Loňské varování NÚKIB není pouhým výkřikem do tmy, je to zákonný prostředek, popisuje současnou situaci v kauze Huawei Lukáš Pimper, český kyberatašé pro EU a NATO. Nejen úřady, ale i soukromé společnosti, které mají v držení kritickou informační infrastrukturu či systémy, se podle něj teď musí doporučení Národního úřadu pro kybernetickou a informační bezpečnost držet.

V rozhovoru pro HlídacíPes.org Lukáš Pimper popisuje nejen pozadí celého rozruchu kolem možných bezpečnostních rizik firem Huawei a ZTE, ale i to, jak si Česká republika stojí v kybernetické bezpečnosti na mezinárodním poli.

V Praze nedávno proběhla velká mezinárodní konference o bezpečnosti 5G sítí, první akce tak velkého rozsahu. Přinesla něco přelomového i v jiném ohledu než v počtu účastníků?

Konference sloužila především k tomu, aby se k jednacím stolům sešly státy, kterým v souvislosti s budováním sítí páté generace hrozí bezpečnostní rizika.

Přijelo přes 200 účastníků z 32 zemí a na vysoké expertní úrovni probírali témata jako jsou bezpečnost, odolnost a ekonomické aspekty sítí páté generace. Z konference pak vzešel dokument – tzv. „Pražské návrhy“ zahrnující aspekty a témata, kterými je potřeba se v rámci budování telekomunikačních sítí 5G zabývat.

Návrhy jsou založené na takzvaných „best practices“ – tedy nejlepších zkušenostech. Což neznamená vyškrtávání někoho konkrétního ze soutěže, ale nastavení témat na vyšší politicko-strategické úrovni. Protože v rámci strategicko-bezpečnostní roviny si většina států rizika uvědomuje. Ale na politicko-strategické úrovni je potřeba dosáhnout větší úrovně spolupráce.

Češi hrají prim

Koncem minulého roku se česká veřejnost dozvěděla, že výrobky čínské firmy Huawei a ZTE můžou představovat bezpečnostní riziko a o pár měsíců později se pomalu zdá, že Češi hrají na poli kybernetické bezpečnosti prim. Z pohledu laika je to poměrně překotný vývoj…

Česká republika je v oblasti kybernetické bezpečnosti vnímána pozitivně dlouhodobě. Spousta lidí si naši roli a vůbec existenci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) redukuje až na datum 17.12.2018, kdy jsme vydali zprávu o rizicích Huawei. My jsme ale byli aktivní na mezinárodním poli už dlouho předtím. Jen to nebylo medializované. Upřímně řečeno, dostat do médií informace například o kyberneticko-bezpečnostních cvičeních, které pořádáme pro státy na Balkáně nebo pro Severoatlantickou alianci, to není pro média dostatečně atraktivní téma.

Lukáš Pimper, český kyberatašé pro EU a NATO

S tím si dovolím nesouhlasit. Mně například přijde skvělé, že Češi mají v oblasti kybernetické bezpečnosti celosvětově tak dobré jméno. Jen si jako zástupce laické veřejnosti říkám, jak je to možné? Když si vzpomenu například na vlastní středoškolské hodiny informatiky a cirka tři počítače s programem T602 pro celou třídu…

Je to primárně díky kvalitě našich analytiků. Je to už dva roky, co pilně pracují na problematice nedůvěryhodných dodavatelů, bezpečnosti dodavatelských řetězců a posuzování kritické infrastruktury na dodavatelích, kteří můžou představovat riziko.

Varování NÚKIB z loňského prosince ohledně firem Huawei a ZTE nebyl náš jediný cíl. Byl to pouze jeden článek kontinuálního procesu analýzy a sledování naší „oblasti“ a snaha zformalizovat bezpečnost dodavatelského řetězce a posuzování bezpečnosti dodavatelů pro citlivé aplikace.

Smyšlená obchodní válka

Přesto prohlášení NÚKIB vyvolalo mezi částí veřejnosti pochybnosti, zda-li nejde primárně o jakýsi „ústupek“ Spojeným státům, které na rizikovost Huawei upozorňovaly a upozorňují. V komentářích na sociálních sítích se začaly množit názory, že může jít o důsledek začínající obchodní války mezi USA a Čínou.

Tyto komentáře jsou naprostým argumentačním faulem, protože my jsme jako NÚKIB zodpovědní vůči České republice a české kritické informační infrastruktuře. My jsme Národní úřad pro kybernetickou a informační bezpečnost České republiky. Obvinění, že naše varování by mělo být součástí nějaké obchodní války mezi Čínou a Spojenými státy, je zcestný argument už z toho titulu, že mezi dodavateli komponent pro sítě 5G není jediná americká firma. Jsou to firmy z Evropy a Asie.

I na to se dá ale říct, že Čína by mohla finanční propad tak velké firmy jakou je Huawei ekonomicky pocítit.

Skutečně je to mylná domněnka. My jsme v rámci naší činnosti zjistili, že existují rizika spojená s firmami Huawei a ZTE. Pokud máme kritickou masu informací, kterou vyhodnotíme tak, že ta rizika jsou opravdu důležitá pro českou bezpečnost, pak vydáme varování. Je to naše povinnost ze zákona. Můžu vás ujistit, že to nebylo součástí konkurenčního boje nebo obchodní války mezi jinými státy. Upřímně nás to ani nezajímalo.

Prosincové varování NÚKIB bylo relativně obecné. Když se pak média začala pídit, v jakých strategických podnicích a úřadech fungují nebo mají fungovat výrobky Huawei, ukázalo se, že je jich poměrně dost. Například ČEZ ale vydal prohlášení, že se jeho spolupráce s Huawei nebude týkat strategické infrastruktury. Stačí ale omezení vztáhnout pouze na kritickou infrastrukturu? Například vyřadit servery Huawei, ale nechat si – řekněme – antény? Jaká dáváte v tomto ohledu úřadům a strategickým firmám doporučení?

Nejen úřady, ale i soukromé společnosti, které mají v držení kritickou informační infrastrukturu či systémy, se musí v tuto chvíli držet varování NÚKIB. To varování není pouhým výkřikem do tmy. Je to zákonný prostředek. Každý správce kritické informační infrastruktury má za povinnost dělat pravidelnou analýzu rizik. To znamená, že musí průběžně vyhodnocovat rizika spojená s infrastrukturou, za kterou je zodpovědný. Naše varování a s ním spojené zákonné prostředky ale mění matematickou rovnici, podle které se rizika vyhodnocují. Zkrátka mění matematické modely vyhodnocování rizik.

A jsou například státní úřady schopné vypracovat si takovou bezpečnostní analýzu? Mám na mysli, zda mají pro to dostatečně kompetentní zaměstnance? Nebo jim s takovou analýzou pomáháte?

NÚKIB je sice regulátor, ale nejsme pouze v pozici „zlého“ regulátora. V zákoně je dáno, že správci kritických infrastruktur musí mít určené role, aby mohli řešit problémy, které vznikají na základě hrozeb nebo rizik z kyberprostoru. Což jsou role například: manažer kybernetické bezpečnosti, auditor kybernetické bezpečnosti, architekt kybernetické bezpečnosti atd. Ti lidé vědí, co mají dělat.

Ochrana kritických institucí

Já jsem po vydání loňského varování mluvila o přijatých opatřeních ohledně produktů Huawei např. s Nejvyšším soudem, Řízením letového provozu a dalšími institucemi. Jejich odpovědi byly prakticky totožné v tom smyslu, že vyhodnocují rizika a čekají na další pokyny NÚKIB. Takže z pohledu zvenčí to vypadalo, že všichni čekají na instrukce, které ale z NÚKIB nepřicházejí…

My jsme vydali varování v prosinci a po Novém roce následovaly metodické pokyny. Metodika shrnuje další kroky, které jsou uvedeny v našich vyhláškách a lidé, kteří se problematikou zabývají na konkrétních úřadech, moc dobře vědí, co se po nich chce. Jednotlivé instituce teď provádějí analýzy rizik a na základě toho jim vypadnou nějaké výsledky, podle kterých se musí chovat.

