Národní úřad pro kybernetickou a informační bezpečnost počátkem roku vydal Metodiku k varování ze dne 17. prosince 2018, která se podrobněji věnuje především tomu, jak by se měli zachovat správci kritických systémů a širší veřejnost, tedy i mobilní operátoři, státní úřady, záchranné složky, energetika atp. Úřad opakuje, že se varování týká především jich, nikoliv řadových uživatelů a jejich mobilních telefonů. Pro ně doporučuje dodržovat obecná bezpečnostní pravidla.
Podle metodiky mají tyto instituce prověřit zabezpečení svých systémů a provést novou analýzu rizik spojených s technologiemi Huawei a ZTE.
Plné znění metodiky NÚKIB k aktuální kauze:
V kapitole 4.2 NÚKIB píše, že jedním z opatření může být například postupná náhrada daných technických a programových prostředků (Huawei a ZTE) a jejich vyloučení z budoucích výběrových řízení. Rizikovost Huawei mají dotčené instituce zohlednit při zadávání zakázek i podle posledního jednání vlády, které se řídí doporučeními NÚKIB. Stále nejde o zákaz, ale v řadě případů tak poslouží, protože existuje riziko, že zákaz někdy v budoucnu přijde, u firem tedy klesne ochota investovat do technologií Huawei.
Potenciální hrozby pro kritickou informační infrastrukturu podle NÚKIB
V kapitole 4.3 experti z NÚKIB nabízejí možné příklady obecných hrozeb ve všech dotčených patrech počínaje telekomunikacemi, serverovou infrastrukturou a konče koncovými zařízeními. V tomto případě hrozí jak zaznamenávání hovorů a lokalizace uživatelů, tak přístup k veškerým datům, odepření služby a na koncových zařízeních třeba pořizování záznamů.
NÚKIB v souladu se zákonem o kybernetické bezpečnosti může provádět bezpečnostní audity, varovat před podobnými riziky a nakonec informovat premiéra.
Vysvětlení, jak varování o bezpečnostním riziku vzniklo, jsme se opět nedočkali. Na naše dotazy z prosince úřad dodnes nezareagoval, v nově vydaném dokumentu jen opakuje obecné informace o tom, že varování vzejde z vlastní činnosti, z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí.