KOMENTÁŘ JAKUBA REJZKA | Čtení výroční zprávy o stavu kybernetické bezpečnosti, kterou pravidelně vydává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), je z hlediska zástupce telekomunikačního sektoru potěšující. Podle úřadu totiž neproběhl loni žádný sofistikovaný a cílený kybernetický útok, který by narušil informační systémy kritické infrastruktury, mezi které patří i některé důležité části sítí elektronických komunikací.
Digitální služby (což jsou i telekomunikace) pak dle úřadu poskytují dostatečné finance na zabezpečení před kyberútoky a mají i dostatečnou právní expertizu. To mohu potvrdit, protože pro naše členy je otázka bezpečnosti jejich sítí zcela zásadní. Pro jakéhokoliv poskytovatele služeb by byl úspěšný útok na jeho infrastrukturu obřím reputačním průšvihem a měl by i přímé finanční dopady. Na bezpečnosti nikdo nešetří. Lidé a firmy operátorům platí nejen za to, že jim poskytujeme internet, ale také nám důvěřují, že jsou naše sítě bezpečné a dokáží odolat jakýmkoli typům útoků. Jsme klíčovou součástí jejich práce nebo podnikání – což se ukázalo ještě více v pandemické situaci a během pracování z domova.
Faktem je, že mnohaleté zkušenosti operátorů se zabezpečením sítí, početná oddělení zabývající se bezpečností u těch největších telekomunikačních firem a praktická protiopatření kyberútočníky prostě odrazují. Drtivá většina z nich to dělá pro peníze a analýza nákladů a výnosů je jednoduchá. Průměrný špatně školený úředník na menší radnici daleko spíše klikne na nějaký pěkný odkaz v mailu, což vyústí v ransomwarový útok a žádost o výkupné. Z vlastní zkušenosti vím, že o desítky řádů větším nebezpečím je například „hacker v bílém plášti“ v nemocnici, která nemá správně nastavená pravidla a segmentaci sítě, nežli profesionálně spravovaná infrastruktura telekomunikačního operátora, vybavená několikastupňovým zabezpečením odolným i proti řetězení chyb.
Jak ale vyplývá z posledních informací, stát chce paradoxně přitvrdit tam, kde to funguje a operátory ještě více regulovat. Regulace má být tentokrát zaměřena na samotný základ volného trhu: výběr dodavatelů. Ve zkratce, těm, co provozují „5G sítě“ (což je mimochodem jen čistě marketingové označení), chce stát mluvit do výběru jejich dodavatelů podle toho, zda jsou podle státního úředníka „rizikoví“. O tom, co je riziko, má přitom rozhodovat hlavně země původu. Výrobci se sídlem v zemích EU a NATO tak budou automaticky označeni za bezpečné. Je to špatný přístup hned na několika frontách.
Dopady regulace
Za prvé, důvodem regulace je, že na trhu existuje nějaké selhání. Sám úřad přitom ve své výroční zprávě žádný útok proti telekomunikačním sítím nereportuje. Pokud se podíváme do pravidelné zprávy evropské kyberbezpečnostní agentury ENISA, pak je to podobné. Státy mají povinnost agentuře podávat zprávy o závažných incidentech v telekomunikacích, které mají za následek výpadky. Za poslední rok jich bylo v celé EU 170, drtivá většina z toho byly systémové chyby (typicky chyby v softwaru nebo selhání technologie), lidské chyby nebo vlivy počasí. Zločinné jednání bylo důvodem pouze v osmi případech v celé EU a nikdy nedošlo k selhání zabezpečení, už vůbec ne na zařízení konkrétního výrobce. Jak jsme psali výše, operátoři si zjevně umí své sítě zabezpečit. Kde je tedy selhání, které má regulace vyřešit?
