Chtěl bych říct, že vláda byla dne 17. 12. 2018, to znamená v pondělí, ze strany ředitele NÚKIBu dodatečně informována o tom, že téhož dne bylo ze strany NÚKIBu vydáno varování podle zákona o kybernetické bezpečnosti před používáním softwaru i hardwaru společnosti Huawei Technologies a ZTE Corporation. A NÚKIB nám řekl, že používání těchto prostředků má představovat bezpečnostní hrozbu, přičemž k tomuto závěru došel NÚKIB na základě vlastních poznatků a poznatků bezpečnostních partnerů. Hlavní problém dle NÚKIBu je spatřován v právním a politickém prostředí Čínské lidové republiky, ve které tyto společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech jejich působení v Číně mimo jiné součinnosti při zpravodajských aktivitách, tudíž pouštět je do systému, které jsou klíčové pro chod státu, může představovat hrozbu. NÚKIB k vydání varování přistoupil i z toho důvodu, že Čínská republika na území České republiky aktivně prosazuje své zájmy včetně provádění zpravodajských aktivit vlivového i jiného charakteru, jak ostatně dokládají výroční zprávy bezpečnostních služeb za rok 2017.
My jsme na vládě probírali konsekvence tohoto rozhodnutí, u nichž nám chyběla komplexní právní analýza a stanovení dalšího postupu pro subjekty, které se tímto varováním ze zákona musejí řídit. Měl by být stanoven metodický postup, jak mají například jednotlivá ministerstva jako zadavatelé postupovat podle zákona o veřejných zakázkách. Když jsem se ptal pana ředitele, na základě čeho, a jestli má tedy analýzy různých dopadů, tak je neměl. A v podstatě to dostal za úkol dopracovat místo toho, aby to měl vypracováno dopředu. A samozřejmě přišel na vládu a varování už bylo venku, takže to nebylo ani o nás. My jsme nic nerozhodovali. My jsme to dostali na vědomí.
Na zítra jsem svolal v souvislosti s vydáním varování NÚKIBu bezpečnostní radu státu, protože samozřejmě my jsme dostali informaci o mobilech, teď NÚKIB říká, že to nejsou mobily, že mobily jsou v pořádku, že tam není problém. Takže i ten úřad, nezávislý úřad nějakým způsobem poskytuje informace a my potřebujeme přesně vědět, aby to i doložil, aby nám ukázal, protože takové rozhodnutí je samozřejmě zásadní. Co se týká Úřadu vlády, tak v rámci provozování významných informačních systémů dle zákona o kybernetické bezpečnosti nevyužíváme interních sítí technologie zmíněných značek a v budoucím výhledu doporučení NÚKIB prý při pořizování nových technologií musíme to určitě zohlednit.
To vyjádření NÚKIB vzniklo pro to, aby chránil kritickou informační infrastrukturu České republiky, tedy systém, bez nějž by stát nemohl řádně fungovat. Pokud NÚKIB zjistí, že tyto systémy jsou jakýmkoli způsobem ohroženy, musí podle zákona o kybernetické bezpečnosti bezodkladně jednat, takže vydal varování. Bylo to použito poprvé v historii účinnosti zákona o kybernetické bezpečnosti. A NÚKIB varuje, že existuje hrozba. Ale víc jsme se nedozvěděli. Dotkne se to primárně kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb, tedy subjektů, na které dopadl zákon o kybernetické bezpečnosti. Dotkne se primárně kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb, tedy subjektů, na které dopadl zákon o kybernetické bezpečnosti. Správci kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb mají na základě zákona o kybernetické bezpečnosti povinnost reflektovat aktuální hrozby při přijímání bezpečnostních opatření včetně nastavování smluv s dodavateli.
Od úřadu jsme se nedozvěděli, jak mají jednotlivá ministerstva postupovat. Varování tudíž samo o sobě žádnou povinnost nikomu nedává, pouze se stává podkladem, na základě kterého subjekty kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb hodnotí rizika, na základě kterého pak musí přijmout přiměřená bezpečnostní opatření. Bezpečnostní opatření definuje vyhláška o kybernetické bezpečnosti. Obecně lze riziko definovat jako možnost či pravděpodobnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu.
Otázka zní: Jak se varování projeví u budoucích ICT dodávek?
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: PV
