Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal na konci roku 2018 varování týkající se technických a programových prostředků společností Huawei a ZTE. Lokální i globální zastoupení Huawei veškerá obvinění odmítá.
Na dotazy ChannelWorldu zaslané na konci prosince odpovídal mluvčí NÚKIB Radek Holý. Místní pobočka Huawei naši žádost o rozhovor odmítla.
O tom, že Huawei může představovat bezpečností hrozbu, se v odborných kruzích hovoří již několik let. Varování NÚKIB však přišlo až nyní a zdá se být součástí širšího dění. Lze přiblížit příčinu tohoto náhlého a navíc globálního zlomu?
NÚKIB vznikl proto, aby pomáhal chránit kritickou informační infrastrukturu České republiky, tedy systémy, bez nichž by země de facto nemohla fungovat. Pokud zjistíme, že tyto systémy jsou jakýmkoli způsobem ohroženy, musíme bezodkladně jednat.
Proto jsme vydali varování určené především správcům kritické informační infrastruktury, významných informačních systémů a provozovatelům základních služeb. Varování se zakládá na poznatcích z naší činnosti i na poznatcích našich partnerů.
NÚKIB dle zákona o kybernetické bezpečnosti varuje před používáním technologií, které jsou potenciální hrozbou. Ze zákona je pak nutné takové varování zveřejnit ihned po jeho vydání.
Lokální zastoupení Huawei vaše varování ostře odsoudilo a vyzvalo vás k předložení důkazů. Je nutno říci, že varování skutečně neobsahuje popis konkrétních hrozeb. Můžete prosím uvést nějaké příklady?
Ve varování jsme uvedli, že k vydání nás vedly naše poznatky včetně poznatků z činnosti našich bezpečnostních partnerů a také zjištění našich spojenců. Jedním z problémů je právní a politické prostředí Čínské lidové republiky, ve kterém uvedené společnosti primárně působí.
Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, a tudíž pouštět je do systémů, které jsou klíčové pro chod státu, což může představovat nezanedbatelnou hrozbu. Takový zákon je nestandardní a v demokratických státech nemá obdobu.
Další důkazy bohužel uvést nemůžeme, protože podléhají utajení. Byli s nimi nicméně seznámeni členové Bezpečnostního výboru i Komise pro kontrolu činnosti NÚKIB a oba tyto orgány Poslanecké sněmovny, jejichž členy jsou poslanci napříč politickým spektrem, náš postup svými usneseními podpořily.
Stanovisko Huawei hovoří o tom, že řešení této společnosti neobsahují žádná „zadní vrátka“, ačkoliv vaše varování nic takového netvrdí. Lze tuto pasáž považovat za nějakým způsobem vypovídající?
Nepřísluší nám vysvětlovat, jak má být chápana komunikace libovolného subjektu.
Varování hovoří velmi obecně o „technických a programových prostředcích“. Znamená to, že z vašeho pohledu představují hrozbu veškeré produkty Huawei a ZTE včetně elektroniky pro koncové uživatele?
Varování je instrument zákona o kybernetické bezpečnosti, varuje před určitou hrozbou a nemá právní dopad na řadového občana ČR. Subjekty, na které dopadá zákon o kybernetické bezpečnosti, musí v rámci svých činností pracovat s analýzou rizik, což je činnost obecně vyplývající ze standardů kybernetické bezpečnosti.
Každý subjekt na základě uvedené analýzy rizik individuálně vyhodnotí, jaké riziko pro něj hrozba představuje. Jako pomůcku jsme připravili metodiku, jak lze s varováním v rámci analýzy rizik pracovat. Se subjekty, na které varování dopadá, intenzivně komunikujeme a poskytujeme jim naši plnou podporu.
Vaše varování bylo vykládáno různými způsoby včetně velmi extrémních interpretací. Můžete prosím uvést na pravou míru, nakolik a pro koho je varování NÚKIB závazné, případně jaké kroky musí dotyčné organizace podniknout?
Varování je závazné pro subjekty, na které dopadá zákon o kybernetické bezpečnosti, tedy na státní i soukromé instituce, jež provozují informační systémy důležité pro správný chod České republiky. Nejedná se o zákaz. To jestli dané technologie zůstanou, kde jsou, nebo budou muset být nahrazeny jinými, je závislé na výsledku již zmíněné analýzy rizik.
Není tajemstvím, že všichni tři velcí mobilní operátoři používají řešení Huawei v rámci své infrastruktury. Považujete tuto situaci za klíčový problém?
Považujeme za nutné, aby všechny subjekty, které spadají pod zákon o kybernetické bezpečnosti, zohlednily varování v analýze rizik. Neznamená to, že tato zařízení musí automaticky vyřadit z provozu. Jen musí zhodnotit příslušná rizika v konkrétní situaci a přijmout adekvátní rozhodnutí a kroky.
Subjekty prodávající produkty a řešení Huawei a ZTE se ocitly v nepříjemné situaci, kdy se značka z jejich portfolia náhle ocitla na „blacklistu“. Jak si s tím mají poradit?
Nejedná se o „blacklist“, jelikož nejde o plošný zákaz. Lze pouze konstatovat, že bezpečnost našeho státu je velmi důležitá. NÚKIB postupuje v souladu se zákonem o kybernetické bezpečnosti a cílem jeho snah je co nejbezpečnější České republika.
Zdroj: ChannelWorld