Lucie Nalejvačová, Euroskop, 9.7.2020
Minulý týden se Česká republika přidala k 24 evropským státům, které na svém území využívají síť 5G. Pátá generace bezdrátových systémů má široké využití napříč obory, nejvíce si je ale lidé spojují s internetem věcí a oproti její předchůdkyni s mnohonásobnou přenosovou rychlostí a snížením doby odezvy. Navzdory zjevným výhodám se s 5G sítěmi pojí také závažné hrozby politického, ekonomického, legislativního a etického charakteru. Evropská komise proto vydala soubor nástrojů EU pro bezpečnost 5G. Členské státy se v něm zavázaly postupovat společně na základě zjištěných rizik a přiměřených opatření.
„Skutečná bezpečnostní unie chrání evropské občany, společnosti a kritickou infrastrukturu. 5G bude přelomová technologie; nemůže ale fungovat na úkor bezpečnosti našeho vnitřního trhu. Společný soubor opatření je důležitým krokem v nezbytné společné práci EU na vylepšování ochrany naší kritické infrastruktury,“ prohlásil Margaritis Schinas, místopředseda odpovědný za podporu evropského způsobu života.
Oproti mladším generacím bezdrátových systémů zvyšuje hrozbu sítě 5G komplexnost a decentralizace její infrastruktury. To může zvětšit celkovou útočnou plochu a počet potenciálních vstupních bodů pro útočníky. Nové funkce přináší navíc větší závislost provozovatelů mobilních sítí na dodavatelích třetí strany (dodavatelé mimo Evropskou unii) a jejich roli v dodavatelském řetězci 5G. Na základě reportů členských států Komise klasifikovala jednotlivé povahy hrozeb.
Hrozba | Popis |
Nejedná se o nepřítele/náhodná | Pokud se nejedná o záměr nepřítele, ale jde spíše o nehodu. Hrozbu způsobuje lidská chyba, přírodní katastrofa nebo selhání systému. |
Samostatný hacker | Samostatný hacker je amatérský zločinec, který má finanční motivaci nebo snahu zviditelnit se. |
Hacktivistická skupina | Tento aktér jedná na základě politické agendy. Jeho cílem jsou veřejné útoky, které mu rozšíří dosah propagandy, nebo se snaží poškodit organizaci, proti které vystupuje. |
Skupina organizovaného zločinu | Skupiny organizovaného zločinu jsou motivovány finančními zisky. |
Člověk zevnitř | V kontextu bezpečnosti sítě 5G je hrozbou člověk zevnitř, který pracuje pro operátora nebo dodavatele mobilní sítě. Nasazený člověk může pracovat pro skupinu organizovaného zločinu, hacktivistickou skupinu nebo státního aktéra. Osobní motivy v této kategorii nejsou zahrnuty. |
Státní aktér nebo aktér státem povolaný | Motivace útočníka této kategorie jsou primárně politické. |
Ostatní aktéři: kyberteroristé a právní osoby |
Kyberteroristé jsou motivováni politickými cíli a mají pravděpodobně podobné zdroje jako skupiny organizovaného zločinu. Právnickým osobám by mohlo jít o získání konkurenční výhody v technologické oblasti skrze krádež duševního vlastnictví, krádež citlivých obchodních dat, způsobení škody na pověsti nebo provozní škody svým globálním konkurentům prostřednictvím kybernetických útoků. |
Zdroj: NIS Cooperation Group, EU coordinated risk assessment of the cybersecurity of 5G networks (2019)
Mezi zmíněnými hrozbami mají největší relevanci státní aktéři a aktéři povolaní státem. Komise to vyhodnotila na základě dvou parametrů: odhad jejich schopností (zdrojů) a úmyslů (motivace) provádět útoky proti síťovým infrastrukturám 5G nebo se o ně pokoušet.
Hierarchie odpovědnosti za bezpečnost sítě 5G
Tržní subjekty, které ve státech provozují sítě 5G, jsou ve velké míře odpovědné za její bezpečné zavádění. Jinak řečeno, bezpečnost zajišťují v první řadě operátoři. Zabezpečit své sítě mohou technickými opatřeními (šifrování, autentizace, autorizace, detekce anomálií) nebo opatřeními souvisejícími s procesy (správa zranitelnosti sítě, správa incidentů a reakcí, správa uživatelských oprávnění, plánování obnovy po havárii).
Odpovědnost dále nesou členské státy, jelikož ručí za svou vnitřní bezpečnostní situaci. V globalizovaném světě je ale typické, že se hrozby a rizika přelévají do okolních zemí. V krajním případě by tak jeden útok mohl ohrozit i celou Unii. Proto je pro zachování bezpečné Evropské unie koordinovaný postup při implementaci této sítě klíčový a státy ochotně spolupracují na vytvoření stabilní sítě 5G.
