Projděte si Varování NÚKIB před hrozbou použití technických a programových prostředků společností Huawei a ZTE, včetně jejich dceřiných společností

To je v souladu s přístupem založeným na řízení rizik (risk based approach), kdy nejdříve musím znát svá aktiva (to, co je pro mě důležité a to, co chráním), vědět jakým hrozbám čelím, na jaké atributy informační bezpečnosti (důvěrnost, dostupnost a integrita) hrozba působí a jaké zranitelnosti jsou u daných aktiv ve vztahu k určitým hrozbám. Teprve potom mohou být zvolena vhodná bezpečnostní opatření v rámci zvládání rizik v případě výsledných neakceptovatelných rizik.

Zde nastaly problémy na straně povinných osob, jelikož se ukázalo, že dostatečně neřídí rizika, přestože mají zákonnou povinnost a také často nedisponují celkovým seznamem aktiv, včetně vzájemných vazeb. Přitom by mělo dojít pouze k rozšíření analýzy rizik prostřednictvím promítnutí předmětné hrozby Varování a přiřazení k relevantním podpůrným aktivům (technické a programové prostředky), na které působí.

V rámci vlastních zkušeností pro povinné osoby jsem se obecně setkal s nedostatečně zavedeným procesem řízení rizik (např. nedostatečně konkrétní metodika řízení rizik, neznalost podpůrných aktiv a jejich vazeb na primární aktiva) i v rámci řízení rizik dodavatelů včetně veřejných zakázek (pro více informací předešlý článek nedostatečné řízení rizik dodavatelů při zajišťováni informační bezpečnosti). Konkrétně pak, jakým způsobem zahrnout Varování do celkového procesu řízení rizik a jakým způsobem promítnout navržená bezpečnostní opatření do zadávací dokumentace v procesu přípravy veřejné zakázky. Úřad pro ochranu hospodářské soutěže (ÚOHS) vydal v této věci první pravomocné rozhodnutí (Rozhodnutí ÚOHS), které by mělo posloužit jako vodítko pro povinné osoby.

ÚOHS zamítnul stížnost Huawei na základě odborných stanovisek NÚKIB

Společnost Huawei Technologies (Czech) s.r.o. podala k ÚOHS stížnost ve věci přezkoumání úkonů zadavatele učiněných při zadávání veřejné zakázky „Pořízení serverů pro resort MŽP v roce 2019“ v otevřeném řízení z důvodu mj. narušení zásady transparentnosti, diskriminace a rovného zacházení dodavatelů poskytujících technické prostředky dané společnosti a z důvodu rozporu se ZoKB.

Předmětem veřejné zakázky je nákup serverů, které jsou v rámci zadávací dokumentace specifikovány s jasně stanovenými parametry a požadavky: rozměry a prostředí, kompatibilita, CPU, RAM, RAID řadič, HDD, LAN a další.

V zadávací dokumentaci je následně uvedena podmínka, kromě jiného, že na základě provedené analýzy rizik s ohledem na Varování je „Uvedeným opatřením, v případě dodávek řešení výrobců, před kterými varoval NÚKIB, je dodávka a zajištění stavu vysoké dostupnosti řešení – ke každému kusu dodaného hardware dodávka druhého kusu hardware od nečínského výrobce a jejich plná společná integrace tak, aby takové řešení plnilo funkci zajištění vysoké dostupnosti a současně i veškeré Zadavatelem definované požadavky v rámci zadávacích podmínek k Veřejné zakázce.“

Jak vyplývá z výše uvedeného bezpečnostního opatření, předmětnou hrozbou (rizikovým scénářem) bylo použití technických a programových prostředků Huawei a ZTE s narušením pouze jednoho atributu informační bezpečnosti, a to dostupnosti služeb významných informačních systémů a informačních systémů základních služeb.

Posouzení procesu řízení rizik 

Z důvodu potřeby vždy posoudit vhodnost zvoleného bezpečnostního opatření s ohledem na danou situaci si ÚOHS od NÚKIB vyžádal odborné stanovisko k provedené analýze rizik a celkovému procesu řízení rizik, dle vnitřní metodiky řízení rizik (Metodika). NÚKIB zde dle Rozhodnutí ÚOHS hodnotil:

1. postup celého procesu hodnocení rizik v souladu s Metodikou;
2. zda je Metodika a praktický postup srozumitelný a přezkoumatelný;
3. zda pravidla obsažená v Metodice korespondují s požadavky ZoKB a vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (VyKB) a se standardy v oblasti kybernetické bezpečnosti (myšleno např. ISO/IEC 27005);
4. zda zadavatel nejednal neodůvodněně excesivně (zejm. při hodnocení aktiv, hrozeb a zranitelností);
5. rozsah aktiv, u nichž byla hodnocena rizika, jejich souvislost s předmětem veřejné zakázky (nákup serverů);
6. způsob zapracování Varování do procesu hodnocení rizik.

