Kybernetická bezpečnost jako priorita státu

Vážený pane předsedající, dámy a pánové.

Návrh zákona o kybernetické bezpečnosti, který dnes projednáváme, přichází po 10 letech platnosti toho současného. Byl tedy nejvyšší čas na to, abychom se podívali, jak funguje zákon o kybernetické bezpečnosti a jak se daří hlídat ty základní parametry a držet také krok s vývojem technologií. Jak dobře vidíme, tak ten technologický vývoj, výzkum v oblasti mikročipů nebo dalších, aplikace pro kvantové počítače a komunikační technologie jde takovou rychlostí, že zákony by měly být v obecné míře a neměly by být příliš technicky zatíženy.

Z tohoto pohledu bych chtěl upozornit na to, o čem mluvil už pan ministr ve svém úvodním vystoupení, že o řadě těch vysoce technických otázek vysoce odborných věcí, které se týkají právě kybernetické bezpečnosti, nemá poté, co byly prosazeny některé pozměňovací návrhy ve Sněmovně, už rozhodovat pouze NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost, ale že to má jít pokaždé na vládu. Zdá se mi, že bychom měli z tohoto pohledu zákon a jeho fungování zkoumat v budoucnu, zda se nejedná o opatření, které vládě bude na stůl předkládat vysoce odborné technologicky složité otázky a bude ji zahrnovat operativou, kterou by měli řešit na NÚKIBu, jak bylo původně navrhováno. To je moje první výhrada.

Zdá se mi tudíž, že bychom měli hlídat, zda to, jak ten zákon dnes projednáváme, a já připomínám, že jsem pro schválení v podobě, která přišla z PS, tak bych rád, abychom hlídali, zda toto opatření naopak vládě nevytvoří novou složitou technicky vysoce náročnou agendu, která by jinak zůstávala na NÚKIBu. Výhrady o tom, že by NÚKIB byl příliš razantní v některých opatřeních nebo až politicky neodpovědný, jak někteří říkali při projednávání v PS, nesdílím.

Ostatně i z naší návštěvy našeho výboru právě na NÚKIB v Brně vyplývá, že tam jsou lidé velmi uvážliví a že naopak vidí i věci, které zůstávají veřejnosti zakryty. Významné útoky na nejenom veřejné instituce v České republice, na nemocnice uprostřed covidu, kdy nemocnice podávaly obrovský výkon v péči o obyvatelstvo, a právě tehdy někdo útočil na naše zdravotní zařízení. Ale jsou tady i útoky na významné dodavatele státu a další. My bychom měli být v tom velmi obezřetní, protože kdo kontroluje kybernetický prostor, kontroluje nejenom naši ekonomiku, naši bezpečnost, ale dokonce i naše soukromí.

Několik zpráv z tisku.

Austrálie. Čína vyslala svoje válečné lodě až na jih k Austrálii. Peking oficiálně neinformoval o této operaci. Moment překvapení zažily civilní letecké společnosti, které přelétávaly přes Tasmánské moře, kde v té chvíli probíhaly ostré střelby čínského loďstva. Nebyly řádně informovány. Čína se tam nasunula se svými loděmi a chtěla ukázat, že udrží svoje plavidla dlouho na moři a může v případě konfliktu narušit námořní trasy, na kterých je Austrálie závislá. Sledujeme tedy, že Čína buduje vojenské schopnosti jaderné, námořní i letecké a přitom chybí obrovská míra transparentnosti. Čína chce tudíž překvapovat.

Japonsko. Čínská letadlová loď Liao-ning a další plavidla zde provádějí cvičení na východ od ostrova Iwo Jima. Jedná se o strategicky vitální oblast nejenom pro Japonsko, ale i pro ostatní státy. Mimo jiné zde v oblasti mají základny Spojené státy americké. Japonská oficiální místa prohlásila, že Čína zde usiluje posilovat operační schopnosti ve vzdálených územích za využití plavidel, která ještě před pěti lety neuměla vyrábět.

