NÚKIB loni v prosinci označil technologie společností Huawei a ZTE, které používají i česká ministerstva a mobilní operátoři, za bezpečnostní riziko. NÚKIB následně provedl průzkum, cílem bylo zjistit rozsah používání těchto technologií mezi takzvanými povinnými orgány a osobami spadajícími do působnosti zákona o kybernetické bezpečnosti. Úřad zjišťoval také vliv varování na změnu hodnoty rizik u těchto technologií.

V rámci průzkumu oslovil 126 organizací spadajících pod zákon o kybernetické bezpečnosti a vyhodnotil 472 systémů kritické informační infrastruktury. Z celkového počtu oslovených organizací jich 75 uvedlo, že dotyčná zařízení nepoužívá, 49 je používá, dvě nedodaly požadované podklady.

Po vydání varování byly subjekty spadající pod zákon o kybernetické bezpečnosti povinny aktualizovat analýzu rizik. Pokud upravená hodnota rizika nepřesáhla určitou hranici, nebylo nutné zavádět dodatečná bezpečnostní opatření. Pokud ale hodnota rizika přesáhla mez, organizace byla povinna zavést bezpečnostní opatření, a snížit tak hodnotu rizika znovu na přijatelnou úroveň.

ČTĚTE TAKÉ:
USA zařadily Huawei na černou listinu, firma nenakoupí americké součástky
Kroky USA proti Huawei mohou zpomalit zavádění sítí 5G
Macron: Cílem Francie je bezpečnost, ne blokování Huawei

Nízká vs. vysoká rizika

Z průzkumu NÚKIB vyplynulo, že před varováním byla více než polovina rizik hodnocena jako nízká, po varování, kdy se změnil parametr výpočtu, byla více než polovina rizik hodnocena jako vysoká. Subjekty ale podle průzkumu přijaly nebo hodlají přijmout opatření, kdy se rizika opět sníží.

"Bezpečnostní opatření mohou být různá, jak technického, tak organizačního charakteru. Obecně všechna bezpečnostní opatření směřují k snížení či eliminaci rizika a zajištění požadované úrovně dostupnosti, důvěrnosti a integrity informačního nebo komunikačního systému," uvedl Holý.

Za nejefektivnější opatření lze označit vyvarování se rizikových aktivit nebo vyloučení rizikových prostředků. Existují i další opatření, například šifrování, zavedení přísnější fyzické bezpečnosti nebo takzvané logování změn.

Analýzy rizik jsou povinné pro všechny správce a provozovatele systémů, které spadají pod zákon o kybernetické bezpečnosti. Jde o systémy nezbytné či významné pro chod státu a poskytování základních služeb občanům bez ohledu na to, zda je jejich provozovatel ze soukromého nebo státního sektoru.

„Vítáme pragmatičtější a konstruktivní přístup ze strany NÚKIB a věříme, že je to počátek vzájemné spolupráce. Společnost Huawei je jedním ze světových lídrů v oboru a má značné zkušenosti v oblasti řešení kybernetické bezpečnosti,” uvedl tiskový mluvčí Huawei Pavel Košek. Podle něj je firma přesvědčena, že může přispět ke zvýšení bezpečnosti v kyberprostoru. „Společnost Huawei může poskytnout zázemí a znalosti, které Českou republiku podpoří v úsilí zajistit co nejvyšší úroveň kybernetické bezpečnosti,“ dodal Košek.

Varování před riziky

NÚKIB loni v prosinci označil technologie společností Huawei a ZTE za bezpečnostní riziko. Varování úřadu před technologiemi těchto firem se týkalo systémů zařazených do takzvané kritické informační infrastruktury, případně významných informačních systémů.

Na základě varování NÚKIB některé státní instituce omezily používání produktů firem a třeba Generální finanční ředitelství vyřadilo Huawei z tendru za půl miliardy korun na portál Moje daně. Tendr následně zrušilo. Huawei se brání, že pro varování neexistují důkazy.

Před čím varuje NÚKIB
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování před používáním softwaru i hardwaru společností Huawei a ZTE.
Neznamená to, že jsou tyto technologie škodlivé nebo v danou chvíli zneužívané proti jejich uživatelům, ale představují riziko, že zneužity být mohou. Používat je na klíčových místech kritické infrastruktury – stávající i nově budované – znamená vysokou hrozbu.
Problém představuje čínské prostředí, kde tyto společnosti primárně působí. Podle tamních zákonů musí soukromé společnosti spolupracovat se státem při zpravodajských aktivitách. Aktivity vlivového i špionážního charakteru Čína, kde vládne autoritativní režim, v České republice už nyní provádí.
Technologie zmíněných firem na citlivých místech představují riziko nejen kvůli potenciální špionáži, ale i kvůli ohrožení běžných služeb státu. Cizí mocnost by je pak mohla chtít zneužít například k zásahům do internetu. Obezřetnost je namístě také tam, kde by jejich zneužití mohlo přinést ohrožení zdraví a životů lidí nebo významné hospodářské ztráty.