Dovolte prosím, abych touto cestou zareagoval na dotazník zaslaný nám pod Č. j.: 5413/2022-NÚKIB-E/310.
Rádi bychom vyplnili dotazník i s některými našimi velkými členy, ale nejsme s to určit, které části sítě elektronických komunikací se dotazy dotýkají. Pokud máme odpovídat zodpovědně na všechny otázky - ať už relevantní technicky, či relevantní k odběratelsko-dodavatelských vztazích, budeme potřebovat podrobněji zadané otázky.
Jsme toho názoru, že dotazník by měl být upřesněn a rozeslán ještě jednou, a to i subjektům na trhu, kteří se s velkou pravděpodobností stanou regulovanými subjekty ať už v důsledku změn v národní legislativě, či v důsledku transpozice připravované evropské regulace NIS2.
K jednotlivým otázkám:
Otázka 2.3: Naplňujete nebo je pravděpodobné, že v budoucnosti naplníte Vy, Vaše systémy či Vámi poskytovaná plnění některou z definic uvedených v části 4 průvodního dokumentu? Pokud ano, uveďte, prosím, jaké definice naplňujete a co nejpodrobněji tuto skutečnost popište.
Problém je, že NÚKIB i přes žádosti (např. APMS) neposkytl žádné vysvětlení definic, takže je jen velmi obtížné na tuto otázku odpovědět. Pro upřesnění, toto je relevantní připomínka APMS:
15.1. V podkapitole 4.2 návrhu Mechanismu se uvádí, že součástí systému podléhající Mechanismu mají být „technická aktiva“, tedy „technické vybavení, komunikační prostředky a programové vybavení, na jejichž správném a spolehlivém fungování je závislé připojení kritické informační infrastruktury k síti elektronických komunikací“. Dále se v téže podkapitole rozvádí, že „[P]ředmětem prověřování Mechanismem jsou […] všechna technická aktiva, na nichž je připojení [kritické infrastruktury] závislé z pohledu inherentních rizik“. Považujeme takové vysvětlení za zcela nedostatečné (i) protože pojem „připojení kritické infrastruktury“ může zahrnovat prakticky jakýkoli prvek a návrh Mechanismu nepracuje se skutečnou logikou architektury sítí elektronických komunikací, ale pouze s obecným prohlášením, pro něž není legislativní ani jiné opory, a dále (ii) protože neposkytuje vodítko pro pojem „inherentní riziko“ a tím neumožňuje posoudit relevantnost návrhu v podkapitole 4.2. Žádáme NÚKIB o vysvětlení.
15.2. V podkapitole 4.3.1 definuje návrh Mechanismu „bezpečnostně relevantní dodávku“ tak široce, že může zahrnovat prakticky jakýkoli prvek dotýkající se jakkoli Kritické součásti systému. NÚKIB je z jeho činnosti jistě známa šíře prvků a systémů používaných při zajišťování činnosti sítí elektronických komunikací. Proto je namístě, aby tuto zkušenost využil zúžením rozsahu definice pojmu „bezpečnostně relevantní dodávka“ tak, aby z něj byl zřejmý chráněný zájem a jeho interpretace tak byla postavena najisto. Žádáme NÚKIB o zpřesnění.
15.3. V podkapitole 4.3.2 návrhu Mechanismu je definice „prověřovaného dodavatele“ natolik široká, že zahrnuje celé podnikatelské seskupení, tj. včetně zahraničních propojených subjektů mimo jurisdikci NÚKIB. Tento pojem je tak neinterpretovatelný. Totéž platí, možná ještě ve větší míře pro pojem „poddodavatel“, kterým je v pojetí NÚKIB mj. subjekt, který „má potenciál“ (sic!) poskytnout bezpečnostně relevantní dodávku. NÚKIB tak de facto rozšiřuje dopad Mechanismu na jakéhokoli dodavatele v oboru ICT, což nelze akceptovat, neboť tím NÚKIB zcela vybočuje ze své působnosti , ale také proto, že tím popírá sám své vlastní principy efektivity stanovené v úvodu návrhu Mechanismu. Žádáme NÚKIB o opravu a zpřesnění.
Je třeba, aby NÚKIB nejdříve vysvětlil a zpřesnil definice a vyjasnil, co považuje za bezpečnostně relevantní dodávku tak, aby to dávalo smysl z hlediska provozování infrastruktury sítí elektronických komunikací, jinak není možné odpovídat na otázky.
Otázka 3.1: Na jakých typových aktivech informačního systému Odběratele podle Vás bude vždy závislé připojení kritické informační infrastruktury do sítě elektronických komunikací?
Není jasné, co je to “typové aktivum informačního systému Odběratele”. V části 4.2 průvodního dokumentu se mluví o tom, že “Základem Kritické součásti systému sice budou povinná typová aktiva stanovená prováděcím předpisem, konkrétní rozsah aktiv spadajících do Kritické součásti systému však bude vždy individuální a bude vycházet z identifikace aktiv svého informačního a komunikačního systému Odběratelem.” Nevíme tedy, zda se NÚKIB ptá na to, jaká povinná aktiva má dle našeho názoru stanovit prováděcím předpisem, či na něco úplně jiného. Dle našeho názoru (který jsme uvedli v připomínkách VNICTP) by měl NÚKIB řešit nikoli “aktiva”, ale kritické funkce, podobně jako je tomu v přístupu, který uplatňuje Finsko.
3.2 Jste v současnosti schopni určit, zda některá z Vám dodávaných plnění naplňují definici Bezpečnostně relevantní dodávky a o jaká plnění se jedná?
Opět se musíme odkázat na bod 15.2. připomínek APMS, dle kterého je pojem bezpečnostně relevantní dodávka neurčitý a natolik široký, že onou “bezpečnostně relevantní dodávkou” může být prakticky cokoli. Proto APMS žádala NÚKIB o zpřesnění a ujasnění tohoto pojmu.
3.3 Kolik Přímých dodavatelů na trhu má podle Vás v současnosti potenciál dodávat Bezpečnostně relevantní dodávky? Svoji odpověď, prosíme, upřesněte co nejpodrobněji vzhledem k různým druhům dodávek.
Opět je otázka, co je to konkrétně “bezpečnostně relevantní dodávka”. Zároveň je poněkud překvapivé, že se na to NÚKIB ptá, protože “Přímý dodavatel” podle průvodního dokumentu zahajuje jako žadatel řízení o prověření, předpokládali bychom proto, že úřad má zmapované prostředí, které má za cíl regulovat. Upřesnění oné “bezpečnostně relevantní dodávky” je z tohoto pohledu pro regulaci naprosto zásadní, protože v některých částech sítě tak, jak jsou chápány operátory, je dodavatelů velmi málo, v některých zase poměrně dost.
3.4 Kolik Přímých dodavatelů na trhu, kteří mají v současnosti potenciál dodávat Bezpečnostně relevantní dodávky, při volbě dodavatele obvykle reálně zvažujete? Svoji odpověď, prosíme, upřesněte co nejpodrobněji vzhledem k různým druhům dodávek.
Opět se musíme odkázat na to, že pojem “bezpečnostně relevantní dodávka” je neurčitý a široký a NÚKIB jsme žádali o jeho zpřesnění. Doslova je nutné sdělit, že VŠECHNY telekomunikační sítě jsou heterogenní. Není možné odpovědět na Vaši otázku bez zavádějících zjednodušení.
3.5 Naplňujete-li definici Odběratele, kolik Bezpečnostně relevantních dodávek ročně poptáváte a kolik je Vám jich ročně dodáno?
V této otázce máme nejasno, zda NUKIB zohledňuje svůj vlastní záměr rozšířit množinu relevantních subjektů, kteří splní definici Odběratele vlivem změny národní či evropské legislativy.
