Střední a menší poskytovatelé internetu a datových služeb v Česku začali upozorňovat na tvrdé dopady, které podle nich může mít chystaný nový zákon o kybernetické bezpečnosti. Pokud by prošel v současné podobě, znamenal by podle menších providerů hrozbu. „Mnoho poskytovatelů bude čelit závažným výzvám a bude stagnovat, co se týče výstavby a zlepšování sítí. A řada poskytovatelů svá podnikání ukončí,“ hrozí Martin Tuzar z Českého telekomunikačního klastru.
Důvodem obav je v chystaném zákoně navržený mechanismus posuzování rizikových dodavatelů. Ten by Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který zákon připravuje, dal široké pravomoci omezovat či zakazovat z jeho pohledu rizikové dodavatele. Aktuálně jde o čínské firmy Huawei a ZTE, proti kterým vydal stále platné varování.
Zákon dlouhodobě čelí kritice ze strany soukromého i státního sektoru. Tento týden jsme na Lupě měli rozhovor s ředitelem odboru regulace Národního úřadu pro komunikační a informační bezpečnost (NÚKIB) Adamem Kučínským. Ten přípravu zákona obhajuje a mimo jiné říká, že i přes rozpory chce návrh brzy poslat na vládu. Zobecněné zakazování dodavatelů označuje za „wow informaci“, nejenom pro trh je ale klíčová. Mimo jiné z důvodu, že v této hře jde o velké peníze.
Konec investic do sítí
Tři největší operátoři Vodafone, O2 a T-Mobile už dříve prohlásili, že by je výměna čínských prvků v sítích vyšla na 18 miliard korun. K tomu se přidaly desítky středních a menších poskytovatelů konektivity s tím, že za ně by šlo o další miliardy.
Prostřednictvím Českého telekomunikačního klastru se nyní ozvala také PODA, která patří k důležitým provozovatelům s investicemi do optiky. „Pokud by regulace dopadla i na okrajové části sítě, výměna by se týkala asi 80 tisíc prvků. To při konzervativních počtech představuje výdaj 250 milionů korun. To znamená dva roky investic takového poskytovatele,“ říká za Podu Tuzar z telco klastru, jehož je provider členem.
Takto vysoké náklady mají být způsobeny ztrátami již pořízených zařízení včetně těch na skladu, jejichž životnost je často i patnáct let. Dále v tom jsou náklady na pořízení 80 tisíc nových přístrojů nebo náklady na práci a výjezdy techniků. „U nákupu nových prvků je navíc nutné doufat, že bychom tato zařízení vůbec sehnali, protože na trhu často nejsou k dispozici,“ navázal Tuzar.
Velkým problémem má být pro Podu (a další podobné firmy) výrazné sesekání možností investic. Čtvrt miliardy znamená pro Podu investiční kapitál na dva roky. Tyto peníze by místo toho musely být použity na změnu technologie v důsledku regulace.
„NÚKIB projevil značnou neochotu vycházet vstříc středním a menším operátorům a nevyslyšel naše dobře podložené argumenty,“ postěžoval si dále Tuzar. Shrnutí obav této skupiny firem najdete zde, nebo pod článkem.
Omezit pouze na jádro
Velcí i menší telekomunikační a datoví hráči se nyní snaží docílit toho, aby se mechanismus posuzování dodavatelů týkal pouze jádra sítí (core), které je nejvíce citlivé. NÚKIB nicméně nadále tlačí na to, aby zákon obsáhl i okrajové a méně choulostivé části. Vodafone, O2 a T-Mobile uvádějí, že v případě regulace core části sítě by náklady na výměnu šly pouze do stovek milionů.
„Velká trojka“ už je v oblasti core do velké části „China-free“. Vodafone používá kombinaci Ericssonu, Nokie a dalších dodavatelů. Ani T-Mobile dle svých slov čínské prvky nepoužívá a má více dodavatelů. V O2 ještě část jádra sítě na Číně běží, aktuálně ale běží tendr na nového dodavatele. Podle informací Lupy má být na nový core přepnuto nejpozději v roce 2026. „Budeme se řídit i doporučeními NÚKIBu,“ řekl Lupě bezpečnostní ředitel O2 Radek Šichtanc.
Mobilní sítě se dělí na core, přenosovou síť a bezdrátovou část (RAN). Všechny mají své principy fungování a různé vrstvy zabezpečení – třeba u přenosové sítě jde o redundantní kruhovou topologii, aby nedocházelo k výpadkům v případě přerušení některých tras. Zdvojená jsou i datová centra s core částí. Mimo to ještě operátoři mají oddělené sítě na call centra, zákaznické databáze, účetnictví, fakturaci, webové služby, interní fungování, dohled a správu sítě, řízení přístupů, logování a tak dále.
„Pouze nedostupnost telco/network části sítě má přímý dopad na nedostupnost regulovaných služeb pro hlas a data. Tato část sítě musí být zabezpečena všemi požadavky krizového kybernetického zákona. Zahrnutí každého vysílače a každé trafostanice v okrajových částech obce do regulačního mechanismu nedává smysl, protože jejich dočasná nedostupnost je například běžnou součástí údržby a bezpečnost státu tím nikterak ohrožena není. To, co ovlivní všechny zákazníky, je core část sítě,“ argumentoval manažer informační bezpečnosti ve Vodafonu Ladislav Suk.
Zisk před bezpečností?
