Nahrávám...

Strategická stanoviska

Kybernetická obrana ČR – musíme se umět sami bránit

Je nejvyšší čas, aby vláda přestala otálet a předložila do poslanecké sněmovny již více než půl roku čekající novelu zákona o Vojenském zpravodajství. Novela podmiňuje výstavbu naší kybernetické obrany. Současné úspěšné útoky na Ministerstvo zahraničních věcí ČR jsou vážným projevem naší slabosti a rychle rostoucích hrozeb. 

Dnešní situace – nebezpečně zaostáváme

V zajištění a obraně vlastního kybernetického prostoru nebezpečně zaostáváme. Platí to jak vůči narůstajícím hrozbám, tak pro naše závazky vůči spojencům v Severoatlantické alianci. Již nyní NATO hodnotí, jak členské země postupují se svými kybernetickými obrannými schopnostmi. Zaostáváme kvůli neexistující legislativě. Pokud ta nebude přijata v tomto roce a nezačneme s rozvojem kapacit, ČR v NATO bude ztrácet kredit a důvěru a naše ohrožení poroste.

NATO: Summity ve Varšavě v roce 2016 a v Bruselu v roce 2018 rozhodly: 

- kybernetický prostor byl zařazen po bok vzdušného, námořního a  pozemního, jako další prostor, ve kterém je nutné se bránit a mít k tomu kapacity; 

- byla přijata strategie kybernetické obrany, ve které NATO stanovilo hlavní principy včetně toho, že NATO zajišťuje ochranu společné infrastruktury a koordinuje výstavbu národních schopností, které jsou však v gesci jednotlivých států;

- bylo zdůrazněno  rostoucí riziko a destruktivní charakter kybernetických útoků a nově i nutnost vybudování společné obrany stojící na schopnostech členských států. 

Obrana kybernetického prostoru, zvyšování odolnosti i schopnosti koordinované obrany a odvety v souladu s mezinárodním právem jsou jednou z priorit společné obrany. NATO ji řadí mezi své základní úkoly. (Deklarace NATO ze summitu v Bruselu, čl. 20, www.nato.int)

ČR: Praha, na rozdíl od svých spojenců v NATO, s výstavbou kybernetické obrany nezačala. Nebyla přijata potřebná legislativa, která by to umožnila. A to navzdory včasnému rozhodnutí Vlády ČR z roku 2015, kdy bylo vybudování obranných kapacit uloženo v Akčním plánu k Národní strategii kybernetické bezpečnosti! Konkrétně Vojenskému zpravodajství bylo uloženo: a) zrealizovat aktivity nutné pro zajištění kybernetické obrany ČR včetně vytvoření centra pro provádění širokého spektra operací a b) předložit nutné legislativní změny. 

Ministerstvo obrany Národní centrum kybernetických operací vytvořilo již před dvěma lety, ale fungovat - kvůli neexistenci legislativy - může jen omezeně. Pro návrh legislativních změn se nenašla v minulém volebním období dostatečná politická vůle v parlamentu.

Opět zaostáváme v praktických krocích. A to vzhledem ke kvantitativně i kvalitativně rostoucím hrozbám kybernetických útoků, vůči svým spojeneckým závazkům i v porovnání s ostatními státy NATO. Zůstáváme u pasivní evidence kybernetických útoků a zřizování základních institucí. Jejich evidence se týká jen těch útoků, o kterých s našimi současnými skromnými možnostmi víme. Bude jich jistě více. Enormní nárůst je douhodobým trendem. Stejně tak roste i jejich důmyslnost, zákeřnost a efektivnost, což pro nás může mít již v blízké budoucnosti bolestivé následky. Jsme stále v situaci, kdy máme slabě chráněnou životně důležitou kyber-infrastrukturu například finančního sektoru, energetiky, dopravy, zdravotnictví apod. 

ČR potřebuje projednat legislativní změny připravené MO 

Vláda by měla neprodleně předložit do parlamentu novelu zákona o Vojenském zpravodjaství (VZ), která dává odpovědnost za obranu našeho kybernetického prostoru VZ. Cílem je detekce a identifikace útoků, jejich odvrácení, a koordinace obrany, doma i se spojenci, včetně aktivních odvetných kroků vůči útočníkovi.Zákon nerozšiřuje pravomoci VZ v rovině získávání zpravodajských informací.  Přisuzuje mu roli, která nemůže být zajištěna zákonem o kybernetické bezpečnosti mimo rámec NATO a z něho kompetentními civilními institucemi. A to jak z důvodů národní odpovědnosti za obranu, tak rovněž ve vztahu ke spojenecké spolupráci v kolektivní obraně.

Navrhovaná novela staví na komplexním pojetí kybernetické obrany, v kterém VZ zajišťuje detekci a atribuci kybernetických útoků a hrozeb.VZ je svěřena, dnes nikým neprováděná(!), obrana českého kyberprostoru.Ve většině případů jde o předání informací odpovědným českým institucím. Návrh bere do úvahy existenci „civilních“ institucí jako např. NÚKIB a jejich specifické možnosti. Kybernetickou obranu nemůže realizovat Armáda ČR, která odpovídá za ochranu ryze vojenského kybernetického prostoru, svých jednotek a operací a nezbytné vojenské infrastruktury.

Předloha zákona věnuje nemalou pozornost kontrole celého procesu ze strany exekutivy i parlamentu.VZ patří k vícenásobně civilně a demokraticky kontrolovaným zpravodajským službám. Kromě kontroly vedením ministerstva má svou samostatnou kontrolní komisi v poslanecké sněmovně a jeho kontrole se věnuje také Výbor pro obranu PSP, a také dosud neustavený speciální kontrolní orgán pro „živé“ operace zpravodajských služeb.  

Zákon o kybernetické obraně explicitně formuluje garance nedotknutelnosti soukromí internetové komunikace občanů a garance ústavnosti celé obranné architektury. Navržený model obrany kybernetického prostoru má  charakter „radarového pozorování“ celkového kybernetického prostoru, obdobně jako například ochrana vzdušného prostoru. Nejde tedy o sledování jednotlivých komunikací nebo internetových domén. Kontrolní roli vlády i parlamentu v novele zákona o VZ považujeme za dostatečné záruky demokratické a civilní kontroly.

Doporučení – nejvyšší čas konat

Klíčové parametry legislativního návrhu na kybernetickou obranu považujeme za adekvátní a akceptovatelné. Je nutné je bezodkladně legislativně projednat a prakticky aplikovat.

Řešení, které dává odpovědnost za výstavbu a zajištění kybernetické obrany Vojenskému zpravodajství je v Alianci standardní.Odpovídá řešení přijatému v zemích tzv. „Five eyes“ (USA, Kanada, Velká Británie, Austrálie, Nový Zéland). Zároveň jde o model aplikovaný v řadě dalších států NATO - Dánsko, Estonsko, Francie, Litva, Lotyšsko a Norsko. Srovnatelným směrem jdou také Německo a Holandsko. 

Platí,  že kvalitou a silou své obrany budeme případné útočníky odrazovat a posilovat svou bezpečnost, zatímco svou slabostí přivolávat pohromu. 

Ivan Gabal      Petr Kolář      Daniel Koštoval            Petr Pavel

V Praze 13 . 8. 2019