Zákon o kybernetické obraně uvízl ve Sněmovně a hrozí, že do voleb nebude schválen, a tím pádem neprojde vůbec. Co by se stalo, kdyby spadl pod stůl?

Nebudeme moci kybernetickou obranu vybudovat v celé potřebné šíři. Ale nedokážu si představit, že se zastavíme na půl cesty poté, co se vláda ztotožnila s tím, že existuje reálný problém, a dala nám jednomyslně úkol obranu vybudovat, a když ve Varšavě proběhl summit NATO, který kyberprostor definoval jako prostor, ve kterém může probíhat nebo už probíhá válečný konflikt.

Bylo by také těžko vysvětlitelné partnerům v NATO, že od nich chceme informace, ale nemůžeme s nimi při řešení kybernetických problémů spolupracovat.

Ve sněmovní diskusi měl výhrady k zákonu hlavně šéf klubu ODS Zbyněk Stanjura, podle něj je ve světě běžné nejdříve spustit provoz kybernetické obrany a pak k němu dodělat legislativu. Proč nejdete touto cestou?

Umíte si představit, že utratíme miliardu korun bez zákonného zmocnění? Jsou země, kde legislativu nepotřebují. Britové neměli dlouho ani zákon o zpravodajských službách. Američané přelomí prezidentskými dekrety cokoli a jsou také země, kde je státní poskytovatel spojení a nemusí si se zákonem lámat hlavu. Ale u nás je to jinak.

Podle poslanců je otázka, zda je správné prolomit pravidlo po roce 1989, že tajné služby nesmí dostat exekutivní pravomoci, ale ony je tímto zákonem dostanou.

Svět se od roku 1989 změnil, hrozby jsou jiné. A všude tuto schopnost mají tajné služby.

A proč nebudete dál jen monitorovat a útoky proti nepřátelským hackerům nenecháte na někoho jiného?

V diskusích padá, že to má dělat armáda, ale ta se připravuje na kinetický způsob boje a pro toto nemá žádné předpoklady: z hlediska utajení, postupů i financování. My máme na co navázat.

Častá výhrada je, že zákon prolomí základní lidskou svobodu – a to listovní tajemství, protože budete moci monitorovat datový tok bez povolení soudu.

Žádný soud nám nemůže vypsat bianko šek. Probírali jsme to s legislativními odborníky a ti jednoznačně řekli, že monitorování metadat nelze zařadit pod povolování nasazení klasické operativní techniky (mj. odposlechů – pozn. red.).

Všechny kroky, které budeme dělat, budou zaznamenány a budou dohledatelné. Když spočítám všechny stupně kontroly, kterým navíc podléháme, dojdu k číslu 14. A navíc z podstaty věci nepotřebujeme jít do obsahu zpráv, ale stačí nám pouze příznaky toku dat a to, jestli se někdo chová podezřele. Už dnes můžeme soudce požádat, abychom mohli sledovat obsah nejen hovorů, ale i e-mailů a dat. A když to odůvodníme, tak nám to povolí.

Proč tedy potřebujete nový zákon?

Již nyní v odůvodněných případech dostaneme od soudu povolení na sledování obsahu, který vychází z konkrétní IP adresy a od konkrétního člověka, ale ke komplexnímu zabezpečení obrany potřebujeme zjišťovat, jak se tváří a mění celá síť i datová komunikace, a hledat podezřelé příznaky toho, že se někde připravuje útok. Na to však současná legislativa nestačí.

Jak, co a kde chcete z toho informačního toku shromažďovat?

V případě potřeby budeme uchovávat informace u nás v kybernetickém centru a budeme shromažďovat pouze podezřelé příznaky komunikace, nikoli obsah. Zeptejte se operátorů, kolik lidí může tyto příznaky dnes sledovat. Jsou jich stovky a pochybuji, že někdo z nich má prověrku.

Jaké technické zařízení budete chtít u operátorů připojit?

To nelze říci, stejně jako u zbraní nemůžete nepříteli prozradit všechny detaily. Operátorům jsme nabídli, že jim pouze sdělíme, co chceme, aby z techniky teklo, a ať ji pořídí sami a ozkoušejí ji, aby měli jistotu, že jim to neohrozí provoz s tím, že veškeré náklady na její pořízení a testování uhradíme. Všechna ta zařízení budou stoprocentně pasivní, neumí do sítě nic posílat a nejde skrze ně nijak útočit.

A jak budete na nepřátelské hackery útočit?

