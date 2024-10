Vybuchující pagery a další elektronika libanonského radikálního hnutí Hizballáh vejde do dějin. Nejen proto, že bezpochyby jde o jednu z nejúspěšnějších akcí izraelského Mosadu, ale zároveň je to příběh jako ze špionážního filmu.

Nechybí fiktivní firma v Maďarsku s imaginárním vedením s podezřelými profily na sociální síti LinkedIn, roky plánování, konspirací a všeho, co člověk vnímá jako typickou součást zpravodajských operací. Zároveň to ale z pohledu Česka může vypadat vzdáleně. Blízký východ je i přes svůj název přece jen daleko a tamnímu konfliktu věnujeme podle výzkumů výrazně nižší pozornost než konfliktu na Ukrajině, což je v zásadě pochopitelné.

Způsobu provedení bychom však pozornost věnovat měli, protože jde o náš životní zájem. Ne snad že by hrozilo, že nám začnou vybuchovat telefony, ale protože tzv. útok na dodavatelský řetězec je metoda útoku, která je zjevně v kurzu a proti níž je těžké se bránit.

Jak to funguje, se dá pochopit na mobilním telefonu. Když se vás zeptám na ten váš, nejspíš mi řeknete jméno jeho výrobce a typ operačního systému. Ale kdo vyrobil procesor nebo jiné hardwarové komponenty, případně kdo jsou vývojáři všech aplikací, které v telefonu máte, o tom nejspíš nemáte ponětí.

Jde o stovky firem, jejichž koordinované úsilí vede k tomu, že máte v kapse počítač s obrovským množstvím funkcí. V případě vybuchujících pagerů bylo dodavatelů rovněž nespočet, ale jednou z firem v řetězci byl i Mosad. A ten do pagerů přidal svou vlastní komponentu: pár gramů trhaviny.

S něčím takto sofistikovaným se běžný uživatel asi nepotká. Nicméně to, že někdo infikuje nějakou obvykle používanou aplikaci, jež se najednou začne chovat jinak, například místo přehrávání hudby krade přístupy k internetovému bankovnictví, se stává naprosto běžně.

Podstatný je princip: někdo z dodavatelů firmy, která vyvíjí aplikace, dodal škodlivý kód, jenž se stal součástí aplikace, a ta se proto začala chovat jinak. A navíc se tak stalo zničehonic, protože aplikace se neustále aktualizují. Obvykle jde o bezpečnostní záplaty nebo nové funkce, občas se však do řetězce vloudí někdo cizí.

Nezáviset na nepříteli

Stejný princip funguje i ve světě mimo jedničky a nuly. Konflikt na Ukrajině vypadá jako reminiscence 2. světové války jen ve svém mediálním obrazu, který zpravidla není schopen vystihnout celou šíři dění. Aktuálně totiž doktrína NATO rozlišuje pět tzv. domén, ve kterých se dá válčit: země, voda, vzduch, vesmír a kyberprostor. A konflikt na Ukrajině probíhá ve všech těchto doménách, přičemž v některých z nich jsme tím kritickým dodavatelem my jako Západ.

Kupříkladu těžká obrněná technika. Kromě toho, že Ukrajina potřebuje této techniky logicky co nejvíc, potřebuje taky opravovat tu stávající. To se děje u nás a v Polsku, protože ukrajinské kapacity jsou nedostatečné. Onou klíčovou komponentou, na níž závisí funkčnost ukrajinské techniky, jsme tedy my jakožto Západ.

Je samozřejmě lepší záviset na spojencích než na pravděpodobném nepříteli, jako tomu bylo po léta s naší armádou, která většinově používala sovětskou techniku a byla závislá na náhradních dílech z Ruska, ale žádnou závislost nelze označit za dobrou.

Zda si z aktuálního ukrajinského příkladu něco odneseme, budeme moct sledovat na příběhu servisní smlouvy na nová bojová vozidla pěchoty (BVP), která jsme si loni koupili za skoro šedesát miliard korun. Jako každou techniku bude i tato BVP jednou někdo muset servisovat a opravovat.

Pochopili jsme problém s nevyzpytatelným dodavatelským řetězcem? To uvidíme na tom, zda opravy obrněnců (mimochodem, půjde o zakázku minimálně za desítky miliard) svěříme nějakému státnímu podniku, a tudíž nad nimi budeme mít plnou kontrolu, nebo jestli servis bude provádět soukromník, a tak vznikne situace, kterou zejména v IT světě označujeme jako vendor lock in, tj. závislost na jednom dodavateli.

Tuto situaci bohužel můžeme vidět v řadě oblastí. Po léta jsme takovou závislost zažívali ve vztahu k Rusku a jeho nerostných surovinách, ačkoli na bezpečnostní rizika této závislosti upozorňovala řada lidí i institucí – a nejpozději po roce 2014 a okupaci Krymu už nemohlo být o povaze Putinova režimu sebemenších pochyb.

Bezpečnostní katastrofa

Závislosti na Rusku se zbavujeme vcelku efektivně, mimo jiné proto, že Rusko kromě nerostných surovin nic nabídnout neumí, a proto s ním obchod nijak zvlášť nevzkvétá. Jiný příběh je ale Čína. Aktuálně na půdě Sněmovny probíhá další dějství mnohaleté debaty o bezpečnosti kritické informační infrastruktury v naší zemi, protože poslanci dostali na stůl dlouho očekávanou novelu zákona o kybernetické bezpečnosti, jež obsahuje i mechanismus řešení právě bezpečnosti dodavatelského řetězce.

Soukromý sektor se snaží novelu kritizovat ze všech možných úhlů, z nichž nejpozoruhodnější je, že v oblasti kontroly dodavatelského řetězce Češi jdou dokonce nad rámec požadavků, které po nás chce evropská kyberbezpečnostní směrnice. Jako by po letech pláče, že nám Brusel něco diktuje, přišel pláč, že děláme něco, co nám Brusel pro změnu nediktuje.

Každopádně úvaha nad tím, jestli je závislost na Číně, kterou naše Bezpečnostní strategie České republiky označuje z řady důvodů za jednu z hlavních hrozeb, zdravá a pro Česko perspektivní, je rozhodně namístě. U kritické infrastruktury by to mělo být bez debat (jakkoli schvalování zmíněného zákona ukazuje, že bez debat to bohužel není).

Člověk nemusí být zrovna bezpečnostní expert, aby si domyslel, že svěřit nepřátelskému státu klíče od systémů, které mohou doslova vypnout náš stát a jeho životně důležité systémy, není extra chytré. Komplexnější problém je, že i jevy, které by v izolované podobě nebyly nijak nebezpečné, začnou být smrtelně nebezpečné, pokud se vyskytnou masově.

Pokud jedné firmě vypadne nějaký důležitý dodavatel, může to danou firmu přivést do velkých problémů a možná k bankrotu, ale ze společenského hlediska nejde o nic fatálního.

Potíž by nastala v případě, kdy by o významného dodavatele přišly všechny firmy v zemi. Německý Ifo Institut pro ekonomický výzkum v roce 2022 udělal velké šetření, z něhož vyplynulo, že 46 procent německých výrobních firem odebírá významné vstupy z Číny. Takovéto propojení s ekonomikou západního typu, kde jsou firmy svobodné a autonomní, by nebyl problém. V případě Číny, kde všechno podléhá rozhodnutí komunistické strany, je to potenciální katastrofa.

Černý scénář

Představme si, že Čína vojensky napadne Tchaj-wan. K tomu se západní svět bude muset nějak postavit. Lze očekávat, že první reakce bude směřovat k odsouzení této agrese, nicméně zkusme si představit, že Čína vytáhne kartu obchodního embarga na státy západní Evropy.

Připočtěme fakt, že významná část naší kritické infrastruktury (zejména telekomunikace) stojí na čínských technologiích a dálkové vypnutí takovéto infrastruktury není problém. Ostatně, známe to i od nás: Dalibor Dědek, zakladatel firmy Jablotron, která vyrábí primárně zabezpečovací a komunikační systémy, po útoku Ruska na Ukrajinu jednoduše na dálku vypnul ruským a běloruským uživatelům služby Jablotronu.

Domnívat se, že by něco podobného byl pro technologicky vyspělou Čínu větší problém, by bylo extrémně naivní. Jak by tedy ve světle těchto skutečností vypadala reakce Západu na čínskou okupaci Tchaj-wanu?

Kudy ven

Otázka na závěr zní, co s tím vším. Odpověď je v zásadě jednoduchá, byť jen málokdo ji chce slyšet. Je totiž třeba si připustit, že trh všechno nevyřeší. Trh funguje, když všichni hrají podle stejných pravidel, což v globálním soupeření neplatí. Zároveň je dobré si uvědomit, že Západ své síly a suverenity dosáhl nikoli jen díky trhu, ale především díky hodnotám, které vyznává: zejména jde o svobodu a individuální práva.

Měli bychom se proto dívat, jestli ten, s kým chceme dělat byznys, vyznává také stejné hodnoty. Zní to banálně, ale vzato do důsledku bude tento přístup stát obrovské úsilí a peníze navíc, ale je třeba to otevřeně říkat: bezpečnost zadarmo opravdu nebude.

A druhá věc je, že pokud chceme obchodovat jen s těmi, k nimž máme důvěru, máme s nimi nastavené dobré vztahy a jde o země vyznávající stejné základní hodnoty, musíme se také starat o šíření vlastního vlivu ve třetím světě. Čína velmi efektivně obchodní a technologickou silou de facto kolonizuje velké části Afriky, Jižní Ameriky, Asie a obecně celého světa.

Když jí nebudeme vytvářet protiváhu a nezískáme více částí světa na svou stranu, máme smůlu, protože bezpečný dodavatelský řetězec nevytvoříme, když do něj nebudeme mít koho zapojit. Mimochodem, přesně tohle je asi hlavní část agendy nového českého eurokomisaře Jozefa Síkely, což z něj – bráno optikou předešlých řádků – dělá jednoho z nejdůležitějších eurokomisařů.

Jednoduše řečeno, v současném světě se bojuje o vliv, zdroje a moc stejně jako kdykoli v minulosti. Charakter hrozeb se ale proměnil a moderní, tzv. hybridní hrozby znamenají, že zbraní může být víceméně cokoli, co jde jako zbraň použít.

Jednou z našich slabin, která je aktuálně hojně zneužívána nejen ve světě IT, je naše závislost na dodavatelích, kteří nesplňují ani elementární bezpečnostní opatření, případně jde rovnou o nepřátelské režimy. Pokud tyto slabiny nezačneme co nejdříve řešit, může se stát, že nám celá naše západní civilizace a náš způsob života vybuchnou do obličeje úplně stejně jako pagery Hizballáhu.