Novelu zákona jednoznačně podporuji a jsem přesvědčen, že ochrana bezpečnosti obyvatelstva je základní funkcí a povinností státu a tedy, dovedeno do důsledku, i povinností poslance Dolní komory Parlamentu ČR, neboť tak sliboval při převzetí poslaneckého mandátu a bude opět poučné sledovat, kdo z poslanců bude jak hlasovat.
I tato novela, ostatně jako kterýkoliv jiný zákon, se prostřednictvím zákonodárného sboru musí vyrovnat s věčným rozporem mezi právem na soukromí a právem na bezpečnost. Ve fyzickém světě se nám tuto rovnováhu daří víceméně úspěšně korigovat díky dlouhé a mnohdy bolestivé cestě zkoušek a omylů. Bohužel svět, který nás obklopuje, se změnil, a změnily se i podmínky za jakých musíme na nové hrozby reagovat – nyní, více než kdy jindy platí „kdo chvíli stál, už stojí opodál (nebo přesněji řečeno, už ani nestojí, protože než se vzpamatoval, byl zlikvidován)“.
Předloženou novelou zákona o Vojenském zpravodajství vstupujeme do prostoru, kde se vše, ve vzájemně propojeném a provázaném neohraničeném virtuálním prostoru odehrává rychlostí světla, není tu žádná možnost k efektivnímu využití fyzických způsobů obrany. Je to právě ČAS a INFORMACE – jejich nedostatek v okamžiku krize – které jsou limitujícím faktorem úspěšné sebeobrany, nebo chcete-li prevencí před úspěšně provedenou nepřátelskou akcí. Vytváříme zákonné normy pro procesy v prostoru, pro který zatím lidská civilizace zdaleka nenastavila taková pravidla, jaká jsme si zavedli a zvykli dodržovat v reálném světě. To ale neznamená, že budeme rezignovat na obranu před zřejmými fatálními hrozbami, které mohou být, díky naší nekompetentnosti a neochotě přijmout politickou odpovědnost, příčinou lidského utrpení.
Nedělejme si žádné iluze – neviditelný nepřítel je a bude ve svých cílech naprosto nekompromisní. Pokud je nepřítelem někdo, jehož filosofií je jakýmikoliv myslitelnými prostředky dosáhnout „Armagedonu“ i za cenu vlastního sebezničení, protože tak káže jeho „kniha“ (nebo ekonomické zájmy), pak se lze spoléhat pouze na vlastní připravenost, znalosti, kreativitu, lidskou morální a technologickou převahu a stejně nekompromisní ochotu se bránit a útočníka následně i zničit.
Ve fyzickém prostředí máme určitý čas a prostor k řešení mezní situace, v kybernetickém prostoru nic takového k dispozici nemáme – buď útok zachytíme, vyhodnotíme a zareagujeme, nebo nastanou nepředstavitelné problémy.
Jsme schopni v kybernetickém světě objektivně oddělit soukromé od veřejného? Obecně vzato - nejsme - z podstaty věci. Každý jedinec, aktivní v kybernetickém prostoru je potenciálně nebezpečný celé společnosti a každý jedinec může být ohrožen v míře, která odpovídá především jeho vlastním bezpečnostním opatřením. Nicméně je to stát, který nese primární odpovědnost za bezpečnost nás všech. Samozřejmě pokud jsem identifikovaný jako terorista, je identifikován můj obličej, moje chůze, můj hlas odpovídá vzorku hlasu teroristy, pak je vysoce pravděpodobné, že při vstupu do kybernetického prostoru budu tím či oním způsobem identifikován, odhalen. A toto odhalení a sledování mého pohybu a aktivit na „síti“ je logicky a správně v souladu s celospolečenským zájmem, i když budou někteří vykřikovat, že i terorista má právo na ochranu svého soukromí. Stejně tak lze z pohybu dat na síti odhalit nestandardní aktivity, včas detekovat případný útok a zahájit příslušné sebeobranné mechanismy – je k tomu zapotřebí jediné – mít potřebnou legislativu, technologii, lidi a umět to! Chceme se takové možnosti vědomě, z jakýchsi pseudopolitických důvodů vzdát?
Odmítám obecně zažitou filosofii - řešit problém, zvláště takto zásadní, až když nastane, od toho nesedím v poslanecké lavici.
Nevidím žádný racionální rozdíl mezi tím, že data o cestujících v letecké přepravě jsou sdíleny leteckou společností, pojišťovnami, regulačními úřady i příslušnými bezpečnostními složkami a tím, že provoz na kybernetických strategických vstupech, bránách bude sledován Vojenským zpravodajstvím jako kompetentním, zákonem ustanoveným subjektem kybernetické obrany státu.
