foto: Foto RAILTARGET/Kulatý stůl
Diskuse o kybernetické bezpečnosti železniční infrastruktury odhaluje rostoucí rizika v digitální éře. Vedení firem, experti na bezpečnost a vojenští analytici se shodují na kritickém významu zabezpečení železnic, které jsou zranitelné kvůli své důležitosti pro infrastrukturu a vojenskou mobilizaci. Přinášíme písemný záznam i video z kulatého stolu.
Moderátor:
Vítám mezi námi generálního ředitele AŽD Zdeňka Chrdleho, který byl na svém panelu. Nemusím jej ani dále představovat. Nejdůležitější železniční podnik v oboru železniční infrastruktury a signalingu.
Já jsem nyní od pana Aleše Špindly chtěl přejít k železničnímu průmyslu. Bylo řečeno, že každá firma musí z určité své vlastní hygieny, si vykonat určitý přehled, inventuru rizik. V čem spočívá její činnost. Identifikovat činnosti, které jsou citlivé na kybernetickou hrozbu. Identifikace rizik je úplně nejdůležitější kapitola, kterou si musí bez ohledu na to, že zde implementujeme zákon, provést každý zvlášť.
Aleš Krutina reprezentuje firmu, která vyrábí subsystémy, které poté kupují všichni světoví a evropští výrobci od Škody, až po Siemens, Stadlera. Staráte se o další firmy, které je poté implementují do vlaků, do vozů a lokomotiv. Jak by z Vašeho pohledu ona inventarizace rizik mohla proběhnout a jak chcete obstát jako firma v budoucím světě, který nám narýsoval NIS2?
Aleš Krutina:
Sledujeme vývoj v oblasti kybernetické bezpečnosti už deset až patnáct let nejen na železnicích, ale i v ostatních oborech, jako např. automotiv. Proto nebudeme vstupovat do úplně nové situace. Chytrost systému a jeho sofistikovanost služeb stále roste a s tím pochopitelně rostou i rizika a zranitelnost těchto systémů. Je zapotřebí se na to připravovat. Vznikají nová témata, kterým je třeba čelit. Přistoupit k nim otevřeně, s pokorou, ale zároveň se toho zbytečně nebát, protože zkušenost je spíše taková, že se kybernetická bezpečnost stává aktuálním tématem. Je dobře, že zákazníci jsou ochotni za tyto systémy platit, což je jeden z důležitých faktorů a my, pokud budeme moci a mít tu schopnost, tak jim je rádi nabídneme. V posledních třech nebo čtyřech letech se tomuto tématu v AMiTu velice intenzivně věnujeme. Onu hrozbu vidím spíše jako příležitost a je třeba ji jít naproti.
Moderátor:
Děkuji, to byl pan generální ředitel firmy AMiT. Předal bych nyní slovo panu plukovníkovi ve výslužbě, panu Jiřímu Rážovi, který toto téma vidí možná z druhé stránky. Pokuste se, prosím, zaměřit na železnici jako na centrum případných kybernetických útoků. Z jakých oblastí se dají očekávat? Jak je lze odlišit od běžných provozních selháních? Jak se tím systémově zabývat, pokud by někdo chtěl provést cílený útok, ať už na infrastrukturu, anebo na automobilovou část?
Jiří Ráž:
Odpověď je možná na sérii přednášek, které možná přesahují i mojí kvalifikaci. Obecně nejde nevzpomenout asi měsíc staré prohlášení ministra dopravy pana Kupky o tom, že de facto česká železniční infrastruktura je pod permanentním útokem z Ruska. Z logiky vyplývá, že tato infrastruktura je dnes kriticky důležitá pro zásobování Ukrajiny, ať už je to cokoliv, co se na Ukrajinu posílá. Z logiky věci je tato infrastruktura relevantní terč jakéhokoliv odvetného kybernetického útoku. Možná prakticky více než cokoliv jiného, co z infrastruktury v České republice v tuto chvíli existuje. Musíme se bavit i o tom, že pokud jste do této doby nebyli v oblasti kyber prostoru příliš zajímaví, nemusí to tak být i nadále. Daleko více byly zajímavé firmy, které zacházely s penězi. Firmy, které byly možné vydírat apod. Najednou jste téměř jeden z prioritních cílů, a to by mělo změnit pohled vedení firem. V současné době se situace dramaticky mění a je potřeba si uvědomovat význam kyberbezpečnosti.