3.6 Naplňujete-li definici Odběratele, kolik různých Přímých dodavatelů ročně využijete?
V této otázce se opět uchyluje k nedostatku definice bezpečnostně relevantní dodávky.
3.7 Naplňujete-li definici Odběratele, kolik Bezpečnostně relevantních dodávek je Vám v průměru dodáváno od jednoho Přímého dodavatele?
Totéž jako v předchozích otázkách, je zásadní zpřesnit termín “bezpečnostně relevantní dodávka”.
3.8 Naplňujete-li definici Odběratele, kolik Poddodavatelů Vám průměrně poskytuje jednu Bezpečnostně relevantní dodávku? Množství, prosíme, odhadněte a svoji odpověď upřesněte co nejpodrobněji vzhledem k různým druhům dodávek.
Stejně - je zásadní zpřesnit termín “bezpečnostně relevantní dodávka”. Zároveň operátor nemá informace o tom, kdo jsou subdodavatelé jeho dodavatele.
3.9 Diverzifikujete systematicky některá technická aktiva ve Vámi zajišťované síti či službě elektronických komunikací, jsou-li takové?
V této otázce bychom zřejmě dokázali odpovědět kladně i bez znalosti definice bezpečnostně relevantní dodávky, ale například u jádra sítě může být jednoznačná odpověď zavádějící.
3.10 Jakou průměrnou délku mají jednotlivé části Vašeho procesu výběru dodavatele Bezpečnostně relevantní dodávky, od prvotních úvah o pořízení dodávky až po finální rozhodnutí o využití předmětného dodavatele a uzavření smlouvy o dodávce?
V odpovědi na tuto otázku musíme opět vztahovat ke konkrétní části sítě a zda obsluhuje kritické funkce či zda slouží jako například prosté zařízení pro přenos dat z bodu A do bodu B.
3.11 Identifikujete, vyhodnocujete a zohledňujete při výběru dodavatele Bezpečnostně relevantní dodávky strategická rizika spojená s dodavatelem (např. ve smyslu Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice)?
Identifikujeme, vyhodnocujeme a zohledňujeme především reálná rizika spojená s dodavatelem, tedy jeho schopnost či neschopnost dodávky v budoucnosti dodat. To je jediné zcela reálné strategické riziko, protože vychází z politických rozhodnutí některých vlád a států. Typicky vláda Spojených států amerických může některého z dodavatelů dát na sankční seznam, což způsobí jeho neschopnost dodávat některé technologie či neschopnost je dodat včas, protože nebude mít sám přístup k některým důležitým komponentům. Někteří dodavatelé (bez ohledu na to, ve kterém státě mají sídlo) mohou zase mít problémy s tím, že vyrábí své technologie v zemích, kde se vláda rozhodne řešit pandemickou situaci způsobem “Zero Covid”, jako je Čína a až do dubna byl Tchajwan. Další dodavatelé mohou mít více objednávek, než jsou za současné situace (i ve střednědobém výhledu) schopni dodat, což u nich vyvolá prioritizaci jednotivých zákazníků (v kostce - kdo jim platí víc či s kratší dobou splatnosti, může být prioritizován). Zároveň musíme brát v úvahu i situaci na poli logistiky, kde jsou v současné době dodavatelské řetězce napjaté k prasknutí a výroba některých zařízení může záviset na dostupnosti či nedostupnosti jedné komponenty. Toto je zcela reálný a existující problém. Strategická rizika, která NÚKIB identifikoval ve svém Doporučení, je možné řešit bez větších problémů technickými prostředky.
3.12 Zohledňujete (a případně jakým způsobem) následující hrozby spojené s dodavateli do Vámi zajišťované sítě či služby elektronických komunikací: nedodržení smluvního závazku ze strany dodavatele; zneužití vnitřních prostředků či sabotáž; použití špionážních technik ze strany či prostřednictvím dodavatele?
