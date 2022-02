Dodavatelé technologií do tuzemských 5G sítí by měli mít sídlo ve státech Evropské unie a NATO a nikoliv v k Česku nepřátelských zemích, měli by pocházet z demokratického státu, neměli by být ovlivňování zahraničními vládami a jejich domovská země by neměla krást duševní vlastnictví. To je několik bodů z nově připravených právně nezávazných doporučení České republiky k posuzování důvěryhodnosti dodavatelů do 5G sítí. Jde o další z kroků, jak zamezit či omezit působení zejména čínských společností Huawei a ZTE.

Dokument, jenž prozatím nebyl veřejně publikován a který má Lupa.cz k dispozici (aktualizace: dokument už vyšel oficiálně), vypracoval Národní úřad pro kybernetickou informační bezpečnost společně s ministerstvem zahraničí, BIS, Vojenským zpravodajstvím a Úřadem pro zahraniční styky a informace.

Minulý týden se k prodiskutování dokumentu rovněž sešla 5G aliance, jejíž součástí jsou také operátoři, Český telekomunikační úřad, ministerstva vnitra a průmyslu a obchodu, telco podnikatelé a akademická sféra.

Nový dokument je pouze sadou doporučení, která nejsou právně závazná. “Doporučení prezentuje pohled vybraných institucí státu a slouží jako podpůrné vodítko pro hodnocení některých kritérií důvěryhodnosti dodavatelů technologií do 5G sítí,” uvádí kyberúřad.

K dokumentu se pro Lupu prostřednictvím Jakuba Rejzka v Výboru nezávislého ICT průmyslu vyjádřil také soukromý sektor, vesměs kriticky. Celé znění naleznete pod textem.

Připojil se také Jiří Grund z Asociace provozovatelů mobilních sítí sdružující T-Mobile, O2 a Vodafone. Mluví o případné nutnosti kompenzace: „Pro operátory se nic zásadního nemění, protože už dnes hodnotí bezpečnost dodávek v souladu se zákonem o kybernetické bezpečnosti. Do budoucna je pro nás klíčová předvídatelnost investičního prostředí. Pokud by měla nová politická hlediska měnit aktuálně nastavená pravidla, je třeba začít velmi vážně diskutovat o kompenzacích všem postiženým provozovatelům. Podobně k tomu přistoupili například v USA.“

EU a NATO

Jedním z hlavních bodů budování důvěry má být to, aby dodavatel měl sídlo ve státě, kde funguje nezávislý soudní systém, má demokraticky zvolenou vládu, právní předpisy a veřejné politiky se řídí zásadami právního státu, dbá na ochranu duševního vlastnictví, dlouhodobě a systematicky neporušuje mezinárodní právo, udržuje s Českem partnerské vztahy a neprovádí činnosti jdoucí proti naší zemi a který nepovažuje Česko za nepřátelský stát.

Dodavatel dále nesmí být nepatřičně ovlivňován zahraniční vládou či orgánem státní správy. Musí umět autonomně zajišťovat dostupnost nebo důvěryhodnost dat. Dodavatel stejně tak nesmí využívat nepřiměřených výhod a státní podpory a musí splňovat bezpečnostní standardy. V podstatě všechny tyto body se vytýkají Číně.

Český stát tedy přichází s návrhy, aby otázka bezpečnosti a důvěry nebyla tvořená pouze technickými aspekty. Právě na ně se často odpůrci omezení a lidé z trhu často odvolávají.

“Snižování rizik spojených s dodavateli do 5G sítí pouze technickými prostředky je nedostatečné; hardware i software těchto technologických řešení jsou natolik komplexní, že je nelze efektivně technicky prověřit a eliminovat případné zranitelnosti. Ty v nich tak mohou zůstat dlouhodobě neodhaleny či do nich mohou být později zavedeny, například v rámci aktualizací,” píše se v dokumentu

Kritérií, podle kterých poznat důvěryhodného dodavatele, je několik. Dodavatel a ovládající osoby například mají mít sídlo v členském státě Evropské unie si NATO. Dodavatel má být ochoten zavázat se prohlášením, že je právně i fakticky schopen odmítnout předat data třetím stranám, například “své” vládě.

Dodavatel dále má podléhat právním řádům států, na které veřejně neupozorňují bezpečnostní instituce České republiky v souvislosti s prováděním zpravodajských či jiných operací, poškozujících zájmy České republiky nebo členských států EU či NATO. Stejně tak má být k dispozici transparentní vlastnická struktura a tak dále. Všechny body jsou zde (PDF).

