Kauza Huawei nespadla z nebe. Na odhalení rizik pracoval NÚKIB dva roky, říká český kyberatašé
Loňské varování NÚKIB není pouhým výkřikem do tmy, je to zákonný prostředek, popisuje současnou situaci v kauze Huawei Lukáš Pimper, český kyberatašé pro EU a NATO. Nejen úřady, ale i soukromé společnosti, které mají v držení kritickou informační infrastrukturu či systémy, se podle něj teď musí doporučení Národního úřadu pro kybernetickou a informační bezpečnost držet.
V rozhovoru pro HlídacíPes.org Lukáš Pimper popisuje nejen pozadí celého rozruchu kolem možných bezpečnostních rizik firem Huawei a ZTE, ale i to, jak si Česká republika stojí v kybernetické bezpečnosti na mezinárodním poli.
V Praze nedávno proběhla velká mezinárodní konference o bezpečnosti 5G sítí, první akce tak velkého rozsahu. Přinesla něco přelomového i v jiném ohledu než v počtu účastníků?
Konference sloužila především k tomu, aby se k jednacím stolům sešly státy, kterým v souvislosti s budováním sítí páté generace hrozí bezpečnostní rizika.
Související články
Huawei je sice levnější, ale má horší zabezpečení, tvrdí o 5G sítích americký bezpečnostní expert
Přijelo přes 200 účastníků z 32 zemí a na vysoké expertní úrovni probírali témata jako jsou bezpečnost, odolnost a ekonomické aspekty sítí páté generace. Z konference pak vzešel dokument – tzv. „Pražské návrhy“ zahrnující aspekty a témata, kterými je potřeba se v rámci budování telekomunikačních sítí 5G zabývat.
Návrhy jsou založené na takzvaných „best practices“ – tedy nejlepších zkušenostech. Což neznamená vyškrtávání někoho konkrétního ze soutěže, ale nastavení témat na vyšší politicko-strategické úrovni. Protože v rámci strategicko-bezpečnostní roviny si většina států rizika uvědomuje. Ale na politicko-strategické úrovni je potřeba dosáhnout větší úrovně spolupráce.
Češi hrají prim
Koncem minulého roku se česká veřejnost dozvěděla, že výrobky čínské firmy Huawei a ZTE můžou představovat bezpečnostní riziko a o pár měsíců později se pomalu zdá, že Češi hrají na poli kybernetické bezpečnosti prim. Z pohledu laika je to poměrně překotný vývoj…
Česká republika je v oblasti kybernetické bezpečnosti vnímána pozitivně dlouhodobě. Spousta lidí si naši roli a vůbec existenci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) redukuje až na datum 17.12.2018, kdy jsme vydali zprávu o rizicích Huawei. My jsme ale byli aktivní na mezinárodním poli už dlouho předtím. Jen to nebylo medializované. Upřímně řečeno, dostat do médií informace například o kyberneticko-bezpečnostních cvičeních, které pořádáme pro státy na Balkáně nebo pro Severoatlantickou alianci, to není pro média dostatečně atraktivní téma.
S tím si dovolím nesouhlasit. Mně například přijde skvělé, že Češi mají v oblasti kybernetické bezpečnosti celosvětově tak dobré jméno. Jen si jako zástupce laické veřejnosti říkám, jak je to možné? Když si vzpomenu například na vlastní středoškolské hodiny informatiky a cirka tři počítače s programem T602 pro celou třídu…
Je to primárně díky kvalitě našich analytiků. Je to už dva roky, co pilně pracují na problematice nedůvěryhodných dodavatelů, bezpečnosti dodavatelských řetězců a posuzování kritické infrastruktury na dodavatelích, kteří můžou představovat riziko.
Varování NÚKIB z loňského prosince ohledně firem Huawei a ZTE nebyl náš jediný cíl. Byl to pouze jeden článek kontinuálního procesu analýzy a sledování naší „oblasti“ a snaha zformalizovat bezpečnost dodavatelského řetězce a posuzování bezpečnosti dodavatelů pro citlivé aplikace.
