Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování před výrobky společností Huawei a ZTE, neboť představují bezpečnostní hrozbu. Tématu jsme se v Hospodářských novinách již obsáhle věnovali v několika článcích, ale přesto se neustále opakují ty samé dotazy, jak s touto informací naložit a co pro běžné uživatele vlastně znamená.
Kdybych dostal korunu pokaždé, když se mě někdo zeptá, jestli tedy má rychle koupit jiný telefon, možná bych si mohl nějaký pěkný Huawei mobil koupit… Efektivnější ale bude, když na hlavní otázky odpovím veřejně, přehledně a najednou.
Mám vyhodit svůj mobil, modem nebo jiný výrobek Huawei?
Ne. Ačkoliv se varování vztahuje na všechny výrobky a služby bez ohledu na typ, z pohledu běžného uživatele je v případě spotřební elektroniky nebezpečí minimální. Není pravděpodobné, že by váš mobil, fitness náramek nebo váha v koupelně představovaly ohrožení bezpečnosti, jakkoliv jsou to nejviditelnější produkty s logem Huawei.
Problém je zejména v těch technologiích, které zajišťují telekomunikační a síťovou infrastrukturu. Všichni naši mobilní operátoři používají ve svých sítích technologii Huawei. Řada dalších velkých firem používá servery, síťové prvky, datová úložiště a další podobná zařízení tohoto výrobce. A tam je opatrnost namístě.
Není úplně vhodné, aby mobily Huawei používali ministři, vysocí státní úředníci a lidé, kteří přicházejí do styku s utajovanými a kritickými informacemi. Spíše z hlediska dodržení principu předběžné opatrnosti než z důvodu nějaké bezprostřední hrozby. Ale běžným spotřebitelům realisticky nebezpečí nehrozí.
Je teď dobrý nápad koupit nové zařízení Huawei?
Záleží na vašich prioritách. Pokud bezpečnost není na prvním místě, máte fantastickou příležitost. Je pravděpodobné, že v důsledku současné situace ceny zařízení Huawei klesnou a získáte dobrou nabídku.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekJá osobně bych si telefon od firmy Huawei nekoupil, ale ne kvůli obavám ze špionáže nebo kvůli varování NÚKIB. Bezpečnost je pro mne zásadní prioritou, a proto bych si nekoupil telefon, který není součástí programu Android One, tedy nemá čistý Android a zaručené aktualizace přímo od Google. Absence aktualizací a chyby ve zbytných nástavbách jsou pro běžného uživatele realisticky mnohem větší riziko než backdoory od výrobce.
Google sice údajně zpřísnil podmínky pro vydávání aktualizací, ale 12 updatů za rok v rámci programu Android One je stále citelně lepší než garantované 4 aktualizace za rok u jiných výrobců, navíc bez oficiálního potvrzení, že tato pravidla musejí dodržovat.
Co vlastně znamená varování NÚKIB?
Národní úřad pro kybernetickou a informační bezpečnost je státní organizace, která je národním koordinátorem v oblasti kybernetické bezpečnosti. Jedním z jeho úkolů je také vydávat oficiální varování před aktuálními hrozbami. Vydání varování je formalizovaný proces, jehož hlavním důsledkem je, že se s ním ze zákona musejí vypořádat všichni provozovatelé kritické infrastruktury.
Obavy z čínských výrobců jsou v bezpečnostní komunitě již dlouho a byla vydána řada neformálních varování a vyslovena řada obav. Česká BIS před Huaweiem varovala již v roce 2014. Nicméně formální varování od NÚKIB musí provozovatelé kritické infrastruktury brát v potaz a musejí se s ním nějak vyrovnat, např. tím, že prvky od Huawei nějak dodatečně zabezpečí, přesunou na použití, které není kritické, nebo nahradí jinými.
Přistoupily k podobnému kroku i jiné země?
Ano, v různé míře. V Austrálii, Indii, Kanadě a USA tamní vlády přistoupily k nějaké formě zákazu či omezení, srovnatelné s varováním NÚKIB nebo přísnější. V USA je zakázáno používat federální prostředky k nákupu zboží a služeb od Huaweie a ZTE. Austrálie vyřadila Huawei z důvodu možného ohrožení z tendru na dodávky národní broadbandové sítě, totéž udělala Kanada a další země.
Nejsou současná obvinění jenom součástí obchodní války mezi Čínou a USA, ke které jsme se tímto přidali?
Je nepochybné, že eskalace zájmu o tuto problematiku s Trumpovou obchodní válkou souvisí. Ale za bezpečnostní hrozbu jsou společnosti Huawei a ZTE považovány dlouhodobě. Západní tajné služby na ně upozorňovaly dávno předtím, než se Donald Trump stal prezidentem. Změna rétoriky vůči Číně tak spíše umožnila realizovat opatření, která dříve nebyla politicky průchodná. Rozhodně se nejedná jenom o zástěrku a nástroj obchodní války.
Proč je řeč jenom o firmách Huawei a ZTE? Netýká se tentýž problém i ostatních čínských firem?
Problém se týká všech čínských firem, protože všechny čínské organizace jsou podle tamního práva povinny napomáhat státním bezpečnostním a rozvědným aktivitám. O společnostech Huawei a ZTE se mluví ze dvou důvodů. Tím prvním je, že jsou největší a že dodávají nejenom spotřební elektroniku, ale právě i výše zmíněné páteřní prvky, servery a podobně.
Druhým důvodem je historie firem Huawei a ZTE. Historicky vznikly za podpory čínského státu, jejich zakladateli jsou osvědčené stranické kádry a lze předpokládat, že půjdou za hranice toho, co je naprosto nezbytné.
Ostatní společnosti, jako u nás populární Xiaomi, Lenovo nebo desítky bezejmenných OEM výrobců, se samozřejmě skloní před silou zákona a udělají co budou muset. Nicméně u firem typu Huawei nebo ZTE je pravděpodobné, že půjdou za hranice toho, co zákon vyžaduje, a že státobezpečnostní cíle pro ně budou stejně důležité jako cíle ekonomické.
Čínským výrobcům se fakticky vyhnout nedá. I když si koupíte "americký" iPhone, "korejský" Samsung nebo "finskou" Nokii, stejně budou tato zařízení minimálně částečně vyrobená čínskými firmami.
Full disclosure: Autor tohoto textu používá notebook Lenovo ThinkPad a mobil Xiaomi.
Existují proti firmě Huawei et al nějaké důkazy? Byla podobná podezření někdy prokázána?
Žádné důkazy v tomto smyslu nikdy nebyly zveřejněny. Bylo prokázáno, že se Huawei dopustil v minulosti různých forem průmyslové špionáže, ale nikdy nebyly zveřejněny žádné důkazy o špionáži politické.
A nejspíše ani nikdy nebudou. Takové věci se prostě nedělají.
Požadovat tvrdé důkazy v této oblasti je nemožné; i pokud existují, jejich zveřejnění by udělalo více škody než užitku. Do dnešního dne jsou utajené detaily velké části špionážních operací nejenom z doby studené války, ale i z druhé světové, od jejíhož konce uplynulo více než sedmdesát let.
Je velmi pravděpodobné, že část obvinění proti čínským firmám je nespravedlivých a nepodložených. Stejně tak je ale pravděpodobné, že existují útoky čínských firem, o kterých veřejnost neví. Tak to v tomto oboru prostě chodí, nikdy tomu nebylo jinak, nikdy nebude. Požadovat zveřejnění důkazů je v lepším případě známkou jisté nedospělosti, v horším pak záměrnou manipulací.
Možná je to vůči firmám Huawei a ZTE poněkud nespravedlivé, ale tak to v tomto ohledu prostě chodí. Pokud je vaše firma spjata se státem, má to své výhody. Ale i nevýhody: když onen stát začne podnikat nepřátelské akce proti jiným zemím, nejspíš se to negativně projeví i ve vaší firmě.
