Členské státy EU ve spolupráci s Evropskou komisí a Evropskou agenturou pro kybernetickou bezpečnost (ENISA) vydaly zprávu o koordinovaném hodnocení rizik EU pro sítě 5. generace. Zpráva je prvním společným produktem reagujícím na požadavek českého premiéra Andreje Babiše na zasedání Evropské Rady letos v březnu. Česko jakožto iniciátor evropského přístupu k bezpečnosti sítí 5. generace patří mezi vedoucí země tohoto projektu.
Sítě 5. generace se v budoucnu stanou páteřní linkou celé digitální ekonomiky a společnosti. Očekává se, že propojí řádově miliardy zařízení včetně kritických sektorů, jako jsou energetika, doprava, bankovnictví či zdravotnictví. Právě z toho důvodu se budování sítí 5. generace rozhodla EU věnovat zvláštní pozornost, zejména s ohledem na jejich bezpečnost, která zahrnuje důvěrnost přenášených dat, jejich dostupnost a v neposlední řadě také integritu. ČR je spolu s Francií, Nizozemskem, Estonskem a Itálií vedoucí zemí projektu implementace Doporučení Evropské komise ke kybernetické bezpečnosti sítí 5. generace. Tato aktivita má zároveň plnou podporu předsednických zemí, jimiž jsou Finsko a Rumunsko. Prvním výsledkem je zpráva hodnotící rizika budování sítí 5. generace (v angličtině zde).
„Koordinovaný přístup EU plně zapadá do konceptu, který byl stanoven na Pražské konferenci k bezpečnosti sítí 5G v květnu tohoto roku a který je formulován i v tzv. Prague Proposals vyhlášených v závěru konference,“ vysvětluje český cyber attache v Bruselu Lukáš Pimper další významnou roli, kterou Česká republika v přípravě tohoto dokumentu sehrála.
Aktuální zpráva je založena na hodnocení rizik jednotlivými členskými státy Evropské unie. Její hlavní přínos spočívá v jasné identifikaci hlavních hrozeb včetně možných aktérů těchto hrozeb. Zároveň zpráva popisuje řadu strategických rizik spojených s budováním sítí 5. generace, přičemž je důležité, že nejde pouze o možné technické zranitelnosti, ale i o zranitelnosti, které vyplývají z netechnických aspektů, jako je například závislost na jednom dodavateli.
Zpráva také jasně pojmenovává rizika spojená s faktem, že sítě 5. generace jsou čím dál více založeny na softwaru. To s sebou nese řadu bezpečnostních problémů, jako je například nízká kvalita vývoje kódu v rámci dodavatelského řetězce. U rizik spojených s dodavateli také zpráva explicitně zmiňuje hrozby v podobě instalace tzv. zadních vrátek (tedy skrytých cest, jimiž se lze do systému dostat) ze strany rizikových aktérů.
V této souvislosti zpráva zmiňuje také nutnost stanovení rizikových profilů jednotlivých dodavatelů, která by měla zahrnovat také možnost jejich ovlivňování ze strany třetích zemí. Neméně významnou hrozbou je riziko závislosti na jednom dodavateli, které může potenciálně vyústit v přerušení dodávek potřebného vybavení, například v důsledku tržního selhání. Následky takového výpadku mohou být v případě závislosti na jednom subjektu nedozírné.
Podle očekávaného dalšího postupu by do 31. prosince letošního roku měla kooperační skupina odsouhlasit návrh opatření pro zmírnění rizik spojených s kybernetickou bezpečností, která by měla platit na úrovni členských států i na celounijní úrovni. Do 1. října 2020 by členské státy ve spolupráci s Evropskou komisí měly posoudit účinnost doporučení Evropské komise z letošního března a vyhodnotit, zda bude třeba přijmout další opatření.
-red-