Hlavní navigace

Názor k článku Nejen Huawei a ZTE. V Česku získávají vliv také další technologické firmy z Číny od Metodika NUKIB - V úvodu zmiňovaný dokument NUKIB jsem přečetl celý...

Článek je starý, nové názory již nelze přidávat.

  • 16. 1. 2019 9:26

    Metodika NUKIB (neregistrovaný) ---.cust.vodafone.cz

    V úvodu zmiňovaný dokument NUKIB jsem přečetl celý a mám z něj velmi rozpruplné pocity. Zjevně s cílem nalézt alibi pro vyloučení některých (tentokráte Čínských) dodavatelů z výběrových řízení na komponenty kritické infrastruktury, byla vytvořena metodika, která má vysvětlit proč jsou zrovna výrobky Huawei nebo ZTE rizikem. Celý dokument ale vůbec nic takového neobjasňuje. Jmenování obou firem coby hrozby je pouhým neodůvodněným konstatováním. V dokumentu je pouze uveden obecný výčet možných penetrací či ohrožení systémů skrze různé typy HW komponent, to však platí pro komponenty naprosto všech výrobců. Inspiroval se snad NUKIB empiricky z praxe při penetraci do systémů v návaznosti na program PRISM ? To byl ale pokud vím tajný bezpečnostní program americké NSA. Ten údajně přímo nařizoval americkým výrobcům HW, aby pro tuto agenturu vytvářely zadní vrátka ve svých HW zařízeních. Logicky by tedy měl NUKIB jmenovat jako hrozbu právě výrobce, kteří se podřídili tomuto programu. Byly snad mezi nimi firmy Huawei nebo ZTE ? Víme o nějaké penetraci do naší kritické infrastruktury prostřednictvím HW těchto čínských výrobců ? Penetraci, kterou by nařídila dle vzoru PRISM čínská vláda nebo nějaká čínská bezpečnostní agentura ?

    Je smutné když celá metodika, která má varovat před výrobky konkrétních firem, neuvede jediný důvod proč jsou tyto výrobky nebezpečné. Ani jeden precedent napadení. Nic ! Netvrdím, že by měly bezpečnostní a zpravodajské služby odkrýt útoky do takové míry, že by došlo k vyzrazení utajovaných informací. Když už ale šly s kauzou na veřejnost, tak by někdo měl alespoň říct "My takové důkazy máme a poskytneme je těm, kteří na to mají prověrku". To říct mohou. A neřeknou. Proč ? Protože nemají nic. Od metodiky NUKIB bych očekával víc než jen obecný výčet možných (POTENCIÁLNÍCH) napadení systémů skrze různé HW komponenty, který nic podstatného neříká. Tento výčet slouží jen k určení preventivních opatření při obraně vůči zmíněným hrozbám. Jde o podklad pro analýzu rizik, která se pro systémy VISu a obecně kritické infrastruktury zpracovává a to nejen vůči výrobkům z Číny ale vůči všem HW komponentům všech výrobců HW. V dokumentu od takové autority v oblasti kybernetické ochrany bych očekával mnohem konkrétnější dokument. Dokument, který by v první řadě uvedl jak dochází k napadení kritické infrastruktury z pozice různých typů HW konkrétně. Vždy to je skrze nějaký SOFTWARE svázaný s daným HW. U komponent s Firmware jde o instalaci backdoors nebo škodlivých kódů napadajících data popř omezujících dostupnost systému přímo ve výrobě nebo při updatech firmwaru. Rizikem je tedy proces výroby a updaty. Z toho se určí jak lze předcházet oněm rizikům. Můžeme se bavit o ovladačích síťových komponent, o průnicích do OS atd. Tento výčet bych očekával v dané metodice PLUS uvedení alespoň výčtu skutečných napadení ze strany Huawei a ZTE. Není třeba konkrétně. Stačí uvést, že výrobky Huawei a NEJEN HUawei obsahovaly z výroby nebo po updatu škodlivý kód X krát. Hotovo, tečka. To zveřejnit mohou. Ale nezveřejnili. Hlavní mitiv zpracování dokumentu NUKIBu je tedy výroba alibi. Klíčový je tento odstavec:
    Obecně musí zadavatel při zadávání veřejných zakázek postupovat podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ“). Tento zákon v § 36 odst. 1 stanoví, že zadavatel nesmí vytvářet při stanovování zadávacích podmínek “bezdůvodné překážky hospodářské soutěže“. V případě, že oprávněná autorita (zde NÚKIB), která k tomuto kroku disponuje zákonným zmocněním (zde v § 22 písm. b) ZKB), vydává akt (zde varování),který může v konkrétních případech vést k omezení hospodářské soutěže, nemůže být dodržení tohoto omezení při tvorbě zadávacích podmínek považováno za vytváření bezdůvodné překážky hospodářské soutěže. Tedy hospodářskou soutěž v tomto případě lze omezit již při stanovení zadávacích podmínek a nejedná se tím o porušení ZZVZ.

    Nezbývá tedy než zauvažovat proč vlastně NUKIB vznikl ? Aby existovala autorita jejímž zneužitím PRIVÁTNÍ zajmovou lobby (cizím činitelem) by bylo možné posvětit ovlivňování strategických veřejných zakázek ? Slouží snad NUKIB nebo potažmo BIS, která se svými zprávami projevuje stejně jen coby nástroj k upřednostnění jedné lobby v rámci obchodní války s Čínou ? Nevím jak kdo ale já osobně považuji za hlavní bezpečnostní hrozbu ne výrobky z Číny ale zneužívání BIS a NUKIB.