Smyšlená obchodní válka
Přesto prohlášení NÚKIB vyvolalo mezi částí veřejnosti pochybnosti, zda-li nejde primárně o jakýsi „ústupek“ Spojeným státům, které na rizikovost Huawei upozorňovaly a upozorňují. V komentářích na sociálních sítích se začaly množit názory, že může jít o důsledek začínající obchodní války mezi USA a Čínou.
Tyto komentáře jsou naprostým argumentačním faulem, protože my jsme jako NÚKIB zodpovědní vůči České republice a české kritické informační infrastruktuře. My jsme Národní úřad pro kybernetickou a informační bezpečnost České republiky. Obvinění, že naše varování by mělo být součástí nějaké obchodní války mezi Čínou a Spojenými státy, je zcestný argument už z toho titulu, že mezi dodavateli komponent pro sítě 5G není jediná americká firma. Jsou to firmy z Evropy a Asie.
I na to se dá ale říct, že Čína by mohla finanční propad tak velké firmy jakou je Huawei ekonomicky pocítit.
Skutečně je to mylná domněnka. My jsme v rámci naší činnosti zjistili, že existují rizika spojená s firmami Huawei a ZTE. Pokud máme kritickou masu informací, kterou vyhodnotíme tak, že ta rizika jsou opravdu důležitá pro českou bezpečnost, pak vydáme varování. Je to naše povinnost ze zákona. Můžu vás ujistit, že to nebylo součástí konkurenčního boje nebo obchodní války mezi jinými státy. Upřímně nás to ani nezajímalo.
Prosincové varování NÚKIB bylo relativně obecné. Když se pak média začala pídit, v jakých strategických podnicích a úřadech fungují nebo mají fungovat výrobky Huawei, ukázalo se, že je jich poměrně dost. Například ČEZ ale vydal prohlášení, že se jeho spolupráce s Huawei nebude týkat strategické infrastruktury. Stačí ale omezení vztáhnout pouze na kritickou infrastrukturu? Například vyřadit servery Huawei, ale nechat si – řekněme – antény? Jaká dáváte v tomto ohledu úřadům a strategickým firmám doporučení?
Nejen úřady, ale i soukromé společnosti, které mají v držení kritickou informační infrastrukturu či systémy, se musí v tuto chvíli držet varování NÚKIB. To varování není pouhým výkřikem do tmy. Je to zákonný prostředek. Každý správce kritické informační infrastruktury má za povinnost dělat pravidelnou analýzu rizik. To znamená, že musí průběžně vyhodnocovat rizika spojená s infrastrukturou, za kterou je zodpovědný. Naše varování a s ním spojené zákonné prostředky ale mění matematickou rovnici, podle které se rizika vyhodnocují. Zkrátka mění matematické modely vyhodnocování rizik.
A jsou například státní úřady schopné vypracovat si takovou bezpečnostní analýzu? Mám na mysli, zda mají pro to dostatečně kompetentní zaměstnance? Nebo jim s takovou analýzou pomáháte?
NÚKIB je sice regulátor, ale nejsme pouze v pozici „zlého“ regulátora. V zákoně je dáno, že správci kritických infrastruktur musí mít určené role, aby mohli řešit problémy, které vznikají na základě hrozeb nebo rizik z kyberprostoru. Což jsou role například: manažer kybernetické bezpečnosti, auditor kybernetické bezpečnosti, architekt kybernetické bezpečnosti atd. Ti lidé vědí, co mají dělat.
Ochrana kritických institucí
Já jsem po vydání loňského varování mluvila o přijatých opatřeních ohledně produktů Huawei např. s Nejvyšším soudem, Řízením letového provozu a dalšími institucemi. Jejich odpovědi byly prakticky totožné v tom smyslu, že vyhodnocují rizika a čekají na další pokyny NÚKIB. Takže z pohledu zvenčí to vypadalo, že všichni čekají na instrukce, které ale z NÚKIB nepřicházejí…
My jsme vydali varování v prosinci a po Novém roce následovaly metodické pokyny. Metodika shrnuje další kroky, které jsou uvedeny v našich vyhláškách a lidé, kteří se problematikou zabývají na konkrétních úřadech, moc dobře vědí, co se po nich chce. Jednotlivé instituce teď provádějí analýzy rizik a na základě toho jim vypadnou nějaké výsledky, podle kterých se musí chovat.