Aktivní schopnosti budou vybudovány jiným způsobem. Obrana bude ale hlavně pasivní. Vypne se síť, útok se přesměruje. Spoustu těchto kroků dělají sami operátoři.

Všechny naše kroky bude mít pod kontrolou vláda. Bude schvalovat plán, kam technické prostředky dáme, a také plán obrany. Bude nutné zobecnit modelové situace, abychom přesně věděli, kdo v jaké situaci bude moci co udělat.

Kdo v případě útoku bude rozhodovat o protiútoku?

Obecně lze říci, že např. útok, který by vedl ke zničení cizího serveru, což je vlastně válečný akt, bude schvalovat vláda. V otázce, co je vlastně kybernetický útok a jak na něj reagovat, je ale těžké hledat legislativní mantinely. Podívejte se na USA, ty říkají, že každý kybernetický útok budou brát jako vyhlášení války, ale ještě to nikdy neudělaly.

Celý ten zákon je prý gumový, kritici říkají, že je tam hodně prostoru pro zneužití.

Když budeme předjímat, že jsme parta bláznů, kteří to chtějí zneužít, tak nemůžeme dělat vůbec nic.

Škodí vám v prosazování tohoto zákona pověst, kterou zpravodajství získalo kauzou Nagyová?

Každý, i poslanci v branném výboru, mi vždy vmetou do obličeje Nagyovou, ale co já s tím nadělám? Určitě nám to nepomáhá. Bez ohledu na to, jestli je v té kauze někdo vinen, jsme udělali systémové změny. Je také navržena změna zákona o kontrole zpravodajských služeb. Nově by do tohoto zákona mělo být načteno, aby všichni, kteří budou pracovat v kybernetickém centru, byli podrobeni detektoru lži.

Proč?

Musí to být co nejvíce utažené, i právě kvůli kauze Nagyová. Je to pro nás samozřejmě další forma kontroly. Jak my, tak všechny kontrolní orgány musí mít stoprocentní jistotu, že veškerá naše činnost je v mezích zákona, který ji definuje.

Dalším důvodem je pro nás i maximální prevence a jistota, že nedojde k jakémukoliv úniku dat, která mohou být citlivá. Všichni známe kauzu Snowden (zaměstnanec CIA, který zveřejnil utajované zprávy). Všechny takové průšvihy jsou hrobařem věrohodnosti jakékoliv služby.

Operátorům se nelíbí, že v zákonu není jasně dáno, že za případné škody, které svou činností uděláte, ponese odpovědnost stát.

Takový paragraf jsme navrhovali, ale vyškrtla ho Legislativní rada vlády. Podle ní existuje obecný zákon o odpovědnosti státu za škody, a proto se nemusí dávat do každého dalšího zákona. Různí lobbisté se to tam snaží prosadit, aby se jakékoli spadnutí sítě mohlo svést na kybernetickou obranu. Nejde ale, aby stát měl automaticky odpovědnost za každý problém na síti.

Jinak nemáme problém s tím, ať se každá událost prošetří, a když se zjistí, že za ni máme nést odpovědnost, tak ji přijmeme a škody uhradíme. Ale vzhledem k tomu, že zařízení budou pasivní a operátoři si je otestují, víme od odborníků, že riziko je nulové. Pragmatický přístup v tomto k zákonu ukázala bankovní asociace. Banky jsou velmi háklivé, aby se jim někdo dostal do systému, ale byly první, kdo tomuto zákonu vyjádřily jednoznačnou podporu.

V jaké fázi je budování kybernetického centra?

Budujeme kapacity, nabíráme a trénujeme lidi, chybí nám jen zákon. Je překvapivé vzhledem k náročnosti na vzdělání a dovednosti, které jsou k tomu potřeba, že se lidé hlásí. Ale nevím, co by ti lidé dělali, kdyby poslanci zákon neschválili.

O jaké útoky se budete zajímat? Dá se spočítat, jak jsou časté? Mluví se o miliónech denně.

To jsou útoky, které musí řešit úřad pro kybernetickou bezpečnost případně policie. My se budeme zajímat o útoky, které budou ohrožovat obranu země. Ale půjde o to, určit si hranice. Když vypnou všechny bankomaty v zemi na jeden den, tak to příliš vadit nebude, ale po měsíci se budou lidé přepadat na ulici, rabovat atd. a to už zemi ohrožuje.

Už si osaháváte kyberprostor?

To bez zákona nemůžeme, ale začínáme se seznamovat s provozem po technické stránce.