PRÁVNÍ SERVIS | Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) dlouhodobě pracuje s konceptem tzv. důvěryhodného dodavatele. V roce 2022 NÚKIB například vydal „Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice“, v rámci kterého navrhl kritéria, „která mohou přispět k výběru důvěryhodných dodavatelů“. Mezi hlavní kritérium patřilo, v jakém státě má dodavatel sídlo. Jak by procesem posouzení důvěryhodnosti dodavatele prošel Elon Musk, který dle nejnovějších zpráv měl znemožnit útok Ukrajinců na ruskou flotilu na Krymu?
Obdobný koncept posouzení důvěryhodnosti dodavatele navrhuje nyní NÚKIB v novém zákoně o kybernetické bezpečnosti ve formě tzv. mechanismu posuzování bezpečnosti dodavatelského řetězce, v rámci kterého, jak jsem již popisoval v předešlém článku, by NÚKIB mohl soukromým osobám zakázat spolupráci s dodavatelem, kterého shledá za rizikového. Kritéria pro posuzování rizikovosti jsou pak obdobně jako v případě doporučení zejména geopolitická, kdy země původu dodavatele bude hrát rozhodující roli v otázce jeho důvěryhodnosti.
Politika důvěryhodného dodavatele je v rozporu s jinou, v oblasti kybernetické bezpečnosti hojně užívanou politikou, tzv. „zero-trust policy“. Zero trust policy je postavená na jednoduchém principu; „nikdy nedůvěřujte, vždy prověřujte“. Bez ohledu na zařízení, osobu dodavatele, systém nebo umístění, nikomu by nemělo být důvěřováno a vždy by se mělo počítat s nejhorším možným scénářem. Zero trust policy například dlouhodobě podporuje a implementuje společnost Microstoft.
Proč o těchto dvou politikách nyní píšu? Jak sám NÚKIB v rámci přípravy mechanismu uvádí, stát musí chránit svou kritickou infrastrukturu i pro případy těch největších krizí, jako je například válka. Bohužel válka se nyní děje kousek od nás. Nám však dává jedinečnou možnost zhodnotit, jak tyto dvě bezpečnostní politiky v praxi fungují.
Elon Musk vs. Huawei
Mediálním světem zatřásla informace o tom, že Elon Musk prostřednictvím své sítě Starlink zamezil útoku ukrajinských ozbrojených složek na ruskou flotilu u Krymu. V nové biografii, která mimo jiné mapuje roli miliardáře ve válce, o tom píše autor Walter Isaacson. Dle posledních zpráv Elon Musk odmítl v době útoku na ruskou flotilu aktivovat Starlink, „protože kdybych souhlasil, SpaceX by byla přímým spoluviníkem velkého válečného činu a eskalace konfliktu,“ napsal Musk na své síti X.
Například poradce prezidenta Zelenského Mychajlo Podoljak k jednání Elona Muska uvedl: „Tím, že nedovolil ukrajinským dronům zničit část ruské vojenské flotily zásahem #Starlink, @elonmusk umožnil této flotile odpalovat rakety Kalibr na ukrajinská města. V důsledku toho jsou zabíjeni civilisté a děti. To je cena koktejlu ignorance a velkého ega.“
I přesto je však na místě uvést, že Musk prostřednictvím své sítě Starlink dlouhodobě Ukrajině pomáhá.
To stejné lze však říci o čínské společnosti Huawei, před kterou dlouhodobě varuje NÚKIB, a která by na první pohled mohla mít menší zájem na pomoci Ukrajině než americké společnosti Elona Muska. Huawei dle informací od samotných ukrajinských operátorů od počátku války pomáhá udržovat v provozu signál mobilních operátorů i internetové spojení se světem. Dle posledních informací bude ukrajinský operátor Kyivstar obnovovat zničené telekomunikační sítě mimo jiné také na technologiích právě Huawei.
Pokud tyto informace vneseme do světa kybernetické bezpečnosti a otázky důvěryhodnosti jednotlivých dodavatelů, tak v tomto případě se ukrajinští představitelé ocitli v situaci, kdy byli ohledně komunikačních systémů odkázáni na milost nepředvídatelného podnikatele. Elon Musk se pak nebál vystupovat v této pozici výhradního dodavatele na základě svého politického přesvědčení.
Jednoznačně tak potvrdil obavy NÚKIBu, že osoba dodavatele může být relevantní v otázce bezpečnosti. Má to však jeden zřejmý háček. A to ten, že na základě kritérií, které NÚKIB v rámci posuzování důvěryhodnosti dodavatele navrhuje a v minulosti navrhoval, by americké společnosti Elona Muska mechanismem prošly bez jediného zádrhele. A byly by ze strany NÚKIBu v rámci navrhovaného mechanismu s největší pravděpodobností vyhodnoceny jako důvěryhodné.
Přístup zero trust je v tomto případě dle mého názoru jednoznačně vhodnější, kdy poučení z celé situace nemá být, kdo je důvěryhodný a kdo ne, ale takové, že ve světě kybernetické bezpečnosti a bezpečnosti obecně není radno věřit nikomu. O co víc, není radno být na komkoli závislý.
A právě otázku závislosti, dle mého názoru, politika důvěryhodných dodavatelů a na ní postavený mechanismus nijak neřeší. Naopak mechanismus tak, jak je navržen, paradoxně může závislost prohloubit, kdy například pro oblast telekomunikací s ohledem na nízký počet dodavatelů (tři relevantní dodavatelé) může zákaz jednoho znamenat vytvoření závislosti na těch zbylých. Přitom právě závislost na jednom či několika málo dodavatelích může být, jak například dlouhodobě varuje Asociace poskytovatelů mobilních sítí, hrozba sama o sobě.
Jakýkoli stát i jakýkoli dodavatel totiž může velmi rychle změnit svého kormidelníka, a tím i směr své plavby. Ať už je jím Elon Musk, Si Ťin-pching, Robert Fico, Joe Biden nebo Donald Trump. Dlouhodobě budované závislosti se však rychle zbavit nejde.
Poučení, které si lze vzít z energetické krize způsobené závislostí na ruském plynu. Osobně nemyslím, že bylo chybou před válkou na Ukrajině odebírat ruský plyn, který byl v té době pro nás nejvýhodnější a odebírala jej celá Evropa. Zásadní chybou bylo, že jsme neměli k ruskému plynu žádnou alternativu a byli jsme tak na něm závislí.
A právě k zamezení této závislosti na jakékoli technologii a na jakémkoli dodavateli si myslím, že by měla bezpečnostní strategie státu směřovat. Dělení dodavatelů na důvěryhodné či nedůvěryhodné je totiž pouhým střípkem mozaiky zajištění bezpečnosti kritické infrastruktury státu. Střípkem, který naopak sám o sobě může způsobit falešný dojem bezpečnosti.
CHRENEK TOMAN KOTRBA
Autorem článku je Šimon Toman z advokátní kanceláře CHRENEK TOMAN KOTRBA, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblasti kybernetické bezpečnosti.