Novinky Mediální výstupy

Vážený pane premiére, Národní úřad pro kybernetickou a informační bezpečnost vydal v pondělí varování, podle kterého používání softwaru a hardwaru společnosti Huawei a ZTE je bezpečnostní hrozbou. Vy jste následně odpověděl veřejnosti, že úřad toto varování naprosto nezvládl. A den nato jste pak řekl, že Úřad vlády vyhodí všechny mobilní telefony Huawei.

 

Já se chci ale zeptat, jak ve skutečnosti berete vážně ono varování Národního úřadu pro kybernetickou a informační bezpečnost. A ptám se na to i v té souvislosti, že dnes Senát České republiky přijal usnesení, ve kterém vyzývá všechny ústavní činitele, aby se vší vážností přistupovali k obsahu zpráv vypracovaných bezpečnostními službami a podobnými institucemi v České republice. Já Národní úřad pro kybernetickou a informační bezpečnost za relevantní a vážený úřad beru a chtěl bych tedy vědět, jakým způsobem se ve skutečnosti vláda České republiky s tímto varováním vypořádá.

 

A chci také zdůraznit, ono se to na několika místech objevuje v té samotné zprávě o varování i v dalších výstupech samotného úřadu, že totiž to varování míří nikoli na koncové uživatele mobilních telefonů zmíněných značek, ale z hlediska bezpečnosti státu jde o kritické informační infrastruktury, významné informační systémy a provozovatele základních služeb, přičemž zákon přesně definuje, o jak závažná místa, o jak závažné prvky se jedná, protože je přímo uvedeno, že takovým prvkem kritické infrastruktury se má na mysli bod, který může znamenat dokonce úmrtí 250 lidí, případně jejich ohrožení na zdraví v množství 2 500 a víc. (Upozornění na čas.) Čili je to přesně tímto způsobem definováno.

 

Co vláda s tím varováním ve skutečnosti dělá?

 

Chtěl bych říct, že vláda byla dne 17. 12. 2018, to znamená v pondělí, ze strany ředitele NÚKIBu dodatečně informována o tom, že téhož dne bylo ze strany NÚKIBu vydáno varování podle zákona o kybernetické bezpečnosti před používáním softwaru i hardwaru společnosti Huawei Technologies a ZTE Corporation. A NÚKIB nám řekl, že používání těchto prostředků má představovat bezpečnostní hrozbu, přičemž k tomuto závěru došel NÚKIB na základě vlastních poznatků a poznatků bezpečnostních partnerů. Hlavní problém dle NÚKIBu je spatřován v právním a politickém prostředí Čínské lidové republiky, ve které tyto společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech jejich působení v Číně mimo jiné součinnosti při zpravodajských aktivitách, tudíž pouštět je do systému, které jsou klíčové pro chod státu, může představovat hrozbu. NÚKIB k vydání varování přistoupil i z toho důvodu, že Čínská republika na území České republiky aktivně prosazuje své zájmy včetně provádění zpravodajských aktivit vlivového i jiného charakteru, jak ostatně dokládají výroční zprávy bezpečnostních služeb za rok 2017.

 

My jsme na vládě probírali konsekvence tohoto rozhodnutí, u nichž nám chyběla komplexní právní analýza a stanovení dalšího postupu pro subjekty, které se tímto varováním ze zákona musejí řídit. Měl by být stanoven metodický postup, jak mají například jednotlivá ministerstva jako zadavatelé postupovat podle zákona o veřejných zakázkách. Když jsem se ptal pana ředitele, na základě čeho, a jestli má tedy analýzy různých dopadů, tak je neměl. A v podstatě to dostal za úkol dopracovat místo toho, aby to měl vypracováno dopředu. A samozřejmě přišel na vládu a varování už bylo venku, takže to nebylo ani o nás. My jsme nic nerozhodovali. My jsme to dostali na vědomí.

