Kdo se má bát?
V tomto týdnu vydal Národní úřad pro kybernetickou a informační bezpečnost varování. [1] Týká se používání zařízení a software společností Huawei a ZTE.
„Používání těchto prostředků představuje bezpečnostní hrozbu" píše se ve varování.
„K vydání tohoto varování nás vedly naše poznatky včetně poznatků z činnosti našich bezpečnostních partnerů a také zjištění našich spojenců. Hlavním problémem je právní a politické prostředí Čínské lidové republiky, ve kterém uvedené společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, a tudíž pouštět je do systémů, které jsou klíčové pro chod státu, může představovat hrozbu,“ říká ředitel NÚKIB Dušan Navrátil.
Koncem týdne došlo k upřesnění.
„Varování nemíří primárně na běžného uživatele"
„Je zejména určeno vybraným subjektům, které provozují informační systémy důležité pro chod státu"
„U lidí, kteří používají mobilní telefon nebo router zmíněných firem k běžnému použití, lze předpokládat obvyklé riziko spojené s používáním jakýchkoli mobilních či síťových zařízení. Z naší strany můžeme pouze doporučit dodržovat zásady bezpečného používání uvedených výrobků a obecná pravidla bezpečného chování v kyberprostoru, která lze nalézt například na stránkách NÚKIB zde: https://nukib.cz/cs/informacni-servis/doporuceni/"
Jak to celé má běžný franta uživatel pochopit? Není to tak snadné jak se zdá. Z veřejných zdrojů je známo, že zakladatel společnosti Huawei v minulosti pracoval pro čínskou armádu. [2][3] Což naznačuje jistou provázanost na konkrétní lidi, případně rozvědku. Samo o sobě to nic neznamená, kamarádi řeknete si. Nicméně z pohledu bezpečnosti to není nic vhodného. Rozvědka z principu plní nějaké cíle a v případě přístupu k takovýmto zařízením nebo software dostává do rukou velmi mocný nástroj. Samozřejmě, důkazy neexistují. Veřejné.
A teď k té naší státní správě, hlídač smluv ukazuje poměrně zajímavé zakázky. Mobilními telefony disponuje policie (krajské ředitelství Jihočeského kraje, policejní prezidium), NAKIT, Ministerstvo vnitra, Ministerstvo práce a sociálních věcí, Ministerstvo pro místní rozvoj, Ministerstvo zdravotnictví, Úřad vlády, Česká správa sociálního zařízení, Hasičský záchranný sbor, FN Brno, Plzeňský dopravní podnik a desítky dalších - většina jsou obce. Nemluvě o zastoupení v populaci. To už je slušný, potenciální, zdroj informací. Co se mi podařilo dohledat tak jen v Plzeňském dopravním podniku používají MDM (Mobile Device Management), takže pokud někdo někomu napadl telefon, ztratil ho nebo se s ním děje něco nestandartního tak s tím ve zbylých organizacích nic nenadělají.
Zajímavou částí je zastoupení společnosti Huawei v zakázkách na notebooky. Ty totiž - řady ProBook a EliteBook obsahují LTE modem zmíněné značky. Kde jsou takové notebooky? Generální ředitelství cel, Česká televize, Český rozhlas, Ministerstvo financí, Ministerstvo životního prostředí, Finančně analytický útvar, Magistrát města Brna, Západočeská univerzita v Plzni, Operátor ICT a další.
To nejlepší jsme si nechal nakonec, jsou to infrastrukturní prvky (routery, switche, firewally, servery anebo diskové pole). Poměrně velké zastoupení najdeme na Ministerstvu spravedlnosti včetně krajských soudů a státních zastupitelství. Dále některé ze jmenovaných prvků najdeme na Správě základních registrů, Správa státních hmotných rezerv, Řízení letového provozu, Policejní prezidium, Ministerstvo vnitra, Ředitelství silnic a dálnic, Hasičský záchranný sbor a další.
Nesmím opomenout Správu pražského hradu, Ti mají poměrně jistě mobilní telefony a dále to co chtějí do určité finanční částky - podle aktuální smlouvy [4] je to milion korun bez daně.
Co k tomu říct? Huawei je v české státní správě zastoupen poměrně široce. Nemluvě o tom, že všichni telekomunikační operátoři využívají jeho zařízení v jejich sítích.
Jen si udělejte analýzu. Můžete danému prvku věřit? Disponuje osvědčeními, prošel nezávislým bezpečnostním auditem? Dokážete zjistit, že nedělá něco co nemá? Až si na všechno tohle odpovíte, rozhodněte se co uděláte.
Jeden takový audit provádí britská HCSEC, v letošní zprávě se píše: „However, Huawei’s processes continue to fall short of industry good practice and make it difficult to provide long term assurance. The lack of progress in remediating these is disappointing." [5]
Osobně bych tento HW/SW nepoužíval už jen protože je zde důvodná pochybnost. Včetně mobilních telefonů. Tvrzení, že běžným uživatelům nic nehrozí je nesmysl. Kdo je běžný uživatel? Takový telefon může být použit například pro získají kompromitujících informací, vstupní brána pro následnou kompromitaci,…