Proč se mluví jenom o Číně, když ostatní země dělají to samé?
Protože Čína je ve světově dosti unikátní pozici. Je to světový dodavatel elektroniky a dost dobře se bez ní nelze obejít, jenom málo elektroniky neobsahuje nic, co by nebylo vyrobeno v Číně. Zároveň je to autoritářský režim, kde se o státních rozkazech nediskutuje.
Je pravdou, že prakticky všechny země se snaží získat co největší kontrolu nad kyberprostorem. Spojené státy, Austrálie, UK a další země se s větším či menším úspěchem snaží prosadit zákony, které by jim umožnily maximální kontrolu nad on-line službami a podobně. Nicméně v těchto zemích existuje i účinná opozice, která vytváří protitlak takovým snahám. Něco takového si v Číně představit nelze.
Základní pravidlo je, že pokud plánujete něco citlivého, je nutné při výběru dodavatele hardwaru i služeb brát v potaz i původ dodavatele.
Když mě šmíruje Facebook, Google, Apple, Microsoft a spousta dalších firem, proč bych se měl bát zrovna Číny?
Protože je nutné rozlišovat rozsah a motivy. V případě obav z čínských výrobců se nebavíme o ohrožení konkrétních koncových uživatelů, ale infrastruktury jako takové. Už v úvodu vysvětluji, že telefon vyměňovat nemusíte.
Motivace soukromých firem, jako je Facebook atd., jsou zcela jiné. V konečném důsledku jim jde o peníze. Narušují naše soukromí, protože nám chtějí poskytovat lépe individualizované služby a lépe cílenou reklamu. Není v jejich zájmu nám jakkoliv škodit.
Pro cizí mocnosti to neplatí. Nejde jim o peníze, ale o kontrolu, což je nebezpečí zcela jiného druhu.
Co konkrétně může Huawei nebo ZTE udělat? Čím jsou jejich výrobky nebezpečné?
Jakýkoliv výrobce hardwaru může zásadním způsobem ovlivnit všechno, kde se nachází jejich zařízení. Lze vytvořit nekonečné množství dramatických scénářů a jsme omezeni jenom fantazií a mírou paranoie. Pokud budou na napadenou síť připojené přístroje v nemocnici, mohou umírat lidé. Pokud výrobní linka v chemičce, může dojít k havárii. Pokud kompromitované sítě využívá výrobní linka továrny na hračky, může místo poctivých českých medvídků začít vyrábět čínské pandy.
Víme, že technologii Huawei nebo ZTE používají ve svých sítích T-Mobile, Vodafone i O2. Výrobce může získat kontrolu nad částmi této sítě. Pro inspiraci co by se mohlo stát, můžeme sáhnout ke konkurenci, ke dvojce v oboru, společnosti Ericsson. Začátkem prosince jí kdesi v infrastruktuře vypršel certifikát, což způsobilo rozsáhlé výpadky mobilních sítí jedenácti mobilních operátorů v několika zemích, třeba O2 v UK nebo společnosti SoftBank v Japonsku.
Zde se jednalo o chybu, nicméně téhož by výrobce mohl dosáhnout záměrně. Stejně tak může třeba odposlouchávat komunikaci vybraných uživatelů, číst nebo padělat textové zprávy a podobně, v závislosti na tom, kde se jeho zařízení v síti nachází.
Jak se mohu já jako běžný koncový uživatel chránit?
Možnosti koncového uživatele bránit se jsou extrémně omezené. Žádná obrana proti tomuto typu útoku není prakticky možná. Rozhodně nelze zabránit výpadku služeb. Odposlouchávání či modifikaci komunikace se lze bránit důsledným používáním end-to-end šifrování a podepisování, které nabízejí aplikace typu Signal, ale to je asi tak všechno.