Související články
Důkaz Huawei o nezávislosti na Číně neobstojí. Analýzu psali právníci blízcí tamním komunistům
Pokud jim vyjde, že riziko je příliš vysoké a nedá se snížit na nějakou akceptovatelnou úroveň, například technicko-organizačními opatřeními, tak plejáda možností, jak situaci řešit, je stále poměrně široká. My se skutečně nebavíme o tom, že bychom zakázali nějakou konkrétní firmu. Nebavíme se ani o tom, že automaticky vše od rizikové firmy se musí vyhodit.
Skutečně záleží na té matematické analýze rizik, která určí, zda komponenty konkrétních firem nejsou příliš rizikové v konkrétním nasazení a v konkrétní infrastruktuře. Takže, jak vidíte, tady nejdou uplatnit nějaká plošná opatření. Záleží na každé konkrétní infrastruktuře a instituci, jak má konkrétní produkty nasazené v systému. Proto si musí každá instituce udělat vlastní analýzu rizik a z toho vzejde výsledek – buď je to akceptovatelné riziko, nebo to není akceptovatelné riziko.
Součástí zákona je to, že každá entita musí mít už vytvořené nějaké strukturní bezpečnostní zázemí a mechanismy, jak na naše varování reagovat. Proto je možná dobré říct, že naše varování bylo určeno především pro ty instituce, kterých se týká, nikoliv nějak zásadně pro veřejnost. Proto je i napsané stylem a jazykem, který je určen odborníkům, nikoliv laikům.
Hlavní má být zákazník
Na závěr se ještě vrátím ke zmiňovaným „Pražským návrhům“, jejichž jste spoluautorem. Nezmiňujete konkrétní firmy, ale spíše podmínky, které budou muset dodavatelé 5G sítí splňovat. Jaké podmínky to tedy jsou? A koho se budou týkat?
Nejdříve odpovím na to, co by měli splňovat dodavatelé. Měli by být schopni prokázat, že zákazník je pro ně primárním subjektem. Že ať se jako dodavatelé dostanou do jakékoliv situace, upřednostní vždy zájem zákazníka. U některých dodavatelů ale panuje důvodné podezření, že to tak nemusí být.
Dá se takové podezření prokázat?
Prokázat přímo se to nedá. Ale dá se to posuzovat podle toho, jakým zákonům a jakým pravidlům konkrétní dodavatelská společnost podléhá, jakou má majetkovou strukturu, jaké tam fungují vlivové skupiny. V této fázi se už ale dostáváme do oblasti utajovaných informací.
Co se týče role jednotlivých aktérů, tak v případě telekomunikačních sítí a 5G sítí je zcela zřejmé, že hlavními aktéry jsou jednotlivé státy, protože ve většině případů se jedná o kritickou infrastrukturu, která je výhradně v pravomoci státu. Nicméně organizace jako EU a NATO jsou velmi užitečné v tom slova smyslu, že fungují na principu důvěry. Státy jsou ochotné sdílet vyšší úroveň citlivosti informací než v nějakém volném, bilaterálním režimu.
Zároveň slouží jako nástroj koordinace. Kyberprostor, telekomunikační sítě jsou dnes velmi provázané a bez vzájemné koordinace se prostě v této oblasti neobejdeme.
Co tedy bude pro EU a NATO v této oblasti v nejbližší budoucnosti největší výzvou?
Nastavení adekvátních bezpečnostních pravidel pro celkovou infrastrukturu, která zohlední specifika sítí 5G. A zároveň umožní flexibilní vytváření pravidel pro citlivé aplikace, které na 5G sítích poběží. Ať už to budou autonomní vozidla, provoz kritické infrastruktury, řízení samořiditelných prostředků atd.
