Zvažovaná regulace bezpečnosti kritické infrastruktury se má zaměřit pouze na nejcitlivější prvky, říká soukromý sektor

Telekomunikační operátoři, energetické firmy, provozovatelé vodovodů a kanalizací a desítky provozovatelů kritické infrastruktury - ti všichni s napětím očekávají, jak budou vypadat nová legislativní pravidla zajištění bezpečnosti dodávek pro strategickou infrastrukturu. Nová úprava může znamenat výrazné omezení v tom, jaké dodavatele si budou moci tyto instituce a společnosti vybírat v nejcitlivější části své infrastruktury. Celý soukromý sektor její přípravu podrobně sleduje, protože má oprávněné obavy z růstu nákladů i zbytečné regulace nad rámec toho, co je nutné. Zároveň provozovatelé kritické infrastruktury ujišťují, že jsou odpovídající garance bezpečnosti schopni zaručit i za stávajících pravidel. O finální podobě návrhu posuzování rizik by mělo být jasno do příštího května, kdy jej Národní úřad pro kybernetickou bezpečnost (NÚKIB) má předložit vládě. Jde přitom o problematiku, která se v důsledku může dotknout životní reality milionů Čechů.

Právě proto uspořádala pražská nezisková organizace CEVRO z.s. na toto téma diskusi se zástupci státní správy, poslanci i zástupci asociací soukromých subjektů a také členy akademické sféry. Debaty se účastnili poslanci Pavel Žáček a Jiří Havránek z ODS, ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr a jeho náměstek Tomáš Krejčí, prezident Asociace provozovatelů mobilních sítí Jiří Grund, prezident Výboru nezávislého ICT průmyslu Jakub Rejzek, šéfka Českého telekomunikačního úřadu Hana Továrková, zástupci Asociace kritické infrastruktury Jan Klouda a Michal Moroz a také zástupci akademické sféry, garant MBA oboru Management kybernetické bezpečnosti na CEVRO Institut Aleš Špidla a člen Českého institutu informatiky, robotiky a kybernetiky Michal Poupa.

Zástupci soukromého sektoru vyjádřili jasnou ochotu spolupracovat se státem za účelem zajištění co nejvyšší možné míry bezpečnosti. Odmítli však, že by neměli dostatečně zabezpečenou svou infrastrukturu. Podnikatelské asociace jasně uvedly, že pokud stát chce regulovat, jak soukromé společnosti vybírají své dodavatele, musí jasně komunikovat, jaká konkrétní rizika tím ošetří a proč je není možné řešit jiným způsobem. Soukromý sektor také varoval, že špatně nastavená regulace může představovat zbytečné významné náklady v řádu miliard. To je pochopitelně v současné situaci, kdy firmy všech velikostí čelí nejistotě v podobě rostoucích cen energií a vysoké inflaci, problém, protože snižuje předvídatelnost podnikání na českém trhu.

NÚKIB má předložit vládě příslušný mechanismus posuzování rizik, do května příštího roku. Má hodnotit především strategická rizika spojená s dodavateli, tedy zda nejsou pod vlivem třetí země, která může být nepřátelská k zájmům Česka nebo našich spojenců, a jaké tento případný vztah představuje riziko. “Jde o výsostně urgentní téma. Je to jedinečná možnost předejít nezdravému prohloubení závislosti na rizikových dodavatelích, jejíž důsledky dnes vidíme u plynu a ropy,” uvedl ve svém úvodním slově ředitel NÚKIB Lukáš Kintr.

Naopak zástupci soukromého sektoru upozorňovali před nebezpečím přílišné regulace a závislosti na příliš malém množství dodavatelů. “Je těžké zakazovat některé dodavatele, když k nim není alternativa. Nepohybujeme se na trhu, kde je dodavatelů padesát, ale tři. Pokud snížíme jejich počet na dva, pak zvyšujeme závislost na nich, přitom nemusíme mít jistotu, že budou schopni naplánované dodávky realizovat,” upozornil prezident Asociace provozovatelů mobilních sítí Jiří Grund. Diverzifikace dodavatelů je také bezpečnostním opatřením sama o sobě.