Moderátor:
To znamená, že Váš pohled na rozsah toho, co by měla být schopna zajistit.
Jiří Ráž:
Již to nejsou útoky, které jsou vedené s cílem vydělat peníze, ale útoky s cílem destruovat a vandalizovat, a to bez ohledu na cokoliv. Dokonce bez ohledu na přílišné zakrývání odkud útok pochází, ale zkrátka dosáhnout maximální ničivý efekt. Obrana proti něčemu takovému, může být za “a” velice nákladná a za “b” velice složitá.
Psali jsme
Navzdory ostré kritice od podnikatelů vláda protlačuje nový zákon o kybernetické bezpečnosti. Ten přináší přísná pravidla na základě evropské…
Moderátor:
Předal bych slovo panu generálnímu řediteli Zdeňku Chrdlemu, který více než dvacet let, myslím pane řediteli, řídí AŽD a je partnerem Správy železnic, našeho infrastrukturního manažera železnic, právě v oblasti, kde by měl vytvořit jakýsi firewall. Na jednu stranu vyděláváte a vyrábíte peníze na tom, že železnice funguje jako systém. Na druhé straně jste vystaven tomu, že jste onen článek, který může být napaden. Pane generální řediteli, mohu Vás požádat o komentář?
Zdeněk Chrdle:
Já mám radost, že jste mě pozvali, protože konečně i zde mohu říct, co mám na srdci. Slyším, že jsme pod permanentním kybernetickým útokem. Potřeboval bych vědět, pokud s tím máme něco udělat, který segment, anebo která část je pod kybernetickým útokem. Dokážu si představit, že prioritně mohou být pod kybernetickým útokem vozidla, protože samozřejmě jezdí venku a komunikují datově s dalšími sítěmi, proto asi nejsou oddělené sítě ve voze. Snažíme se v bezpečnostní technice oddělit bezpečnostní strukturu od komerční. Musím zdůraznit, že jsem na to poměrně pyšný. Ono se tyto segmenty někdy spojují. Tam musíme ve spolupráci se Správou železnic určit systémy, kde je možné zaútočit. Asi nejhorší by bylo, kdyby někdo postavil dva vlaky proti sobě. Nemůžeme říct, že vše funguje stoprocentně. Nevím, neznám, ale myslím si, že tuto hrozbu vnímáme. Další otázka je, zda nějaký útok spíše neudělá to, že se něco zastaví. Bezpečně se něco zastaví. To, co se stalo v Polsku. Tuším, že před dvěma lety došlo k útoku na polskou železnici, kde se dostali až do části řízení, ale ne do části bezpečnosti. Útok zastavil provoz.
K bezpečnostním hrozbám železniční dopravy nedošlo, ale vlaky se zastavily téměř na celý den, než se zjistila příčina. Já vidím největší problém v tom, že si myslím, že i vojáci, by měli sledovat, co se na železnici odehrává. Ukrajina je závislá na železnici a u nás, kdyby se něco stalo, tak otázka je, jak znovu systém zprovozníme a jak budeme reagovat s tím, že něco dodáváme a přeprava se zastavila.
Dáváme na železnici systém ETCS. Systém ETCS jako bezpečnostní systém je závislý na přenosech sítí GSM-R. Zde vidím slabý článek, tím ovšem nechci nikoho navádět, ale vše, co jde vzduchem, tak je možné nějakým způsobem ovlivnit. Je faktem, že partner, který dodává GSM-R na tomto problému pracuje. My to nejsme, my pouze využíváme systém, který byl v České republice schválen.