Dovolujeme si úřad upozornit, že telekomunikační technologie nejsou vojenský materiál. Dodavatelé těchto technologií jsou zcela normální firmy, jejichž zájmem je uspět v konkurenčním boji a nabídnout co nejlepší kvalitu za co nejzajímavější cenu. V rámci výběru dodavatele zohledňujeme samozřejmě schopnost dodavatele dodržet smluvní závazky a kvalitu jeho technologie i ve smyslu úrovně zabezpečení, schopnosti pravidelných a relevantních aktualizací a kvality jeho řešení. Představa, že dodavatelé rutinně něco zneužívají či mají ve svém hardware a software nějaké prostředky pro “sabotáž”, je úplně zcestná, nevíme také, co myslí NÚKIB používáním špionážních technik ze strany dodavatele. Pokud už se někde děje nějaká “špionáž”, pak je to v drtivé většině na aplikační vrstvě, se kterou nemají dodavatelé ani operátoři sítí nic společného.
4.1 Pakliže Vám byly rozhodnutím Českého telekomunikačního úřadu přiděleny rádiové kmitočty v pásmech 700 MHz a 3400-3800 MHz, jakou nominální výši nákladů očekáváte v následujících 3, 5, 8 a 10 letech vynaložit na investice přímo plnící rozvojová kritéria těchto jednotlivých rozhodnutí, a to jak přímé náklady na pořízení investice (pořizovací cena investičního celku), tak celkové náklady spojené s vlastnictvím po celou dobu životnosti investice (tzv. TCO – Total Cost of Ownership)?
V této otázce je na místě připomenout, že budoucím regulovaným subjektem se stanou i poskytovatelé propojovacích služeb (okruhů), ale v podstatě každý podnikatel poskytující služby veřejně dostupného připojení k sítím elektronických komunikací bez ohledu na typ využívané technologie. Vrátíme-li se k sítím 5G, které jsou ovšem pouhou částí množiny regulovaných technologií, probíhá také proces přidělování kmitočtů pro pásmo 26 GHz. Kromě toho není jasné, zda se NUKIB ptá na cenu celé investice, či zda jde pouze o cenu bezpečnostně relevantních technologií.
4.2 Jakou délku ekonomické životnosti investice očekáváte u jednotlivých investičních celků, uvedených v odpovědi na otázku 4.1?
Opět nejednoznačná otázka.
4.3 O kolik procent by se podle Vašeho odhadu zvýšily nabídkové ceny Přímých dodavatelů v případě, kdyby některý z dominantních dodavatelů na trhu nesměl v důsledku rozhodnutí mechanismu dodávat Bezpečnostně relevantní dodávky? Je-li to možné, specifikujte prosím svoji odpověď dle dodavatelů na trzích jednotlivých druhů plnění, která mohou představovat Bezpečnostně relevantní dodávky.
Obecně vidíme trend dodavatelů technologií zdražovat, jak se ukazuje i z jejich komentářů k posledním čtvrtletním výsledkům (pokud jsou na burze), a to z důvodů inflace a problémů s dodavatelskými řetězci. Záleží na tom, co bude nakonec “Bezpečnostně relevantní dodávka”. Pokud půjde o jádro sítě, pak se nedomníváme, že by nárůst byl tak vysoký, protože až na některé části jde o technologie, které jsou dostupné od řady různých výrobců. Pokud jde o rádiovou část mobilní sítě 4G/5G, kde jsou tři dominantní dodavatelé, pak samozřejmě jakékoli omezení bude znamenat výrazné zvýšení cen vstupů (odhadem o 50-75 %, protože vzniklý duopol nebude mít žádný důvod nevyužít svoje nově dominantní postavení). Toto zvýšení se bude muset zčásti promítnout do koncové ceny pro zákazníky. Telekomunikace byly do nynějška jediný obor, ve kterém nedocházelo ke zvyšování cen a operátoři tak výrazně rostoucí ceny vstupů (mzdy, materiál, dodávky) nepřenášeli na své zákazníky. To ale není dlouhodobě udržitelné. Je nutné si uvědomit, že případné omezení dodavatelů z Číny především v rádiové části sítě bude mít vliv na budoucí standardizaci a hrozí, že mobilní telekomunikační ekosystém postavený na celosvětovém standardu 3GPP se rozpadne na regionální standardy, což by ceny zvýšilo daleko výrazněji. Celosvětová standardizace pomohla čínským výrobcům, ale ještě více těm evropským. Byla to právě Nokia, která pohltila v minulosti americké telekomunikační firmy jako Bell Labs, Lucent (později Alcatel-Lucent) a další, Ericsson získal Marconi, Tandberg, Telcordii, Cradlepoint a nedávno Vonage. Evropští výrobci jsou na tomto poli zcela relevantními hráči.