Tchaj-wan. Čínská lidová republika usiluje o to zde uplatňovat autoritu způsobem, který nemá obdoby. Zvyšuje frekvenci námořních cvičení a nacvičuje obklíčení ostrova Tchaj-wan a narušení základních námořních tras, včetně útoků v kybernetické oblasti.

Rusko. Čína dodává pro Rusko vitální podporu, nejenom politickou, hospodářskou, ale také vojenskou. A mohli bychom pokračovat.

Když se podíváme do zpráv z České republiky, nedávno byla zveřejněna oficiální informace o tom, že Česká republika označila Čínu jako původce rozsáhlého systematického a dlouhodobého kybernetického útoku. Skutečnost, že Česká republika označí a provede atribuci, jak se říká v hantýrce kybernetické bezpečnosti, což znamená, že už pro to musí mít ale opravdu robustní důkazy a že se jedná o ohrožení národní bezpečnosti.

Když se podíváme do nedávných zpráv z tisku, čteme, že pro energetický sektor je obrovským ohrožením skutečnost, že se v solárních panelech, v tom, čemu se říkají měniče napětí neboli invertory, že se tam objevily komponenty, které nebyly v technické dokumentaci uváděny. Jde o komunikační prostředky, které propojují každý ten solární panel s jeho výrobcem, který je v Číně.

Umíme si tudíž představit, co to znamená pro energetickou soustavu v našich zemích, ve kterých takové množství obnovitelných zdrojů je vybaveno technologiemi právě z Čínské lidové republiky, napojených přes kybernetický prostor, vybavených prostředky a komponenty, které nejsou výrobcem uváděny řádně v dokumentaci a které jsou tam jaksi navíc. Zřejmě dodávají výrobci nejenom informace o provozu, ale umožňují také vzdálený přístup a případně vzdálené vypínání, což by mohlo ohrozit energetickou soustavu v našich zemích způsobem naprosto nebývalým. A to nemluvíme ani o tom, co za riziko a za hrozbu znamenají propojená elektrická auta, která mají v sobě tolik senzorů a tolik čidel, že mohou skenovat oblast, ve které parkují, ve které se pohybují, sdělovat informace o svých řidičích a dalších, přitom právě na prodej a provoz těchto vozidel u nás neexistují žádné velké bezpečnostní normy, které by zohledňovaly ohrožení, které znamenají nové technologie, které k nám přicházejí z Čínské lidové republiky. A nejenom odtamtud.

Nejde tedy jenom oceány, nejde tedy jenom o Austrálii nebo Japonsko, ale jde také o Českou republiku. A právě nevyzpytatelnost, nepředvídatelnost, netransparentnost čínského režimu znamená velké ohrožení, když to propojíme se schopnostmi, které nesporně prokazují ve vývoji nových technologií.

Proto bychom neměli mluvit jenom o Evropské unii a nějaké směrnici NIS2, jak jsme tady slyšeli a která je tím základním rámcem, na kterém se s tímto zákonem pohybujeme. Měli bychom mluvit také o Severoatlantické alianci, o obraně státu a měli bychom si uvědomit, že například takový kontraktor, takový dodavatel, který získá významnou zakázku například při dodávkách ozbrojené techniky a servisu po celý životní cyklus takové techniky, který může jít na desetiletí, tak bychom měli mít jistotu, že takový dodavatel se nedostane pod vliv právě kybernetických útočníků například z Číny. Tím by totiž mohlo jít opravdu o ohrožení národní bezpečnosti. A to nemluvím ani o Hasičském záchranném sboru, o integrovaném záchranném systému a dalších složkách nezbytných pro ochranu obyvatelstva v naší zemi v případě krize.

Ano, zákon, o kterém dneska mluvíme, je mimořádně důležitý. Já jsem rád, že ho máme na stole, že ho vláda připravila. Mám k němu své výhrady a budu rád, když ho budeme moci vyhodnocovat, jak bude naplňovat to očekávání, které do něj vkládáme. Ale to, že musíme regulovat kybernetický prostor a brát ho velmi vážně i z hlediska obrany, ochrany obyvatel a obrany státu, to je nepochybné.

Jazykově upraveno, celá rozprava je dostupná zde