Operátoři a poskytovatelé sítí jsou na druhé straně barikády někdy obviňováni z toho, že upřednostňují zisk před bezpečností. Zástupci těchto firem jsou zásadně proti. „V žádném případě není nikdy bezpečnost upozaděna vůči generování většího zisku. Bezpečnost je u nás jedním z nejrychleji rostoucích rozpočtů v rámci celé firmy,“ ohradil se Šichtanc.
Rostoucí budget na bezpečnost potvrzují i CETIN, T-Mobile a Vodafone. „I naše představenstvo se do diskuzí ohledně bezpečnosti zapojuje,“ popsal Pavel Rivola, ředitel bezpečnosti v CETINu. „Společnost, která upřednostňuje zisk před bezpečností, si pod sebou podřezává větev,“ navázal Jakub Ludvík, bezpečnostní šéf T-Mobilu.
Omezení konkurence
Prezident Výboru nezávislého ICT průmyslu Jakub Rejzek postup NÚKIBu kritizuje dlouhodobě. Podle něj v případě regulace dodavatelů hrozí, že menší a střední poskytovatelé, které výbor sdružuje, nebudou schopní realizovat objednávky komponent.
„Vyjednávací schopnost menších operátorů vůči dodavatelům často není dostatečná. Zažili jsme to v polovodičové krizi. Od dodavatelů jsme se dozvěděli, že sice jsme vážení zákazníci, ale že dodávky dorazí až poté, co budou uspokojení velcí odběratelé,“ shrnul Rejzek.
Argument toho, že pokud z trhu zmizí čínští hráči, bude výrazně menší konkurence, lze z trhu slýchat dlouhodobě. Zdroje Lupy naznačují, že ústup Huawei by skutečně měl vliv. Když například CETIN soutěžil nového dodavatele bezdrátové části sítě, až do poslední části držel ve hře i Huawei, protože díky tomu mohl srazit cenu výsledného vítěze v podobě Ericssonu. Zafungovaly tedy běžné tržní principy.
„Do budoucna by Ericsson v některých oblastech vůbec neměl alternativu, což se podepíše na ceně a mnoha dalších aspektech,“ popsal jeden ze zdrojů.
Obrušování hran nedůvěry
Soukromý sektor a NÚKIB se postupně snaží sbližovat. Kyberúřad například nedávno uspořádal z obou stran chválené společné cvičení s různými scénáři útoků. „Obrušovaly se hrany. Úřad se učí, jak telekomunikace v praxi vypadají,“ naznačil Rivola z CETINu. A firmy zase mohou zjistit, proč státu připadají některé věci nebezpečné, když z pohledu operátora tak důležité být nemusí. „Je dobré takto budovat důvěru,“ dodává Rivola.
Určitý stav nedůvěry ale přetrvává. „Na NÚKIBu je vidět, jak to může fungovat dobře i nedobře. V oblasti kybernetické bezpečnosti spolupráce funguje dobře. U regulace dodavatelů spolupráce nefunguje vůbec, protože jsme opustili kybernetickou bezpečnost a bavíme se o politice. Kritéria hodnocení dodavatelů vůbec nejsou kybernetická, jde o hodnocení geopolitických souvislostí. To je oblast, kde NÚKIB nemá expertízu, protože se tím formálně ani nemá zabývat a nebyly mu k tomu svěřeny kompetence. Debaty kolem návrhu zákona nebyly dialogem, ale sérií monologů ze strany NÚKIBu. Takový mocenský přístup je fundamentálně špatný, protože nebuduje důvěru, ale zásadně ji podkopává,“ popsal v této otázce vždy hlasitý viceprezident Vodafonu Jan Klouda.
Rivola z CETINu potvrdil, že se při výběrových řízeních zohledňují i geopolitická rizika mající vliv na dodávky. Na Čínu a Huawei jsou uvalovány čipové a další sankce, takže je nutné brát v potaz, zda tyto podniky budou schopny spolehlivě dodávat. „Když to řeknu jednoduše, zda budou mít součástky,“ uvedl Rivola. Huawei se zatím tváří, že je vše v pořádku a na příští rok plánuje vydat technologie pro 5,5G neboli 5G Advanced. Buduje si také vlastní čipový dodavatelský řetězec.
Nový kyberzákon chce obecně mít pod kontrolou komplexní dodavatelský řetězec. Ten i podle operátorů skutečně může být slabou stránkou. Zejména v případě outsourcovaných dodavatelů, kteří ne vždy mají zabezpečené systémy, a útoky tak mohou být vedeny přes ně.
Boj nekončí
Boj o podobu nového kyberzákona nekončí. Návrh musí projít vládou (regulaci je nakloněný poradce pro národní bezpečnost Tomáš Pojar) a poslaneckou sněmovnou (zastáncem tvrdého postupu je předseda bezpečnostního výboru Pavel Žáček), kde se bude ještě hodně debatovat a lobbovat. Roli může sehrát více vlivů včetně tlaku USA na své bezpečnostní, ekonomické a politické spojence.
Je také možné, že průběh tvorby zákona alespoň částečně okopíruje dřívější tvorbu zákona o Vojenském zpravodajství. To také dlouho stálo za svým, až dospělo k tomu, že bez kompromisní dohody s firmami to nepůjde.
Operátoři se také skrze Hospodářskou komoru ČR chystají za premiérem. Z jejich strany jsou nadále ve hře požadavky na miliardové náhrady. „Věřím tomu, že stát je gramotný a že nebude mít důvod pouštět žilou dalšímu segmentu,“ naznačil prezident Asociace provozovatelů mobilních sítí Jiří Grund, že by trh raději stál o dohodu.
Postoj menších a středních operátorů k novému kyberzákonu:
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU