Nový zákon o kybernetické bezpečnosti, kterým se do českého práva transponuje evropská kyberbezpečnostní směrnice NIS 2, nastavuje základní pravidla pro odolnost infrastruktury proti kyberkriminalitě. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nicméně nad rámec směrnice navrhuje „mechanismus prověřování bezpečnosti dodavatelského řetězce“, který by mu umožnil rozhodovat o povolení či zákazu dodavatelů do kritické infrastruktury, tedy i do telekomunikačních sítí. „Rádoby jednoduchá politická řešení typu nekupujte technologie ze země A, ale raději ze země B, protože je více demokratická jsou možná mediálně líbivá, ale reálně povedou jen a pouze k technologickému zaostávání naší země,” varoval však ve vyjádření pro Ekonomický deník prezident Asociace provozovatelů mobilních sítí (APMS) Jiří Grund.
„Každý renomovaný odborník na bezpečnost dnes razí politiku ‚nevěřím nikomu‘, je to vlastně jakýsi průmyslový standard. Proto své dodavatele diversifikují a nikdy nestaví žádný systém tak, aby závisel pouze na jednom z nich,” zdůraznil pro Ekonomický deník Grund s tím, že v telekomunikačním segmentu navíc patří čeští bezpečností experti ke světové špičce. „Proto je třeba, abychom společně se státem trávili více času s cílem více si porozumět a zvýšit vzájemnou důvěru, že to co děláme má nejen velký bezpečností smysl, ale i to i ve prospěch inovačního rozvoje naší země. Jsem v tomto směru optimista,” uvedl.
Telekomunikační operátoři se sešli na semináři pořádaném APMS, aby se zabývali aktuálními záležitostmi vyplávající z evropské kyberbezpečnostní směrnice NIS 2 a dalšími požadavky české strany, které jdou za její rámec. A ačkoliv se shodli, že členové asociace podporují úsilí státu dlouhodobě posilovat kybernetickou odolnost významné infrastruktury a geopolitickou bezpečnost, za přiměřená opatření k dosažení tohoto cíle považují aplikaci mechanismu jen na nejkritičtější části infrastruktury – jen to podle nich zajistí bezpečnost bez nepřiměřených a zbytečných nákladů.
„Strategické zájmy státu mít bezpečnou infrastrukturu jsou legitimní a jsme v tom s vládou v naprostém souladu. Operátoři dlouhodobě zohledňují rizika vyplývající z bezpečnostních hrozeb při výběru dodavatelů a při analýzách rizik berou v úvahu také doporučení a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost,“ zdůraznil na semináři manažer informační bezpečnosti a kontinuity podnikání společnosti Vodafone Ladislav Suk, když představoval architekturu a míru kritičnosti jednotlivých částí sítě své firmy. Podle něho však aktuální rozsah a forma zmíněného navrženého regulačního mechanismu nyní překračuje cíl omezení dodavatelů pouze v kritických částech infrastruktury a minimalizaci ekonomických dopadů.
Vysvětlil, že mechanismus zahrnuje i okrajové části infrastruktury, jako je koncový vysílač mobilní sítě nebo trafostanice v okrajové části obce. „Jejich nedostupnost je běžnou součástí údržby a bezpečnost státu tím není nikterak ohrožena,” uvedl.
Hrozí zpomalení investic a přibrždění inovací?
Regulace se přenáší i na další partnery v celém komunikačním sektoru. Jakub Rejzek, prezident Výboru nezávislého ICT průmyslu, který má mezi členy vedle operátorů s celostátní působností především menší a střední lokální a regionální poskytovatele, zdůraznil, že právě oni jsou často velkoobchodními partnery velkých hráčů a regulace okrajových částí sítě by tak podle něho znamenala, že „strategickou“ infrastrukturou by se staly i malé firmy. „Jak jsme uvedli i v našich připomínkách, může to znamenat zpomalení investic nejen na venkově, ale i mimo centra větších sídel. Obáváme se nepřekonatelných dopadů na náš segment trhu, ze kterého by postupně vyprchala schopnost inovací, které jsou pro náš obor klíčové,“ řekl.
Ředitelé telekomunikačních operátorů se shodli na tom, že nejvyšší dosažitelná kyberbezpečnost je životním zájmem každého z nich. „Názor, že operátor nakoupí raději levnější, ale méně bezpečnou technologii, je nesmyslný. Ohrozili bychom tím vlastní byznys, a to nikdo z nás neudělá. Technologická vyspělost a bezpečnost jsou naprostou prioritou,“ doplnil viceprezident pro právní záležitosti a korporátní bezpečnost Vodafonu Jan Klouda.
Jak totiž vyplývá i z každodenní praxe operátorů, každoročně se ubrání stovkám tisíc kybernetických útoků, a to sice právě díky desítkám let zkušeností v oboru. „Umíme vyhodnotit hrozby a řídit svoje dodavatele tak, abychom si byli jisti jejich schopností dosáhnout vysokých standardů bezpečnosti ještě před uvedením technologie do ostrého provozu,“ říká k tomu ředitel bezpečnosti T-Mobilu Jakub Ludvík.
Bezpečnostní rizika souvisí i s nutnou propojeností telekomunikačních sítí tak, aby zákazníci různých operátorů mohli mezi sebou komunikovat. Podle ředitel bezpečnosti O2 Radka Šichtance se technologická bezpečnost pravidelně prověřuje nejen v rácmi vlastní firmy, ale vysoké standardy bezpečnosti se vyžadují právě také od partnerů. A jak doplnil ředitel bezpečnosti CETINu Pavel Rivola, k řízení bezpečnosti patří i hodnocení hrozeb vyplývajících ze známých útoků ve světě, zranitelností technologií, ale také testování s využitím tzv. etických hackerů.
Mobilní operátoři zmíněné bezpečnostní zkušenosti teď také nabízí i politické reprezentaci. „Pro telekomunikační firmy představuje bezpečná infrastruktura zásadní prostředek, jak dosahovat zisku, nikoli naopak. Větší kooperace státu se soukromým sektorem v oblasti bezpečnosti je důležitá k posílení vzájemné důvěry,“ doplnil Grund s tím, že telekomunikační sektor představil státu v oblasti dodavatelských řetězců „dobrovolnou sadu samoregulačních kroků, kterými lze dosáhnout očekávaných výsledků rychleji a s menšími ekonomickými dopady.” Prozatím však nechtěl poskytnout žádné další podrobnější informace.
Monika Ginterová
