Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provedl průzkum, jehož cílem bylo zjistit rozsah používání těchto technologií mezi povinnými orgány a osobami spadajícími do působnosti zákona o kybernetické bezpečnosti a vliv varování ze 17. prosince 2018 na změnu hodnoty rizik u těchto technologií podle vyhlášky o kybernetické bezpečnosti.

V rámci průzkumu bylo osloveno celkem 126 organizací spadajících pod zákon o kybernetické bezpečnosti a bylo vyhodnoceno 472 systémů kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systému základních služeb (ISZS). Z celkového počtu 126 oslovených organizací jich 75 uvedlo, že zařízení výše uvedených společností nepoužívá, 49 je používá a dvě ještě nedodaly požadované podklady.

Snížení rizika na akceptovatelnou úroveň

Po vydání varování dne 17. prosince 2018 byly subjekty spadající pod zákon o kybernetické bezpečnosti povinny aktualizovat analýzu rizik a přehodnotit hodnotu rizika u dotčených zařízení. Pokud upravená hodnota rizika nepřesáhla akceptační hranici, pak nebylo nutné zavádět dodatečná bezpečnostní opatření a bylo možné riziko akceptovat. Pokud hodnota rizika přesáhla hranici akceptace, je organizace povinna zavést bezpečnostní opatření a snížit tak hodnotu rizika na akceptovatelnou úroveň.

Technické a programové prostředky výše uvedených společností byly hodnoceny z pohledu rizikovosti na škále nízká, střední, vysoká, kritická.

Poměr zařízení společnosti Huawei, ZTE a jejich dceřiných společností z pohledu rizikovosti před vydáním varování, po jeho vydání a po následném zavedení bezpečnostních opatření udává následující tabulka:

Ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy, přijímají opatření ke snížení rizika

Bezpečnostní opatření mohou být různá, jak technického tak organizačního charakteru. Obecně všechna bezpečnostní opatření směřují k snížení či eliminaci rizika a zajištění požadované úrovně dostupnosti, důvěrnosti a integrity informačního nebo komunikačního systému.

Bezpečnostní opatření jsou různá

Za nejefektivnější opatření lze označit vyvarování se rizikových aktivit nebo vyloučení rizikových prostředků. Existují i další bezpečnostní opatření, jako příklady lze uvést šifrování, zavedení přísnější fyzické bezpečnosti, logování změn, redundanci, pořizování záloh, apod. Jejich použití a účinnost je potřeba řešit případ od případu na základě konkrétních systémů a dané situace.

Analýzy rizik jsou povinné pro všechny správce a provozovatele systémů, které spadají pod zákon o kybernetické bezpečnosti. Jde o systémy nezbytné či významné pro chod státu a poskytování základních služeb občanům bez ohledu na to, zda je jejich provozovatel ze soukromého nebo státního sektoru. Aktualizaci analýz si vyžádalo zmíněné varování NÚKIB z konce loňského roku.

Stanovisko Huawei:
"Shledáváme, že nyní je přístup ze strany Národního úřadu pro informační a kybebernetickou bezpečnost (NÚKIB) pragmatičtější a více konstruktivní, a věříme, že je to počátek vzájemné spolupráce. Společnost Huawei je jedním ze světových lídrů v oboru a má značné zkušenosti v oblasti řešení kybernetické bezpečnosti. Jsme přesvědčeni, že můžeme přispět ke zvýšení bezpečnosti v kyberprostoru. Toho však není možné dosáhnout prostřednictvím hodnocení jediného dodavatele z celého odvětví - naopak, je třeba intenzivní spolupráce všech aktérů, včetně NÚKIB, dodavatelů a provozovatelů sítí. Společnost Huawei může poskytnout zázemí a znalosti, které Českou republiku podpoří v úsilí zajistit co nejvyšší úroveň kybernetické bezpečnosti,” říká tiskový mluvčí Huawei Pavel Košek.