David Horad je novým šéfem české pobočky Huawei pro kybernetickou bezpečnost (CSO), na starost dostal také Slovensko a Rakousko. U nás stále platí varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který čínskou společnost považuje za bezpečnostní riziko. To pro Huawei mimo jiné znamená značné byznysové komplikace.
Horad, jenž dříve na podobných pozicích pracoval ve Vodafonu nebo T-Mobilu, v rozhovoru pro Lupu popisuje, jak jeho angažmá vnímá bezpečnostní komunita, jaké úkoly dostal na starost nebo čeho bude chtít směrem k NÚKIBu dosáhnout.
Huawei nešlo poměrně dlouhou dobu pozici ředitele kybernetické bezpečnosti obsadit. Někteří lidé měli obavy ze ztráty bezpečnostní prověrky, jiným to nebylo doporučováno. Proč jste do toho šel vy?
Bezpečnost dělám dlouho a je to pro mne navázání na dosavadní práci. Pozadí obsazování pozice jsem neviděl. Aktivně jsem se o práci v Huawei nezajímal a ze strany společnosti jsem byl osloven. Následně jsem si situaci začal vyhodnocovat, prošel několika poměrně náročnými koly pohovoru a nyní jsem tady.
Obraz Huawei není od varování NÚKIBu a kvůli dalšímu dění ve světě v posledních dvou letech na veřejnosti nejlepší. Měl jste také pochyby?
Pochyby má samozřejmě každý. Situaci jsem probíral i v bezpečnostní komunitě, ve které se pohybuji. Přijde mi, že celkový mediální diskurz je hodně ovlivněný obchodní válkou USA a Číny. Když od toho odhlédnu, Huawei je ve světě technologií přední hráč. Řekl jsem si tedy, že jde mimo jiné i o možnost si sám ověřit, co je na debatách kolem Huawei pravdy.
Co vám říkali kolegové z bezpečnostní komunity? Bezpečnostní složky vnímají Huawei problematicky.
Pokud narážíte na NÚKIB, tak ano, ti to vnímají tak, jak to vnímají. Docela bych rád znal fakta, na základě kterých je jejich názor postaven. Jinak reakce komunity byla tak padesát na padesát. Někdo říkal, že je to pro mne poslední pozice v bezpečnosti, a někdo naopak říkal, že by ho podobná pozice zajímala, stejně jako pozadí za tím.
Na obavy, že bezpečnostní pozice v Huawei je poslední post v bezpečnosti, jsem už také narazil. Vykládáte si to skutečně jako reálnou možnost?
Někdo to tak vnímat může a obavy mít může. Když za mnou bude viditelná práce, rozhodně angažmá v Huawei nevnímám jako poslední moji pozici v bezpečnosti.
Třeba pak půjdete do důchodu.
To se relativně blíží, ale neplánuji to.
Na co prvního se vrhnete?
Seznamuji se s prostředím. Probírám auditní zprávy, stavím strategii. Mapuji si tři země, které mám na starosti, a zjišťuji, co je kde třeba plnit z pohledu soukromí. Ohledně legislativy už jsme připomínkovali takzvanou cloudovou vyhlášku. Měli jsme k tomu pár drobností.
Nastavila vám firma KPI, která máte řešit prioritně?
KPI mám nastavená, týkají se bezpečnosti a ochrany osobních údajů, počtů incidentů a jejich závažnosti a řešení. To je zatím poměrně jednoduchá práce, protože jsem nedohledal žádné incidenty, které by stály za reportování naší lokální autoritě. Detailněji jsme se o mé práci s vedením začali bavit koncem ledna, tohle je start.
David Horad, Huawei
Co všechno výhledově budete řešit?
Budu se starat o to, aby Huawei interně bylo bezpečné, aby naše technologie byly v souladu s tím, co chtějí naši zákazníci, a aby vše z pohledu bezpečnosti fungovalo tak, jak fungovat má. Budu konzultovat se zákazníky a operátory a řešit jejich podporu. Na Lupě jsem četl, že se budu snažit být ve styku s NÚKIBem a státem, což také platí (smích). Musíme s těmito stranami komunikovat, řešit nejasnosti a vysvětlovat. Kyberbezpečnost je velmi komplexní oblast, rozumí tomu málokdo. Do éteru se pak vlivem nedostatku informací dostávají zkratkovitá sdělení, a mojí rolí tak zároveň bude tomu předcházet, poskytovat určitou osvětu.
Obecně se tu o kyberbezpečnosti hovoří primárně ve spojitosti s operátory a jejich dodavateli. Přitom operátoři se o to bezpečně postarají, o to nemusíme mít obavy. Je potřeba hlavně edukovat koncové uživatele, aby používali zabezpečená zařízení na zabezpečených sítích, nestahovali rizikové soubory s malwarem a podobně. I o to se budeme s kolegy v Huawei snažit.
No a pak je zde varování NÚKIBu. Nejsem si jistý, jak se názor NÚKIBu dá ovlivnit. Pokud je podepřený nějakými fakty, chtěli bychom se o nich bavit, vysvětlovat je a podložit dalšími informacemi.
Jde tento boj s NÚKIBem ještě hrát? Huawei už zkoušelo různé kroky, včetně právní studie. Ale kyberúřad se k tomu nikdy nevyjádřil.