Uvědomte si, že my teď ani nevíme, co všechno – jaké provozy – poběží na aplikacích 5G sítí. Musíme si ale nastavit pravidla tak, abychom na ty změny a technologický vývoj byli schopní v budoucnu flexibilně reagovat.
Tento text vznikl díky podpoře Nadačního fondu nezávislé žurnalistiky
Pop-up mobil Mobile (207451)
SMR mobil článek Mobile (207411)
SMR mobil článek 2 Mobile (207416)
SMR mobil článek 2 Mobile (207416-2)
SMR mobil článek 2 Mobile (207416-3)
SMR mobil pouze text Mobile (207431)
Recommended (5901)
Čtěte též
Na Číně jsme si vypěstovali závislost. Sami ani pořádně nevíme, jak velkou
Strach z „očipování lidstva“ vystřídaly obavy z čínského vlivu
Skyscraper 2 Desktop (211796-4)
11 komentářů
Zde čtu, že v žádném případě nejde o obchodní válku či o vliv Ameriky na ČR, nicméně před pár měsíci během rozhovoru s Národním úřadem věta, že nelze jít proti politickému vlivu Ameriky, zazněla. Tady někdo nemá kontrolu nad svými zaměstnanci a nebo nemá jedna a dvě pohromadě. Také se mluvilo o tom: že pokud Huawei představuje reálné riziko pro veřejnost, nejprve se musí provést důkladné šetření a až na základě důkazů či toho šetření se vydá zpráva pro veřejnost, do té doby by se veřejnosti zpráva o hrozícím nebezpečí podávat neměla. Tak proč tady to bylo úplně obráceně? Nejprve pošpinit soukromou firmu, poté upozornit veřejnost a mezitím se teprve prošetřuje? Naprosto obrácený postup, ale ono Vás to přejde, jakmile Čína bude blokovat americké výrobky a především Apple. Jablíčka půjdou na kompost a česká vláda ztratila veškerou mou důvěru jako občana, taková komedie, co je naše politika, měli bychom se stydět. Pokud je možnost rizika, tak je u všech výrobků se softwarem google a iOS ze strany Ameriky, Ameriky nechce dovážet, ale jen vyvážet, ale to je v pořádku. Nemluvě o tom, že zařízení s čistým systémem Android jsou mnohem snadnějším terčem pro hackery. Pokud Huawei představuje riziko, ať jde pryč z veřejně správy, ale pokud obyčejný spotřebitel huawei chce i přes možné rizika, má být upozorněn a ne, že mu bude zamítnuta možnost si jejich zařízení pořídit. Pokud mi nevadí být špionován, tak co je komu do toho? Dotyčný mi volá, dotyčný zasahuje do mého soukromí a tudíž mu to může být jedno, ať mi teda nevolá. Není to poprvé v historii Ameriky, kdy podobným způsobem či fikcemi pošpinila konkurenci za cílem zvýšit své zisky, nicméně Applu to zisky zmenší a ne jen applu, všem americkým společnostem.
Jestli jste četl pozorně, tak varování se týká kritické infrastruktury. Provozujete něco takového? Pokud ne, tak je jen na Vašem vkusu a potřebách, co si nakoupíte. Právo pracuje s přímými a nepřímými důkazy. Autor přeci říká, že přímé důkazy neexistují. Existují li ale nepřímé důkazy, které tvoří logický celek, pak mají stejnou váhu, jako přímý důkaz. Současně bylo řečeno, že nepřímé důkazy spadají do režimu utajované informace.
Víte, pokud v závěru píšete „..Právo pracuje s přímými a nepřímými důkazy. Autor přeci říká, že přímé důkazy neexistují. Existují li ale nepřímé důkazy, které tvoří logický celek, pak mají stejnou váhu, jako přímý důkaz. “ – ale to máte na mysli čistě a pouze soudní rozhodnutí v trestních věcích..