Psali jsme
České dráhy se naplno pouští do modernizace svého vozového parku. S novou palubní jednotkou ETCS je nyní 422 vlaků připraveno na evropský…
Systém GSM-R je síť, která může být také v nějaké podobě narušena. Toto by měli i vojáci vnímat, že vždy na železnici bychom měli mít nějaký alternativní způsob řízení, aby vlaky jezdily, i když dojde k napadení systému a nějaká část železnice stojí. Chtěl bych zdůraznit, že se mi nelíbí, že budeme masově rušit návěstidla, žádná již nebudou, budeme závislí pouze na ETCS. Nemyslím si, že je to správně, a to z hlediska funkčnosti a spolehlivosti, a především největší a kritické infrastruktury, která musí fungovat za všech okolností.
Využiji tento prostor, protože apeluji na to, aby na železnici přetrvávala nějaká alternativa, protože pokud zruším všechna návěstidla a budu spoléhat pouze na ETCS, tak ve chvíli, kdy dojde k výpadku, a to z jakéhokoliv důvodu, třeba, že to někdo naruší, tak se všechny vlaky zastaví. Bude pak trvat celý den, než se rozjede nákladní doprava, která bude muset někde zaparkovat. Zde je problém. Měli bychom se tomuto věnovat. Alternativa by měla vždy existovat. My děláme, co bylo řečeno, analyzujeme tam, kde může být problém. Děláme tzv. penetrační testy. Cíleně napadáme. Tím, že máme vlastní trať, kde můžeme zkoušet vše možné i penetrační testy, kde simulujeme napadení, tak jsme schopni, a to nejen pro Správu železnic, ale i pro další správy, nabízet systémy, které jsou nějakým způsobem odolné. Toto jsem chtěl zdůraznit. Možná právě proto jsem sem měl přijít. Děkuji.
Psali jsme
Od srpna se na českých železnicích začal masivně využívat evropský zabezpečovací systém ETCS, který bude od ledna 2025 povinný na více než 600…
Moderátor:
Výborně pane generální řediteli, přišel jste včas. Já jsem Vás pouze ve zkratce představil. Správa železnic prodávala jednu nepotřebnou trať v roce 2015 a pan generální ředitel ji koupil do majetku firmy. Z Lovosic do Mostu, pokud se nemýlím, se můžete svézt na jedné z nejmodernějších tratí, na které se zkouší tyto systémy.
Další část diskuse bych nejprve požádal pana Špidlu, zda by dokázal komentovat naše tři kolegy. Bude se na železnici nějak složitěji definovat subsystém, který vyžaduje nejvyšší úroveň zabezpečení proti kybernetické bezpečnosti? Pak se dostaneme k dodavatelům a k odpovědnosti. Jaký máte pocit z diskuse? Budeme standardním odvětvím, tak jako zdravotnictví nebo teplárenství a energetika? Nebo se něčím lišíme?
Aleš Špidla:
V prvé řadě to, co řekl pan generální ředitel AŽD. Je nutné si uvědomit, že železniční infrastruktura je kritická infrastruktura, ba dokonce super kritická, jak zdůraznil pan ředitel. Život republiky i naše zahraniční kontakty jsou zcela závislé na její funkčnosti. Mě osobně se velmi líbí filosofie náhradního řešení. Pracuji na Praze 5 jako ředitel kyberbezpečnosti a už jsme zažili útoky, ale díky plánu kontinuity podnikání jsme věděli, jak se vypořádat s krizí – něco jde vyřešit pouhou tužkou a papírem, jiné úkoly lze přesunout na jiné úseky. To je přesně ono. Nemáme se nechat zaslepit elektronikou, která se spoléhá na nuly a jedničky, protože co když dojde k výpadku proudu? Citlivost narůstá, když vše závisí na vzdušné technologii, zatímco dráty jsou stále na místě. Mě osobně dává větší jistotu, když máme záložní řešení v elektromechanických zařízeních, protože pro mě znamenají technologickou bezpečnost vzdáleností. Tyto systémy jsou navrženy tak, aby nebylo možné je jednoduše napadnout.
Psali jsme
Hackerským útokům čelí i česká železnice. NÚKIB se proto zaměřil na kyberbezpečnost provozu na kolejích. Jaké jsou nové povinnosti…
Zdeněk Chrdle:
A na kabely, které jsou v zemi také.
Aleš Špidla:
To bohužel nezaručíme. Pokud se k nim nedostanete fyzicky, máte v podstatě smůlu. Byl bych velmi nerad, kdybychom se soustředili pouze na zabezpečení některých částí, protože infrastruktura tvoří jeden obrovský celek a musíme se zaměřit na zajištění služby a její dostupnost. Je důležité provést analýzu rizik a identifikovat kritické body. Nemůžeme si dovolit, aby tyto klíčové body byly připojeny k infrastruktuře, která má slabá místa. Musíme zhodnotit, na čem je závislá základní služba, kterou naše firma poskytuje, ať už se jedná o přepravu nákladu nebo osob. Pokud máme zdvojené systémy, to je dobře, ale nemohou být klasifikovány jako slabší. Celý systém a infrastruktura musí být bezpečné, jak jen nejslabší článek dovolí. Toto pravidlo platí vždy a všude. To je můj pohled. Zaměřme se na zabezpečení poskytované služby, nikoli pouze na jednotlivé stanice kvůli jednomu světlu.
Psali jsme
Po generální opravě se polské vlaky Newag Impuls zastavily a výrobce odmítl pomoc. Situaci musela řešit hackerská skupina, která odhalila tajný…
Moderátor:
Je to tak, a než dám slovo panu plukovníkovi ve výslužbě, rád bych dodal, že železniční infrastruktura se nyní poprvé stává důležitou v reakci na geopolitické napětí způsobené válkou na Ukrajině. Evropská unie a NATO poprvé spolupracují na téma vojenské mobility, definují infrastrukturu a terminály pro vojenské přepravy. Je přehodnocována kategorizace železničních vozidel a jejich dostupnost. Pohyb vojsk po železniční infrastruktuře v Evropě, konkrétně sever-jih směrem, který bude hrát klíčovou roli v nadcházejících desetiletích, se stal integrální součástí úvah Evropské unie o financování dopravní infrastruktury. Pane plukovníku, jak toto téma vidíte Vy?
Jiří Ráž:
Dopravní infrastruktura silniční, která byla budována v 80. a 70. letech a dříve, byla navržena tak, aby odolala tankům T-72, které vážily až 40 tun, ale záměrně nemohla unést americké tanky Abrams. Dnes jsme kvůli našim údolím, řekám a dalším překážkám neschopni rychle přemístit naše tanky na východ. To zvýrazňuje důležitost železnice, zejména pro vojenský transport.
To je přesně důvod, proč je transport armády prostřednictvím železnice stále důležitější. Rád bych se vrátil k tomu, co řekl pan generální ředitel o GSM-R. Nejsem si úplně jistý, ale mám na mysli druhou generaci GSM-R, zda pan Knohl náhodou nebyl tím, kdo tuto ochranu prolomil hrubou silou. Nemohu to ale s jistotou potvrdit. Je mi známo, že alespoň první generace byla prolomena hrubou silou.
Rainbow Table, což je šifrovací tabulka pro tento protokol, unikla a byla k dispozici ke stažení pro kohokoli. To mohlo umožnit dešifrování klasického telefonního signálu. Šifra tak přestala být účinná pro ty, kdo byli vybaveni. Nejsem si jistý, zda je právě toto zabezpečeno v protokolu GSM-R.
Když jsme hovořili o různých možnostech, souhlasím s vámi, že primárním cílem by bylo narušit službu, takže bychom měli diskutovat o signalizaci. Můžu si také představit útok na softwarově řízené lokomotivy jako problematický bod. V energetice by se mohl útok zaměřit na jakoukoli elektrickou distribuci energie. Tyto dva body vidím jako potenciálně nejslabší nebo nejzranitelnější.
Psali jsme
Nový návrh zákona o kybernetické bezpečnosti zavádí do českého právního řádu evropskou bezpečnostní směrnici NIS2. Ale také možnost ověřit a vyloučit…
Moderátor:
Určitě bych ještě doplnil, že vysokorychlostní železnice jsou v budoucnosti potenciálně větším cílem útoků než klasická železnice. To nás všechny čeká a měli bychom se na to připravit. Máme zkušenosti z Francie, Španělska a Itálie.
