Hlavní obsah
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Dušan Navrátil poskytl v pátek 1. února 2019 rozhovor deníku Právo. Foto: Petr Hloušek, Právo

Šéf NÚKIB Navrátil: Varování před čínskými firmami jsme vydat museli

Před měsícem a půl vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varování před společnostmi Huawei a ZTE. Ředitel úřadu Dušan Navrátil při rozhovoru s Právem konstatoval, že nic jiného dělat nešlo. Podle něj, kdo bude ovládat 5G sítě, ten bude mít zásadní vliv na fungování státu a Čína nadřazuje své zájmy nad zájmy zákazníků.

Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Dušan Navrátil poskytl v pátek 1. února 2019 rozhovor deníku Právo. Foto: Petr Hloušek, Právo
Šéf NÚKIB Navrátil: Varování před čínskými firmami jsme vydat museli

Děláte svou práci dobře?

Myslím, že ji dobře děláme.

Jaký je hlavní problém čínských firem? Proč jste před nimi varovali?

Základní věc je, že politicko-právní prostředí v Číně pro soukromé firmy nadřazuje zájmy čínského státu, zájmy zpravodajských služeb, zájmy čínské komunistické strany nad zájmy potenciálních zákazníků této firmy. To je to hlavní. Potom existují další informace, které jsou utajené, a o nich nemohu mluvit.

A před vydáním varování se seběhlo těch informací více?

Shromáždili jsme celý soubor informací, a když jsme se na to podívali, tak jsme zjistili, že nám nezbývá nic jiného než varování vydat. Za tímto rozhodnutím si stojíme.

 Jaké informace k vydání varování vedly? Pocházely od tajných služeb nebo od kolegů ze zahraničí?

Pokusím se to popsat na příměru, který by měl být pro čtenáře pochopitelnější. Varování říká, že je tady hrozba pro systémy kritické infrastruktury a další. Pokud budou používat technologie Huawei a ZTE, tak to představuje riziko.

Přirovnal bych to k restauraci, kde hygienik zjistí, že je tam plíseň nebo že si personál nemyje ruce. V tom okamžiku je to hrozba. My jsme restauraci nezavřeli a nezakázali jsme používání technologií od těch firem. Pouze jsme řekli, že je nutné analyzovat rizika.

To znamená, že jsme řekli: pokud do té restaurace nemusíte, tak tam nechoďte, a pokud už tam jdete, tak udělejte opatření.

V jakých konkrétních zařízeních či technologiích může riziko být?

Jedná se o software a hardware, který je v informačních systémech, na které se vztahuje zákon o kybernetické bezpečnosti. Jsou to významné systémy, které jsou důležité pro správný chod státu. Jsou to třeba informační systémy, které používají distribuce plynu, elektřiny nebo státní systémy na vyplácení dávek, nebo informační systémy, díky kterým fungují nemocnice a podobně.

Jedná se o informační systémy, kde je potřeba analyzovat rizika, která technologie Huwei a ZTE představují. Kritická infrastruktura je státní i soukromá. My v této kritické infrastruktuře hledáme informační systémy, které splňují tuto definici, a tyto systémy pak podléhají zákonu o kybernetické bezpečnosti a zákon na ně klade řadu povinností.

Třeba to, že musí dodržet standardy, které předepisujeme, hlásit kybernetické incidenty a reagovat na naše varování nebo další mnohem tvrdší opatření, která máme v kompetenci.

To nebezpečí je v tom, že by mohly z těchto systémů unikat citlivá data, nebo v tom, že ho někdo může vypnout?

Tady jsou tři oblasti – důvěrnost, integrita a dostupnost. Důvěrnost znamená, že tam jsou data, která je potřeba chránit, aby je někdo nezcizil. Další věc je integrita, což jsou data třeba ohledně sociálních dávek nebo v registru obyvatel. Ta je nutno chránit, aby je nikdo nepozměnil. Kdyby došlo k tomu, že data někdo pozmění, tak je to obrovský problém pro fungování státu. Třetí oblast je dostupnost. To znamená, že systémy musí fungovat, aby je nikdo nevypnul. Všechny tyto tři oblasti se musí řešit.

Spekuluje se o tom, že varování před Huawei a ZTE mohlo přijít i kvůli tomu, aby se nemohly účastnit tendrů na dodávku technologií pro sítě nové generace 5G. Jaký bude význam těchto sítí?

Je to posun o hodně dál. Jejich rychlost by měla být i dvacetkrát vyšší než nyní. Budou sloužit k přenosu veškerých dat od zásobování obchodů po komunikaci mezi jednotlivými stroji. V podstatě na tom bude záviset celá společnost, a pokud by to nefungovalo, tak by to byl problém.

Nové 5G sítě pravděpodobně nahradí i pevné sítě, protože přenos dat bude levný i rychlý. Jinými slovy, kdo bude ovládat 5G sítě, tak bude mít zásadní vliv na fungování státu. Pokud to bude zahraniční aktér, který bude jednat v zájmu svého státu a ne našeho, tak to bude zásadní problém.