Představa, že by bylo možné tyto výrobce rychle čímkoli nahradit, je v rovině sci-fi. Zařízení postavená na Open-RAN jsou ve velmi rané fázi vývoje a přináší své vlastní bezpečnostní problémy (jak je vidět z nedávných analýz německého úřadu pro kyberbezpečnost i členských států EU - NIS Cooperation Group), takže je naprosto nereálné, že by v nějaké blízké době byla schopná plně nahradit dosavadní technologie zavedených dodavatelů. Dodavatelé z Koreje jako je Samsung nemají žádnou evropskou prezenci a soustředí se na domácí trh a zčásti na USA.
V současné době všichni hlavní dodavatelé uvádí, že jejich problém je nestíhání dodávek a tento problém bude trvat i nadále mnoho let. Představa, že je možné vyřadit jednoho dodavatele v současných podmínkách a rychle ho nahradit někým jiným, je naprosto nerealistická především v oblasti RAN. Nejde jen o peníze (takový “swap” by se bezpochyby pohyboval v desítkách miliard korun) ale také o fyzickou nedostupnost dodávek. V krátkosti - nebylo by jak stavět a jak plnit rozvojová kritéria z aukce.
5 Další vstupy pro přípravu mechanismu
5.1 Jak je možné ze strany Odběratele mitigovat strategické hrozby plynoucí z dodavatelského řetězce1?
1 Příkladem takových hrozeb může být např. vyřazení klíčových služeb závislých na 5G konektivitě, získání neoprávněného přístupu k citlivým datům státu, průmyslu, zdravotnictví i koncových uživatelů či narušení integrity těchto dat. Pro pro představu možných typových strategických hrozeb můžete dále vycházet z analýzy „Bezpečnost mobilních sítí páté generace (5G): Významná rizika a komplexita technologie vyžaduje prověření výrobců nad možnosti mobilních operátorů“.
Především je nutné říci, že představa NÚKIB, ze které vychází ona analýza “Bezpečnost mobilních sítí páté generace (5G): Významná rizika a komplexita technologie vyžaduje prověření výrobců nad možnosti mobilních operátorů” vychází z naprosto nesprávných premis.
To, že technologie něco umožňuje, ještě neznamená, že je po tom poptávka ze strany zákazníků nebo že se v byznysové realitě daná funkcionalita rozvine. Příkladem mohou být sítě 3G, jejichž primární výhodou měly být videohovory, místo toho přibližně po deseti letech od prvního komerčního nasazení byla jejich nejdůležitější funkcionalitou dostupnost mobilního internetu o smysluplné rychlosti (do 2 Mbps). V případě sítí 4G už byla očekávání realističtější a mobilní internet byl primárním driverem jejich rozvoje.
U sítí 5G se opakuje něco podobného, jako v případě 3G. Dodavatelé technologií mluví o různých futuristických use-cases, byznysová realita je ale daleko nudnější - v současné době je základním uživatelským scénářem pro 5G náhrada pevného připojení k internetu.