Nyní bych rád přešel k tématu, které zajímá celé odvětví, a to hospodářská komora v dopravní sekci. Kolik to bude stát? S tím souvisí otázka: Jakým způsobem mohu já, nebo co mohu udělat ve svém dodavatelském řetězci jako výrobce na vstupu? Pokud sám vytvořím subsystém, například jako pan generální ředitel, bude dostatečně kvalifikovaný, abych ho mohl dodat do vyššího systému, například do železniční sítě Polské republiky, nebo k výrobci, který stojí před halou?
Na jedné straně je dodavatelský řetězec jako vstup do firem. Zde máte i komplementaci mobilních jednotek ETCS. Na druhé straně, co musím udělat, aby mě nikdo nevyřadil ze soutěží a z budoucího fungování na trhu? Jaký přístup mám zvolit?
Psali jsme
S Matejom Hambálkom sme sa rozprávali o horúcej téme kybernetickej bezpečnosti na železnici a o tom, aké kroky teraz v tejto oblasti…
Aleš Špidla:
Myslím si, že přístup není složitý. Je důležité mít své služby důkladně zabezpečené tak, aby bylo možné je prokazatelně prodávat klientům, kteří spadají pod působnost zákona o kybernetické bezpečnosti. Je na řízení dodavatelského řetězce, aby dodavatel nebyl slabým článkem, skrze který útočníci napadnou. Existují dokumentované a medializované případy, kdy útočníci prostřednictvím dodavatele klimatizací zaútočili na Sony Pictures. Skrze jejich malý počítač, který měli u Sony Pictures, útočníci sledovali stav klimatizace. Dodavatelé nesmí být slabým místem v systému. Ideální je, když dodavatelé dodržují stejná pravidla a zavedou stejná opatření jako jejich klienti.
Mám s tím trochu problém v naší legislativě, protože je povinnost podrobit se auditu klienta. Když má dodavatel 40 nebo 50 klientů, kteří spadají pod zákon o kybernetické bezpečnosti, může jich být podle NÚKIBu minimálně 6 000, ale u kávy vám řeknou, že spíše 12 000 subjektů. Nedovedu si představit, že těchto 40, 50 nebo 100 klientů najednou přijde auditovat. Musí být spuštěn systém certifikace, aby bylo možné klientovi prokázat své schopnosti dostát závazkům. Zákon o kybernetické bezpečnosti a návrh vyhlášky o vyšších opatřeních definují požadavky smluv s dodavateli, co by klient nebo odběratel měl mít. Často se stává, že dodavatelé, nejen zde, ale i v nemocnicích, nevědí, co od nich klienti očekávají. Nejsilnějším argumentem, který jsem slyšel, je: "To nikdo po mně patnáct let nechtěl." Vztah mezi dodavatelským řetězcem a klientem by měl vypadat tak, že bezpečnost bude na takové úrovni, aby klient nebyl ohrožen.
Moderátor:
Dobře, už jsme u Vaší domény a možná jsem již zapomněl říct, že máte divizi průmyslové automatizace, kde jste možná o krůček dopředu, pokud dodáváte do energetiky. Jaké je to být dodavatelem, ale zároveň mít svoje vlastní dodavatele v řetězci?
Aleš Krutina:
Trochu mi to brání na jazyku, ale jednou z možných odpovědí je, nemít příliš rozsáhlý subdodavatelský řetězec. Možná je to trochu lakonická odpověď, ale myslím si, že platí i pro AMiT a AŽD. Firmy, které si chrání své duševní vlastnictví a udržují kritické kompetence uvnitř, budou mít s nástupem požadavků na kybernetickou bezpečnost o krok napřed, protože se jim bude mnohem snáze prokazovat certifikace. V naší druhé divizi, Automission, která vybavuje kritické systémy kotelen nemocnic, začínáme tuto situaci řešit o něco dříve než v železniční branži, ale myslím si, že to nabere na obrátkách. Víme dnes, že kybernetická bezpečnost je pro naše zákazníky stále důležitějším tématem, které aktivně řeší. Doba, kdy jsme evangelizovali klienty, je již za námi, a nyní se více zaměřujeme na implementace a na zákonné rámce. Bohužel si troufnu říci, že praxe mírně předbíhá legislativní proces, ale ne o mnoho. Lehce lakonická odpověď, ale tak to prostě je.
Moderátor:
RAILTARGET informoval o případu, kdy byly lokomotivy pomocí GPS zablokovány, protože překračovaly své servisní oblasti. Nebudu jmenovat zemi výrobce, abych nikoho neurazil. Celá záležitost ještě probíhá vyšetřováním, ale měla široký dopad po celé Evropě. Pane řediteli, jak je to u vás? Myslím, že se to týká i vaší situace. Máte dodavatele, ale zároveň jste klíčovým poskytovatelem subsystémů pro své klienty, nad kterými již nikdo není, s ohledem na celostátní a evropskou bezpečnost.
Zdeněk Chrdle:
Asi víte, že jsme v rámci firmy provedli hodně změn. Máme kompletní management zaměřený i na kybernetickou bezpečnost. Nedávno náš hlavní zákazník provedl penetrační test a nainstaloval zařízení, které odhalilo několik zranitelností. Výsledky nám poté zaslal e-mailem, což je absurdní, protože tohle by se nemělo stát. Situaci jsme okamžitě řešili a zavedli jsme opatření na její řešení. Vše slouží k našemu zdokonalení, ale nemůžeme posílat citlivé výsledky e-mailem, protože tím můžeme odhalit naše slabé stránky.
Dnes pan ministr z hlediska bezpečnosti a nehod v Pardubicích zdůraznil, že výhradní provoz s ETCS je klíčový. To znamená, že na trať může vyjet jen vozidlo vybavené zabezpečovačem ETCS, který splňuje požadavky infrastruktury. Myslím si, že to je správný přístup. Nicméně, jak jsem již dnes řekl, je důležité mít vždy alternativu. Pokud něco nefunguje, můžeme rychle přepnout a pokračovat v provozu. Stačí malá porucha na trati a může dojít k zastavení provozu na celé trati, což není způsobeno jen hackerským útokem, ale i technickými poruchami.
Psali jsme
Blanka Havelková, členka představenstva a náměstkyně generálního ředitele ČD pro lidské zdroje v exkluzivním rozhovoru pro RAILTARGET uvedla,…
Moderátor:
Vypne se z autopilota znovu na náš tradiční systém.
Zdeněk Chrdle:
Ne, dispečer pochopí, že se něco stalo, a přepne na alternativní trasu a vyvede vlak mimo trať do odstavného nádraží. Palubní počítač pak bude muset být opraven, nebo pokud je to možné, vlak může být dořízen na alternativní systém. Já na to upozorňuji, protože mám obavy ohledně spolehlivosti superkritické železniční infrastruktury. To se týká nejen schopnosti vést vlaky po alternativních trasách, což je další věc, na kterou poukazuji.
Bohužel mi často říkají, že se to týká pouze mého vlastního podnikání. To je absurdní. Pokud nemáme alternativní trasy i pro vojenské přepravy, jak zmínil můj vojenský kolega, což si velmi vážím, tak to není jen otázka mých podnikatelských zájmů. Často máme regionální tratě, které byly původně dimenzovány pro přepravu uhlí, a dokonce i pro přepravu strategických nákladů. Měli bychom je využívat. Měli bychom mít možnost vzít vlak, který nemá na palubě nic, a poslat ho.
Infrastruktura musí umožnit tuto flexibilitu. Pokud to infrastruktura neumožní, podle mého názoru selhává. To je důvod, proč se na toto téma zaměřuji. Chtěl jsem o tom hovořit s panem Metnarem. Armáda by měla také chápat, jak je důležitá spolehlivost sítě. Pokud se něco stane, musíme být schopni pokračovat v provozu. Při povodních například jezdily jenom vlaky. Naši předkové stavěli dráhy s vizí do budoucnosti.
Moderátor:
Děkuji, pane generální řediteli. Máme ještě chvilku času. Identifikace slabých míst v dodavatelském řetězci lze provést různými způsoby. Jak se k tomu chystáte přistoupit? V systému se často stává, že například čínský subdodavatel, zároveň implementuje něco, co umožňuje třetí straně přístup, aniž byste, jako výrobci subsystémů, mohli provést jakékoliv ověření. Takové situace se bohužel vyskytují častěji. Globalizovaný svět se stále více fragmentuje. Jakým způsobem vnímáte bezpečné a nebezpečné dodavatele? S ohledem na to, že máte vlastní výrobu, jakým způsobem zajišťujete, že určité části dodavatelského řetězce dodáváte sami?
Aleš Špidla:
Legislativa řeší tzv. netechnické požadavky. To znamená, že si musíte udělat analýzu rizik, což je klíčové. Musíte určit, kde v infrastruktuře se nachází určitá komponenta a zda poskytuje požadované funkce. Některé firmy jsou technologicky napřed, ale i pro ně je důležité zvolit správný způsob ochrany. To znamená, že je třeba je obklopit jinými řešeními. Do analýzy rizik musíte zahrnout i možné dodatečné náklady. Klíčová je tedy analýza rizik. Pokud je dodavatel ze země, kde platí dva zákony o zpravodajských službách, které výrobcům nařizují poskytnout určitá zařízení některým zpravodajským službám, ať již jsou kdekoliv na světě instalovány, musíme si to uvědomit. Jedná se o netechnický bezpečnostní požadavek. Je důležité zjistit, z jaké jurisdikce pocházejí, a zda má stát velký vliv, jak je tomu v případě každé továrny v Číně, kde komunistická strana řídí stranickou buňku. Všechno toto musíme brát v úvahu při analýze rizik. “Co se stane, když…” To je základní otázka analýzy rizik. Co se stane, když třetí strana ovládne zařízení? Jaký vliv to bude mít na technologii a její schopnost poskytovat služby? Velmi mě zaujalo, co řekl pan generální ředitel: "Nemůžete na první pohled rozpoznat, jestli se jedná o kybernetický útok nebo o provozní problém." Všechno toto je klíčové během kybernetických útoků, které se odehrávají v řádu desítek až stovek milisekund. Nemáte šanci je rozpoznat. Pokud se vrátíme k technologiím, které musí být analyzovány z hlediska netechnických požadavků, nemáte ani tušení, zda byl váš systém na dálku vypnut, nebo se něco pokazilo. V podstatě každá technologie, ať už se mluví o zadních vrátkách, má své zranitelnosti, které se ve chvíli objevení stávají "zadními vrátky". Proto je provádění analýzy rizik klíčové. Byl bych velmi rád, kdyby na železnici došlo k závěru, o kterém hovořil pan generální ředitel. Musíme mít alternativy. Musíme mít možnost reagovat na požadavky armády během kritických situací. Musíme být schopni řídit železnici! Avšak skrze GSM-R, které je náchylné k narušení a rušení elektromagnetickými metodami, proto se jedná se o elektromagnetický boj. Je možné jej snadno narušit. Jediným řešením je provádět analýzu rizik, pokud chceme využívat levné technologie. Ačkoliv, je důležité zvážit všechny faktory, neboť nízké náklady mohou znamenat riziko.
Moderátor:
Děkuji vám. Myslím si, že můžeme diskusi uzavřít. Hovořili jsme o tom, že se jedná o úplně první pokus uspořádat podobnou debatu, ale již nyní bych měl prosbu, abychom v rámci Hospodářské komory uspořádali a pozvali NÚKIB, který se snaží implementovat evropskou směrnici do naší legislativy tak, aby byla příznivá pro podnikatelské prostředí. V žádném případě nechceme zapomenout na železničáře. Velmi bych si přál takovou diskusi a rád bych ji s vámi moderoval, pokud budete mít čas, nebo pokud byste mohli vyslat své experty. Za RAILTARGET a Hospodářskou komoru děkuji za tuto diskusi.