Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dostal další vzpruhu ve snaze v tuzemských sítích kritické infrastruktury zakázat technologie od čínské společnosti Huawei. Evropská komise v nedávném prohlášení označila Huawei a ZTE za rizikové dodavatele a po členských státech chce, aby pokračovaly v implementaci takzvaného 5G toolboxu, který údajně některé státy spíše ignorují.
NÚKIB zrovna do mezirezortního připomínkového řízení odeslal návrh nového zákona o kybernetické bezpečnosti. Ten má dvě hlavní části. Zaprvé implementuje evropskou směrnici NIS2. Zadruhé obsahuje mechanismus na posuzování rizikových dodavatelů, kterým by úřad mohl zamezit přístup do kritické infrastruktury.
Na pozadí už nějakou dobu běží lobbistický boj. Velká část trhu tak velké pravomoci NÚKIBu nechce a brání se i zakazování jednotlivých dodavatelů. Operátoři také pohrozili vymáháním zmařených investic v řádech nižších desítek miliard korun v případě, že budou muset již instalované prvky ze sítí vyndat. Například v USA na to vyčlenili miliardy dolarů, ale stále to nestačí a hrozí, že někteří venkovští operátoři zaniknou.
Vznikl rovněž tlak na to, aby se nový zákon o kyberbezpečnosti rozdělil na dva, tedy na NIS2 a samotný mechanismus. Jelikož NIS2 musí do října příštího roku vejít v platnost, NÚKIB může skrze tuto notu tlačit na to, aby byl zákon rychle schválený jako celek. Vyjmutí mechanismu by jeho aktuální návrh učinilo zranitelnějším.
Neustoupili jsme ani o píď
NÚKIB koná na základě zadání od bezpečnostní rady státu. Úřad v roce 2018 vydal stále platné bezpečnostní varování vůči Huawei a ZTE. V tomto ohledu byl světovým průkopníkem. V další regulaci čínských dodavatelů ale zatím nepokročil a řada západních států se zákazy či přísnými regulacemi přišla dříve.
Každopádně pozice kyberúřadu se v tomto ohledu nemění a stále se sebevědomě snaží prosadit svou, byť to často směrem k trhu působilo arogantně a ne vždy zcela se znalostí problematiky fungování sítí a podobně.
Kroky NÚKIBu ale jasně ukazují, že téma není technické, kde se rizika dají ošetřit, ale geopolitické a posuzují se zejména „měkké“ věci. Přemýšlení úřadu koresponduje třeba s v češtině nově vydanou knihou Svět podle Číny. Huawei nepomáhají ani příběhy jako tento z Dánska nebo z Kuby.
Kyberúřad a jeho zastánci po útoku Ruska na Ukrajinu a následným vyhrožováním utnutí dodávek plynu a ropy začali hrát na tuto notu. Narativ, že nemůžeme být v dodávkách vybavení pro sítě závislí na Číně jako nepříliš přátelské velmoci, v rámci lobbingu rezonuje.
„S varováním vůči Huawei a ZTE v roce 2018 jsme měli pravdu. A navzdory brutálnímu nátlaku, často za hranicí přijatelných prostředků, nepřiměřeným postojům některých aktérů a nesprávným faktům (haha, dívám se na tebe, ČLR) jsme se nesklonili a neuhnuli ani o píď,“ uvedl Daniel Bagge, bývalý český kybernetický atašé ve Washingtonu (spadá pod NÚKIB) a dnes stratég Vojenského zpravodajství.
„Rámec bezpečnosti dodavatelského řetězce, který je v současné době v útrobách právního procesu, je nespornou součástí širšího úsilí o zajištění národní bezpečnosti a umožňuje vytvořit bezpečné a předvídatelné prostředí, v němž lze podnikat bez zásahů autoritářských režimů vykonávajících kontrolu nad dodavateli telekomunikačních služeb,“ dodal Bagge.
Obavy o zneužitelnost
Ovšem zmiňovaná předvídatelnost je podle operátorů, dodavatelů (nejenom těch z Číny) i některých úřadů asi nejvíce sporným bodem. NÚKIB by chtěl získat velké pravomoci a dle svého uvážení provádět analýzu dodavatelů a případně je omezovat či zakazovat. A to bez dalšího přezkoumávání a podobně. To je potenciálně nebezpečné a zneužitelné. Není řečeno, že současným vedením, ale může se stát, že někdo jiný někdy v budoucnu za nebezpečného dodavatele vyhodnotí třeba Cisco.
Někteří zástupci operátorů, byznysových skupin, státu, NÚKIBu a Lupa se nedávno účastnili setkání na britském velvyslanectví v Praze. Vystoupili tam například reprezentanti britského telekomunikačního regulátora Ofcom nebo National Cyber Security Centre (NCSC), což je obdoba NÚKIBu. Britové „nachytřovali“ Čechy v tom, jak k regulaci Huawei a spol. přistupují oni.
Kromě jiného tam zazněla důležitá věta: „O tom, zda je někdo označen za rizikového dodavatele, rozhoduje secretary of state na základě materiálů a důkazů, které předkládají třeba Ofcom a NCSC.“ To je dost odlišné pojetí od výlučné moci, již chce získat NÚKIB. Je tedy důležité se ptát, zda do mechanismu jasně nezačlenit podobné pojistky a dělbu moci a rozhodování. Tak, jak je to běžné i v dalších částech fungování našeho státu.
„Ale“ na obě strany
Britové zároveň vyvraceli čistě technický pohled na věc, který se často snaží předkládat zdejší malí, střední i velcí operátoři. „Jen software kolem antén má kolem 900 milionů řádků kódu. Není možné něco takového analyzovat a například vydat certifikaci, že dané zařízení je bezpečné. Nejde zaručit, že tam není backdoor nebo něco jiného,“ zaznělo na velvyslanectví.
Ofcom a NCSC dále zdůraznily, že je klíčové se bavit se všemi hráči na trhu, a to včetně Huawei. „Musíme naslouchat průmyslu, to je zásadní. Musíme si být jistí, že regulace bude fungovat. Náš stát si musel s operátory vybudovat důvěru a problematiku řešit na základě důkazů. Byl to dlouhý proces. A ohledně Huawei: bavíme se s nimi, musíme vědět, co dělají, kam směřují či jak pracují na standardech,“ uvedli zástupci britských regulátorů. Ohledně 6G ostatně panují obavy o možném rozštěpení standardizace.
Podle některých zástupců trhu se dříve mizerná komunikace NÚKIBu směrem k trhu o něco zlepšila. S Huawei se ale úřad nebaví vůbec a na žádosti o setkání odpovídá, že takto se soukromými subjekty nekomunikuje. Ale spíše se zdá, že se NÚKIB s Huawei vůbec bavit nechce, protože například se zástupci firem Cisco nebo Microsoft se potkává.
Na britské velvyslanectví v Praze dorazil i Liam O'Brien, ředitel strategie a externích vztahů ve Vodafone Group. Ten upozornil, že je třeba respektovat životní cyklus již instalovaných zařízení. Podpořil tak argumenty zdejších operátorů (a hlavně českého Vodafonu), že nechtějí již instalované prvky od Huawei demontovat a že je třeba respektovat jejich životní cyklus. Případně aby součástí debaty byly finanční kompenzace.
CETIN, který provozuje síť pro O2 a částečně T-Mobile, už v 5G RAN přešel na Ericsson. Rozhodl se strategicky, aby mohl dodávat státu a nemusel tolik regulaci řešit.
„Udělali jsme proaktivní kroky. Když byla naše 4G/LTE RAN na konci životního cyklu, udělali jsme změnu dodavatele z Huawei na Ericsson. Bylo to cenově nákladnější. A také je fakt, že Huawei má lepší technologie a předběhla konkurenci. Ohledně chystaného zákona nemáme obavy, ale je to o implementaci a dialogu a životním cyklu zařízení a různých částech sítě,“ popsal výkonný ředitel CETINu Juraj Šedivý.
Stále silná evropská přítomnost
Teď se do debaty více vložila Evropská komise. Ta vůbec poprvé v souvislosti s pojmem „rizikový dodavatel“ konkrétně jmenovala Huawei a ZTE. Eurokomisař Thierry Breton uvedl, že unijní země postupují pomalu v tom, aby se zařízení těchto podniků dostala ze zdejších sítí (report k 5G toolboxu). Komise chce také zejména Huawei odříznout od evropských projektů a zajistit, že unijní instituce nebudou využívat sítě těch poskytovatelů, kteří Huawei a ZTE používají.
Huawei má i přes jednoznačně klesající pozici v Evropě stále slušné zastoupení. Společnost Strand Consult spočítala, že v osmi z jednatřiceti zemí má čínský podnik tržní podíl v 5G RAN přes padesát procent.
Z velkých zemí regulátory nejvíce trápí pozice Německa, která se příliš nemá k odsouzení Huawei a spol., mimo jiné kvůli úzkým ekonomickým vazbám na Čínu. Naposledy technologie Huawei koupily Deutsche Bahn. Šéf Deutsche Telekomu (vlastník českého T-Mobilu) je připraven Evropské unii vzdorovat. Antény od Huawei jsou dle jeho slov v pořádku, z core části sítě už DT čínské prvky odstraňuje. Od Číny nakupují také operátoři v Itálii, Polsku, Rakousku, Maďarsku nebo Španělsku.
V Česku staví 5G RAN na Huawei Vodafone a kromě části od CETINu také T-Mobile. Obě firmy mimo jiné argumentují tím, že musely začít zemi pokrývat kvůli podmínkám 5G aukce. Musí to stihnout dle kritérií a nemohou čekat na nový kyberbezpečnostní zákon. NÚKIB sice říká, že už dříve vydal své stanovisko, jak Huawei a ZTE vnímá, to ale není nijak právně závazný dokument.
Podle Johna Stranda ze Strand Consult nyní členské státy EU mají díky reportu Evropské komise „smysluplnou podporu“ v tom, aby proti technologiím z Číny více vystoupily. A to, že Unie chce přestat využívat služby operátorů s čínskými prvky, „akceleruje exodus korporátních zákazníků od operátorů s čínskými technologiemi“. Toto „dobrovolné“ nahrazování Huawei kvůli požadavkům zejména amerických korporací se ostatně pomalu děje i u nás.
Přečtěte si také:
Jak jsem potkal čínského špiona a jak Huawei v Barceloně ukázalo prostředníček USA
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU