Dodavatelé kritické infrastruktury? Důvěřuj, ale prověřuj

Mohou se zahraniční vlády pokusit proniknout do kritické infrastruktury také přes dodavatele? V jaké situaci by to udělali? Je nutné zvažovat i toto riziko?

Minule jsme si řekli něco o hackerech  a o hrozbách pro kritickou infrastrukturu ze strany cizích zpravodajských služeb . Ale co zranitelnosti a hrozby spojené s dodavateli technologií? Význam těchto zpočátku neviditelných věcí začal přirozeně sílit v důsledku globalizace a vzrůstající závislosti na dodavatelích technologií nebo energií.

Na hrozbu závislosti na rizikových dodavatelích už dlouho poukazovali západní experti, zpravodajské služby i někteří novináři. Například britský novinář Edward Lucas už před rokem 2010 popisoval riziko zvýšené závislosti Evropy na ruském plynu a na rizika z toho plynoucí. Obecně se všechny velké závislosti na čemkoliv mohou stát budoucí hrozbou a rizikem.

Někdy můžete číst v médiích námitky, že se závislostem na dodavatelích technologií pro subjekty evropské kritické infrastruktury (EKI) nedá vyhnout. Případně, že není třeba se přílišné závislosti obávat. Autoři argumentují, že všechny potřebné technologie pro EKI stejně mají své „back doors“. Tedy zadní vrátka, kterými je možné překonat zabezpečení nebo že mají podobné zranitelnosti, které lze zneužít.

Nicméně zásadní rozdíl z pohledu národní bezpečnosti tady je. Dodavatelé z takzvaně nedemokratických zemí jsou závislí na svých vládách, a proto musíme kalkulovat s tím, že budou plnit pokyny svých vlád. Existuje vyšší a pravděpodobnější riziko, že v případě významného konfliktu země z EU/NATO s takzvaně rizikovou zemí se pokusí taková riziková země ohrozit EKI – skrz veškeré možnosti, které se jí přirozeně nabízejí. Konflikt může vzniknout z důvodu poskytnutí vojenské, ekonomické a diplomatické podpory EU/NATO některému napadenému státu, který má s takzvaně rizikovou zemí přímý konflikt nebo z důvodu jiných geopolitických vlivů v oblasti bezpečnosti. Takové rizikové země mohou provést citelný útok i skrze „své“ firmy, které do zemí EU/NATO dodávají potřebné technologie, či provést demoralizaci obyvatelstva země skrze omezení dodávek klíčových surovin – například v zimě plynu.

V našem případě by nastal zásadní problém, pokud půjde o technologie, které jsou součástí klíčových aktiv a komponentů, které zajišťují provoz a dostupnost infrastruktury EKI. Tato hrozba bude vždy logicky větší od zemí, které členy EU nebo NATO nejsou. Bez ohledu na to, že značná část západních technologií má na sobě štítek „vyrobeno v rizikové zemi“.

Hrozba může přijít odkudkoliv a od kohokoliv

Pokud bych se řídil principy z knihy Umění války od čínského stratéga mistra Sun-c', paradoxně bych na významné subjekty EKI – abych své nepřátele zmátl a demoralizoval – zaútočil takzvaně pod jinou vlajkou. Přesněji přes technologie konkurenčních dodavatelů ze zemí EU/NATO.

Použil bych klasický zpravodajský a válečný přístup popsaný ve zmíněné knize. Ten říká, že boj i válka mají být vedené lstí a klamem – formou přímých i nepřímých bojů. Proč formou nepřímých bojů? Aby nikdo nemohl na první dobrou říct: „Byl jsi to ty!“. Nevedl bych otevřenou válku, aby mě mohl někdo oficiálně označit jako nepřítele. Sabotoval bych ostatní pod jinou vlajkou pomocí celé škály hackerských útoků. Poukazoval bych přitom na fakt, že mně by se podobný útok stát nemohl a že mé technologie jsou bezpečnější, odolnější a spolehlivější.

Všechna nebezpečí uvedená v této sérii článků jsme v CETINu vždy vnímali. Z tohoto důvodu za důležitá rizika považujeme také hrozby, které plynou z geopolitických vztahů s dopadem do byznysu. Dnes jde například o rizika ovlivňovaná dodávkou potřebných technologií – třeba nedostatkem čipů. Zmíněné riziko jsme od roku 2019 opakovaně vyzdvihovali i při odborných diskuzích a poukazovali na to, že má být taktéž zvažováno. A to včetně rizik, že útok může přijít také skrze důvěryhodné dodavatele. I jejich technologie mají zranitelnosti, které se při útoku na EKI dají zneužít. Nelze jen diskutovat o existenci, či neexistenci takzvaného červeného tlačítka, po jehož zmáčknutí by hypoteticky přestaly fungovat některé subjekty EKI. Významných hrozeb pro provoz a bezpečnost EKI je více.

Amat victoria curam – štěstí přeje připraveným

Jen si představte, že někdo najednou zastaví dodávky čipů z některé země – nejpravděpodobněji z té takzvaně rizikové – z důvodu významného vojenského či politického konfliktu. Nebude tak možné dodat potřebné funkční technologie do kritické infrastruktury nebo do vojenského průmyslu. Zhroucení dodávek této komodity by vedlo k závažným problémům, které by možná nezvládla dlouhodobě vyřešit ani dobře nastavená firemní BCM (Business Continuity Management) opatření. Přestože mají za cíl umožnit kontinuitu klíčových procesů v případě jejich narušení. Právě o podobných scénářích je však potřeba neustále přemýšlet. Už jen z důvodu, že ve světě probíhají pořád nějaké změny, které mají přímo, či nepřímo vliv na náš obchod, provoz a bezpečnost našich infrastruktur.

Například současná americká politika má údajně v úmyslu zpomalit technologický vzestup Číny. Jaký dopad budou mít tyto změny na technologické firmy, které dodávají své technologie do kritických infrastruktur v EU? Začne tolik zmiňovaná a v médiích skloňovaná technologická studená válka? Pokud ano, jaký to bude mít vliv na provoz našich technologií? Dají se hrozby nějak zmírnit? Jak? Nedojde k takzvanému vendor lock-in stavu? Tedy že například stát omezí počet dodavatelů na trhu a tím dostane provozovatele kritických infrastruktur do pozice závislosti na produktech a službách konkrétního dodavatele i na jeho vyšších cenách? A co když dodavatel, na kterém jsme závislí, nebude schopný dostatečně rychle dodávat klíčové komponenty?

Ze všech výše uvedených důvodů je nutné stále objektivně přehodnocovat možné hrozby a snažit se zvětšovat odolnost před případnými útoky, které mohou přijít skrze všechny dodavatele – i ty důvěryhodné. Aspoň v rámci svých možností. Účinné je například optimálně snižovat závislost na klíčových technologiích a zdrojích z rizikových zemí, testovat zranitelnosti v síti a nastavit správně architekturu sítí. Včetně dobře nastavené kontroly přístupů do spravované kritické infrastruktury a její efektivní monitoring. Zdravá obezřetnost musí být vůči všem dodavatelům. Stoprocentní bezpečnost a stoprocentně bezpečný dodavatel bohužel neexistuje.

Zmíněnými kroky a přístupy však můžeme posílit nejen bezpečnost vlastní firmy, ale nepřímo také národní bezpečnost. Zvlášť v případě možných konfliktů, o které ve světě není nouze. Je dobré si uvědomit, že bezpečnost kritické infrastruktury se totiž významně podílí na národní bezpečnosti každého státu NATO a EU. A to není málo.