Posuzovat vhodnost použití 5G infrastruktury v tuzemském prostředí pouze na základě technické vybavenosti, zabezpečení a ceny už nestačí. Shodly se na tom české úřady a instituce v rámci pracovní skupiny „5G aliance“ v čele s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Subjekty implementující prvky 5G sítě – tedy zejména mobilní operátoři – mají nově vzít v úvahu také důvěryhodnost dodavatele.
Společný dokument úřadů (vedle NÚKIB se na jeho vypracování podílelo ještě Ministerstvo zahraničí, Ministerstvo průmyslu a obchodu, Bezpečnostní informační služba, Vojenské zpravodajství a Úřad pro zahraniční styky a informace) má prozatím podobu pouhého doporučení a není tedy pro operátory právně závazný. I tak by k němu ale subjekty zavádějící 5G měly od nynějška přihlížet. Mechanismus prověřování dodavatelů připravuje 5G aliance také jako návrh zákona.
Přísná strategická kritéria
Cílem doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.
„Doporučení poskytuje vodítko zejména pro dodávky do informačních a komunikačních systémů kritické infrastruktury České republiky. Při tvorbě kritérií byl kladen důraz na jejich vyhodnotitelnost a měřitelnost, zároveň se jedná o obecně přijímané bezpečnostní zásady a lze je obdobně aplikovat i v dalších oblastech při zavádění jiných než telekomunikačních technologií,“ říká ředitel NÚKIB Karel Řehka.
Důležitá pasáž doporučení pak poukazuje na nutnost hodnotit rizika nejen z hlediska kybernetické bezpečnosti a technického zabezpečení hardwaru a softwaru, ale i podle toho, z jakého politického prostředí dodavatel pochází – zjednodušeně řečeno, zda je firma z demokratické nebo totalitní země: „Je nezbytné nastavit trend, kdy se důvěra v dodavatele neodvíjí pouze od konečné technické podoby dodávaného řešení, ale reflektuje i strategickou rovinu – tedy podnikatelské, právní a politické prostředí, ve kterém se dodavatel pohybuje,“ dodává Řehka.
Stanoveny byly celkem tři oblasti pro posouzení důvěryhodnosti. Podle strategických kritérií má dodavatel (i jeho případní subdodavatelé) pocházet pouze ze zemí EU nebo zemí, které jsou součástí NATO. Mezi obchodní kritéria navrhovaná doporučením patří například vyhodnocení skutečnosti, zda má dodavatel transparentní vlastnickou strukturu a zda do jeho podnikání nevstupuje státní moc. Třetí oblast technicko-bezpečnostních kritérií pak posuzuje, zda je dodavatel schopen prokázat, že ve svých produktech používá tzv. princip „security by design“ a praktikuje další bezpečnostní pravidla a procesy.
Možným řešením je Open RAN
V současné době se posuzování dodavatelů 5G v Česku děje v souladu s platným zněním zákona o kybernetické bezpečnosti a také s tzv. „5G Toolboxem“, což je evropský dokument stanovující spíše obecnější pravidla pro vyhodnocování rizik – žádné konkrétní firmy z konkrétních zemí z dodávek 5G komponent nevylučuje. Některé evropské země zvolily na národní úrovní přísnější postup a z tendrů rovnou vyloučily například konkrétní čínské dodavatele.
Pilotní projekt „železniční 5G laboratoře“ v Barceloně:
Dodržování nově stanovených doporučení by mimo jiné znamenalo automatické vyloučení největších čínských dodavatelů Huawei a ZTE z 5G tendrů (firmy nepocházejí ze zemí EU/NATO, v jejich domovské zemi vládne totalitní režim, nelze prokázat, že do jejich podnikání nezasahuje stát atd.). Taková eliminace se ale nelíbí některým operátorům (nejen v Česku, ale i v dalších evropských zemích), pro které je zejména Huawei dlouholetým, cenově výhodným partnerem při budování mobilních sítí, hlavně na přístupové radiové vrstvě RAN (vysílače, antény).
Není mnoho firem, které by dokázaly uspokojit poptávku operátorů po RAN vybavení – vedle čínských molochů Huawei a ZTE je to ještě korejský Samsung a tradiční evropští dodavatelé Nokia a Ericsson. Někteří operátoři proto v oblasti 5G začínají prosazovat tzv. Open RAN, tedy řešení od různých menších dodavatelů postavené na open source technologiích a standardech. Nejdál v tomto směru zatím postoupil britský operátor Vodafone, který už část své 5G sítě provozuje na Open RAN technologiích.
Hlavní východisko pro doporučení:
Snižování rizik spojených s dodavateli do 5G sítí pouze technickými prostředky je nedostatečné; hardware i software těchto technologických řešení jsou natolik komplexní, že je nelze efektivně technicky prověřit a eliminovat případné zranitelnosti. Ty v nich tak mohou zůstat dlouhodobě neodhaleny či do nich mohou být později zavedeny, například v rámci aktualizací. Důvěra v dodavatele je v tomto ohledu zásadní. Vliv právního a politického prostředí, ze kterého dodavatel pochází nebo kterým je ovlivňován, má na důvěryhodnost značný význam, a proto je nezbytné jej k zajištění bezpečnosti nejdůležitějších součástí 5G sítí zohlednit.
Zdroj: NÚKIB