Na unijní úrovni představuje nejvýraznějším dosavadní krok přijetí soubor nástrojů EU pro bezpečnost 5G. Ten se dělí na opatření strategická a technická. Ve strategické rovině Unie zdůrazňuje zajištění bezpečnosti pomocí regulačních pravomocí – legislativy, důvěryhodných dodavatelů třetí strany, udržitelnosti a diverzity dodavatelského a hodnotového řetězce 5G. Mezi technická opatření patří zajištění bezpečnosti sítě. V tomto ohledu jsou potřeba jak základní opatření, tak opatření specifická pro síť 5G. Dále je v rámci techniky nutno dodržovat požadavky týkající se procesů a zařízení dodavatelů a klást důraz na odolnost a kontinuitu.
Problém důvěry v hardwarové zařízení sítě 5G
Značná část souboru opatření EU se zabývá právě důvěrou v dodavatele mobilních sítí. Huawei má napříč Evropskou unií silné zastoupení. Důvěra v telekomunikační soukromou společnost byla ale zpochybněna, když Národní úřad pro kybernetickou bezpečnost (NÚKIB) vydal v roce 2018 varování před používáním softwaru i hardwaru společností Huawei a ZTE.
Eurokomisař Thierry Breton a eurokomisařka Margrethe Vestagerová během tiskové konference při představení souboru nástrojů EU pro bezpečnost 5G. Zdroj: European Commission Audiovisual Service
NÚKIB odhalil, že Čína pomocí nich aktivně prosazuje své zájmy. Využívá k tomu zpravodajských aktivit vlivového a špionážního charakteru. Čínští výrobci jednají v souladu s čínským právem. To jim zároveň pod hrozbou trestní sankce ukládá spolupracovat při shromažďování zpravodajských informací podle čínského zákona o národních zpravodajských službách.
Zatímco se Spojené státy, Kanada, Austrálie, Japonsko a Nový Zéland rozhodly zakázat čínské telekomunikační dodavatele, Evropská unie upřednostnila za účelem zmírnění tohoto rizika zavést vnitrostátní opatření. Při bližším pohledu na trh hardwarových zařízení 5G je nutno podotknout, že globálně Huawei opravdu vlastní nejvíc akcií na trhu. Zbytek tržního podílu zaujímá americké Cisco, švédský Ericsson, finská Nokia, jihokorejský Samsung a již jmenovaný čínský státní podnik ZTE.
Dodavatelé hardwaru 5G | Tržní podíl z roku 2019 | Tržní podíl z roku 2020 |
Huawei | 29 % | 28 % |
Nokia | 16 % | 15 % |
Ericsson | 14 % | 14 % |
ZTE | 10 % | 11 % |
Cisco | 7 % | 6 % |
Zdroj: Dell’Oro (2020)
Tlak kvůli bezpečné 5G síti je na EU vyvíjen také ze strany USA, které kvůli riziku čínského zneužití hrozí snížením sdílení zpravodajských informací s Evropskou unií. To by značně poškodilo spolupráci partnerů v rámci transatlantické aliance. S přihlédnutím na tyto uvedené aspekty se Unie rozhodla soustředit na svou strategickou autonomii a nepodléhat geopolitickému tlaku obou velmocí.
Navzdory hrozbě zůstává EU věrná svým hodnotám
Faktory bránící plošnému nahrazení čínského dodavatele jinými jsou konkurenční cena a údajná lepší kvalita. Navíc by tak došlo ke zpoždění vize o jednotném digitálním trhu EU pomocí sítí 5G. V neposlední řadě ale Evropská unie odmítla následovat ostatní země, které zakázaly čínské dodávky hardwaru 5G, pro svoji snahu o udržování otevřeného a konkurenčního obchodního prostředí plného různých dodavatelů.
Ve výsledku je odpovědí EU na rizika snaha o co největší diverzitu dodavatelů hardwaru 5G na národní i unijní úrovni. Navíc Unie zajišťuje bezpečnost v oblasti 5G právními předpisy EU o telekomunikacích. Směrnice NIS dále právně upravuje bezpečnost sítí a informačních systémů, zároveň předpokládá koordinaci mezi členskými státy v případě přeshraničních rizik a incidentů. Relevanci v této oblasti mají i pravidla ochrany údajů a soukromí.
Na národní úrovni mohou členské státy přijmout různé přístupy k implementaci zabezpečení. Například Francie, kde je Huawei jako dodavatel mobilních operátorů značně využíván, začala od tohoto týdne (6.7.2020) odrazovat od přechodu k čínskému soukromníkovi francouzské provozovatele mobilních sítí. „Mohu říci, že naprostý zákaz tady nebude, ale provozovatele, kteří (zařízení) od Huawei v současnosti nepoužívají, budeme podněcovat, aby k němu nepřecházeli,“ řekl deníku Les Echos ředitel francouzské agentury pro kybernetickou bezpečnost (ANSSI) Guillaume Poupard.
Co se týče síťových prvků v České republice, v Kolíně spolupracuje jediný operátor provozující síť 5G v ČR O2 s Ericssonem, do Prahy síťové prvky dodává Huawei. Po zveřejnění souboru nástrojů EU pro bezpečnost 5G společnost Huawei na dokument reagovala oficiálním vyjádřením. V něm pozitivně hodnotila ambice EU vytvořit jednotný digitální trh a vyjádřila zájem posílit digitální suverenitu bloku a zlepšit transparentnost.
Autor: Lucie Nalejvačová, Euroskop