Sítě 5G “v plně rozvinuté podobě” budou klíčovou součástí průmyslu s vysokou mírou pravděpodobnosti pouze na úrovni privátních 5G sítí v průmyslových podnicích, nikoli v podobě veřejných sítí. Vývoj v oblasti autonomní dopravy ukazuje, že konektivita bude důležitá na úrovni, zda je nebo není, nikoli na úrovni nějakých specifických funkcionalit sítě. Drtivá většina autonomie se bude odehrávat ve vozidle samotném, protože žádný mobilní operátor nikdy nebude schopen garantovat stoprocentní nepřerušované pokrytí na celém území. Rozvoj internetu věcí bude s velkou mírou pravděpodobnosti na úrovni různých typů telekomunikačních sítí, nejen 5G (“věci” připojené do 5G sítě budou hrubým odhadem tvořit jednotky procent všech use-cases). Rozvoj telemedicíny přes 5G je opět otázkou privátních 5G sítí v dané organizaci (v tomto případě nemocnic), nikoli běžné mobilní sítě. Totéž virtuální realita - tu lidé budou využívat hlavně na místě (s brýlemi na VR se nedá nikam chodit), nasazení 5G je tak zbytečné, zákazníci to budou řešit kombinací domácího pevného připojení a domácí wi-fi.
Představa z často využívaného “5G trojúhelníku”, že celá republika bude pokrytá gigabitovou mobilní sítí o latenci jednotek milisekund a bude k ní připojitelných miliony zařízení naráží především na obchodní, pak i na fyzikální limity dané technologie. Do budoucna stejně jako v minulosti bude v České republice existovat několik technologických způsobů jak se připojit k internetu v pevném místě i mobilně, které budou v určité míře zastupitelné a v určité nezastupitelné. 5G sítě nebudou NIKDY “univerzální telekomunikační sítí pro širokou škálu současných a budoucích aplikací”, protože to nedává byznysově ani technologicky smysl. V tomto směru by měl NÚKIB významně upravit své analytické uvažování.
Dělat z 5G sítí něco víc z hlediska bezpečnosti, než jsou 4G sítě je tak velmi špatné východisko. 5G sítě jsou naopak bezpečnější, než 4G, jak dokazuje VNICTP v analýze připravené ČVUT, kterou poslal spolu s připomínkami Úřadu. Pokud NÚKIB tvrdí, že ”Hledání slabin v jednotlivých zařízeních je kvůli jejich komplexitě a novým aktualizacím softwaru nedostatečné.” pak vychází z představy, která nemá nic společného s realitou, vyvratitelnou jak akademiky, tak i síťovými inženýry. Dělat z telekomunikačních technologií nějaké magické krabičky, na jejichž úžasnou funkcionalitu operátoři hledí s němým úžasem, je naprosto mylné. Dodavatelé jsou podrobováni řadě auditů z hlediska výrobního procesu a kybernetické bezpečnosti z důvodu, aby bylo zabráněno přesně tomu, z čeho má NÚKIB obavu. I proto mají dodavatelé certifikace, a to jak ISO/IEC tak NESAS, že jejich výrobní proces je v souladu s best practices a neprovádí v něm žádné nepravosti. Z jakého důvodu NÚKIB považuje tyto certifikace za nedostatečné, jsme se nedozvěděli (zvlášť když např.v návrhu Vyhlášky o bezpečnostních pravidlech pro využívání služeb cloud computingu orgány veřejné moci s příslušnými ISO/IEC normami bez problémů pracuje). Operátoři pak před nasazením technologií do sítě do ostrého provozu testují daná zařízení v sandboxu, což se týká i každého update daného zařízení - před tím, než začne fungovat v síti, je podrobováno extenzivnímu testování, které je zdokumentované.
Jsme toho názoru, že dotazník by měl být upřesněn a rozeslán ještě jednou, a to i subjektům na trhu, kteří se s velkou pravděpodobností stanou regulovanými subjekty ať už v důsledku změn v národní legislativě, či v důsledku transpozice připravované evropské regulace NIS2.