Oč mimo jiné běží v implementaci NIS2 do českého práva?

Publikováno: 05. 02. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 240x

V posledních dnech se na internetu objevily články zmiňující NÚKIB (např. na info.cz nebo lupa.cz) v souvislosti s prosazováním českého prováděcího zákona k evropské směrnici NIS2.

A to v souvislosti s vyhodnocováním rizik tzv. dodavatelského řetězce. Snahou mobilních operátorů je, aby mohli nadále vše levně nakupovat v Číně. Hrozbou pro ně je, aby na základě hodnocení rizik nemohl NÚKIB zakázat nákupy, u kterých indikuje vysoké nebo dokonce kritické riziko.

Operátoři chtějí, aby o tom rozhodovala vláda. Což je chytře vymyšleno, protože pokud nákup zakáže nezávislý orgán, tak vláda může říci, že to rozhodl nezávislý orgán. Pokud by ale vláda rozhodla, že se nesmí nakupovat telekomunikační zboží z Číny, pak je diplomatická roztržka a do té vláda nepůjde.

Nakupování tohoto zboží v Číně je rizikem, které může být vysoké, nebo třeba i kritické. Obecně je naše závislost na zahraničních výrobcích mobilních telefonů, ale i ostatních telekomunikačních zařízení značná a jsou zde jisté konsekvence, které rozhodně nelze opomenout, protože poškozují naší ekonomiku.

Už u nás ani neexistuje motivace k výuce mobilních sítí. Sami studenti univerzit nevidí, kde by takové znalosti mohli uplatnit. Tím neříkám, že se neučí algoritmy používané na fyzické a linkové vrstvě mezi mobilním telefonem a základnovou stanicí. Avšak to je jen střípek z celého know-how mobilních sítí. Pokud se to na našich univerzitách nevyučuje, pak jen těžko u nás budou vznikat startupy, které by tuto technologii rozvíjely a rostla by naše technologická vyspělost. Takhle budeme v této oblasti jedině zaostávat.

Ano, učíme TCP/IP, takže naši certifikovaní inženýři umí ty boxy z Číny rozbalit z krabic a nakonfigurovat. Samozřejmě, vždyť to využívá TCP/IP! Ve 20. století se země rozdělovaly na rozvinuté a rozvojové. Rozvinuté země vyvíjely technologie a v rozvojových se ony „západní“ technologie pouze využívaly. Kde jsme dnes my a kam směrujeme?

Kromě toho zde jsou nezanedbatelná bezpečnostní rizika spočívající v ovládnutí, případně i vypnutí této infrastruktury skrze backdoory a aktualizace, a s tím spojené nelegální odposlechy, úniky citlivých informací, sledování pohybu osob, jejich chování apod.

Jak je to s odposlechem?
Mobilní sítě jsou navrženy tak, aby byl možný legální odposlech. Zamysleme se nyní nad odposlechem obecně. Při odposlechu sítě je třeba odposlechovou sondu (duplikátor paketů) umístit mezi odesilatele a příjemce, resp. volajícího a volaného. Rozdíl mezi historickými analogovými sítěmi a dnešními paketovými sítěmi spočívá v tom, že při odposlechu datové sítě je možné sondou duplikované pakety přenést na libovolné místo na Zemi.

Útočník má v moci mobilní telefon
Pokud má útočník v moci mobilní telefon, pak může duplikovat pakety ještě před jejich zabezpečením. Dokonce se může dostat i k alternativním komunikačním aplikacím, jako je WhatsApp, které využívají jiné aplikační protokoly, jejich komunikace běží mimo IMS, a tudíž ji lze obtížně legálně odposlouchávat. A pokud útočníkem je výrobce, pak může v rámci upgrade software konkrétnímu účastníkovi velice snadno vložit do jeho telefonu odposlechovou sondu.

Útočník má v moci infrastrukturu
Pokud má útočník ve své moci část infrastruktury, tj. některý ze serverů, přes který běží komunikace, pak se dostane k většímu množství dat. Problém má jen, jak tato data dostat z uzavřené sítě. Pokud má v moci např. i Gateway, pak není o čem mluvit.

