Eva doporučuje, NÚKIB varuje a Andrej už jedná
NÚKIB varuje před produkty Huawei a ZTE. Existuje totiž vážná obava, že by produkty těchto společností mohly obsahovat backdoory, kterých by mohlo být vzdáleně zneužito a ve výsledku by mohlo dojít k ohrožení bezpečnosti a poškození zájmů ČR.
To, že NÚKIB varuje, je naprosto v pořádku, je však otázka, zda to varování nemělo přijít už mnohem dříve a být mnohem konkrétnější. NÚKIB ve svém odůvodnění totiž uvádí, že:
- produkty těchto společností představují hrozbu, ale jak vážnou? Ve VoKB je hodnotící matice, proč nebyla použita?
- varování vydává na základě poznatků a zjištění, že ČLR aktivně prosazuje své zájmy a provádí špionáž. Ano, ale které další země z hlavních producentů informačních technologií aktivně nehájí své zájmy a špionáž neprovádí?
- poznatky bezpečnostní komunity vytváří důvodné obavy z existence potenciálních rizik. Proč nejsou místo obecné proklamace uvedeny nějaké odkazy? Ideálně rovnou CVE anebo nějaký jiný důvěryhodný zdroj.
- používání produktů může mít zásadní dopad na bezpečnost ČR a její zájmy. Ve VoKB je hodnotící matice, proč nebyla použita?
- míra rizika je nezanedbatelná. Takže jaká vlastně je, střední, vysoká nebo kritická? Ve VoKB je hodnotící matice, proč nebyla použita?
- je nutné zohlednit tuto skutečnost při výběru dodavatele a požadavky zahrnout do smlouvy. Tohle je velice ošemetný bod, protože NÚKIB jen uvádí, že by se tato skutečnost měla zohlednit. Jaké konkrétní požadavky? Co by v té smlouvě mělo být uvedeno?
Zatímco někdo si varování NÚKIB může vyložit tak, že by se produkty od těchto dodavatelů neměly odebírat vůbec, jiný zas, že stačí zavést opatření ve formě důkladného bezpečnostního testu daného produktu a případně dalších opatření. Ale co stávající produkty?
Takže co přesně NÚKIB chce po správcích systémů, které spadají do kritické informační infrastruktury, významných informačních systémů nebo provozovatelů základních služeb není úplně zřejmé.
Pokud se najde kritická zranitelnost systému a je jedno, zda ji tam někdo zanesl úmyslně (legal backdoor) nebo neúmyslně, je potřeba zranitelnost detailně popsat, aby bylo jasné, jaká opatření přijmout k eliminaci možné exploitace zařízení či systému. Představa, že výsledkem penetračního testu bude doporučení: „vyměňte dodavatele a systém“, je hodně úsměvná.
Důležité je, že NÚKIB, který byl okolnostmi donucen takovéto prohlášení vydat, se zachoval celkem rozumně, když vydal jen varování dle § 12, nikoliv reaktivní nebo ochranné opatření dle § 13. A doufejme, že při tom i zůstane, protože nařizovat bez řádného zdůvodnění a důkazů tržním subjektům, čí produkty nesmí používat, by asi nebyla úplně ta nejlepší cesta.
A koneckonců, proč zrovna jen Huawei a ZTE a ne rovnou veškerý HW vyráběný v Číně a možná i v USA, tedy pokud připustíme, že i oni provádí špionáž i v rámci EU. Popravdě řečeno mohli bychom jmenovat i další země, které se svými high-tech firmami spolupracují, což není překvapující. No, moc nám toho potom nezbude.
Mimochodem, teď jsem provedl zevrubnou analýzu toho telefonu a ona tam ta díra opravdu je, a nejde přehlédnout, je přímo na displeji. Ty slogany jsou fakt boží. Nejvíce se mi líbí: telefon s dírou, bez limitů, odemkni svůj svět, čas zazářit a přiznej barvu.
ČERMÁK, Miroslav, 2018. Eva doporučuje, NÚKIB varuje a Andrej už jedná. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/eva-doporucuje-nukib-varuje-a-andrej-uz-jedna/. [citováno 08.12.2024].
K článku “Eva doporučuje, NÚKIB varuje a Andrej už jedná” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Jiný přístup BSI na základě stejných informací, jak to doopravdy je??
Německo má být podle německých médií (viz online mutace Der Spiegel) pod tlakem USA, aby Huawei vyloučilo z důležitých zakázek. Bez důkazů se ale Schönbohmův úřad odmítá podílet na současných doporučeních technologie Huawei vyřazovat z nových projektů (jako je budování 5G sítě), nebo dokonce úplně vykazovat z telekomunikační infrastruktury operátorů. „Pro tak vážné rozhodnutí jako je zákaz jejich technologií potřebujete skutečný důkaz,“ říká Schönbohm.
https://www.lupa.cz/aktuality/sef-nemecke-sbi-proto-abychom-mohli-huawei-zakazat-chybi-dukazy-o-spionazi/