjih korisnika”. Ponavljam, iako je totalno jasan cilj zašto želimo razmjenjivati takve podatke, strašno me zanima koji slijed događaja je doveo do toga da se zakonom propisana mogućnost pretvara u obvezu.
I u konačnici, ima nekoliko suptilnih promjena u tekstu Zakona a koje se odnose na kibernetički sigurnost. U proteklih nekoliko godina smo donijeli Zakon o kibernetičkoj sigurnosti (koji je, koincidencije radi, također prolazio savjetovanje u ovo doba godine, a predlagač je bilo Ministarstvo branitelja!?) a na kojeg sam imao niz primjedbi. Moja temeljna zamjerka tada (a i danas) je u tome što je Vlada RH kao tijelo zaduženo za provedbu i praćenje kibernetičke sigurnosti odredilo SOA-u što je, da to vrlo pristojno napišem, vrlo inovativno rješenje na razini EU čija genijalnost do današnjeg dana nije prepoznata. Kibernetička sigurnost u svojoj srži je sličnija preventivnoj zdravstvenoj zaštiti ili sigurnosti prometa na cestama, što znači da većina kibernetičke sigurnosti masovni napor edukacije građana i pravnih osoba o sigurnosti na računalnim mrežama i sustavima, a u daleko manjoj mjeri posao obavještajnih agencija koje nikome ne obrazlažu što i kako rade. Komentirao sam ozbiljnost njihovih aktivnosti i ranije, no vidim da i u novom izvješću SOAe za 2025 kibernetička sigurnost zauzima skromne tri stranice obogaćene velikim slikama i skromnim rezultatima. Pretpostavljam (i iskreno se nadam) da tamo ima profesionalaca koji znaju što rade, ali osim povremenih naznaka sustavnog pristupa kroz pojedine dokumente, nije da se vidi neki efekt.
Zakon o kibernetičkoj sigurnosti kao i promjene koje je ZEK imao utvrđuju poziciju nacionalnog tijela da utvrđuje sigurnosne rizike lanaca dobave operatera javnih usluga. Specifičnost našeg konkretnog rješenja u odnosu na ostatak EU prakse jest u tome što samo mi imamo obavještajnu agenciju koja daje finalni pravorijek o tome što jest a što nije sigurno, dok sve druge EU ili EEA zemlje uopće nemaju takva ograničenja, ili postoje odobrenja koja izdaju specijalne komisije, Vlada, premijer ili resorni ministar (samo u tri zemlje se traži odobrenje sigurnosne agencije i to Njemačka, Latvija i Cipar) – no zajedničko svima je da funkcioniraju po preporukama koje proizlaze iz 5G toolboxa odnosno preporuka ENISA-e. Kriteriji koje SOA može koristiti (i pritom uopće ne obrazložiti) su i oni političke prirode i ne moraju biti utemeljene na stvarnim tehničkim ugrozama. Tu je i srž problema, problematiziranje dobavljača iz potencijalno neprijateljskih zemalja (Kine) proizlazi još od početaka prvog mandata Donalda Trumpa (tzv. Chip war, napisao sam i nastavak). Temeljna teza je da dobavljači iz non-allied zemalja mogu koristiti isporučenu opremu za nadzor naših građana i ustanova, te tu istu opremu na različite načine mogu pretvoriti u oružje kroz mis-konfiguraciju opreme ili korištenjem različitih tipova kill-switcheva (ili na tko zna koji drugi način kojeg još nismo imali prilike vidjeti). U stvarnosti, ograničavanje kineskih dobavljača se svodi na pokušaj stvaranja time-outa za europske i američke dobavljače da sustignu astronomsku prednost koje je Kina ostvarila u odnosu na sve druge, osobito u 5G mrežama (sedam-osam godina kasnije sasvim je jasno da ova taktika nije riješila a čak niti ublažila tehnološki raskorak).
Naravno da je svaki rizik potrebno dobro odvagnuti, temeljito i iznimno kritično provjeriti, no do današnjeg dana nije dokazano da se oprema kineskih dobavljača koristila ili uopće može koristiti za nadzor ili da postoje kill-switchevi. Postoji naravno cijeli niz sigurnosnih propusta koji su otkriveni, no oni svojom prirodom ili namjerom ne odudaraju od sličnih sigurnosnih propusta na europskim ili američkim proizvodima
U kontekstu telekom operatera, rizici korištenja opreme non-allied zemalja se dijele na tzv. jezgrene sustave i sustave koji se koriste u radio mreži. Kako bi se adresirali rizici koji proizlaze iz masovnog korištenja mobilne tehnologije, Europska unija kroz svoje institucije i alate daje konkretne sigurnosne preporuke, dva za telekome najzanimljivija su 5G toolbox i ENISA (europska cyber security agencija). Po svim trenutno dostupnim preporukama i praksama, sve EU zemlje razlikuju rizike između jezgrenih – core sustava koji su identificirani kao kritični sustavi i radio mreže (RAN) koje su označene kao rizičnom komponentom.
Prijedlozi nadopuna zakona idu u smjeru koji će zacementirati ulogu nadležnog tijela za kibernetičku sigurnost u odnosu na odlučivanje koji su to sigurni lanci nabave i koji se dobavljači smatraju sigurnima. Pitanje tehnološke argumentacije su u cijelosti sekundarna i dodatkom u zakon se odluka u cijelosti prepušta nadležnom tijelu a koje po svojoj prirodi ne funkcionira transparentno a i izrijekom zakona ne mora obrazložiti svoje odluke. Sve skupa je dodatno zanimljivo ako znamo da smo istim ovim promjenama izdvojili “kritičnu komunikaciju” u zasebni entitet i izdvojili iz sustava ostalih operatera, dakle koji je smisao regulirati ako smo kritične komponente iz razloga sigurnosti već izdvojili? Osim naravno ako nemamo namjeru intervenirati u tržišne odnose?
Promjena zakona nadležnoj agenciji za elektroničke komunikacije (HAKOM-u) ostavlja samo specifičnosti koje su vezane za telekom operatere kroz mehanizam pravilnika koji je postojao i u prethodnom zakonskom tekstu ali je (defacto) ukinut donošenjem uredbe o kibernetičkoj sigurnosti da bi sada bio ponovno uveden ali u okljaštrenom opsegu (što samo govori o tome kako lijeva ruka ne zna što radi desna, ili pak da postoje “unutarnje borbe” oko regulatornog teritorija između agencija).
Proces eSavjetovanja traje još svega dva dana, pa ako imate nešto za reći sada je prilika.
Misao dana:
Regulation has nothing to do with setting standards; it meant putting rules in place that worked in favor of a few.