Článek
Ministerstvo obrany nařídilo odstranit ze služebních telefonů značky Huawei bezpečnostní aplikaci AirWatch, svým pracovníkům proto rozeslalo podrobný manuál. Informuje o tom dnes server iROZHLAS.cz. Je to první konkrétní opatření, které ministerstvo provedlo v reakci na varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Software americké firmy ministerstvo podle registru smluv používá pro zabezpečení přístupu do interního informačního systému armády.
„Tento krok souvisí s doporučením kybernetického úřadu, na jehož základě nyní Ministerstvo obrany – stejně jako jiné instituce – provádí analýzu rizik s cílem posílit bezpečnost informačních a komunikačních systémů,“ potvrdil serveru mluvčí ministerstva Jan Pejšek.
Z jakého důvodu může software pro správu firemních telefonů v zařízeních Huawei představovat bezpečnostní riziko, neupřesnil. „Analýza rizik ještě není hotová. Takže zatím jediným – a možná dočasným, uvidíme, jak dopadne analýza rizik – konkrétním opatřením je nepoužívání dané aplikace na telefonech Huawei,“ dodal.
Z registru smluv vyplývá, že ministerstvo AirWatch používá například pro zabezpečení přístupu z mobilních telefonů do některých služeb vnitřního informačního systému armády. Jde o software americké firmy VMware, který umožňuje ovládat služební telefony na dálku. Pokud by pracovník zařízení s citlivými daty ztratil, ministerstvo je může na dálku smazat.
Podle Pejška nemá ministerstvo s čínskou společností žádný přímý vztah. Používá ale některé její komponenty, jako jsou mobilní telefony nebo externí modemy, které jim dodal operátor O2. „Přesný počet není veřejnou informací, ale mezi uživatele nepatří nikdo z vrcholného managementu resortu,“ uvedl mluvčí. To, že se v resortu používá „velmi malé množství“ telefonů značky Huawei, zmínil v rozhovoru pro dnešní deník Právo také ministr obrany Lubomír Metnar (za ANO). „Sice se nejedná o vysoký armádní top management, armádní velitele, ale i tak jsme tyto telefony odinstalovali, aby nemohly vstupovat do naší resortní aplikace zvané mobilní kancelář, a to do té doby, než budeme mít zpracovanou analýzu,“ řekl.
NÚKIB před používáním technologií čínských společností Huawei a ZTE varoval loni v prosinci. Hardware a software těchto firem označil za bezpečnostní riziko. Na základě varování úřadu Generální finanční ředitelství vyřadilo Huawei z veřejné zakázky za půl miliardy korun na vybudování portálu Moje daně. Deník Právo v pátek uvedl, že zákaz používání technologií od čínských firem Huawei a ZTE vydalo Ministerstvo zdravotnictví. Firma Huawei se proti varování NÚKIB ohradila, vystoupilo proti němu také čínské velvyslanectví.
Na stížnost Huawei NÚKIB odpoví
Na dopis od čínské firmy Huawei, která v něm požaduje upravit nebo zrušit varování před jejími technologiemi, NÚKIB odpoví. ČTK to v pátek řekl mluvčí úřadu Radek Holý. Úřad podle Holého v současnosti s firmou Huawei komunikuje písemnou formou, na její dopis tak odpoví opět písemně. Odpověď firma požaduje do 14. února.
Huawei oznámila, že je připravena bránit se kvůli varování NÚKIB před jejími technologiemi u soudů i prostřednictvím mezinárodní arbitráže. „Nejedná se o ultimátum, ale zdvořilou žádost, kterou jsme k NÚKIB vznesli,“ sdělil mediální zástupce společnosti. Podle firmy varování NÚKIB porušilo mezinárodní právo, včetně smluv o ochraně investic. Dopady varování NÚKIB podle Filipa Matyse působí Huawei újmy nejen v Česku. „Poškozují také pověst Huawei v zahraničí a před jinými státními orgány. Nejde jen o finanční újmy, ale také dobrou pověst naší společnosti,“ doplnil.
Schillerová: Zadavatel si musí provést analýzu rizik sám a pak nastavit její parametry
Před jednáním kabinetu řekl vicepremiér Richard Brabec (ANO), že vláda nechce tlačit na NÚKIB, aby měnil svá rozhodnutí. Úřad je podle něj nezávislý. Ministryně Schillerová uvedla, že podrobnosti k jednání kabinetu sdělit nemůže, neboť vláda o věci jednala v utajeném režimu. „Ten problém je pořád stejný – NÚKIB vydal varování, vydal metodiku, která je podle mého soudu velmi obecná, a de facto je na každém zadavateli veřejných zakázek, aby posoudil rizika, provedl si vyhodnocení rizik a případně zvážil další postup podle zákona o veřejných zakázkách,“ řekla.
Podle ministryně nejde tolik o to, že by analýzu rizik měly provést jednotlivé resorty, vždy ji musí udělat zadavatel veřejné zakázky. „Máte resort a pak celou řadu resortních organizací, které mají přímou odpovědnost. Konkrétní zadavatel zakázky si musí provést analýzu rizik a podle toho zvolit parametry pro vypsání veřejné zakázky,“ poznamenala.
Ministr spravedlnosti Jan Kněžínek (za ANO) řekl, že jeho úřad bude chtít analýzu rizik ještě konzultovat s NÚKIB. „Obecně platí, že vycházíme z varování, které NÚKIB vydal. Na druhou stranu nechceme a nebudeme někoho automaticky vylučovat z výběrového řízení, pokud to nebude odůvodněno právě výsledkem analýzy,“ uvedl.
Úřad své varování nemusí zdůvodňovat, míní odbornice
NÚKIB je podle partnerky advokátní kanceláře Taylor Wessing CR Karin Pomaizlové povinen podle zákona takové varování vydat, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Varování je přitom nejmírnější z možných opatření, které má úřad k dispozici. Ze zákona neplyne nutnost toto varování odůvodňovat ani zveřejňovat detailní informace o podkladech a informacích, které úřad k tomuto kroku vedly. Operátoři kritické informační infrastruktury musí toto varování zohlednit. „Zohlednění požadavků vyplývajících z bezpečnostních opatření v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži,“ dodala advokátka.