Člen prezidia Asociace kritické infrastruktury Jan Klouda ve své prezentaci položil otázku, jaký je nejmenší rozsah regulace, který povede k zajištění cíle. “My jako provozovatelé kritické infrastruktury jsme již pod velkým množstvím regulací, které nám dávají řadu povinností. Známe svůj byznys i svou infrastrukturu a víme jak v ní rizika řídit a jsme schopni je ošetřit,” uvedl Klouda a dodal: “Důležité je vědět, jak velké je riziko, které chceme ošetřit. Neexistuje žádná stoprocentně bezpečná technologie, pokud existují dodavatelé, které je třeba ošetřit ze strategického hlediska, musíme znát, jak velké je ono inkrementální riziko, které z jejich použití vyplývá.

Podle poslance ODS a předsedy Bezpečnostního výboru Poslanecké sněmovny Parlamentu České republiky je současná situace na Ukrajině ponaučením, že v sázce je samotná existence našeho ústavního zřízení po roce 1989. “Samozřejmě, že zde jde i o geopolitické souvislosti. Pokud by byly sankce například na Čínu kvůli konfliktu o Tchajwan, budeme mít čím nahradit výpadek v dodávkách? Touto válkou možná skončila globalizace. Dochází k přehodnocování toho, co bychom měli dělat sami, abychom byli soběstační,” uvedl Žáček.

Michal Poupa z Českého institutu informatiky, robotiky a kybernetiky (CIIRC) při ČVUT pak podal technický výklad bezpečnosti telekomunikačních sítí s důrazem na 5G sítě. Uvedl, že již ve standardu je zabezpečení výrazně lepší, než u sítí předchozích generací a že je možné pojmenovat kritické a klíčové části sítě, na které by mohla dopadat přísnější regulace a podle toho nastavit bezpečnostní politiku. Rizika v méně kritických částech sítě je možné ošetřit dle Poupy správným nastavením dle standardů.

Podle Jakuba Rejzka, prezidenta Výboru nezávislého ICT průmyslu, je třeba přesně vyjmenovat části sítě, na které by se mechanismus vztahoval. “Příkladem může být přístup, který aplikovali ve Finsku, kde právě definovali kritické části sítě, na které je možné a vhodné aplikovat přísnější regulaci. Tím řeší onu strategickou bezpečnost a zároveň neregulují to, co není potřeba regulovat,” dodal Rejzek. Dodává, že technologické firmy mají mít možnost používat to, čím nás nedůvěryhodný režim nemůže ohrozit a podporuje vytváření vlastních dodavatelů na území Evropské unie.

Michal Moroz, výkonný ředitel Asociace kritické infrastruktury, řekl, že není zcela jasné, jaký je vlastně cíl státu v celé debatě. “Důležité je o jaké infrastruktuře se bavíme. Zaznívají pojmy jako strategická infrastruktura, významná infrastruktura, kritická infrastruktura, kritická informační infrastruktura a některé z nich nejsou nikde v zákoně definované, to debatu komplikuje,” uvedl Moroz. “Otázka také je, jak hluboko mechanismus půjde. Jsou tu třeba kamery, které vyrábí společnost vlastněná čínským státem, které ale dodávají německým firmám, ty to rebrandují a prodávají jako součást nějakého svého německého řešení. Výrobci mnoha základnových desek, čipů a modemů jsou tchajwanské firmy, ale řada komponent je v nich z Číny, upozornil Moroz na úskalí rozsahu mechanismu.

Náměstek ředitele NÚKIB Tomáš Krejčí v panelu upřesnil, že připravovaný mechanismus dopadne přibližně na současné provozovatele kritické informační infrastruktury a provozovatele základních služeb. “Diskuse, jaké části infrastruktury u těchto provozovatelů

se bude mechanismus týkat, bude složitá,” přiznal Krejčí. “Cílem je doplnit skládačku analýzy rizik o ta rizika, která nejsou provozovatelé jako soukromé firmy schopny zjistit. Nemohou mít informace jako stát, například od tajných služeb,” dodal Krejčí. Podle něj je ale zjevné, že v diskusi se všichni účastníci posouvají kupředu. “S operátory máme náskok, protože jsme již diskuse vedli v minulosti na platformě 5G Aliance, v Poslanecké sněmovně i bilaterálně. Nyní máme před sebou diskuse s dalšími odvětvími, na které to dopadne. Před meziresortním připomínkovým řízení pak chceme komunikovat s odbornou veřejností. Budeme potřebovat vstupy,” dokončil Krejčí.