„Potřebujeme aktivní zbraně, kterými by Česká republika zasáhla. Je pravda, že to za nás nikdo neudělá, ani NATO. V tomto okamžiku jde o to, aby Vojenské zpravodajství mělo kybernetické útočné nástroje,“ prohlásil Dušan Navrátil, ředitel Národního úřadu pro kybernetickou bezpečnost (NÚKIB) na konferenci o kybernetické bezpečnosti, která se uskutečnila 27. května v hotelu President v Praze. NÚKIB sice umí detekovat a analyzovat hrozby, avšak nedokáže na ně účinně odpovědět. Novela zákona o vojenském zpravodajství (VZ), která je nyní po připomínkovém řízení, svěřila obranu armádním špiónům. Ti by měli vést protiofensivu proti hackerům. Návrh zákona by měl v létě zamířit na vládu
  |
Život pod útokem
Pro ředitele bezpečnosti ČEZ Daniela Rouse jsou kybernetické útoky každodenní chléb. V rámci největší energetické skupiny v zemi je v provozu hned čtrnáct systémů kritické infrastruktury, a to včetně výroby atomové energie či řízení distribuce elektřiny. Pro Rouse jsou různé pokusy hackerů denním chlebem. Popsal i případ, kdy ČEZ nakoupil německou firmu, která se po měsíci stala obětí ransomware. Útočník zablokoval část dat. Následně požadoval za obnovení přístupu k nim výkupné. „Zatím se nám nestalo, že bychom od Policie ČR dostali kvalifikovaný návod, co bychom měli dělat. Zajistíme jim všechny stopy, které jsme schopni zajistit. Ty jim předáme a pak už jen čekáme až uběhne patřičná lhůta. Následně nám oznámí, že vyšetřování bylo odloženo,“ konstatoval Rous.
Výhoda zpravodajské služby, která bude mít pod sebou kybernetickou obranu spočívá mimo jiné ve skutečnosti, že pro vedení operací nepotřebuje souhlasy známé z klasického trestního řízení. K získání důkazů z ciziny nepotřebuje – na rozdíl o policie - například souhlas tamní justice. Klasická justiční spolupráci se v lepším případě počítá na měsíce, a v případě vzdálenějších zemí jde do let.
Útočník nepočká
K apelu na přijetí zákona se připojil i Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti (ČIMIB) a autora uznávaného zákona o kybernetické bezpečnosti. Připojil anekdotu, jak se v poměrně významné státní instituci nevěřícně díval na nápis na vrátnici: Přijdu hned. Pokud nejste zaměstnancem úřadu, vyčkejte než se vrátím. „Pokud nebudeme mít zákon, dejme na web úřadu vlády také nápis – neútočte, ještě nejsme připraveni. Zákon prostě potřebujeme jako sůl, a rychle,“ dodal Špidla. Pozastavil se nad debatou o tom, kdo by případně zaplatil škody vzniklé protiofenzivou proti hackerům. Zejména telekomunikační operátoři, kteří by měly VZ umožnit přístup do internetových uzlů, aby zpravodajci mohli monitorovat provoz na síti, si hlasitě stěžují. Obávají se škod, které by pro ně mohla novela mít. „Kdo to zaplatí? Poražený. Jestliže se přes most přes Vltavu pohrnou tanky, musíte ho vyhodit do povětří. V tu chvíli se neřeší, kdo postaví nový most a kolik to bude stát. Potřebujete jednoduše dráty přetrhat, aby se k vám útočníci nedostali,“ uvedl Špidla.
Útoky přes síť přitom mohu přinášet i smrt. Noční můrou je vyřazení systémů, které se využívají ve zdravotnictví. Dále pak i IT systémy pro řízení železniční dopravy.
Roky investic
První pokus o přijetí zákona spadl pod stůl v minulé sněmovně. Politici a zejména komerční sféra kritizovali zásahy státu. Obávali se nezákonného čtení emailů a obsahů zpráv, které se šíří po internetu. Ředitel VZ Jan Berou to v rámci diskuse o v pořadí 2. novele odmítl. Upozornil zároveň na dva konfliktní zájmy. Jedním je požadavek ochrany soukromí, proti kterému jde druhý - zajištění bezpečí. Kybernetická obrana přitom byla před třemi lety na summitu NATO ve Varšavě zařazena jako další sféra, kde je možné vést bojové operace. Už předchozí kabinet Bohuslava Sobotky navíc svěřil tuto problematiku do kompetence právě VZ.
Beroun proto varoval před dalším oddálením přijetí novely. Bez zákonného oprávnění zpravodajci kritické IT systémy bránit ani fakticky nemohou. „Náš problém jako Čechů je, že velmi silně věříme v improvizaci. Ve finále jsme tuto vlastnost povýšili na zákon. Vycházíme z nebezpečného pocitu, že nepřítel nebude proradný a nepřekvapí nás. Jenže on to bohužel udělá,“ varoval šéf VZ Beroun. Upozornil také, že se pod VZ podařilo nashromáždit poměrně unikátní množství odborníků na IT. Pokud však brzy neuvidí, že získají zákonné zmocnění ke kybernetické obraně, státní služby vymění za soukromou sféru.
„Smutnou pravdou je, že pokud zákon schválen nebude, žádnou obranu mít nebudeme,“ řekl na setkání, které uspořádala společnost Mafra Tomáš Pojar, bývalý náměstek ministra zahraničí a garant kybernetické bezpečnosti na vysoké škole Cevro na konferenci.
