Od poloviny prosince plní stránky novin články o údajných bezpečnostních rizicích, které jsou spojeny s výrobky firmy Huawei a informace o oznámení NUKIBu.
Za celou dobu, ale do médii neunikla jediná informace o konkrétních zadních vrátkách v zařízeních firmy Huawei.
Mezi tím se objevilo několik dalších chyb, které byly ve Windows (společné pro verze 10, 8 i 7) víc jak 10 let než byly zveřejněny a opraveny. Dále byly nalezeny špehovací či minimálně „zvědavé“ aplikace pro iPhone i telefony s Androidem.
Když porovnáme vydané varování před firmou Huawei a informace o děravých programech, tak z pohledu NUKIB jsou děravé a špehovací programy od firem z USA v pořádku a programy bez jasných zadních vrátek z Číny jsou nebezpečné. To je divný a nebezpečný přístup. Do posuzování bezpečnosti či nebezpečnosti počítačových programů by se neměla plést politika.
Dříve než se podíváme na věci spojené s firmou Huawei a s bezpečností, tak si dovolím malé odbočení.
Programování je čistě lidská práce, kde není nutné znát přírodní zákony. Konstruktéři mostů, turbín, motorů musí poznat a pochopit mnoho témat z chemie, z fyziky (chemické reakce, roztažnost materiálu, elektromagnetickou indukci, atd.) a jsou odpovědní za svojí práci.
V prostředí počítačových programů a IT (kyber) bezpečnosti to vypadá podle hesla „Přesně vím jak to máte dělat vy. Do toho co dělám já, tak vám nic není.“ To je právě jeden z obrovských omylů. Problémy s hackerskými útoky, zneužitím hesel nebo virovými infekcemi jaké řešíme dnes, tak se v různých podobách opakují již téměř 20 let. Stále se však neřeší skutečné příčiny těchto problémů a místo toho se hledají výmluvy v podobě nezkušených uživatelů nebo země původu výrobce počítačových programů.
NUKIB vydal upozornění a mohl nám hrozit soud hodně podobný kause Diag Human
Zástupci NUKIBu vyhlásili do světa, že technologie firmy Huawei představují, podle jejich názoru, bezpečnostní riziko. Jenže místo toho, aby se NUKIB věnoval kybernetickým hrozbám a rizikům, jak mu to ukládá zákon 181/2014 Sb., tak se vedení úřadu pustilo do hodnocení politické důvěryhodnosti cizích zemí a firem. Nikde v zákoně 181/2014 Sb. nemá NUKIB oporu pro takové jednání, takže takový přístup je možné označit za „novátorský“. Přesněji je to postup, který nemá oporu v zákoně.
Za povšimnutí stojí několik bodů
1, V USA vedou vyšetřování firmy Huawei už několik let a nalezli jediné riziko. Tím má být země odkud firma pochází.
2, NUKIB převzal argumenty ze zahraničí, bez dalších odborných argumentů a důkazů vydal varování.
3, Následně, na základě tohoto varování, byla firma Huawei vyřazena z výběrového řízení na vybudování portálu Moje daně za více než půl miliardy korun
4, Takový postup mohl přerůst do soudního sporu o poškození dobrého jména. Mohla tu být nová kausa typu Diag Human
5, Celé výběrové řízení na portál Moje daně bylo celé zrušeno.
6, NUKIB má v zahraničí minimálně tři ataše, v USA, v Izraeli a v Bruselu v centrále EU. Tito ataše hlásají jediný správný pohled na svět kyber bezpečnosti.
7, Za povšimnutí také stojí fakt, že v případě chyb a zadních vrátek v operačním systému Windows, které ohrožují doslova všechny uživatele v ČR, v EU, v NATO, tak NUKIB žádné varování nevydal a jeho zástupci v zahraničí v té věci také nekonají.
Předchozích sedm bodů ukazuje, že NUKIB se místo odborného úřadu snaží být vykladačem jediného správného politického a světového názoru. Takový postoj je v pořádku v případě politika, je ale špatný v případě odborného úřadu. Navíc úřadu zaměřeného na obor, ve kterém se víc jak 20 let stále dokola opakují podobné problémy a nikdo úředníků nemá chuť (nebo odvahu) jasně popsat místo problému.
Přístup našich „odborníků“
Bývalý náčelník GŠ Petr Pavel, bývalý velvyslanec Česka v USA a Rusku Petr Kolář, dřívější náměstek ministra obrany Daniel Koštoval a ex-poslanec Ivan Gabal vydali společné prohlášení, ve kterém varují před nasazováním výrobků čínských společností Huawei a ZTE.
