Česko je bez kybernetické obrany. Jak dlouho ještě budeme přehlížet fatální riziko?

 FOTO: Tianyi Ma / Unsplash

Daniel Koštoval

04. 09. 2020 • 17:00
ANALÝZA DANIELA KOŠTOVALA | Česká republika je stále bez kybernetické obrany. Takže jsme opravdu hodně pozadu – jak vůči vývoji v kybernetickém prostoru, tak vůči našim závazkům k budování obranných schopností v NATO. Jsme dnes v situaci člověka, který stojí na kolejích a dívá se, jak se na něho řítí vlak. Pokud to rychle nezměníme, nemůže to dopadnout dobře.

Měli jsme přitom našlápnuto na včasné vybudování kybernetické obrany. Předchozí vládní koalice ČSSD, ANO a KDU-ČSL iniciovala mj. (především v souvislosti s migrační krizí) takzvaný bezpečnostní audit, který českému státu dlouho chyběl. Z něho vzešel v roce 2015 úkol pro Vojenské zpravodajství připravit návrh novely zákona o Vojenském zpravodajství, aby v právním státě vznikla správná legislativní základna, a po jeho přijetí kybernetickou obranu vybudovat. 

Pro úplné pochopení, že jsme na expertní úrovni dokázali včas identifikovat nebezpečný trend v bezpečnostním prostředí, je důležité si připomenout vývoj v NATO. Summity aliance ve Varšavě v roce 2016 a v Bruselu v roce 2018 rozhodly, že kybernetický prostor byl zařazen po bok vzdušného, námořního a pozemního jako další, kde je nutné se bránit a mít k tomu kapacity. Byla přijata strategie kybernetické obrany, ve které aliance stanovila, že jako organizace zajišťuje ochranu společné infrastruktury a koordinuje výstavbu národních schopností. Schopnosti kybernetické obrany jsou však plně v odpovědnosti jednotlivých států NATO.

Členské státy se shodly, že roste riziko a destruktivní charakter kybernetických útoků, a proto je nutností vybudování společné obrany stojící na jejich schopnostech. Obrana kybernetického prostoru, zvyšování odolnosti i schopnosti koordinace a odvety v souladu s mezinárodním právem jsou jednou z priorit společné obrany. NATO ji řadí mezi své základní úkoly. (Deklarace NATO ze summitu v Bruselu, čl. 20). 

Ministerstvo obrany, respektive Vojenské zpravodajství, připravilo návrh novely zmíněného zákona o VZ, který vláda schválila v květnu 2016 a odeslala jej do sněmovny. Tam se návrh novely nepodařilo do konce volebního období v roce 2017 projednat. V novém – dnes aktuálním – volebním období vláda letos v březnu projednala a schválila upravený návrh. Byla výrazně více propracována dimenze transparentnosti a kontroly případných aktů kybernetické obrany, které by Vojenské zpravodajství na obranu Česka v kybernetickém prostoru podnikalo. Byly pečlivě vypořádány všechny připomínky a návrh je tak bez jakéhokoli rozporu. (Bez rozporů byl již předchozí návrh v předešlém volebním období.)

Tento návrh novely dodnes leží v dolní komoře a čeká na první čtení. Přestože nezaznívá jakákoli odborná ani politická kritika. To ukazuje na dosavadní slabou politickou vůli zajistit bezpečnou budoucnost ve stále více digitalizovaném světě, a to zejména s ohledem na nástup 5G sítí, internetu věcí (IoT) a celkově se prohlubující závislosti společnosti a ekonomiky na kybernetických technologiích.

Poslanci se k předloze můžou vrátit na nadcházející schůzi, která začíná 15. září. V návrhu programu je ovšem příslušný bod zařazen pro první čtení až jako dvaatřicátý, a pokud se nic nezmění, znamená to, že se na něj opět nedostane. Logicky pak přichází v úvahu říjnová schůze, ale zde se dostáváme do problematické situace, protože začne být nepravděpodobné, že by návrh stihl do konce volebního období projít celým legislativním procesem. Pokud by jej sněmovna skutečně nestihla schválit, padl by takzvaně pod stůl a po volbách by se začal projednávat znovu od začátku. Jinými slovy dostal by se do parlamentu nejdříve v roce 2022.

Z výše napsaného je zřejmé, že je nutná odpovídající politická síla, která by dokázala dát návrhu prioritu, aby se první čtení stihlo již v září a legislativní proces mohl pokračovat. Pokud ovšem popsaný černý scénář nastane, bude to pro obranu ČR a jejích občanů, institucí, firem a průmyslu v zásadě katastrofa. Obranu ještě delší čas nebudeme mít a dále upadne naše reputace v NATO, která je už tak nízká kvůli chudému obrannému rozpočtu, a tedy nedostatečnému rozvoji obranných schopností.

Naléhavost zahájení budování kybernetické obrany ukazují i následující tři momenty.

1) Evropská rada kvůli kybernetickým útokům proti členům EU přijala 30. července 2020 historicky první sankce vůči šesti osobám a třem institucím z Číny, Ruska (vojenská rozvědka GRU) a KLDR;

2) Ruské kybernetické a informační operace vůči Velké Británii identifikuje Zpráva parlamentního výboru – Intelligence and Security Committee of Parliament – z 21. července 2020;

3) Národní úřad pro kybernetickou a informační bezpečnost ve své zatím nepublikované zprávě za rok 2019 konstatuje, že ČR se stala předmětem kybernetických útoků, za kterými v 90 % stojí cizí státy, nejčastěji Čína a Rusko. Pro obě země jde o standardní nástroj naplňování jejich ambicí a cílů.

Jestliže se lídři států unie na Evropské radě dokázali jednomyslně shodnout na sankcích, jsou kybernetické útoky zjevně velmi vážný problém. A nenechme se mást tím, že máme Národní úřad pro kybernetickou a informační bezpečnost, ten neřeší obranu, ale “jen” prevenci a zajištění technických standardů bezpečného fungování sítí. Je jisté, že útoků je mnohonásobně více, než je Národní úřad pro kybernetickou a informační bezpečnost se svými skromnými prostředky vůbec schopen objevit. 

V Česku dnes není nikdo, kdo by podle zákona mohl a byl schopen detekovat zahájený kybernetický útok, zastavit ho a adekvátním způsobem se útočníkovi kyberneticky bránit. Pokud politici nepřijmou příslušný zákon, vysíláme našim protivníkům signál, že na svoji obranu a bezpečnost v této oblasti rezignujeme a dáváme se jim všanc. To nás samozřejmě oslabí i ve vztazích s našimi spojenci.

Pokud se najde člověk či skupina lidí, kteří dokáží prosadit projednání legislativního návrhu ke kybernetické obraně v tomto volebním období, zaslouží si nejvyšší státní vyznamenání udělované za zásluhy o stát.

SDÍLET