Nikdo jiný se tímto principem řídit nemusí. Konkrétně NÚKIB je státem zřízený úřad, který dostal ze zákona pravomoc vydat takové úřední doporučení , na které musí ze zákona ty dotčené subjekty reagovat. Zda je takové „varování“ NÚKIBu podloženo nespornými důkazy, není v tomto případě vůbec relevantní – naopak, ty oslovené subjekty ho prostě mohou poslechnout, jinak by samotné porušily zákon.
1) vágní obvinění ve stylu: jízda autem zn. Škoda může skončit smrtí (vw m.j. taky) je iniciováno ryze politicky, NENÍ založeno na reálných případech a je
ve své podstatě koncipováno jako POTENCIÁLNÍ riziko. Takže prosím reagujte znovu na postup úřadu a neschovávejte se za already nezabezpečenou infrastrukturou.
2) v komunitě se předpokládá a testuje, že přístroje Huawei, Honor apod. vyrobené v posl. letech neobsahují backdoory, kterými by disponovala např. NSA. Tím, že tyto značky představují značný podíl v cílových zemích, stávají se rizikem minimálně proto, že je Murika nemůže napíchnout napřímo.
To neznamená, že ty čínské telefony nemají nějaké backdoory a taktéž to neznamená, že NSA má jen tuto možnost jak např. sledovat komunikaci.
3) průmyslovou špionáž totiž provádí všechny strany, ne jen čínani. Backdoory nemají jen čínské telefony nebo páteřní prvky. Potenciální riziko existuje u VŠECH výrobců telekom. technologií.
Místo rozsáhlých kyberutoků, výpadků, úniků dat nebo špionáži máme věřit potenciálnímu riziku, které je ve finále jenom páka, kterou se Trump chystá urazit Číňany u stolu při vyjednávání o obchodní dohodě, jak sám přiznává.
Nelžete si všichni takhle do kapsy.
Mimochodem, v tom je právě ona amatérština NÚKIBu. Pokud už měl poslat, dle své pravomoci, ono varování našim důležitým firmám, tak byla naprostá hloupost to udělat jako tiskovou zprávu. Když už – měl jim to poslat přímo – a to přes datovou schránku, přímo k rukám jejich bezpečnostních expertů. Nic víc. Veřejnosti, ani ostatních subjektů u nás se to varování zkrátka vůbec netýkalo tyto si mohou výrobky Huawei dál..
Mimochodem – dokonce i ty kritické firmy mohou ty výrobky Huawei používat dál, to co po nich NÚKIB vyžadoval, bylo pouze provedení analýzy bezpečnosti v kritických činnostech – a v takovém případě.. by se navrhly nějaké změny..
Zkrátka, to co z toho vyšlo byl parádní IT bulvár
Pravděpodobnost, že Váš názor je správný je potvrzena skutečností, že nebyl předložen NÚKIB, ani Američany žádný ověřitelný důkaz o bezpečnostním riziku Huawei, jen spekulace typu JPP (jedna paní povídala). Před léty zveřejněné a ověřené skutečnosti odposlouchávání špičkových politiků EU (zejména Merkelové) americkou NSA (Edward Joseph Snowden, (* 21. června 1983) je bývalý zaměstnanec CIA a sub-kontraktor pracující pro Dell na zakázce pro americkou Národní bezpečnostní agenturu (NSA) – Dell Inc. ( Nasdaq: Dell) je americká nadnárodní společnost působící v informačních technologiích. Sídlí v Round Rock (Texas, USA) a vyrábí a prodává produkty související s počítači/) jen dokládají přísloví „Podle sebe,soudím tebe“ a že potvrzeným bezpečnostním rizikem jsou naopak zařízení firem z USA. Že jde v případě Huawei o špinavou obchodní praktiku ve stylu Trumpova USA First , je nade vší pochybnost, což je nejspíše jasné i absolventu zvláštní školy.
Vím, že cenzorka Engelová to neschválí, ale přesto, si vážím svobody slova natolik, že jsem si tu práci se znovuuvedením dal.
Zdraví Oskrar.