Za druhé, stát vždy musí vážit dopady jakýchkoli omezujících a regulačních opatření na trh. Relevantních výrobců telekomunikačních technologií, zvláště v některých segmentech, je málo. Pokud si vezmeme mobilní sítě 5G, na které se stát zaměřuje, pak v oblasti jádra sítí (což je ta nejcitlivější část, kterou si operátor zabezpečuje nejpřísněji) je konkurence poměrně značná, stejně jako v oblasti technologií pro privátní podnikové sítě. Problém zůstává u přístupových sítí, tedy antén a technologií, které běžně vidíme na střechách a stožárech, a které pokrývají celou zemi. Navrhnout tato zařízení je z hlediska výzkumu a vývoje tak náročná disciplína, že na trhu jsou reálně tři či čtyři relevantní dodavatelé, z nichž dva jsou z Číny. Pokud by regulace vymazala fakticky dvě třetiny trhu, došlo by bezpochyby k významnému zvýšení nákladů. Na nějaká „levnější data“, která chtějí politici, bychom pak mohli v klidu zapomenout. A navíc: Přestože zařízení a jejich vzájemné propojení od různých výrobců je běžné a k žádnému „uzamčení“ na jednoho dodavatele proprietárním řešením nemůže kvůli všeobjímající standardizaci dojít, pro naše pilotní projekty často nenalézáme dodavatele z jiných než třetích zemí.
Za třetí, je to špatně z hlediska úrovně kybernetické bezpečnosti. Omezením jedněch dodavatelů se zvyšuje závislost na těch, kteří zbydou. A to, že mají sídlo v zemích EU nebo NATO, neznamená, že jsou imunní vůči problémům. Což vidíme takřka denně. Chyby v softwaru má každý výrobce, jejich objevování a opravy jsou kontinuální proces, stejně jako boj mezi kyberútočníky a správci sítí. Neznám jednoho jediného poskytovatele, který by dobrovolně stavěl výhradně na technologii jednoho dodavatele. V jádrech sítí platí pravidlo „nikdy nepoužívej stejného výrobce, stejný typ a stejný firmware“ na redundantních propojích. Dostat se do závislosti na dodavateli by akcionáři považovali za zásadní selhání vedení firmy. Přehnaná regulace nás může do podobného postavení přímo natlačit.
Za čtvrté, je to chyba i z hlediska reálných dodavatelských vztahů. Všichni výrobci dnes vyrábí a vyvíjejí v Číně a Indii, protože je to praktické a levnější. Oba hlavní evropští výrobci technologií mají v Asii výzkum i továrny a představa, že „země původu“ zařízení od Ericssonu a Nokie je jen Švédsko nebo Finsko, je úplně legrační. Je to celý svět.
Problém jsou nemocnice a úřady, ne operátoři
Nebráním dodavatele ze žádné země, evropské nebo neevropské. Musím ale bránit naše členy, malé i velké operátory, kterým každou další neuváženou regulací vznikají další nové náklady. A to nemluvím o nákladech na další nové úředníky, kteří by měli vše kontrolovat a posuzovat. Faktem totiž je, že úřady nemají dostatek expertů, aby se mohly vůbec přiblížit expertize v oblasti kybernetické bezpečnosti, jakou mají operátoři. Jako krajský zastupitel vím, že reálné problémy v kybernetické bezpečnosti leží v našich nemocnicích a na radnicích a tam by měl NÚKIB napřít své úsilí. Už se to ukázalo minulý rok, kdy ransomwarovým útokům podlehly některé nemocnice a trvalo relativně dlouho, než se vše dalo dohromady. A šlo bez nadsázky o lidské životy. Tam opravdu potřebujeme jeho pomoc a rady a tam je třeba směřovat státní i krajské prostředky. Telekomunikační sítě fakt stát řešit nemusí. Operátoři ukázali nejen během pandemie, že jsou spolehlivou a bezpečnou součástí české digitální ekonomiky.
Autor je prezident Výboru nezávislého ICT průmyslu a krajský zastupitel za ODS ve Středočeském kraji.
