Ministerstvo vnitra připravilo návrh zákona o odolnosti subjektů kritické infrastruktury, který reaguje na zavedení evropské směrnice CER. Potenciální dopad bude široký, zákon se týká energetiky, dopravy, finančního sektoru, vodárenství, ICT a dalších. Vnitro si chce v zákonu prosadit i regulaci dodavatelského řetězce, která značně připomíná mechanismus posuzování rizikových dodavatelů, o který v návrhu zákona o kyberbezpečnosti bojuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). A trhu se to opět značně nelíbí.
Vnitro si chce svůj mechanismus pro bezpečnost dodavatelského řetězce prosadit i jako „reakci na zhoršující se bezpečnostní situaci ve světě a zároveň jako vhodné doplnění stávajících předpisů upravujících postup státu při významných bezpečnostních hrozbách“. Podobně přemýšlí NÚKIB, který chce mít nástroj pro zákaz či omezení dle něj nedůvěryhodných hráčů, aktuálně jde hlavně o Huawei a ZTE.
Dodavatelskému řetězci se v případě zákonu vnitra věnuje paragraf 14. Pokud resort vyhodnotí, že dodavatel nebo poskytovatel služby kritické infrastruktury představuje významné ohrožení bezpečnosti České republiky, ministerstvo rozhodne o zákazu, omezení nebo stanovení podmínek poskytování služeb ze strany takového dodavatele.
„Rozhodne-li ministerstvo vnitra o zákazu dodávek nebo poskytování služeb, určí dodavateli nebo poskytovateli služby přiměřenou lhůtu k ukončení dodávek nebo k ukončení poskytování služeb subjektu kritické infrastruktury. O rozhodnutí vyrozumí ministerstvo vnitra bez zbytečného odkladu prostřednictvím Portálu kritické infrastruktury věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Českou národní banku a Národní úřad pro kybernetickou a informační bezpečnost,“ píše se v návrhu zákona.
Vnitro dále uvádí, že stát neodpovídá za případnou újmu, která vznikla dodavateli nebo poskytovateli služby. K ujednání o smluvní pokutě se nemá přihlížet a vydání rozhodnutí může být prvním úkonem v řízení s tím, že rozklad proti rozhodnutí nemá mít odkladný účinek.
Protiústavní, zrušit!
Asociace kritické infrastruktury České republiky (AKI), kam spadají podniky jako ČEZ, Česká pošta, T-Mobile, Vodafone, ČEPS, České Radiokomunikace, Letiště Praha nebo Správa železnic, k návrhu zákona vydala připomínky. Sekci o bezpečnostním dodavatelském řetězci chce zcela odstranit. Ustanovení dokonce označuje za protiústavní, zbytečné, zmatečné, nekvalitní a nepřiměřené.
Vnitro podle AKI „argumentuje mnohdy zcela absurdními hypotetickými hrozbami a naprosto při tom ignoruje platnou praxi a skutečnost, že subjekty kritické infrastruktury již dnes aktivně řídí rizika související se svými dodavatelskými řetězci“.
Resort se údajně dále „pokouší zcela nesystémově vstupovat do problematiky, která byla již v roce 2022 svěřena rozhodnutím Bezpečnostní rady státu NÚKIBu. Aktivita ministerstva vnitra je tak nejen duplicitní, ale postrádá jakýkoli mandát“.
Kromě NÚKIBu mají být duplicity i jinde: „Ustanovení je navíc nekoncepční, protože vedle chystaného nového zákona o kybernetické bezpečnosti nezohledňuje ani vztah k dalším právním normám, ani dostupnost nástrojů, které již má stát k dispozici. Posuzováním bezpečnostních rizik se věnují například ministerstvo průmyslu a obchodu (zákon o prověřování zahraničních investic) nebo ministerstvo zahraničních věcí (sankční zákon). Stát navíc disponuje kapacitami Národního bezpečnostního úřadu, jenž se specializuje mimo jiné na posuzování bezpečnostní způsobilosti.“
Asociace dodává, že navržený mechanismus je zcela netransparentní, postrádá funkční kontrolní mechanismy a může být snadno zneužitelný. „Namísto využití existujících nástrojů se vnitro pokouší atrahovat pravomoc, jejíž použití může mít dalekosáhlé ekonomické, a dokonce i geopolitické důsledky.“
Je to doplněk
Mluvčí vnitra Ondřej Krátoška pro Lupu argumentuje takto: „Navrhovaný mechanismus doplňuje jak návrh NÚKIBu, který primárně řeší rizika pro informační infrastrukturu, tak platné sankční zákony. Cílem je pokrýt i další možná rizika ohrožující subjekty kritické infrastruktury. Jde o rizika spojená například s pohybem potenciálně problematických dodavatelů nebo subdodavatelů a jejich pracovníků v prostorách subjektů kritické infrastruktury. V případech, kdy by byli například takoví dodavatelé napojení na orgány cizí moci, organizovaný zločin či jinak mohli ohrozit bezpečnost ČR, byl by využit tento mechanismus.“
„Zásah do dodavatelského řetězce ze strany státu přichází v úvahu na základě relevantních informací o významném riziku pro bezpečnost České republiky. Tento institut má sloužit k ochraně subjektů kritické infrastruktury a tím i bezpečnosti ČR,“ dodal Krátoška.
