Když Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) před pár lety vydal stále platné bezpečnostní varování proti čínským společnostem Huawei a ZTE, mimo jiné se rozjelo několik trochu zmatených debat.
O varování se často mluvilo v souvislosti s chytrými telefony, i když se týká prvků v částech sítí. Vznikl také mýtus jakéhosi „červeného tlačítka“, kterým údajně soudruzi z dálného východu dokáží vypnout naše nejenom 5G sítě. Také se dodnes zmiňují zadní vrátka (backdoor).
Existenci onoho tlačítka a backdoorů zabudovaných do komunikačních zařízení doposud nikdo přesvědčivě nedoložil. Důkazy chybí, a pokud někde bezpečnostní díra je, často jde o klasický bug, jaké dělají všechny společnosti na světě. Někdy jde prostě o fušeřinu a špatnou podporu, proslavení jsou tím například čínští výrobci bezpečnostních kamer ovládající většinu našeho trhu. Backdoory se také těžko hledají, mohou skrytě vyčkávat na povel, případně být až součástí nějaké softwarové aktualizace.
V posledních měsících se debaty o bezpečných dodavatelích přesunuly spíše k tématu závislosti. Zastánci tvrdšího přístupu si pomáhají například tím, že nás Rusko po invazi na Ukrajinu a následném zavedení sankcí začalo vydírat plynem a ropou, což by Čína v případě konfliktu mohla udělat s technologiemi. Další kolo silných debat lze čekat u procesu přípravy nového zákona o kyberbezpečnosti a integrace směrnice NIS2.
Každopádně se čas od času objeví informace, které přesvědčení o zadních vrátkách a červených tlačítkách posilují. Opět o nich ale nejde mluvit jako o jasném důkazu, byť je jasné, že bezpečák k nim musí přistupovat dostatečně paranoidně.
Neoznačená data tekoucí do Číny
Jeden z případů, který lze zařadit do kategorie podezřelých, popsal Karel Medek ze společnosti T-Mobile, kde působí v rámci sdíleného centra kybernetické bezpečnosti.
Operátor dle jeho slov před několika lety testoval síťová zařízení z Číny, která do zkušební laboratoře poslal mateřský koncern Deutsche Telekom. Síťové zařízení jednou za tři týdny posílalo blok binárních dat „domů“ do Číny. „Z dat nikdo nepoznal, co za data do Číny odcházela. Pravděpodobně šlo o telemetrii, což se děje i u ostatních dodavatelů. Problém byl, že to nebylo uvedeno v dokumentaci,“ popsal Medek Lupě.
T-Mobile uvádí, že šlo o testovaná zařízení od low-endového no-name dodavatele. Ten operátorovi v rámci reakce sdělil, že zřejmě omylem poskytl verzi zařízení, která není určená pro trhy v Evropské unii. Následně dorazila aktualizace, která posílání dat do Číny zamezila. „Jsem přesvědčený, že to nebylo nic proti nám,“ říká Medek.
Samotný český T-Mobile z případu konkrétní závěry nevyvozoval. Operátor poslal report do Deutsche Telekomu, pro který česká firma zařízení testovala. Závěry německé mateřské společnosti nejsou známy.
Medek zmínil také podobný případ týkající se největšího „slona v místnosti“, tedy Huawei. Anti-DDoS zařízení od této společnosti mělo podle Medka v jednom případě otevřený port, kterým tento přístroj v Číně komunikuje s policií. Vyžadují to tamní zákony. Opět mělo jít o omyl v podobě nedeaktivované funkce a nic takového se normálně na náš trh nedodává.
Podchycení v labu je běžné
Právě pečlivé laboratorní testy telekomunikačních zařízení všeho druhu jsou jedním z řady bezpečnostních prvků a procesů, kterými se operátoři snaží své sítě co nejvíce ochránit proti možným rizikům.
„Umím si představit, že se vámi popisovaný případ v testovacím labu odhalí. Ale nedovedu si představit, že by se něco takového dostalo do produkčního prostředí,“ popsal Lupě Tomáš Křešťák, produktový a inovační ředitel pro fixní sítě, ICT a technologie v O2. „Také máme laboratoř a vše se snažíme mít v předprodukčním provozu. Všechny klíčové systémy se takto testují.“
Sítě operátorů jsou podle Křešťáka proti náhodnému odesílání dat zabezpečeny. Procesy a technologie mají být nastaveny tak, že to přináší i komplikace při správě. Když například operátor potřebuje vzdálenou podporu expertů, složitě se na dálku připojují.
Žádné červené tlačítko
Na bájné „červené tlačítko“ nevěří žádný z velkých operátorů. „Pokud existuje, mají ho i Američané, Ericsson, Nokia a další,“ říká viceprezident Vodafonu pro bezpečnost Jan Klouda.
Debata o červeném tlačítku mu přijde jako zbytečné strašení. Riziko je podle jeho slov minimální. Pokud by Čína něco takového měla a využila toho, bylo by to podle Kloudy „vyhlášení technologické války celému světu“, protože čínské technologie se používají všude.
„I kdyby někde v Číně ono červené tlačítko existovalo, máme síť postavenou tak, že by potenciální následky byly zmírněny na tu úroveň, že by nebyly závažné,“ navázal technický ředitel O2 Jan Hruška. „Červené tlačítko neexistuje. Kdyby bylo, máme to pod kontrolou,“ doplnil s tím, že krví to ale nepodepíše.
„Politici očekávají, že existuje dodavatel, který má červené tlačítko, a vedle toho dodavatel, který má jakési modré tlačítko, případně že je větší kamarád než ten s prvním červeným tlačítkem,“ přidal se k diskusi Medek z T-Mobilu. Použití mýtického tlačítko je údajně iluzorní, ale zároveň nic není nemožné. „Implementovat ho lze zpětně pomocí aktualizací.“