Kdyby došlo k tomu, že síť přestane fungovat, může to způsobit velké ekonomické škody jen omezením dostupnosti. Nové sítě by mohly fungovat zhruba za dva či tři roky. Je to otázka blízké budoucnosti, na podzim by se měly vypsat aukce na frekvence v těchto sítích.

Pokud se nebude moct účastnit Huawei či ZTE, bude ještě z čeho vybírat?

V podstatě tady je pět vý­robců. Dvě evropské firmy Ericksson a Nokia, pak čínští Huawei a ZTE a jihokorejský Samsung. Takže na výběr je.

Firmy Huawei nebo ZTE by zřejmě byly žhavými kandidáty na dodávku technologií pro výstavbu sítí páté generace. Teď je nebudou moct stavět, nebo to teprve vyplyne z analýz, které si musejí mobilní operátoři udělat?

Systémy telefonních operátorů jsou také zařazeny do kritické informační infrastruktury, takže musejí provést analýzy rizik. Pokud se budou stavět nové 5G sítě, tak to budou muset zohlednit.

Nejsme podřízení Kremlu nebo Bruselu

Jak hodnotíte postup státních úřadů po vydání varování před čínskými fir­mami?

Musejí se chovat podle zákona, a to instituce státní i soukromé. Co mám informace, tak všichni provádějí nové analýzy rizik.

A budete mít informace od těchto soukromých subjektů?

Máme právo kontroly, to znamená, že budeme chodit na kontroly, jak se s tím vyrovnaly.

Ozval se Huawei po vydání varování, třeba s prosbou o radu, jak situaci na­pravit?

Samozřejmě, každá firma hájí své zájmy. Firma Huawei s námi chtěla komunikovat. My jsme řekli ano a vzhledem k tomu, že jde o velmi citlivou věc, tak pouze písemně. Zatím se neozvali.

Jaké jste zaznamenali reakce ze zahraničí?

Naše reakce velmi zaujala spojence z NATO a EU. Zatímco jiné státy se snažily hledat takzvané back door (metoda umožňující neoprávněné vy­užívání počítačového systému, známá jako zadní vrátka – pozn. red.), což je problematické dokázat, my jsme na to šli jiným způsobem. Definovali jsme hrozbu, což naše spojence zaujalo, a myslím, že jsme ukázali cestu, jak tento problém řešit.

Takže by česká cesta mohla následovat i v dalších státech?

Šli jsme na to přes zákon o kybernetické bezpečnosti, který je ve světě ojedinělý. Platí od roku 2015. Podobné diskuse v některých státech jsou, jde třeba o Francii nebo Německo. Státy hledají vlastní cestu. Ne všechny země totiž mají možnost jako my, protože nemají takový zákon.

Dá se říct, že vydání varování byl ojedinělý či odvážný krok?

Ojedinělý byl v tom, že to bylo první vydané varování. Kdybychom ale neměli zákon o kybernetické bezpečnosti, tak bychom to museli řešit jinak, nebo by se to neřešilo, a to by bylo hodně špatně.

Jsme díky němu dlouhodobě zajímaví pro naše partnery, protože již máme s jeho aplikací praktické zkušenosti. Jiné státy ho připravují nebo jsou teprve na startu a nás se ptají, jak to tady děláme a jaké máme zkušenosti.

Nejsme tady, abychom čekali, až nám v Evropě někdo něco řekne. Při pracích na zákonu jsme hodně spolupracovali s odbornou veřejností a jeden ajťák mi tehdy řekl: „Proč to děláte, proč nepočkáte, až co vám řekne EU?“

Tehdy jsem se celkem dost rozběsnil, protože to nesnáším. Nejsme podřízení Kremlu nebo Bruselu nebo někoho jiného. Měli bychom se chovat suverénně a sebevědomě.

Nechci se opakovat, ale kolik z těch informací pocházelo z ciziny? Jsou státy, které již úřadům spolupráci s čínskými firmami zakázaly, další váhají.

Odpovídáme za kybernetickou bezpečnost České republiky. Samozřejmě že si průběžně všímáme i zahraničních informací a používáme i zahraniční informace, ale naše role je ochrana kybernetické bezpečnosti České republiky.

Po vydání varování zazněla kritika z řad čelných politických představitelů země. Překvapilo vás to?

Pracujeme podle zákona o kybernetické bezpečnosti. Vzhledem k tomu, že jsme shromáždili informace, které vedly k tomu, abychom vydali varování, tak jsme to udělali. Samozřejmě kolem toho byla diskuse.

Proč myslíte, že to celé vzniklo?

Problém Huawei je v České republice diskutován dlouhodobě. Byl diskutován na vý­boru pro kybernetickou bezpečnost, byl diskutován na Bezpečnostní radě státu a loni 17. prosince to byl bod jedná­ní na vládě, kde jsem oznámil, že jsem podepsal varování.

Potom byla diskuse, pak jsem se vrátil zpátky na úřad, zaslali jsme toto varování všem subjektům, kterých se to tý­kalo, a poté jsme to mediali­zovali.

Proč ale vznikl na začátku jakýsi chaos, kdy představitelé vlády oznámili, že potřebují metodiku, aby úřady věděly, co mají vlastně dělat?

Samozřejmě zákon o kybernetické bezpečnosti přesně popisuje, co se musí dělat. Vypracovali jsme metodiku, která je v podstatě navíc, abychom jim pomohli. Ale analýza rizik, o které se hovoří, je součást procesu kybernetické bezpečnosti, je to součást vyhlášky, která doprovází zákon, a znamená to, že ty subjekty už dávno musí mít analýzu rizik vypracovanou. V tuto chvíli tam došlo pouze ke změně některých parametrů.

Cítil jste, že se na vás nebo váš úřad valí politický tlak?

Samozřejmě v médiích zazněla řada politických komentářů, ale já se nechci vyjadřovat k prohlášením politiků.

Přece jen se vás zastaly některé výbory ve Sněmovně…

Pokud se ta debata pohybuje na bezpečnostní rovině, tak nevnímáme problém.

Kritizoval vás naopak silně prezident Miloš Zeman. Podle něj ohrožujete ekonomické zájmy země.

Jen zopakuji, že se k po­litickým prohlášením nebudu vyjad­řovat.

Od premiéra Babiše zase zaznělo, že varování nemuselo být veřejné. Souhlasíte?

Byli jsme povinni to zveřejnit. Zákon nám jednoznačně říká, že když varování vydáme, tak musíme informovat a nemůžeme to utajit. Zákon nám také říká, že to musíme pověsit na naše webové stránky.

Vydané varování je nejnižším stupněm, který v kybernetické oblasti signalizuje určité nebezpečí. Co by se muselo stát, aby přišel další stupeň? Třeba aby se vydal přímý zákaz používání technologií od těchto firem?

To by se musel stát nějaký velice závažný incident, aby se k tomu přikročilo. Musíme postupovat citlivě. Něco zakázat v kybernetické oblasti ze dne na den nejde.
Ty další stupně jsou spíše pro případ kybernetických útoků nebo podobných zásadních incidentů.

Jak dlouho bude varování platit? Může se stát, že ho zrušíte?

To by se musely změnit ty základní principy, proč to varování bylo vydáno.

To ale zřejmě není možné, když jste říkal, že tyto firmy v podstatě nadřazují národní zájmy nad zájmy klientů.

To nemůžu předjímat, jestli to je možné, nebo není.

Po měsíci a půl od vydání varování se objevily první případy, kdy se zmíněné firmy nemohou účastnit tendru. Budou se takové situace opakovat častěji?

Určitě ano, předpokládáme, že to takhle bude fungovat.

Byl to účel vydání varování? Kdybyste na čínské firmy neupozornili, tak jsou možná v soutěžích i nadále.

To varování je závazné a dotčené instituce se podle něj musejí chovat a také se podle něj chovají. Účel byl varovat před hrozbou.

Kolika systémů se varování před čínskými firmami vlastně týká?

Jde o 110 systémů kritické informační infrastruktury, 153 významných informačních systémů a 30 systémů provozovatelů základních služeb. To znamená 293 systémů, které jsou u 160 různých státních i soukromých subjektů.

Běžných lidí se vydané varování netýká?

Platí pro kritickou infrastrukturu. Běžné občany rozhodně nechci plašit. Co se týče mobilních telefonů, tak ať máte jakýkoliv, jeho zranitelnost je bohužel poměrně vysoká a musí se s tím prostě počítat.

Ostatní technologické fir­my jsou v tuto chvíli čisté?

Varování vydáváme, když shromáždíme dostatek relevantních informací, že příslušná technologie představuje hrozbu.

Co by se stalo, kdyby vás někdo neposlechl?

Předpokládám, že se v České republice zákony dodržují. Pokud by se to nestalo, tak by nastoupily pokuty.

Jak moc důsledně budete kontrolovat? Týká se to dokumentů, nebo osobních kontrol na místě?

Obojí. Kontroly průběžně děláme, takže to pro nás není vůbec nic nového.

Odhalili jste u uskutečněných kontrol problémy, nebo naopak instituce obstály?

Myslím, že z pohledu kybernetické bezpečnosti je hodně věcí v počátcích, ale jsou i subjekty, které jsou na tom velmi dobře. Třeba banky.

Je větší bezpečí u státních, nebo soukromých subjektů?

Paušálně to tak říct nelze, ale spíše u soukromých. Je tu totiž problém, který se týká platů odborníků na kybernetickou bezpečnost.

Pokud si dobře pamatuji, tak před dvěma roky byl rozdíl mezi platy v soukromé sféře a státní sféře 1,7 a dnes zřejmě bude vyšší. To znamená, že státní správa má problém s odborníky, protože je nemůže zaplatit tak jako soukromá sféra.

Rozhoduje se o tom, jestli se Česko ohledně technologií a jejich zabezpečení při­kloní k Východu, nebo Zá­padu?

K tomu bych se nerad vyjadřoval. Vyjadřuji se ke kybernetické bezpečnosti jako součásti národní bezpečnosti. Nejsme politická organizace.

yknivoNumanzeSaNyknalC

Výběr článků