NÚKIB k návrhu zákona poslal připomínky a čeká, co přinese meziresortní řízení. „Pakliže by oba mechanismy měly fungovat vedle sebe, nevyhneme se úzké kooperaci. Ale zdá se, že vnitro necílí tolik na ICT, ale na krizový management ve fyzickém světě,“ řekl Lupě ředitel kyberúřadu Lukáš Kintr.
Nástroj proti čínským kamerám?
Lupa se Ministerstva vnitra dotazovala, zda by navrhovaný mechanismus dodavatelů mohl sloužit jako nástroj k omezení či zákazu čínských dodavatelů bezpečnostních kamer Hikvision a Dahua. Státní a další složky kritické infrastruktury včetně policie, ministerstev obrany a vnitra, měst nebo státních podniků zejména produkty Hikvision dlouhodobě nakupují.
„Ministerstvo vnitra nemá ambice vybočovat ze své stávající působnosti a jakkoliv tím zasahovat do působnosti jiných orgánů státní správy. Předpokládáme, že na základě zákona o odolnosti subjektů kritické infrastruktury dojde k prohloubení spolupráce mezi orgány státní správy v otázkách bezpečnosti jako celku,“ popsal Krátoška.
Oba čínští výrobci jsou známí tím, že mají řadu neřešených bezpečnostních děr a laxní přístup v této oblasti. Jsou zde i další tradiční rizika spojená s čínskými podniky. Nedávno se ukázalo, že ruská armáda hacknula kamery Hikvision a Dahua a záběry z nich použila během útoku na Kyjev. Jde o první veřejné známý útok tohoto typu. USA a další země výrobce čínských kamer daly pod sankce a zakazují jejich instalace v citlivých lokalitách.
Číňané mají na českém trhu s bezpečnostními kamerami dominantní postavení. „V oblasti se pohybuji asi dvacet let. Podle mých odhadů mají čínští výrobci podíl šedesát až sedmdesát procent,“ řekl Lupě Daniel Korbel ze společnosti Bluecom, která prodává kamery několika výrobců.
„O problému čínských kamer všichni v oboru bezpečnosti vědí, ale nikdo s tím nic nedělá. Obávám se, že by s tím mohla něco udělat pouze věc typu evropské regulace,“ navázal Korbel. „Hikvision a Dahua oproti západní konkurenci nabízejí poloviční ceny. Panují oprávněné pochyby, zda tyto firmy nevyužívají neférových dotací od čínské vlády, ale doložit to nejde.“
Hlavně Hikvision má velmi dobré vztahy se zdejšími prodejci. „Umožňujeme firmám vydělat,“ řekl v minulosti Lupě manažer české pobočky čínského podniku Pavel Švadlenka. „Důvodem toho, proč jsme lídrem na trhu, je fakt, že si o to trh řekl. Instalační firmy si nás oblíbily, máme dobrý poměr cena/výkon.“
Švédská společnost Axis, která čínským hráčům konkuruje a která v roce 2017 za 1,4 miliardy korun koupila českého výrobce chytrých interkomů 2N, věří, že se trend začíná mírně obracet. „Čím dál častěji se nás klienti, hlavně ti zastupující oblast kritické infrastruktury, ptají na kybernetickou ochranu kamer a dalších IP technologií. Zajímá je původ výrobku a zpracování bezpečnosti,“ shrnul Dalibor Smažinka z Axisu.
Reálné útoky na českou kritickou infrastrukturu
Ministr dopravy Martin Kupka uvedl, že se Rusko snaží sabotovat evropské železnice včetně těch v Česku. Šéf IT (CIO) ve Správě železnic David Miklas k tomu poskytl následující vyjádření:
Ve světle nedávné informace o kybernetických útocích na železniční infrastrukturu bych chtěl zdůraznit několik klíčových bodů, které demonstrují, proč naše železniční systémy zůstávají bezpečné a spolehlivé i přes potenciální hrozby.
Zabezpečovací systémy a infrastruktura železniční dopravy jsou navrženy s vysokou mírou redundance a zabezpečení. Tyto systémy jsou oddělené od běžně používaných sítí a internetu, což výrazně snižuje riziko úspěšného proniknutí hackerů.
Naše bezpečnostní opatření nejsou statická. Průběžně sledujeme vývoj hrozeb a aktualizujeme naše obranné mechanismy, aby odpovídaly nejmodernějším standardům kybernetické bezpečnosti. To zahrnuje nejen technologická řešení, ale i trénink zaměstnanců a provádění pravidelných bezpečnostních auditů. Na bezpečnost dohlíží nepřetržitě pracoviště kybernetického dohledu (SOC) Správy železnic a reaguje tak na potenciální hrozby.
Třetí klíčový prvek naší obrany před kybernetickými útoky spočívá v úzké spolupráci s národními i mezinárodními bezpečnostními agenturami. Tato spolupráce nám umožňuje sdílet informace o hrozbách a nejlepších praktikách, čímž zvyšujeme celkovou odolnost našeho systému.
Chtěl bych tímto ujistit veřejnost, že zatímco kybernetické hrozby jsou reálné a musíme je brát vážně, naše nepřetržitá práce na posilování kybernetické bezpečnosti a naše proaktivní přístupy k ochraně infrastruktury nám umožňují efektivně čelit potenciálním útokům. Díky těmto opatřením a nepřetržité ostražitosti jsou rizika spojená se srážkami vlaků způsobenými kybernetickými útoky minimalizována.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU