Kulatý stůl Cyberblog: Mechanismu pro hodnocení dodavatelů z pohledu operátorů

by | Kvě 2, 2023 | Bezpečná firma, Naše projekty, Nejnovější, NIS II | 0 comments

Zástupci asociací operátorů vyjádřili obavu z předčasné generační obměny celé soustavy, která by dle jejich předpokladů mohla znamenat výdaje až osmnáct miliard korun. Dle jejich názoru by bylo vhodné regulaci dodavatelských řetězců omezit jen na kritickou část sítě, tedy jádro – jak to učinila většina států EU, které podobná pravidla pro prověřování rizik spojených s dodavateli již v nějaké podobě zavedly.

Kulatý stůl moderoval konzultant, analytik a bývalý člen rady ČTÚ Ondřej Malý. V úvodu krátce představil koncepci chystaného Zákona o kybernetické bezpečnosti, nedávné připomínkové řízení a vývoj této regulace od EU 5G Security Toolboxu přes doporučení k výběru dodavatelů do 5G sítí, které vydal NÚKIB před rokem, až k nynějšímu návrhu zákona. Zmínil také přístup ostatních států EU, který se pohybuje od benevolentního požadavku na technické posuzování až po tvrdé zákazy některých dodavatelů, což s sebou nese soudní spory (jako například ve Švédsku nebo ve Francii, kde dva ze čtyř operátorů žádají po státu náhradu ve výši dohromady necelých 200 milionů eur).

Jaromír Novák, bývalý předseda rady ČTÚ, jež v současnosti působí jako partner pro veřejnou správu ve sdružení CZ.NIC a jako poradce ministra průmyslu a obchodu, ocenil přístup NÚKIB, kdy úřad v dostatečném časovém předstihu konzultoval návrh zákona předem se subjekty, na které regulace dopadne – podle Nováka jde o nejširší transparentní a veřejnou konzultaci od doby rekodifikace soukromého práva.  Vzhledem k počtu dotčených subjektů a vysokému povědomí o problematice se museli experti NÚKIBu vypořádat s více než tisícovkou připomínek, které zaslali zástupci soukromého sektoru a institucí.

S mírou komunikace ze strany regulátora však nebyli spokojeni zástupci soukromého sektoru. „Z tisíců připomínek byly akceptovány pouhé jednotky“, uvedl Jiří Grund prezident Asociace poskytovatelů mobilních sítí uvedl (APMS). „Dvanáct našich členů se samo identifikovalo jako potenciálně dotčený subjekt mechanismu. Naše připomínky však nebyly akceptovány a často byly odbyty jednoslovnou odpovědí – ‚neakceptováno‘, což vnímáme jako faul, obzvláště v kontextu, kdy naši členové dávají práci dvanácti tisícům lidí.“, dodává Jakub Rejzek, prezident Nezávislého ICT průmyslu, mezi jehož členy patří kromě operátorů, kteří provozují páteřní sítě i nezávislí menší a střední lokální a regionální poskytovatelé.

Jiří Grund (APMS) vyjádřil značné překvapení nad přístupem úřadu, se kterým operátoři komunikují o zákoně již dlouhou dobu. „Konzultace probíhaly poslední dva roky, ale máme pocit, že se v návrhu zákona neobjevilo nic, co jsme navrhovali. Zájmy operátorů a zájmy státu jsou přitom totožné. Nebráníme se otázkám národní bezpečnosti. Bráníme se tomu, aby debata byla emocionální. Chceme racionální přístup, který má být základem kybernetické bezpečnosti. Stavebním kamenem kybernetické bezpečnosti je diverzita“.

 

Jak podotkl moderátor Ondřej Malý, vypořádání připomínek je ale jen prvním krokem k zapojení veřejnosti. Dalším bude formální meziresortní připomínkové řízení, kde bude mít sektor možnost vyjádřit se prostřednictvím svých zástupců, jako je Hospodářská komora a Svaz průmyslu. A proběhne i projednávání v rámci vlády a parlamentu. Za stěžejní označil meziresortní připomínkové řízení Jaromír Novák, který věří, že se zatím regulátor a soukromý sektor „vzájemně oťukávají“.

