Problém pro operátory. Vzniká zákon, který může vyřadit čínské technologie

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravuje návrh zákona, který by mohl vyšachovat čínské dodavatele z českých mobilních sítí. Podle některých mobilních operátorů je ale hlavní motivací spíše politika než kybernetická bezpečnost.

Zákon o bezpečnosti dodavatelských řetězců strategické infrastruktury státu připravuje NÚKIB na podnět Bezpečnostní rady státu, která ho k tomu vyzvala již letos v červnu. Cílem zákona by mělo být především omezení účasti potenciálně nebezpečných aktérů v kritické infrastruktuře České republiky.

„Zákon bude obsahovat mechanismus prověřování bezpečnostní spolehlivosti dodavatelů. Ten by měl státu umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury České republiky, vyhodnotit míru rizika spojenou s těmito dodavateli a v případě vysokého rizika omezit využití takových dodavatelů v dané infrastruktuře,“ vysvětlil pro SZ Byznys mluvčí NÚKIB Marek Vala.

V praxi by mohlo omezení vysoce rizikových dodavatelů znamenat problém především pro mobilní operátory. Velkými dodavateli na poli mobilních 5G sítí jsou totiž čínské firmy, které by mohly být potenciálně považovány za nebezpečného dodavatele.

Podoba přesných kritérií, na základě kterých bude NÚKIB rozhodovat o tom, zda je konkrétní dodavatel bezpečnostní hrozbou pro kritickou infrastrukturu, zatím není známá. Podle mluvčího se bude ale jednat například o to, „zda byly na stát či na dodavatele uvaleny mezinárodní sankce, zda dodavatel někdy prováděl špionáž ve prospěch cizího státu nebo zda je dodavatel vlastněn státem provádějícím kybernetické útoky na Českou republiku či její spojence“.

Jasnější parametry poskytuje Doporučení pro hodnocení důvěryhodných dodavatelů technologií do 5G sítí vydané NÚKIB ve spolupráci s českými ministerstvy. To rozděluje požadavky na tři hlavní části - strategické, obchodní a technicko-bezpečnostní kritéria. A právě tato kritéria by mohla navést operátory směrem, kterým se bude ubírat i připravovaný zákon.

Důvěryhodný dodavatel má podle strategických doporučení v první řadě sídlo v jedné z členských zemí EU nebo NATO. Hned v prvním bodě doporučení tedy z rovnice vypadávají čínské firmy, například Huawei či společnost ZTE, které sídlí v čínském Šen-Čenu.

Další doporučení se věnují například transparentnímu financování, nezávislosti na státu nebo technickým parametrům zajišťujícím bezpečnost konkrétních součástek.

K přístupu je kritický viceprezident pro vnější vztahy Vodafone Richard Stonavský: „Pokud chcete vyřadit z provozu například síť v nemocnici, tak to spíš proběhne prostřednictvím kybernetického útoku. Je otázka, jestli je kybernetická hrozba pravděpodobnější, když máte hardware od firmy A, nebo od firmy B. Kybernetický útok by totiž zřejmě přišel jinou cestou, než je fyzické zařízení – třeba e-mailem s přílohou. V aktuální debatě se nezohledňují aktuální rizika, která jsou spíše kybernetická.“

Jako problémový vidí i způsob řešení otázky kybernetické bezpečnosti, kterým se chce ubírat NÚKIB. „Když pravidla zakážou jednoho konkrétního dodavatele a vám pak už zbývá jen jeden či dva, tak to má významný efekt na to, co se bude dále dít. Dodavatelé jsou v oblasti 5G sítí totiž v současnosti dva až tři. V některých státech Evropy je ale dokonce i jeden ze dvou nečínských dodavatelů také vyřazen. Takže je velmi složité najít alternativu,“ říká Stonavský.

„Úplný zákaz dodavatele na základě zákona by měl každopádně platit jen pro ty nejrizikovější dodavatele a pouze ve vztahu k infrastruktuře, kterou by takoví dodavatelé skutečně mohli ohrozit,“ ujišťuje ovšem mluvčí NÚKIB.

Je proto také nutné rozlišovat, na jakou infrastrukturu by se zákazy vztahovaly. Mobilní síť se totiž dělí primárně na dvě části - jádro a periferii. „Nejkritičtější je jádro sítě, které má informace o zákaznících, ovládá koncové základnové stanice či uděluje různé autorizace. Vodafone už před lety rozhodl, že v této části sítě nebude využívat určité dodavatele. My v Česku máme jádro sítě od Ericssonu,“ vysvětluje Stonavský.

Periferní části, jako jsou například právě koncové základnové stanice, nejsou podle Stonavského tak rizikové, především proto, že provádějí jen to, co jim pošle jádro. V neposlední řadě také obsluhují pouze jednotky až desítky uživatelů, na rozdíl od jádra, které obsluhuje všechny zákazníky a uživatele.

Hlavním adresátem návrhu zákona jsou provozovatelé 5G sítí, tedy mobilní operátoři. V případě, že bude nějaký dodavatel označen za nedůvěryhodného, budou muset operátoři zajistit nahrazení jeho komponent jinými, bezpečnými součástkami.

Podle NÚKIB v současnosti probíhají jednání mezi zúčastněnými stranami. „Aktuálně probíhají jednání a přípravy legislativy. Vzhledem k citlivosti ale nemůžeme jejich průběh ani obsah komentovat,“ sdělila ke stavu zákona tisková mluvčí O2 Veronika Zachariášová.

S návrhem zákona nebyl seznámen ani Vodafone, ani T-Mobile. „V současné době nemáme žádné oficiální vyjádření NÚKIB k podobě znění zákona,“ sdělil SZ Byznys manažer korporátní bezpečnosti T-Mobile Jakub Ludvík.