Ve svém společném prohlášení uvádějí, že je zásadní, aby se u výběru technologií preferovala hodnotové, bezpečnostní a politické hledisko jako primární a nebrala se v potaz pouze cena nebo „sliby a ujišťování firem“. Tito pánové asi žijí v jiném světě, jinak není možné si vysvětlit, že nevidí co ve skutečnosti posledních 20 let ohrožuje bezpečnost firemních i osobních počítačů (a dnes i telefonů, výrobních linek, atd.).
Počítače se používají ve větším měřítku již déle jak 25 let. To je dost dlouhá doba k tomu, aby i úředníci pochopili, že programování je čistě lidská práce, kterou je možné kontrolovat lépe jak zkažené maso nebo spalovací motory. Pokud to nedokáží zrovna jejich poradci, tak to neznamená, že to nejde. Znamená to, že mají špatné poradce.
Prohlášení britského GCHQ
Britské Národní středisko kybernetické bezpečnosti (NCSC) a GCHQ ve svém prohlášení ze dne 18.2. 2019 uvedly, že je možné rizika spojená s výrobky firmy Huawei udržet pod kontrolou.
To může vypadat jako velmi odvážné tvrzení. Jenže, když se k tomuto tvrzení přidají informace, že zatím nikdo nenašel informace o tom, že by systémy firmy Huawei zneužíval čínský stát a jeho složky, tak je jasně vidět, že rize technické téma chtěl nebo stále chce, někdo použít v obchodním či politickém boji.
Ve skutečnosti jsou počítačové programy exaktní obor, kde je možné vše jasně definovat, naprogramovat a následně také kontrolovat.
Drobný náznak ze strany prezidenta Trumpa
Prezident USA Donald Trump naznačil ve svých tweetech dne 21.2., že by se mohla změnit politika USA vůči Číně a tedy i vůči společnosti Huawei. Prezident Trump mimo jiné na Twiteru uvedl - „Chci, aby Spojené státy vyhrály díky konkurenci, ne blokováním technologií, které mají teď náskok.“
To naznačuje, že by v souvislosti s jednáními mezi USA a Čínou mohlo dojít i ke změně postoje vůči firmě Huawei. V takovém případě se "novátorský" přístup NUKIB může rychle změnit v naivní a nekompetentní.
Přístup dalších telekomunikačních firem a operátorů
Zástupci operátorů a dokonce konkurenčních výrobců 5G sítí se shodují v tom, že zákaz používání technologií od společnosti Huawei může zpozdit budování nových mobilních sítí o několik let. Evropa by tak mohla tak zaostávat za dalšími regiony.
Dalším důležitým faktem je, že Huawei je v případě 5G sítí držitelem mnoha patentů a zástupci této firmy jsou velmi aktivní v pracovních skupinách, které připravovali a aktualizují standardy a normy spojené s mobilními sítěmi nové generace.
Rozdílné pohledy na hodnocení potenciálních rizik spojených s technologiemi firmy Huawei ukazují na naivní přístup ke kyber bezpečnosti ze strany některých „odborníků“. Na jedné straně zde jsou systémy firmy Huawei a na druhé straně jasně popsané a dlouhodobě neřešené, resp. špatně řešené problémy s virovými infekcemi a hackerskými útoky v jiných systémech. Pokud se obáváme zadních vrátek v systémech od firmy Huawei, tak bychom měli být stejně nároční i na dodavatele programů ze spřátelených zemí.
Základní úroveň bezpečnosti počítačových systémů musí stát mimo politické nebo obchodní zájmy některých lidí nebo zemí. Již několikrát se v minulosti ukázalo, že sofistikovaný virus, který specialisté z jedné země vytvořili pro útok na IT systémy jiné země se po úpravě obrátil proti počítačům v zemi kde byl původně vytvořen.
Fakt, že někteří „odborníci“ řešení neznají tak neznamená, že řešení problému neexistuje. Programování je čistě lidská práce. Co jeden člověk vytvořil, to může někdo jiný zdokonalit.
Dodatek :
28.února vyšel v The New York Times článek o tom, že vše okolo Huawei je pravděpodobně přehnané. Systémy, do kterých se číňané chtějí dostat, tak se prý dostávají jinak než přes routery a jiná zařízení od fy. Huawei.