Společnost Huawei situaci pro Lupu prozatím nekomentovala s tím, že dokument neviděla a tudíž se k němu nemůže okamžitě vyjádřit.

Až přijde zákon

To, že jsou aktuální doporučení právně nezávazná, by se mohlo změnit. Na základě pověření Bezpečnostní rady státu je totiž připravován věcný záměr zákona, díky čemuž by se posuzování rizikovosti dodavatelů a jejich případné omezování dalo zavést do legislativy.

NÚKIB pracuje na implementaci bodu SM03 z evropského 5G Toolboxu, který přesně toto řeší. NÚKIB o omezování takzvaných nedůvěryhodných či rizikových dodavatelů začal více mluvit v Akčním plánu k národní strategii kybernetické bezpečnosti na roky 2021 až 2025.

“Cílem doporučení není navrhnout kritéria důvěryhodnosti k jednotné a plošné aplikaci na všechny dodavatele 5G sítí v České republice. Cílem je poskytnout vodítko zejména pro dodávky do informačních a komunikačních systémů kritické infrastruktury České republiky. Navržená kritéria jsou nicméně neutrální vzhledem k charakteru a významnosti infrastruktury a dle uvážení jednotlivých operátorů je lze vztáhnout také dodávky do strategicky méně významné infrastruktury,” uvádí NÚKIB dále k novému dokumentu.

Příprava zákonného mechanismu bude vyžadovat přijetí legislativních změn. “Z důvodu komplexnosti problematiky, nutnosti konzultací napříč vybranými institucemi státu, se zástupci soukromého sektoru v odvětví elektronických komunikací a s akademickou sférou a s ohledem na obvyklou délku trvání legislativního procesu přitom nelze očekávat přijetí takovýchto legislativních změn v současném stadiu příprav budování 5G sítí. První implementace technologií 5G sítí se objevují již v současnosti a do doby přijetí mechanismu prověřování je nezbytné, aby stát srozumitelně deklaroval národně-bezpečnostní zájmy a východiska a nabídl operátorům kritéria pro výběr důvěryhodných dodavatelů do 5G sítí alespoň v podobě doporučení.”

Vyjádření Jakuba Rejzka

Národní úřad pro kybernetickou bezpečnost vydal politický dokument, kterým prozatím nezávazně „nedoporučil“ podnikatelům nakupovat zařízení pro své sítě dle jejich vlastní nákupní strategie.

Čeští operátoři neměli žádné bezpečnostní incidenty na úrovni infrastruktury, zabezpečení v sítích je plně srovnatelné se světovou špičkou. NUKIB tedy nereaguje na bezprostřední hrozbu a mohu prohlásit, že žádným způsobem technické zabezpečení sítí u českých poskytovatelů služeb nezkoumal – neví tedy, zda je dostatečné, či zda má slabá místa.

Přes opakované urgence jsme neobdrželi analýzu potvrzující závěry v textu Doporučení, které hovoří o příliš komplexní povaze hardwaru a softwaru 5G sítí. Telekomunikační sítě jsou přece souhrnným technickým systémem, nicméně velmi dobře popsaným. O 5G sítích a jejich standardech se dá velmi jistě prohlásit, že jsou naopak mnohem bezpečnější nežli předchozí generace, jako je 4G LTE nebo ještě starší generace mobilních sítí.

Dokument není závazný, ale přesto jej považujeme za regulatorní akt. Telekomunikační odvětví tak nově ovlivňuje nový faktor, a to geopolitické tlaky. Musíme na rovinu přiznat, že doporučené ohledy na výběr technologie ovlivní vývoj trhu. Vytváří bariéry pro segment menších firem na trhu pronájmu telekomunikačních okruhů, znesnadní výstavbu 5G sítí menšími operátory a tím efektivně omezí konkurenci na trhu.

Zcela jistě víme, že pro některá kmitočtová pásma jsou prozatím dostupné odpovídající technologie pouze ze států mimo EU a NATO. V tom lepším případě jsou dostupné některé technologie také u západních výrobců, kteří však bez konkurenčního tlaku nebudou mít o menší tržní příležitosti zájem.

Slabou náplastí je vymezení Doporučení do oblasti pouze kritické infrastruktury. Nová evropská pravidla, prozatím navržená v draftu směrnice NIS2, určí jako součást kritické infrastruktury všechny, anebo většinu společností podnikajících v poskytování služeb elektronických komunikací.

Jsme připraveni vést diskusi o možných technických a procesních opatřeních, pro další jednání jsme otevření. Naším společným cílem rozvoj telekomunikačních služeb nejen na sídlištích, ale i v rurálních oblastech. Nové regulace a omezení mohou rozvoj trhu narušit.