K dispozici dáváme k nahlédnutí Analýzu bezpečnosti 5G
Problematika většího prověřování dodavatelů
● Stát má samozřejmě plné právo prověřovat, kteří dodavatelé jsou v kritické informační infrastruktuře a samozřejmě má plné právo prověřovat je z hlediska “netechnických” rizik, tedy posuzovat je vzhledem ke svým geopolitickým a zahraničněpolitickým zájmům.
● Zároveň jde ale o bezprecedentní regulaci, protože do nynějška byly odpovědní za kybernetickou bezpečnost obecně provozovatelé systému, nyní by stát stanovoval, jaké dodavatele není možné používat, protože to není v souladu se “strategickým” postojem státu. A to bez ohledu na to, jaká je struktura trhu a jaké to bude mít dopady na poskytování služeb. Zdá se, že toto nikdo moc do úvahy nebere.
● Na povinné subjekty přitom má dopadat řada nových regulací, především směrnice NIS 2 (o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v Unii), která bude množstvím svých nároků na povinné subjekty podobná nařízení GDPR. Povinné subjekty budou muset například mít konkrétní politiku v oblasti bezpečnosti, posílat příslušné zaměstnance na pravidelná školení a to vše dokládat, každý incident bude muset být zaznamenán a ohlášen a podobně, což není fundamentálně špatné, ale je to nová a nákladná byrokracie.
● Totéž bude na úrovni státu. Povinné subjekty dle nové směrnice NIS 2 bude nutné kontrolovat a zpracovávat jejich výstupy, což si vyžádá s velkou mírou pravděpodobnosti množství nových úředníků.
● Postihovat sektor ICT další regulací, která není vyžadovaná na úrovni EU, tak znamená nadměrné náklady s diskutabilními výnosy. “Závislost” na nedemokratických třetích zemích, kterou často obhajují úředníci nutnost této regulace (zvláště NÚKIB a Vojenské zpravodajství), ve většině odvětví fakticky neexistuje, protože je vždy k dispozici nějaká evropská konkurence. Jediný “problém” tak je, že tato konkurence bývá kvalitativně horší (např. technologie jsou těžší nebo mají vyšší spotřebu energií) a TCO (celkové náklady vlastnictví) u nich je tak vyšší.
● Zároveň ona rizika a hrozby jsou hypotetické. Telekomunikační technologie a ICT technologie obecně jsou náchylné k útokům a obsahují zranitelnosti bez ohledu na to, zda je jejich výrobce z demokratické nebo nedemokratické země. Výrobci pak mají množství subdodavatelů či vlastních poboček a vývojových studií v zemích, které jsou demokratické, polodemokratické i nedemokratické. Jejich dodavatelský řetězec je globální a rizika uváděná českými úředníky z NÚKIB typu “existuje závažné riziko ingerence státního aktéra z nepřátelské země” platí takřka u všech relevantních výrobců (např. švédský Ericsson má v Číně několik tisíc pracovníků ve výzkumu a vývoji).
● Řešení těchto rizik (stejně jako ostatních rizik vyplývajících z dodavatelského řetězce) přitom spočívá především v přísném uplatňování standardů a pravidel kybernetické bezpečnosti.
● Pokud tak stát chce skutečně snížit jím vnímané riziko vyplývající z dodavatelského řetězce, ať to učiní propoprčně problému a identifikuje kritické funkcionality v síti (které se v drtivé většině dotýkají citlivé části sítě, takzvaného jádra) a na nich poté provádí přísnější posuzování rizik včetně netechnických faktorů. Méně kritické části, jako je rádiová část, kde jsou rizika mizivá a snadno řiditelná, nechť nechá na operátorech a jejich volbě dodavatele. Tím zajistí “strategickou” bezpečnost, nevytvoří obludnou regulaci a ponechá většinu odpovědnosti na operátorech, kteří mají s bezpečností svých sítí desítky let zkušeností.
● Jde o kompromis, který uplatňují některé evropské země (např. Finsko) a který zajišťuje dosažení cíle a omezuje riziko zvýšení cen pro koncové spotřebitele vlivem zvýšených nákladů pro operátory způsobených snížením konkurenčního prostředí mezi dodavateli. Pokud už má být nějaká regulace, nechť je elegantní a nikoli finančně nákladná pro všechny strany.