A co to takhle zkombinovat se sociální sítí?
Pokud má útočník ve své moci výrobu mobilních telefonů, výrobu součástí, ze kterých se skládají základnové stanice i jednotlivé části Core a navíc to ještě může kombinovat s informacemi prezentovanými účastníkem na sociální síti mající pod svou kontrolou, pak o účastníkovi ví více, než on sám. Pomocí AI stačí informace vyhodnotit a případně využít ve svůj prospěch.

Jelikož znalost architektury mobilních sítí není příliš rozšířená, tak dále následuje zjednodušený popis principu fungování mobilních sítí, aby si laskavý čtenář mohl uvědomit, proč jsou výše popsané hrozby možné.

Mobilní sítě
Mobilní sítě 4G/5G využívají komunikaci TCP/IP (za využití specializované fyzické a linkové vrstvy mezi mobilem a základnovou stanicí). Know-how mobilní je ale v aplikacích, které řídí komunikaci. V 4G se nazývají entitami, které mají standardizované rozhraní. 5G přichází s webovými službami (web services), které jsou rovněž standardizovány.

Často se setkávám s názorem, že pokud mobilní sítě využívají TCP/IP, pak je to jednoduché, protože znalost TCP/IP je velmi rozšířená. Spodní síťové vrstvy stačí nakonfigurovat a vše je hotovo. Jenže know-how není jen ve spodních síťových vrstvách, ale v aplikačních vrstvách a zejména v aplikačních datech.

Zatímco při komunikaci na internetu většinou komunikuje člověk s aplikacemi, které jsou server od serveru různě, tak v mobilních sítích (obdobně v IoT či smart grids atp.) komunikují mezi sebou entity, služby atp. Takže standardy 3GPP kromě specifikace parametrů aplikačních protokolů (např. SIP, RTP/RTCP apod.) specifikují zejména formáty aplikačních dat.

Aplikační data jsou ve své podstatě jako vrstvou nad aplikační vrstvou. A v tom a zejména v architektuře sítí je know-how popsané v tisících strnách volně dostupných standardů 3GPP.

Standardizaci provádí konsorcium 3GPP, které je schopné vydávat standardy svižněji než ITU nebo ETSI. Jak již bylo řečeno, standardy 3GPP jsou volně dostupné, jako např. standardy RFC standardizující TCP/IP.

Pro pochopení rizik mobilní sítě si musíme nejprve napsat, co mobilní sítí rozumíme. 3GPP totiž používá termín 3GPP síť pro několik typů síti. To, že tyto sítě jako stavební kámen využívají TCP/IP je samozřejmostí.

Zastavíme se u následujících 3GPP sítí: mobilní sítě, IMS a zmínka bude i o síti IPX.

Mobilní síť a její jádro
V současné době se využívají sítě 4G a 5G. Sítě 2G (tj. GSM) jsou opuštěny a sítě 3G byly jen pomíjivou epizodou.

Na počátku je třeba zdůraznit, že 4G a 5G sítě svým účastníkům umožňují pouze IP konektivitu (obdobně jako poskytovatelé internetu). Z pohledu laika se tedy mobilní síť jeví jako „wifi“ pro rozsáhlé území. Multimediální relace („hovory“) jsou zajišťovány IMS využívajícím tuto IP konektivitu.

Mobilní sítě 4G/5G jsou tvořeny základnovými stanicemi (eNodeB/gNodeB) síťově propojenými s jádrem sítě (4G/5G Core). Sama mobilní síť využívá TCP/IP, avšak účastníkovy IP datagramy jsou tunelovány tunelovacím protokolem, který odděluje komunikaci samotné mobilní sítě od přenosu účastníkových IP datagramů.

Core zajišťuje funkčnost mobilní sítě: od registrace (autentizace) účastníků v síti, jejich předávání mezi základovými stranicemi až po vytváření tunelů (zde nazývaných nosič – bearer) pro přenos účastníkových IP datagramů do/z internetu, vytváření nosičů s garantovanou šíří pásma pro multimediální relace („hovory“) atd.

Na rozhraní mezi Core a dalšími datovými sítěmi je Gateway. Ve 4G se nazývá PGW (Packet Gateway) a její rozhraní se nazývají APN (Access Point Name). V 5G je nejenom její obdobou UPF (User Plane Function) a její rozhraní se nazývají DNN (Data Network Name).

IPX
IPX (IP Packet Exchange) je globální síťová infrastruktura která poskytuje bezpečné a kvalitní IP propojení mezi různými poskytovateli telekomunikačních služeb, jako je roaming, hlasové volání, zasílání zpráv a datové služby s garantovanou kvalitou služeb (QoS).

IPX je paralelní sítí k internetu se kterým není propojená. Tvoří ji opět poskytovatelé IPX (obdobně jako poskytovatelé internetu), má své kořenové DNS servery, avšak DNS jména mají standardizován tvar. IPX je považována za bezpečnou a spolehlivou alternativu k internetu.

IMS
IP Multimedia Subsystem (IMS) slouží k poskytování multimediálních komunikačních služeb, jako jsou hlasové hovory, video hovory a textové zprávy, přes IP sítě. Dnes IMS nevyužívají jen 4G a 5G sítě, ale i pevné sítě.

Relace se navazují aplikačním protokolem SIP a relace samotné se přenáší protokoly RTP/RTCP obdobně jako tomu kdysi bylo na internetu, kdy se tato komunikace označovala jako Voice over IP (VoIP). Ve spojení s 4G sítěmi se tato komunikace označuje jako VoLTE (Voice over LTE). Ve spojení s 5G sítěmi se označuje jako VoNR (Voice over New Radio).

Velimi zjednodušeně lze říci, že jádrem IMS je soustava SIP proxy a SIP B2UA entit.

Legální odposlech
Mobilní síť je navržena tak, aby komunikace byla zabezpečena mezi mobilním zařízením a hranou sítě, tj. v jádře sítě není komunikace zabezpečena, takže je ji je možné odposlouchávat.

Legální odposlech je vymezen § 88 a 88a zákona 141/1961 Sb., trestní řád. § 88 specifikuje, za jakých okolností se může provádět odposlech a § 88a pak specifikuje, za jakých okolností se mohou zjistit „údaje o telekomunikačním provozu, které jsou předmětem telekomunikačního tajemství anebo na něž se vztahuje ochrana osobních a zprostředkovacích dat“.

Legální odposlech je specifikován standardy 3GPP TS 33.126 a 3GPP TS 33.127. Monitorovací centrum pomocí rozhraní HI1 až HI3 (Handover Interface) komunikuje s mobilním operátorem. Rozhraním HI1 Monitorovací centrum zadává požadavky, rozhraním HI2 získává požadované in-formace o telekomunikačním provozu a rozhraním HI3 pak získává data (médium), tj. např. obsah hovorů, IP provoz, SMS atp.

Operátor pro tyto účely provozuje Management server, který transformuje komunikaci rozhraní HI1 až HI3 na interní rozhraní X1 až X3. Management server se skládá ze tří entit:

  • Administrativní funkce – tato entita převádí požadavky Monitorovacího centra na jednotlivé dílčí požadavky.
  • Poskytování 1 – tato entita poskytuje informace o telekomunikačním provozu a předává je Monitorovacímu centru.
  • Poskytování 2 – tato entita poskytuje vlastní data a předává je Monitorovacímu centru. Tj. poskytuje odposlechnuté relace nebo IP provoz.
Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
DOSTÁLEK, Libor. Oč mimo jiné běží v implementaci NIS2 do českého práva?. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/oc-mimo-jine-bezi-v-implementaci-nis2-do-ceskeho-prava/. [cit. 2025-03-26].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Používáte funkci Mimo kancelář?
  2. Ochrání nás behaviorální analýza sítě před APT?
  3. NIX.CZ nakonfiguroval bezpečnou VLAN
  4. Wi-Fi: zabezpečujeme domácí bezdrátovou síť – 2. díl


K článku “Oč mimo jiné běží v implementaci NIS2 do českého práva?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Libor Dostálek

Autor rozsáhlých publikací o protokolech TCP/IP, systému DNS, infrastruktury PKI a bezpečnosti mobilních sítí.

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.