Mohl bych Vás, Milane, poprosit o zdroj informace, že „před pár měsíci během rozhovoru s Národním úřadem věta, že nelze jít proti politickému vlivu Ameriky, zazněla“? Já se o bezpečnost v IT dlouhodobě zajímám a mám pocit, že obava z toho, že dodavatelé HW i SW přidávají pod nátlakem státních struktur do svých produktů zadní vrátka nebo úmyslně oslabují jejich ochranu, je patrná nejen u odběratelů produktů z Číny, ale i z USA a jiných zemí. Celé je to o tom, jak moc si myslíte, že stát může ovlivňovat procesy u těchto dodavatelů. Připomělo mi to rozhovor s jedním mým kolegou. Líčil jsem mu, jak se snažím před svým poskytovatelem Internetu skrýt obsah mé komunikace, přestože k tomu nemám důvod (nedělám nic nemorálního ani nezákonného, ale jde mi o princip – nic jim do toho není). On má stejného poskytovatele. Dokonce majitele firmy osobně zná. Argumetoval mi, že ten majitel je slušný člověk, křesťan, že by nedovolil, aby se informace o zákaznících dostaly do cizích rukou. Moje rekace byla: A jaký typ člověka si myslíš, že bude nejposlušnější, když mu přijde soudní příkaz na vydání těch informací? S Huawei je to, podle mne, podobná situace. Riziko, že někdo ze stranického vedení Číny si usmyslí, že Huawei musí umožnit přístup k informacím, které tečou přes jejich HW, je prostě vysoké. Upřímně, byli by hloupí, kdyby nevyužili toho, že jejich HW je v kritických systémech cizích států. Vy požadujete nejdříve důkladné šetření a důkazy, ale takhle to v tomto odvětví prostě nefunguje. Jen poměrně zřídka se stává, že se podaří pachatele hacku identifikovat a čím sofistikovanější útok, tím těžší to je. O totožnosti některých útoků v minulosti se dodnes vedou mezi odborníky spory (po několika letech). Jediné, co máte pod kontrolou je ta míra rizika. Z tohoto pohledu jsem rád, že NÚKIB dělá svou práci tak, jak ji dělá.
Že vybere jednu nebo dvě značky ze všech v kontextu obchodní dohody USA&Číny a pomůže Trumpovi k páce při vyjednávání?
Kdo má největší budget na špionáž?
Kdo má nejrozsáhlejší sledovací programy na světě? Mimochodem, úplně stejně lze dosadit propagandu..
I v IT se pokud možno hraje fér a ne na základě nepodložených tvrzení.
Jediný kdo prokazatelně instaluje do své techniky backdoor, je Americké Cisco. Sice možná máte doma na internet anténu a router od Huawei, který je potencionálně nebezpečný. Bohužel i bez výrobků Huawei ty data stejně doputují do serverovny ve které je například právě Cisco. Navíc servery pohání procesor Intel s hromadou bezpečnostních chyb, které umožňují hackerům číst data přímo z paměti cache. Zkrátka internet je tak rozsáhlá síť s gigantickým množstvím různorodých zařízení, že očekávat jakoukoliv bezpečnost při zručnosti hackerů je pitomost ať už zařízení vyrábí kdokoliv. Jinak článek mne opravdu pobavil a co se týká státních bezpečnostních institucí, tak ty zcela ztratili důvěryhodnost bylo by vhodné je zrušit… očividně nehájí zájmy této země.
BiS = ideopolicie – souhlasim s tvym názorem. Docela me zarazi kde je tady presunkce neviny. nikdo nic neprokazal, vse jspu poze domenky. také jsem podnikatel. To mam cekat ze když se mi nahodou povede ,taky me treti strana bude chtit odstranit. Ja osobne huaweii fandim. a doufam ze se Trump probere, nebo lip konecne ho nahradi někdo normalni. Docela me prekvapilo i vyjadreni našeho presidenta, ze pokud chceme rust , huawei potrebujeme.
Omlouvam se za chyby, lezim doma v horečkách a rychleji jsem odeslal nez precetl.