Články Scanlock

Komentář firmy SCANLOCK k nově chystanému zákonu NÚKIBu

Nejlevnější vyhrává. Takto zjednodušeně lze popsat mechanismus výběrového řízení dodavatele kamer a bezpečnostních systémů pro českou strategickou infrastrukturu. Tak se stalo, že u vybraných elektráren, nemocnic, úřadů, ve městech, v dopravních prostředcích dopravních podniků, ale i na školách dohlíží na bezpečnost kamery vyrobené v Číně. To se ale má změnit.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravuje zákon, který by měl státu pomoci odhalit nedůvěryhodné dodavatele bezpečnostních systémů a snížit možnost využití jejich výrobků u strategických institucí. Vypisovatelé výběrových řízení tak budou upozorněni, jestli se k soutěži přihlásily i takové subjekty, na které byly uvaleny mezinárodní sankce. Toto se bude týkat také značek Hikvision a Dahua, které jsou v České republice velmi rozšířené. Důvodem je mimo jiné i zkušenost s čínským přístupem, kdy firmy získávají ze státu různé výhody za zprostředkování cenných informací čínskému státu, byť se tak děje v rozporu s mezinárodním právem. Dodržovaní přísných pravidel GDPR  u těchto výrobců technologií je velmi sporné a mnohdy ani zákazník (budoucí majitel = správce osobních údajů) ani dodavatel dané problematice GDPR nerozumí, a tak ji vůbec neřeší.

SCANLOCK by uvítala ještě přísnější postup

Co si o novém zákonu myslí firma SCANLOCK CZ, která na českém trhu působí jako distributor bezpečnostních technologií a soustředí se hlavně na evropské technologie s vysokou přidanou hodnotou? Zákon vítá. Navrhla by ale i přísnější postup – aby došlo k legislativní změně na objekty státního zájmu a také na kritickou infrastrukturu a energetiku, nebyly kamerové systémy z nevěrohodných zdrojů vůbec umísťovány.
Subjektům sloužícím veřejnosti, jako jsou třeba školy, úřady a města, bychom měli dát možnost uvážit, jestli je pro ně povaha citlivých dat natolik zásadní. Sami by se mohli rozhodnout, jestli uplatní stejný přístup pro vypsání veřejné zakázky, který bude uplatňovat stát v kritické infrastruktuře podle tohoto připravovaného zákona.

Riziko úniku citlivých dat a tok peněz z dotací

Podle SCANLOCKu by stálo za zvážení, zda-li se dodavatelé výrobků z Číny a Ruska mají účastnit dotačních programů. Velká část peněz z těchto dotací plyne do zemí, kde jsou výrobci těchto produktů podporováni státními dotacemi za účelem získávání konkrétních trhů. Taková firma je pak v soutěži jednak cenově zvýhodněna před společnostmi z jiných zemí, jednak zde vždy existuje riziko úniku citlivých dat. Někdy vlivem použití zastaralého softwaru, jindy aplikací speciálního protokolu, který umožňuje firmám naprosto záměrně manipulovat s daty a využívat pro vlastní účely. Někdy stačí málo a z výběrového řízení se lehce dozvíte, jaká instituce využívá jaké technologie, kde jsou nasazené a v jakém rozsahu.

Stát jako zájemce o auto, který neví, zda v něm vozit lidi, nebo písek

SCANLOCK upozorňuje na to, že ve veřejných zakázkách by měla být více než cena zohledněna také samotná potřeba a zájmy koncového uživatele. Většina výběrových řízení jsou vypsaná na technické parametry konkrétních kamer, jako je například jejich citlivost, rozlišení, velikost čipu apod., ale vůbec se neuvádí, jaké potřeby má celý systém plnit z pohledu užitných vlastností pro konkrétní objekt/zákazníka. Nerozlišuje ani, jaké dílčí technologie jsou pro dané užití vhodné. Stát je pak podobný zákazníkovi, který si chce vybrat nový vůz a ví přesně, jakou má mít spotřebu, jaký má mít parkovací systém a vzor na pneumatikách, ale nedefinuje, jaké vlastnosti a k jakému účelu auto bude užívat. Není zřejmé, jestli bude v automobilu jezdit do práce, nebo v něm bude vozit písek.

Změna pomalu nastává

Postupná a pomalá změna už nastává. Na trhu už jsou k vidění veřejná výběrová řízení, které sofistikovaným způsobem vyhodnocují primárně kvalitu poptávaného řešení (hodnotící kritérium 60 %) ve spojitosti s cenou (40 %) a také ty, které vylučují přímo dle nařízení Rady EU č. 833/2014 z účasti ve veřejném tendru subjekty, které jsou vlastněny právnickou osobou, subjektem nebo orgánem usazeným v Ruské federaci, případně z více než 50 % ve veřejném vlastnictví či pod veřejnou kontrolou Ruska. A tato omezení se netýkají jen dodavatelů, ale i subdodavatelů.

Aby bezpečnostní technologie plnily svůj primární účel

SCANLOCK doufá, že Národní úřad pro kybernetickou bezpečnost připraví zákon tak, aby ochránil bezpečnost našeho státu, a to s důrazem na ochranu moci zákonodárné, výkonné a soudní. Také věří, že tento zákon bude aplikován na kritickou infrastrukturu a podpoří technologie, které jsou vyvíjeny za účelem zachování bezpečnosti, které neslouží nějaké ideologií nebo konkrétnímu státu v jeho prospěch, ať už se jedná o prospěch finanční, nebo informačně-bezpečnostní.

Pokud by tyto technologie nesloužily k ochraně zdraví, majetku a duševního vlastnictví, nebo například k zajištění státní bezpečnosti, popírá taková technologie jako celek svůj primární účel.

NDAA coby vzor

Jako vzor pro politiky by mohl posloužit federální zákon Spojených států amerických známý jako National Defense Authorization Act, zkráceně NDAA. Této problematice se budeme věnovat někdy příště.

Další zdroje informací: iROZHLAS.cz; Bloomberg.com
Zpracoval: Ing. Ondřej Linduška (Scanlock CZ, spol. s r.o.)