Jonathan Fischbein pracuje jako Chief Information Security Officer (CISO) v izraelské společnosti Check Point Software Technologies, která patří ke klíčovým a největším dodavatelům v kyberbezpečnosti. Ta je v poslední době ještě citlivějším oborem než dříve, stále více totiž podléhá geopolitice. Z našeho pohledu kyberbezpečnost ovlivňuje zejména vpád Ruska na Ukrajinu a aktivity Číny.
I proto je teď tolik živo kolem nového zákona o kybernetické bezpečnosti, který aktuálně prochází střevy poslanecké sněmovny a který má ve své současné podobě umožnit Národnímu úřadu pro kybernetickou a informační bezpečnost omezovat či zakazovat z jeho pohledu nebezpečné dodavatele v kritické infrastruktuře, teď hlavně ty z Číny.
Fischbein v rychlém rozhovoru pro Lupu přidává svůj příspěvek do debaty. „Měkkým“ rizikům spojeným s dodavateli z problematických zemí přikládá nemalý význam.
Jeho kolegové, se kterými jsem mluvil před pár měsíci, mimochodem byli ještě přísnější. „Západní státy včetně Česka by jednoznačně měly přístup Číny do svých sítí limitovat,“ řekl mi Marco Eggerling, další bezpečnostní ředitel Check Pointu. Čínské firmy jsou podle něj kromě jiného napojeny na tamní vládu a padá na ně podezření ze špionáže a vlivových aktivit, což tyto firmy dlouhodobě popírají, byť jim to ukládá čínský zákon.
„Podobně nedůvěryhodně mohou působit i některé americké společnosti, u kterých víme, že jsou napojeny na tamní třípísmenné instituce,“ navázal Eggerling, aniž by konkrétně zmínil CIA, FBI a NSA. „Rozdíl je v tom, že USA lze považovat za spojence. Je to věc důvěry.“
Měly by mít západní státy možnost zakázat určité dodavatele ve své ICT infrastruktuře?
Vše je o úrovni důvěry, kterou odběratel musí mít a dodavatel ji musí prokázat. Pokud víme, že existuje jistý dodavatel, který je výrazně levnější než konkurence a jeho vedení je součástí struktury čínské vlády, je to problém. Existují země, které dělají byznys s čínskou vládou a dostávají od Číny infrastrukturu „zdarma“. Ale řada zemí, které do takových obchodů šla, toho dnes lituje. Podobně byly produkty ruské Kaspersky Lab zakázány v USA a těžké to mají i například v západní Evropě. Důvodem je, že Kaspersky jako dodavatel nemá důvěru.
Jak se taková důvěra získává?
Je jí možné docílit i skrze nezávislé certifikace nebo dlouhodobé důkazy bezproblémového chodu. Pokud některý dodavatel má každý týden bezpečnostní problémy a nové zranitelnosti, pro zákazníky může být nemožné s ním spolupracovat. Pokud dodavatel léta neměl bezpečnostní problémy a v případě, že se nějaký objeví, velice rychle reaguje, je to dobré znamení.
Ovšem důvěra je něco, čeho nelze dosáhnout pouze přes technickou specifikaci nebo skrze veřejná prohlášení, buduje se mnoho let. Pokud vidíte případy, kdy je některý dodavatel napojený na vládu a úzce spolupracuje s jejími představiteli, je to výstražné červené světlo. To je případ Kaspersky Lab, TikToku nebo Zoomu.
Důvěra se buduje i přes otevřené audity. My například každých několik let podstupujeme audit od NATO a americké vlády. Poskytujeme také části zdrojových kódů, abychom demonstrovali, že nic neskrýváme. Zároveň představitelé naší firmy byli několikrát dotazováni ohledně spolupráce s izraelskou vládou. Tu máme jako zákazníka, stejně jako NATO a další země. Rovněž neděláme byznys s určitými státy a dbáme na to, abychom nepřekročili určitou čáru.
Jsou čínské technologie v kritické infrastruktuře nebezpečné?
Žijeme v určité geopolitické situaci a z toho je třeba vycházet. Příklad: Než Rusko zaútočilo na Ukrajinu, bylo normální s ním dělat byznys. Nyní už s tamními firmami není dobré obchodovat, i když ony vlastně nezměnily to, jak operují.
Čína dělá velké projekty pro státy v Africe, Latinské Americe nebo na Blízkém východě. Jde o železniční infrastrukturu, přístavy, telekomunikace a podobně. Existují podezření, která ovšem nejsou dokázaná, že když Čína bude chtít, může infrastrukturu ovládnout a na dálku ji vypnout. Může mít klíče ke království.
Zároveň neexistují tak velké organizace, které by s Čínou dokázaly v mnoha ohledech soupeřit. Když čínská firma na vybudování přístavu za mnoho miliard dolarů nabídne padesátiprocentní slevu, evropský konkurent zvládne slevu maximálně deset procent. Na konci dne tedy jde o byznysové rozhodnutí.
Takže byznysová rozhodnutí často převažují nad bezpečnostní stránkou?
Ano. Mimochodem, infrastruktura, kterou Čína dodává, je často spravovaná Číňany, nikoliv lokálními subjekty. Vidíme, jak Čína obsazuje řadu zemí skrze lokální přítomnost a získávání vlivu. (Čínský vliv v Africe a spol. a jeho vyvážení Evropou by měl mimo jiné řešit Jozef Síkela ze svého nového postu eurokomisaře – poznámka redakce.)
Zároveň, pokud na Západě koupíme velmi levné bezpečnostní kamery od čínských firem jako Hikvision nebo Dahua (i v Česku dominují trhu – poznámka redakce), je pak těžké je vyměnit. Ale existují dobré metody, jak i takovou infrastrukturu zabezpečit, například segmentací sítě a tím, že tyto kamery nemají přímý přístup k internetu, a tudíž ani nemohou nic posílat do Číny. Tím se mimochodem zabýváme, umíme jednoduše izolovat kamery, tiskárny, IoT zařízení a podobně. Případně je dobré nastavit, aby zařízení mohla komunikovat pouze s výrobcem a dostávat tak aktualizace.
Měl by být zákaz problematických dodavatelů záležitostí politického rozhodování, nebo specialistů?
Jde o strategickou věc. IT v tomto ohledu hraje podpůrnou roli, takže by o tom IT odborníci neměli rozhodovat a mělo by se podléhat strategickému posuzování.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
