Opravdu nám sítě neřídí Číňané
Jestli mobilní operátoři umějí něco dobře, je to bezpečnost sítí a odolnost proti kybernetickým hrozbám
Ve čtvrtečních Lidových novinách (Je ten vysílač bezpečný? LN 22. 2.) mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) tvrdila, že problém sítí českých mobilních operátorů je, „že všechny vysílače jsou od jednoho dodavatele, který nad nimi drží správu, posílá tam aktualizace, a udržuje je tak v chodu. Pokud to dělat přestane, není to o tom, že nebude fungovat jeden vysílač, ale že nebude fungovat žádný vysílač.“
Kulantně řečeno, to je nepravda. Vyjádření mluvčí mě šokuje o to více, že NÚKIB dokončil v těchto dnech poměrně detailní kontrolu u všech tří mobilních operátorů (všichni samozřejmě prošli na výbornou), kde se úřad mimo jiné na to, jak funguje správa sítě, aktualizace a podobně, podrobně ptal. A samozřejmě dostal naprosto odlišné odpovědi, než co pak prezentovala paní mluvčí do článku v LN.
Pokud stát chce více kontrolovat
Jak je to tedy ve skutečnosti? Představa, že dodavatel nad systémy operátora „drží správu“a posílá aktualizace sám, podobně jako Microsoft posílá různé bezpečnostní záplaty a vylepšení Windows na naše notebooky, nebo jako když se samy aktualizují aplikace na mobilu, je z žánru sci-fi. Sítě jsou úplně jiná liga. Žádný český operátor si nenechá sítě spravovat nějakým outsourcingem. Každý disponuje týmy techniků a bezpečnostních pracovníků, kteří se starají o to, aby vše fungovalo, jak má.
Je pravda, že dodavatelé síťových technologií posílají pravidelně (většinou dvakrát ročně) aktualizace, které vylepšují funkcionality i bezpečnost, ale samozřejmě nemají žádný vzdálený přístup do sítí. Musí je poslat přímo operátorům, kteří nový software pro síťové technologie nejprve analyzují, podrobí několikatýdennímu testování v laboratořích, nasadí do testovacího provozu. A pokud není žádný problém, teprve poté je pustí do ostrého provozu. A to postupně, nikoli do celé sítě najednou. Dokonce T-Mobile má v České republice unikátní vývojové centrum zaměřené na bezpečnost. Zaměstnává v něm stovky špičkových odborníků světového formátu a testuje potenciální zranitelnosti síťových komponent (HW a SW) dokonce
i pro velké nadnárodní zákazníky ze západní Evropy.
Stejně tak neexistuje možnost, že by ohrožení jedné základnové stanice nějak „nakazilo“ty ostatní. Proto požadujeme, aby nový zákon o kybernetické bezpečnosti – pokud už stát chce více kontrolovat naše dodavatele – dopadl jen na ty skutečně nejkritičtější části sítě. V nich se totiž pracuje s informacemi o zákaznících, probíhá směrování provozu, ukládají se šifrovací klíče a podobné citlivé věci.
Stát opravdu nemusí řešit každý vysílač. Jeho případné „ohrožení“pouze v praxi znamená, že vypadne signál pro konkrétní lokalitu, což se bohužel občas stává i z naprosto banálních důvodů, například poruchy, překopnutý kabel či elektrický zkrat. Stejně jako když na vesnici občas vypadne elektrické trafo. Ano, pár desítek lidí je na pár desítek minut či hodin bez proudu, ale není to otázka národní bezpečnosti.
Respektuji, že mobilní operátoři byli v minulosti často z různých důvodů kritizováni. Ale jestli něco umějí skutečně dobře, je to bezpečnost sítí a odolnost proti kybernetickým hrozbám. Členové Asociace provozovatelů mobilních sítí řeší tisíce útoků na svou infrastrukturu denně. To, že nedochází k žádným zásadním a závažným
výpadkům sítě není zázrak, je to jen důkaz toho, že bezpečnost bereme vážně a je to součástí základní DNA našeho byznysu. Protože kdybychom ji vážně nebrali, nemáme co prodávat. Kdo by chtěl být zákazníkem operátora, se kterým se nedovolá?
Stát nemusí řešit každý vysílač. Jeho případné „ohrožení“pouze v praxi znamená, že vypadne signál pro konkrétní lokalitu, což se bohužel občas stává i z naprosto banálních důvodů.
Respekt k naší expertize
Vlastně bychom rádi, aby stát respektoval naši expertizu. Aby vnímal třicet let zkušeností sektoru se zajištěním provozu a bezpečnosti sítě. Aby nastavil regulaci pragmaticky a rozumně. Aby regulace za pět procent nákladů pro soukromý sektor řešila 95 procent rizik, která stát oprávněně vnímá. A aby jakékoli rozhodování o regulaci reflektovalo to, kde jsou skutečné hrozby a kde je potřeba je řešit. Kyberúřadu to říkáme už dva roky. Přesto věřím, že citace paní mluvčí byla jen nešťastným vyjádřením, které se občas stane každému. Kdyby tomu bylo jinak, máme jako země s bezpečností skutečný problém.