Jiří Grund uvedl, že není jasné, z jaké metodiky NÚKIB při tvorbě regulace vychází, neboť dle něj neexistuje žádná studie regulace dopadů opatření. „Sektor zatím nemá představu, jak přesně bude omezení fungovat. V případě, že bude třeba provést výměnu nejen částí jádra, které je nejvíce kritickou částí sítě, ale také rádiové části sítě, se mohou se náklady vyšplhat až do řádů nižších desítek miliard korun. To nebude představovat problém pouze pro operátory, ale také pro stát, jehož daňové příjmy by touto investicí zákonitě poklesy, a to až o dvacet miliard“, dodává Grund.

Dle Jaromíra Nováka nikdo nezpochybňuje, že by mělo být v kompetenci státu mít dozor nad dodavatelským řetězcem. „Poslední analytická zpráva z ukrajinského kyberbezpečnostního úřadu říká, že je to právě vektor útoku prostřednictvím dodavatelského řetězce, který narůstá a způsobuje problémy soukromému sektoru i státní správě,“ uvedl Novák. Zástupci průmyslu kontrovali, že pokud by již měl stát mít takové pravomoci, rozhodování by mělo být politické. Zároveň podle nich operátoři dostatečně reagovali i na doporučení, které NÚKIB vydal – „Problém dodavatelského řetězce na Ukrajině se netýká výrobce zařízení distribuční sítě, ale dodavatelů aplikací v obsluze sítě. Zde výrobce vliv nemá. Většina naších členů již začala na základě doporučení více diverzifikovat své sítě,“ řekl například Jakub Rejzek z VNICTP. To, že diverzifikaci dodavatelů uplatňují i mobilní operátoři, potvrdil také Jiří Grund.

Do diskuse následně vstoupil náměstek ministra pro digitalizaci Ondřej Profant. „Ani půdorys regulace založený na spojenectví nemusí být vyhovující, a proto je potřeba co nejvíce obecná regulace, která nás připraví i na budoucí dosud neznámá rizika. Tak jak vnímáme určité subjekty dnes neznamená, že je takto budeme vnímat i za pět let.“, řekl. Klima, jež provádí diskutovaný zákon bylo navíc dle něj ovlivněno vnějšími historickými vlivy – například poměry na Pražském hradě.

Jak Jakub Rejzek, tak Jiří Grund se shodli, že regulace musí být prosta emocí. Dle obou je potřeba dosáhnout takového stavu, kdy dochází k mitigaci rizik uvnitř nejkritičtější části infrastruktury, nikoliv části přenosové. S čímž ostatně částečně souhlasil i náměstek Ondřej Profant, když prohlásil „Situace musí být odstupňovaná dle kritičnosti, a to se zdůvodněním, jak moc rozsáhlé je další užití daných technologií. Požadavek na vícero dodavatelů je pro větší operátory vhodným řešením, tak aby nemuselo docházet ke generačním obměnám. To ale neznamená, že by NÚKIB neměl hledat systémové řešení, neboť vektor útoku vedený skrze dodavatelský řetězec je čím dál častější realitou a my, jakožto stát, s ním musíme umět pracovat.“

Závěrem položil spoluzakladatel Cyberblogu Ondřej Vanáč otázku, v kterých státech by bylo nejvhodnější hledat inspiraci. Jako inspiraci označili panelisté například Německo (i s poněkud byrokratickým přístupem), nebo Finsko, které postupuje v této regulaci právě tak, že hlídá dodavatelské řetězce v nejkritičtější části sítě, tedy v jádru. Jaromír Novák varoval před vyhrocenou debatou „Z mé zkušenosti práce na Českém telekomunikačním úřadě vidím, že část argumentů sektoru může být vyhrocená, věřím, že na konci dne zde bude mít Česko efektivní a bezpečnou regulaci dodavatelského řetězce.“

Záznam z události naleznete ZDE.

Michael Fanta, redakce Cyberblog
Foto: CyberBlog.cz

0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Kulatý stůl Cyberblog: Mechanismu pro hodnocení dodavatelů z pohledu operátorů