Volba bezpečnostního opatření

NÚKIB ve svém stanovisku ke zvolenému bezpečnostnímu opatření u neakceptovatelného rizika (s hrozbou nedostupnosti služeb) uvedl, že platí postupy vycházející z ISO/IEC 27001 (a rozšíření ISO/IEC 27002) a ISO/IEC 27005 na kterých je VyKB založena. Dále uvedl, že je při volbě vhodného bezpečnostního opatření potřeba vzít v úvahu:

• specifické potřeby povinné osoby, strukturu informačního nebo komunikačního systému, současná pravidla obsažená v bezpečnostní dokumentaci, politikách, další postupy a požadavky, kterými se povinná osoba řídí a je vázána;
• hospodárnost zvoleného postupu (TCO) s ohledem na náklady při implementaci bezpečnostního opatření, zdali nejsou neúměrně nákladné;
• skutečnost, že výčet opatření ke zvládání rizik není konečný a že je potřeba vzít v úvahu na jaké atributy informační bezpečnosti riziko působí, sílu/úroveň zamýšleného opatření, architekturu sytému, důležitost aktiva a v neposlední řadě finanční možnosti povinné osoby.

NÚKIB dále nabízí jisté vodítko pro povinné osoby, jaká bezpečnostní opatření zvolit s ohledem na neakceptovatelná rizika vycházející z hrozby Varování působící na dostupnost služeb:

1. nasazení technického opatření eliminujícího zranitelnost(i) aktiva nebo hrozby spojené s používáním aktiva;
2. implementaci nového řešení za současného zachování provozu (byť nouzového) starého řešení;
3. redundanci, tedy zdvojení používaných zařízení;
4. eliminaci rizikové technologie (obvykle v případech, kdy zranitelnost aktiva nemůže být eliminována jiným způsobem nebo kdy hrozbu spojenou s použitím aktiva nelze eliminovat jiným způsobem).

NÚKIB ve svém vyjádření potvrdil vhodnost vybraného opatření, spočívajícího ve zdvojení používaných zařízení s tím, že toto opatření představuje zákonem předpokládané a standardně využívané opatření pro zajištění dostupnosti služeb.

Rozhodnutí ÚOHS

ÚOHS v závěru Rozhodnutí konstatuje, že přestože zvolené opatření vytváří omezení hospodářské soutěže, zadavatel zahrnul daný požadavek do zadávací dokumentace za účelem splnění svých zákonných povinností dle § 4 odst. 4 ZoKB. Dále ÚOHS potvrdil s ohledem na vyjádření NÚKIB vhodnost zvoleného bezpečnostního opatření a potvrdil zákonný postup, kdy zadávací dokumentace neobsahovala předmětnou analýzu rizik, což není v rozporu se zásadou transparentnosti.

Shrnutí

Po vydání Varování stále panuje všeobecná nejistota při zahrnutí Varování do procesu řízení rizik. Konkrétně v rámci přípravy veřejné zakázky, zejména při vypracování zadávací dokumentace a před výběrem samotného dodavatele. Rozhodnutí ÚOHS přináší první vodítko, na co si dát pozor a poskytuje pohled na proces hodnocení případných stížností. Nejedná se přitom o nic nového, stále je nejdůležitější částí v rámci řízení informační bezpečnosti tzv. princip založený na řízení rizik. Je tedy nezbytné mít vytvořenou dostatečně robustní metodiku řízení rizik v souladu s legislativou a mezinárodně uznávanými standardy, mít zmapované vlastní prostředí a mít efektivně implementovaný celkový proces řízení rizik včetně analýzy rizik a zvládání rizik až po zapracování určených bezpečnostních opatření do zadávací dokumentace.

Pozitivním zjištěním je, že ÚOHS zvolil pro poskytnutí odborného stanoviska NÚKIB, který je garantem kybernetické a informační bezpečnosti v České republice. NÚKIB ve svém stanovisku mj. poskytuje vodítka, jaké varianty opatření lze využít, pokud předmětná hrozba působí na dostupnost služeb.