NÚKIB komunikuje pouze písemně. Každopádně ten boj nechci vzdávat a chci se o tom s úřadem bavit. Komunita lidí kolem bezpečnosti je ohraničená. Když jsem pracoval pro jednoho z operátorů a zúčastnil jsem se připomínkování zákona o kybernetické bezpečnosti, byly tehdy mé názory pro NÚKIB platné. Tehdy šlo ještě o NBÚ a mé názory brali v potaz a bavili jsme se normálně. Doufám, že na to půjde navázat. Otázkou je, jak partner bude přístupný.
Čeho chce Huawei v této problematice dosáhnout? Aby varování bylo zrušeno, nebo aby alespoň bylo konkrétně vysvětleno?
V prvním kroku bych byl rád, kdyby varování bylo konkrétně vysvětleno. Nejsme totiž jediní, kdo nechápou, před čím varování vlastně varuje. Potom se o jednotlivých věcech dá bavit a argumentovat. Pokud by argumenty byly validní, bylo by dobré pro celý trh, aby varování šlo zrušit. O toto se budu snažit.
Jaký uděláte první tah?
Nejdříve si musím zjistit, jaké kroky Huawei doposud podniklo. Pak zjistím, zda budu psát e-maily, žádat o schůzku a podobně.
Jednou věcí, která je stále ve hře, je bod SM03 v rámci takzvaného 5G toolboxu Evropské unie. Jeho případné zavedení by přímo zakázalo nasazování Huawei. Operátoři se začali ozývat, že zákazy dodavatelů nechtějí a že chtějí pravidla, čeho v bezpečnosti mají docílit. Není také jasné, zda má SM03 u nás politickou oporu. Jak to vidíte vy?
Toto by měla být čistě doména operátorů. Na rozdíl od dodavatelů, kterým je i Huawei, jsou to oni, kdo vlastní sítě a odpovídají za jejich bezpečnost a integritu. Ti by si měli rozhodnout, zda do našich technologií půjdou a zda jsme pro ně důvěryhodný partner. Předpokládám, že když v Česku pomáháme budovat mobilní sítě mnoho let, je s námi zkušenost dobrá. A pokud vím, žádný výrazný bezpečnosti incident za tu dobu nebyl. Operátoři chtějí mít kvalitní a bezpečnou síť a nestaví ji na jednom dodavateli, tedy potřebují diverzifikaci. Na základě rozhodnutí operátorů lze postavit bezpečnou síť.
Takže vaše argumentace je stejná, jakou vyjádřili operátoři – stát ať řekne, co a jak se má v kyberbezpečnosti 5G řešit, a je na operátorovi, jak toho dosáhne?
Ano, to je náš pohled. Pokud dodávka bude splňovat požadavky státu na bezpečnost, čehož se dá dosáhnout poměrně jednoduše, může to takto fungovat. Jediný důvod, proč by nemělo, jsou politické důvody.
Co stojí za rozhodnutím, že bezpečnost budete pro Huawei řešit i v okolních zemích?
Huawei se rozhodlo, že na to vyčlení jednoho člověka a zjistí, zda to bude efektivní.
Hraje v tom roli varování NÚKIBu a fakt, že jste v jámě lvové?
Nejsem si jistý, jaké bylo rozhodnutí vedení, a respektuji ho.
V případě zákazníků budete komunikovat primárně s operátory, nebo i s ČEZem a spol.?
Primární jsou operátoři, ale ČEZ, Škoda a řada dalších tam budou také. Je to celé portfolio. Na pozici jsem krátce, takže to nemám detailně zmapované. Nejčastěji tito zákazníci řeší threat management, patchování, klasickou operativu.
S kým dalším ze státu máte v plánu se bavit?
Jsou to třeba ministerstva.
Na jaká témata s nimi chcete vést debaty?
Mimo jiné na téma výběrových řízení. Ministerstvo financí například nyní vyjádřilo názor ohledně jednoho tendru, takže se chci pobavit, zda je názor založený na faktech, která můžeme vysvětlit.
Co máte na mysli?
Běží výběrové řízení na upgrade systému pro předávání dat mezi finančními úřady.
Huawei na Ministerstvu financí vyhrálo zakázku na optickou síť a na datová úložiště. Toto ministerstvo teď má nějaké obavy?
Potřebujeme se spolu pobavit, jak pokračovat dál. V případě, že bychom měli nový tendr vyhrát, potřebují záruky, vysvětlit věci a podobně.
Huawei ve státní správě v poslední době vyhrávalo poměrně dost tendrů. Narušilo to varování NÚKIBu?
Když budu hovořit za společnost, tak podle našeho názoru došlo k poškození dobrého jména společnosti i k nežádoucím dopadům nejen na náš byznys, ale na celé konkurenční prostředí. Dodnes nevíme, co je konkrétním důvodem a problémem, který vedl k vydání varování, a jak jej můžeme vyřešit.
Státní instituce nyní proti vám argumentují bezpečností a varováním?
Tuto zkušenost zatím nemám, jsem ve firmě krátce, ale předpokládám, že to tak bude. Budou se na to více odvolávat a my budeme muset více vysvětlovat. Některé instituce podle aktuálních zkušeností vůbec varování nepochopily a místo toho, aby ho vzaly v úvahu při analýze rizik, přistupují k vyřazování produktů naší společnosti automaticky, což je podle nás v rozporu se zákonem o veřejných zakázkách. A právě proto jsem nastoupil do firmy já, abych případné obavy dokázal adresovat a zákazníci a stát měli kontaktní osobu.
