V srpnu 2023 na serveru lupa.cz, zaměřeném na internet a informační technologie, vyšel článek s názvem “Pardubický kraj si postavil síť na technologiích od Huawei a zkouší to utajit”, naznačující, že v Regionální datové síti Pardubického kraje jsou použity prvky společnosti Huawei, která těsně spolupracuje s vládou komunistické Číny.

Autor článku se pokusil získat informace od Pardubického kraje, ale obdržel odmítnutí s odůvodněním týkajícím se kybernetické bezpečnosti. Následně jsem se jako zastupitel Pardubického kraje obrátil na oddělení informatiky s žádostí o informace o použití prvků od Huawei. Bohužel, v zákonem stanoveném termínu jsem neobdržel oficiální odpověď nebo odmítnutí - pouze ústní odmítnutí poskytnutí informací na osobní schůzce s vedoucím oddělení informatiky a odmítnutí informovat Výbor pro informatiku, e-Government a digitalizaci na schůzi výboru.

Po projednání tohoto případu 7. září 2023 na své schůzi krajský IT výbor přijal následující usnesení:

Výbor pro informatiku, e-Government a digitalizaci Zastupitelstva Pardubického kraje:

Vyjadřuje znepokojení v souvislosti s neověřenou mediální zprávou o možné přítomnosti prvků čínské společnosti HUAWEI, která spolupracuje s vládou Čínské lidové republiky, v síťové infrastruktuře kraje.

Žádá Krajský výbor pro řízení kybernetické bezpečnosti, aby v budoucnosti při posuzování bezpečnostních rizik zohledňoval aktuální hrozby a zranitelnosti, které jsou zveřejňovány Národním úřadem pro kybernetickou a informační bezpečnost, a zabránil nákupu a nasazení rizikových prvků.

Žádá Oddělení informatiky Kanceláře ředitele Krajského úřadu, aby v případě, že by v síťové infrastruktuře kraje skutečně existovaly prvky označené NÚKIB jako hrozba pro kybernetickou bezpečnost, přijalo adekvátní opatření a v případě nutnosti zvažovalo jejich možnou náhradu.

Mé osobní závěry z této kauzy jsou následující:

• Na základě sekundárních dat - profil dodavatele, cena veřejné zakázky, režim přísného utajení, argumentace oddělení informatiky a dalších, si dovolím tvrdit, že prvky společnosti Huawei v regionální datové síti jsou a nejnebezpečnější potenciální útočník je o tom (na rozdíl od krajské samosprávy), dobře informovaný.
• Krajský výbor pro řízení kybernetické bezpečnosti udělal chybu, protože v situaci, kdy vzhledem k existenci kvalitních a bezpečných alternativ místo toho, aby vyloučil z výběrového řízení technologii představující dle NÚKIB bezpečnostní hrozbu, rozhodoval o úrovní hrozby a její přijatelnosti (jo, je to legitimní postup, ale ke skutečné bezpečnosti nepřispívá). Což, vzhledem k minoritnímu zastoupení odborníků na informační technologii ve výboru, se dalo čekat.
• Pardubický kraj by se měl při první možnosti zbavit všech rizikových síťových prvků a v budoucnosti se vyvarovat jejich pořizování.

Pokud jde o utajování informací, mám dojem, že se zde uplatňuje koncept “Security through obscurity,” což spočívá v ochraně systému nebo aplikace skrze utajení konkrétních detailů a informací. Tento přístup často zahrnuje skrývání důležitých informací, jako jsou dodavatel technologie, algoritmy šifrování, konfigurace systému a další bezpečnostní aspekty, s nadějí, že útočníci, pokud neznají tyto detaily, nebudou schopni nalézt způsob, jakým by mohli systém napadnout.

Avšak v současné době se “security through obscurity” nepovažuje za vhodný bezpečnostní postup, protože vytváří pouze klamný pocit bezpečnosti. Spoléhání na utajení může vést k opomíjení důležitých bezpečnostních opatření a reálných hrozeb. V našem konkrétním případě je utajování informací zcela zbytečné, neboť seriózní útočník, zejména pokud má nějaké indicie, dokáže identifikovat použitou technologii a její zranitelnosti téměř okamžitě. A útočník, který představuje skutečné nebezpečí, nemusí vůbec prozkoumávat tyto detaily, neboť již ví, komu byl daný zranitelný systém dodán.

V oblasti bezpečnosti se obecně doporučuje používat osvědčené bezpečnostní postupy a mechanismy, které jsou důkladně zdokumentovány, testovány a ověřeny, a to bez ohledu na to, zda jsou veřejně známé. Bezpečnost by měla být postavena na silných, ověřených metodách a postupech, nikoli na tajemství a skrývání informací.

Na závěr, pro lepší uvědomění rizikového stavu, ve kterém se nachází Pardubický kraj, přidám pár citací:

Výroční zpráva Bezpečnostní informační služby za rok 2021:

Čína se v posledních několika letech také zařadila mezi nejaktivnější aktéry na poli kybernetických útoků. Zvýšilo se nejen jejich množství, ale zejména jejich závažnost a sofistikovanost. Zpravidla se totiž jedná o velmi technicky pokročilé, dlouhodobé a především skryté a těžko odhalitelné kyberšpionážní aktivity, jejichž důsledky mohou mít dopad na chod zasažených organizací i několik následujících let od odhalení. Celosvětové pronikání čínských technologií do důležitých sítí státní infrastruktury nebo vzestup čínských technologií internetu věcí lze v kombinaci s masivním sledováním internetu hodnotit jako zásadní bezpečnostní hrozbu.

Varování NÚKIB před používáním softwaru i hardwaru společností HUAWEI:

Národní úřad pro kybernetickou a informační bezpečnost, se sídlem Mučednická 1125/31, 616 00 Brno, podle § 12 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů vydává toto

varování:

Použití technických nebo programových prostředků následujících společností, včetně jejich dceřiných společností, představuje hrozbu v oblasti kybernetické bezpečnosti:

- Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika
- ZTE Corporation, Šen-čen, Čínská lidová republika