APMS: Telekomunikační operátoři představili technické detaily zabezpečení svých sítí a řízení dodavatelů

Telekomunikační operátoři představili technické detaily zabezpečení svých sítí a řízení dodavatelů na semináři Asociace provozovatelů mobilních sítí (APMS) sdružující české mobilní operátory. V panelové diskusi na téma „Jak silně jsou chráněny české telekomunikační sítě před kyberútoky“ vystoupili bezpečnostní manažeři odpovědní za zajištění bezpečnosti telekomunikační infrastruktury a představili příležitosti ke zvýšení bezpečnosti státu.

Jde o aktuální téma především s ohledem na přípravu nového zákona o kybernetické bezpečnosti, kterým se do českého práva transponuje evropská kyberbezpečnostní směrnice NIS 2. Sama o sobě představuje směrnice základ odolnosti infrastruktury proti kyberkriminalitě v řadě důležitých odvětví. Národní úřad pro kybernetickou a informační bezpečnost nad rámec směrnice navrhuje „Mechanismus prověřování bezpečnosti dodavatelského řetězce“, který by umožnil NÚKIB rozhodovat o povolení anebo zákazu dodavatelů telekomunikačních technologií.

APMS i její členové podporují úsilí státu dlouhodobě posilovat kybernetickou odolnost významné infrastruktury a geopolitickou bezpečnost. Za přiměřená opatření k dosažení tohoto cíle považují aplikaci mechanismu na nejkritičtější části infrastruktury, která zajistí bezpečnost bez nepřiměřených a zbytečných nákladů.

„Strategické zájmy státu mít bezpečnou infrastrukturu jsou legitimní a jsme v tom s vládou v naprostém souladu. Operátoři dlouhodobě zohledňují rizika vyplývající z bezpečnostních hrozeb při výběru dodavatelů a při analýzách rizik berou v úvahu také doporučení a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost,“ řekl na semináři manažer informační bezpečnosti a kontinuity podnikání společnosti Vodafone Ladislav Suk, který představil architekturu a míru kritičnosti jednotlivých částí sítě. Dle Suka rozsah a forma navrženého regulačního mechanismu překračuje cíl omezení dodavatelů pouze v kritických částech infrastruktury a minimalizaci ekonomických dopadů. Suk dodává, že „mechanismus zahrnuje i okrajové části infrastruktury, jako je koncový vysílač mobilní sítě nebo trafostanice v okrajové části obce. Jejich nedostupnost je běžnou součástí údržby a bezpečnost státu tím není nikterak ohrožena.“

Dalším hostem na semináři byl Jakub Rejzek, prezident Výboru nezávislého ICT průmyslu, který má mezi členy vedle operátorů s celostátní působností především menší a střední lokální a regionální poskytovatele. Ti jsou často velkoobchodními partnery velkých hráčů a Rejzek varoval před tím, že regulace okrajových částí sítě by znamenala, že „strategickou“ infrastrukturou by se staly i malé firmy. „Regulace se přenáší na partnery v celém telekomunikačním sektoru. Jak jsme uvedli i v našich připomínkách, může to znamenat zpomalení investic nejen na venkově, ale i mimo centra větších sídel. Obáváme se nepřekonatelných dopadů na náš segment trhu, ze kterého by postupně vyprchala schopnost inovací, které jsou pro náš obor klíčové,“ řekl na semináři.

V panelové diskusi se bezpečnostní ředitelé telekomunikačních operátorů shodli na tom, že nejvyšší dosažitelná kyberbezpečnost je životním zájmem každého z nich. „Názor, že operátor nakoupí raději levnější, ale méně bezpečnou technologii, je nesmyslný. Ohrozili bychom tím vlastní byznys, a to nikdo z nás neudělá. Technologická vyspělost a bezpečnost jsou naprostou prioritou,“ říká k tomu Jan Klouda, viceprezident pro právní záležitosti a korporátní bezpečnost Vodafonu.

V diskusi také zaznělo, že operátoři se ročně ubrání stovkám tisíc kybernetických útoků. „Díky desítkám let zkušeností v oboru umíme vyhodnotit hrozby a řídit svoje dodavatele tak, abychom si byli jisti jejich schopností dosáhnout vysokých standardů bezpečnosti ještě před uvedením technologie do ostrého provozu,“ říká k tomu Jakub Ludvík, ředitel bezpečnosti
T-Mobilu.

Bezpečnostní rizika souvisí také s nezbytností propojení telekomunikačních sítí, aby zákazníci různých operátorů mohli mezi sebou komunikovat. „Technologickou bezpečnost pravidelně prověřujeme nejen sami, ale vysoké standardy bezpečnosti vyžadujeme také od našich partnerů, protože důvěra je v dodavatelském řetězci jedním z hlavních hledisek řízení bezpečnosti,“ doplňuje Radek Šichtanc, ředitel bezpečnosti O2.

Řízení bezpečnosti v dodavatelském řetězci je důležité také podle Pavla Rivoly, ředitele bezpečnosti CETINu, který dodává, že „k řízení bezpečnosti patří také hodnocení hrozeb vyplývajících ze známých útoků ve světě, zranitelností technologií a testování s využitím tzv. etických hackerů.“

Mobilní operátoři tyto bezpečnostní zkušenosti nabízí i politické reprezentaci. „Jsme přesvědčeni, že stát by měl více důvěřovat soukromému sektoru, že opravdu neupřednostňuje zisk na úkor bezpečnosti, ale bezpečnost je pro něj naopak zásadním prostředkem, jak zisku dosáhnout,” řekl Jiří Grund, prezident APMS. „I proto jsme představili státu v oblasti dodavatelských řetězců dobrovolnou sadu samoregulačních kroků, kterými lze dosáhnout očekávaných výsledků v oblasti kybernetické bezpečnosti, nezávislosti a odolnosti kritické infrastruktury v telekomunikačním odvětví rychleji a s menšími ekonomickými dopady,“ dodal Jiří Grund, prezident APMS.