Pokud jim vyjde, že riziko je příliš vysoké a nedá se snížit na nějakou akceptovatelnou úroveň, například technicko-organizačními opatřeními, tak plejáda možností, jak situaci řešit, je stále poměrně široká. My se skutečně nebavíme o tom, že bychom zakázali nějakou konkrétní firmu. Nebavíme se ani o tom, že automaticky vše od rizikové firmy se musí vyhodit.

Skutečně záleží na té matematické analýze rizik, která určí, zda komponenty konkrétních firem nejsou příliš rizikové v konkrétním nasazení a v konkrétní infrastruktuře. Takže, jak vidíte, tady nejdou uplatnit nějaká plošná opatření. Záleží na každé konkrétní infrastruktuře a instituci, jak má konkrétní produkty nasazené v systému. Proto si musí každá instituce udělat vlastní analýzu rizik a z toho vzejde výsledek – buď je to akceptovatelné riziko, nebo to není akceptovatelné riziko.

Součástí zákona je to, že každá entita musí mít už vytvořené nějaké strukturní bezpečnostní zázemí a mechanismy, jak na naše varování reagovat. Proto je možná dobré říct, že naše varování bylo určeno především pro ty instituce, kterých se týká, nikoliv nějak zásadně pro veřejnost. Proto je i napsané stylem a jazykem, který je určen odborníkům, nikoliv laikům.

Hlavní má být zákazník

Na závěr se ještě vrátím ke zmiňovaným „Pražským návrhům“, jejichž jste spoluautorem. Nezmiňujete konkrétní firmy, ale spíše podmínky, které budou muset dodavatelé 5G sítí splňovat. Jaké podmínky to tedy jsou? A koho se budou týkat?

Nejdříve odpovím na to, co by měli splňovat dodavatelé. Měli by být schopni prokázat, že zákazník je pro ně primárním subjektem. Že ať se jako dodavatelé dostanou do jakékoliv situace, upřednostní vždy zájem zákazníka. U některých dodavatelů ale panuje důvodné podezření, že to tak nemusí být.

Dá se takové podezření prokázat?

Prokázat přímo se to nedá. Ale dá se to posuzovat podle toho, jakým zákonům a jakým pravidlům konkrétní dodavatelská společnost podléhá, jakou má majetkovou strukturu, jaké tam fungují vlivové skupiny. V této fázi se už ale dostáváme do oblasti utajovaných informací.

Co se týče role jednotlivých aktérů, tak v případě telekomunikačních sítí a 5G sítí je zcela zřejmé, že hlavními aktéry jsou jednotlivé státy, protože ve většině případů se jedná o kritickou infrastrukturu, která je výhradně v pravomoci státu. Nicméně organizace jako EU a NATO jsou velmi užitečné v tom slova smyslu, že fungují na principu důvěry. Státy jsou ochotné sdílet vyšší úroveň citlivosti informací než v nějakém volném, bilaterálním režimu.

Zároveň slouží jako nástroj koordinace. Kyberprostor, telekomunikační sítě jsou dnes velmi provázané a bez vzájemné koordinace se prostě v této oblasti neobejdeme.

Co tedy bude pro EU a NATO v této oblasti v nejbližší budoucnosti největší výzvou?

Nastavení adekvátních bezpečnostních pravidel pro celkovou infrastrukturu, která zohlední specifika sítí 5G. A zároveň umožní flexibilní vytváření pravidel pro citlivé aplikace, které na 5G sítích poběží. Ať už to budou autonomní vozidla, provoz kritické infrastruktury, řízení samořiditelných prostředků atd.

Uvědomte si, že my teď ani nevíme, co všechno – jaké provozy – poběží na aplikacích 5G sítí.  Musíme si ale nastavit pravidla tak, abychom na ty změny a technologický vývoj byli schopní v budoucnu flexibilně reagovat.

Tento text vznikl díky podpoře Nadačního fondu nezávislé žurnalistiky