Jinými slovy – předložená novela zákona je právě oním legitimním a navýsost potřebným krokem k tomu, aby získávání potřebných indicií a jejich využití k zajištění efektivní obrany země bylo založeno pouze na řádném legislativním zakotvení a dodržování zákonných postupů všemi zainteresovanými stranami. Tuto ambici a odpovědnost rozhodně odmítám označovat jako ohrožení společenského konsensu.
Jen pro připomenutí - v nedávné době došlo k opakovanému širokém útoku (útok nebyl hodnocen jako válečný akt) na počítače v mnoha zemích, který byl proveden pomocí ransomware. Microsoft přitom k tomu rozhodně má co říci a dle něj bychom to měli považovat za budíček. Útoky byly provedeny pomocí ransomware WanaCrypt0r 2.0 (či WannaCry), který zakódoval data například v počítačích britského zdravotnictví, což bylo probíráno v prvních zprávách o této události, ale týkal se v podstatě celého světa včetně ČR. Využito bylo jednak klasické šíření pomocí e-mailových příloh, kdy se spoléhá na neznalost a neopatrnost uživatelů, ovšem vedle toho se zde uplatnily také znalosti bezpečnostních děr ve starších systémech, ale to už "jen" pro další šíření na lokálních sítích. Právě proto byly nejvíce zasaženy firmy a organizace….to jen na doplnění.
Dovolím si ještě několik faktických argumentů:
1. Proč svěřujeme kybernetickou obranu Vojenskému zpravodajství, když garantem kybernetické bezpečnosti je Národní bezpečnostní úřad?
NBÚ řeší pouze kybernetickou bezpečnost, což v zjednodušeném překladu znamená jakýsi druh pasivní obrany na straně provozovatelů napadených systémů. VZ, jako součást Ministerstva obrany bude mít v působnosti obranu státu před kybernetickými útoky, které nebude možné zastavit běžnými prostředky kybernetické bezpečnosti (bezpečnostní nastavení systémů, firewally, atd.). Kybernetická obrana bude primárně sloužit k odhalení kybernetického útoku proti ČR, následné identifikaci útočníka a eventuálně i k jeho eliminaci v kyberprostoru. Tato činnost zahrnuje specifické schopnosti, které jsou víceméně zpravodajského a utajovaného charakteru a tudíž budou spadat do kompetence VZ.
2. Proč nenechat obranu kyberprostoru na provozovatelích daných sítí?
Obranu státu v kyberprostoru není možné v žádném případě ponechat v rukou soukromě právních subjektů. Za obranu státu odpovídá jen a pouze vláda ČR tak, jak je stanoveno v č. 222/1999 Sb., o zajištění obrany ČR.
3. Technické prostředky kybernetické obrany umožní číst obsah komunikace občanů ČR. Proč takové kompetence dostává VZ, které má řešit kybernetickou obranu?
Způsob využití technických prostředků bude definován v tzv. „Plánu nasazení a využití technických prostředků kybernetické obrany“, který bude detailně popisovat, ve kterých místech jednotlivých sítí budou prostředky umístěny, jaké informace budou umožňovat získat a za jakých okolností je bude možné použít. Za běžné situace budou tato zařízení monitorovat pouze tzv. metadata (data o provozu sítě) bez zásahu do konkrétních uživatelských dat. V případě, že bude nutné získat konkrétní informace, bude postupováno stejným zákonným způsobem jako při využití zpravodajské techniky nebo tzv. odposlechů. Tvrzení, že bude možné technické prostředky využít i na získávání uživatelských dat je pravdivé, ale předpokládá automatické porušování zákona ze strany prověřených příslušníků VZ (bezpečnostní prověrka min. stupně T). Stejným způsobem by bylo možné osočit např. pracovníka pošty, který třídí dopisy. Navíc se v současnosti zavádí několika stupňová kontrola zpravodajských služeb.
4. Provozovatelé sítí mají obavy s ovlivňování provozu jejich sítí.
VZ jedná se zástupci jednotlivých sítí a nebude striktně po každém z nich žádat umístění vlastních prostředků. Postup nasazení těchto prostředků bude vycházet ze vzájemné dohody mezi VZ a provozovatelem sítě, kterému bude vždy předcházet diskuze o konkrétním technickém řešení, které neovlivní chod dané sítě. Věc je ošetřena v rámci předložených pozměňovacích návrhů.
5. Pokud budou citovány připomínky NBÚ, případně dalších institucí, které byly řešeny v rámci meziresortního připomínkového řízení, jako např. „novela vyvolává silný dojem, že je zpravodajského charakteru“
Tyto připomínky byly vzneseny k první verzi návrhu, ve které bylo zmíněno, že technické prostředky kybernetické obrany slouží POUZE k monitoringu páteřních sítí. V rámci vypořádání připomínek se upravila definice technických prostředků, tak aby nevyvolávala tento dojem. Poznámka pod čarou – tuto definici navrhl jeden z úřadů, který připomínku vznesl (NBÚ).