 

Na zítra jsem svolal v souvislosti s vydáním varování NÚKIBu Bezpečnostní radu státu, protože samozřejmě my jsme dostali informaci o mobilech, teď NÚKIB říká, že to nejsou mobily, že mobily jsou v pořádku, že tam není problém. Takže i ten úřad, nezávislý úřad, nějakým způsobem poskytuje informace a my potřebujeme přesně vědět, aby to i doložil, aby nám ukázal, protože takové rozhodnutí je samozřejmě zásadní. Co se týká Úřadu vlády, tak v rámci provozovaných významných informačních systémů dle zákona o kybernetické bezpečnosti nevyužíváme v interních sítích technologie zmíněných značek a v budoucím výhledu doporučení NÚKIB prý při pořizování nových technologií musíme to určitě zohlednit.

 

To vyjádření NÚKIB vzniklo proto, aby chránil kritickou informační infrastrukturu České republiky, tedy systém, bez nějž by stát nemohl řádně fungovat. Pokud NÚKIB zjistí, že tyto systémy jsou jakýmkoli způsobem ohroženy, musí podle zákona o kybernetické bezpečnosti bezodkladně jednat, takže vydal varování. Bylo to použito poprvé v historii účinnosti zákona o kybernetické bezpečnosti. A NÚKIB varuje, že existuje hrozba. Ale víc jsme se nedozvěděli. Dotkne se to primárně kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb, tedy subjektů, na které dopadl zákon o kybernetické bezpečnosti. Dotkne se primárně kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb, tedy subjektů, na které dopadl zákon o kybernetické bezpečnosti. Správci kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb mají na základě zákona o kybernetické bezpečnosti povinnost reflektovat aktuální hrozby při přijímání bezpečnostních opatření včetně nastavování smluv s dodavateli.

 

Od úřadu jsme se nedozvěděli, jak mají jednotlivá ministerstva postupovat. Varování tudíž samo o sobě žádnou povinnost nikomu nedává, pouze se stává podkladem, na základě kterého subjekty kritické informační infrastruktury, významných informačních systémů a poskytovatelů základních služeb hodnotí rizika, na základě kterého pak musí přijmout přiměřená bezpečnostní opatření. Bezpečnostní opatření definuje vyhláška o kybernetické bezpečnosti. Obecně lze riziko definovat jako možnost či pravděpodobnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu.

 

Otázka zní: Jak se varování projeví u budoucích ICT dodávek? Ty důvody jsem už vzpomněl, o tom jsem mluvil.

 

Já jsem si podrobně pročetl ono varování úřadu, kde vlastně dává i návod na to, jakým způsobem se orgány státní správy k tomu mohou postavit. A říká, že to má přímý dopad na podobu zadávání veřejných zakázek, protože vyřazení těchto společností pak nemůže být hodnoceno jako nezákonně diskriminační. To je jeden z konkrétních bodů, které se tam objevují. A mě v té souvislosti zajímá, protože ten dopad se samozřejmě týká energetických společností, celé řady společností, které nejsou přímo vlastněny státem, tak se chci zeptat, jakým způsobem tohle vláda vyhodnocuje, jak se k tomu postaví a zda už v tuto chvíli sama ministerstva se s oním varováním nějak vypořádala.

 

Já bych jenom dořekl to, že to varování, a úřad už nemluví o mobilech, jak původně mluvil, se týká informačních systémů státu. Aukce ČTÚ na kmitočty 5G, dále na systémy státu, Policie České republiky, ministr vnitra. A úřad nám nedal žádnou analýzu. Úřad nám oznámil riziko bez jakékoli analýzy dopadů i na probíhající soutěže nebo... Takže vlastně my jsme NÚKIB vyzvali, aby to dopracoval. A teď jednotlivá ministerstva samozřejmě analyzují, jakým způsobem mají postupovat, a s ohledem na to, že jsou tam různé nejasnosti a úřad místo toho, aby nás nejdřív obeznámil a předložil nám jeho analýzy, tak vlastně to oznámil, tak z toho důvodu, jelikož vícero kolegů z vlády se ptá, jak mají postupovat, to jsme se nedozvěděli na vládě, tak kvůli tomu to budeme řešit zítra na BRS.