Začnu od klíčových věcí. Kybernetická bezpečnost je klíčové téma, zaslouží si politickou shodu a zaslouží si dobrou a fundovanou debatu. Je to věc, kterou nepodceňujeme. Chci dokumentovat, než upozorním na jistá rizika či slabá místa tohoto návrhu, na náš konstruktivní přístup.
Za prvé chci poděkovat panu premiérovi, že zorganizoval jednání všech politických stran zastoupených v Parlamentu České republiky k tomuto návrhu zákona. My jsme k tomu přistupovali natolik konstruktivně, že před tímto jednáním jsme písemně položili /já jsem to počítal/ přesně 37 dotazů. Chci poděkovat Vojenskému zpravodajství, které nám ještě před tím jednáním odpovědělo, tudíž jsme mohli debatovat ne pouze v té obecné rovině, protože na té se bezesporu shodujeme, tady žádný rozpor nevidím, a je to dobře v této oblasti, ale mohli jsme diskutovat nad našimi konkrétními dotazy, pochybnostmi či riziky, které v návrhu vidíme.
Z té diskuse - nechci tady nikoho citovat, protože já to považuji za uzavřené jednání, takže by to ani nebylo korektní vůči ostatním partnerům - nicméně ta diskuse nerozptýlila obavy. Co mě mrzí, je to, že poté už takové politické jednání neproběhlo. Já vím, že proběhlo ve výborech. To nijak nezpochybňuji, těm to patří. Já určitě mohu citovat sebe. Říkám si, že takový zákon si možná zaslouží více než jiný politickou dohodu mimo mikrofony právě s ohledem na bezpečnost naší země. Proto mě to mrzí.
Přece jenom některé otázky a nedostatečné odpovědi vám odcituji, abychom zvážili - pan ministr říká, že všechny připomínky byly řádně vypořádány. Já si myslím, že všechny ne. Neříkám, že žádná. Zmíním pouze ty, které podle mého názoru vypořádány nebyly. Možná už někteří moji předřečníci, ať už byli podporovateli toho zákona či byli trošku zdrženliví, je vlastně také zmínili ve svých vystoupeních.
Jsme tady přesvědčování, a já ten názor nijak nezpochybňuji, že to musíme schválit ještě v tomto volebním období. Na to bezesporu ještě máme čas a ještě můžeme některá rizika a pochybnosti odstranit. Já pak úplně na konci svého vystoupení přednesu svůj pozměňovací návrh, který jsem vložil do systému.
Nás samozřejmě zajímalo, jak tuto otázku řeší spojenci. Myslím si, že jako zodpovědný člen NATO bychom to vědět mohli. Musím říci, že ta odpověď je poměrně zvláštní. My jsme chtěli vědět mezinárodní zkušenosti a já vám řeknu, co jsme se dozvěděli, aniž bych citoval nějaké utajované skutečnosti nebo nějaké citlivé podrobnosti.
Kybernetické útoky jsou tématem, které většina západních států v současné době intenzivně řeší. Mluvil tady pan ministr a myslím, že i pan zpravodaj, o summitu NATO, kde se to řešilo na nejvyšší úrovni. Je však třeba říci, že z hlediska legislativní úpravy jsme poměrně vpředu, jelikož většina států jde cestou nejdříve vytvořit schopnosti kybernetické obrany a případně následně dotvořit legislativu. My jsme šli opačnou cestou - nejdříve upravit legislativu a následně teprve vytvářet schopnosti. Já to nepovažuji za šťastné a chtěl bych se zeptat pana ministra, proč nejdeme stejnou cestou jako naši klíčoví spojenci, protože v okamžiku, kdy vytváříme schopnost, tak se může ukázat také potřeba, jak přesně změnit legislativu. Tady to děláme úplně naopak. Říkám, není to naše stanovisko, cituji z odpovědi Vojenského zpravodajství. Spojenci nejdříve vytvářejí schopnost a pak případně upravují legislativu, my chceme nejdříve upravit legislativu a následně vytvářet schopnost. Sami si můžeme odpovědět, co je důležitější přitom jak se bránit tomuto bezesporu velkému nebezpečí.
Velkou debatu jsme vedli na tom jednání a vedeme i dnes o tom, zda Vojenské zpravodajství bude používat pouze pasivní prvky nebo i aktivní prvky. Musím říci, že až po tlaku argumentů připustil ředitel Vojenského zpravodajství, že se jedná i o aktivní prvky. Musel jsem si zvyknout na to - protože nejsem členem výboru pro obranu ani výboru pro bezpečnost, že někdy to názvosloví není úplně přesné - že aktivní obrana znamená útok, abychom věděli, když mluvíme o aktivní obraně, že si pod tím máme představit útok. Teď nevím, o kterých zbraních mluvíme. Je to poměrně zvláštní, já jsem si myslel, že obrana je obrana a útok je útok, ale aktivní obrana je útok. Říkám, bylo to až pod tlakem argumentů, kdy musel ředitel Vojenského zpravodajství připustit a přiznat, že v návrhu zákona se mluví i o aktivní obraně, neboli útoku.
Mluvil o tom pan poslanec Skalický, kdy my, občanští demokraté, říkáme, že bezesporu stát, náš stát, naše země, Česká republika, musí provádět i útoky v této oblasti. O tom není spor. Spor - možná legislativní - či taktická otázka je, zda to má dělat tajná služba nebo ne. My jsme přesvědčeni, že tajná služba to dělat nemá, že její úkoly spočívají v obraně a ve sběru informací, pasivní obrana kybernetické bezpečnosti bezesporu odpovídá tomu, co my si představujeme, že má dělat tajná služba. V tom zase není žádný spor.
Bohužel ta debata od té schůzky - já to z hlavy nevím, pane ministře, ale zhruba bych odhadl, že to jsou dva až tři měsíce - v této oblasti nepokročila, nedostali jsme žádné nové argumenty. Říkám, že ty argumenty jsou možná natolik silné, že byste nás přesvědčili, ale zatím ať už v civilní oblasti nebo v oblasti obrany, v oblasti bezpečnosti, jsou nějaké úkoly bezpečnostních služeb, tajných služeb, a ty aktivní kroky, útok, nebo aktivní obranu, chcete-li, provádí někdo jiný mimo jiné na základě informací, které dostane z tajné služby.
Tady se to týká mimo jiné také oblasti, ve které nepanuje shoda mezi soukromým sektorem a tímto návrhem. Pan ministr obrany tady říkal, že byly zapracované návrhy ICT Unie, že s nimi komunikuje. Já musím říci, že můj pozměňující návrh, který jsem podal do systému, vychází z konzultací a z postojů ICT Unie. Není to můj soukromý názor, není důvod, abych to tady neřekl jasně na mikrofon.
Když to shrnu - já to pak zdůvodním, jednotlivé změny paragrafů - tak soukromí operátoři říkají: Jsme připraveni spolupracovat se státem, chápeme zájmy státu, chápeme i povinnosti, které tato oblast kybernetické bezpečnosti přináší soukromým subjektům, ale jsme proti tomu, aby Vojenské zpravodajství zapojilo do našich sítí aktivní prvky.
A to je klíčová neshoda. A neříkejme, že není. Oni to zdůvodní a říkají: A pokud chcete aktivní prvky, pokud si to prosadíte, tak chceme mít zákon a garantováno, že díky přítomnosti těchto prvků v našich sítích dojde k nějaké škodě pro naše zákazníky, ať jsou soukromého nebo veřejného sektoru, chceme být vyviněni z případných škod. Mně tento požadavek připadá oprávněný a spravedlivý. Uvidíme, jaké bude stanovisko Ministerstva obrany k tomuto pozměňujícímu návrhu. Nechci dopředu říkat, že budou proti, ale zatím se tento silný názor ICT Unie k návrhu zákona ani v pozměňovacích návrzích, které prošly výborem pro obranu, neobjevil. To je velký problém, protože stát chce něco po soukromém sektoru, chce ukládat další povinnosti, to je rozumné, ale nechce převzít odpovědnost za případné škody způsobené zákazníkům těchto operátorů. Nad tím bychom se měli zamyslet, protože si myslím, že takový stav není komfortní a může vyvolávat do budoucnosti konfliktní situace.
Druhá oblast, kterou jsme široce debatovali na té schůzce zástupců všech parlamentních stran, jak s panem premiérem a byl u toho samozřejmě i pan ministr obrany a byl u toho i ředitel Vojenského zpravodajství, byla oblast skladování dat. Ta debata byla opět poměrně složitá, od původních výroků typu my žádná data nebudeme archivovat, jsme došli k tomu, abych mohl vyhodnotit atypický stav na síti, nějakou mimořádnou událost na síti, tak to musím mít s čím srovnávat.
A abych to měl s čím srovnávat, tak to předchozí období musím mít někde uloženo. Klíčová otázka je: kdo bude zpravovat ta data, jak dlouho, jak se budou likvidovat, pod čí kontrolou ta data budou. Odpovědi jsme nedostali. Naopak na začátku jsme dostali absurdní vyjádření ředitele Vojenského zpravodajství, že žádná data oni shromažďovat nebudou. Ale pak to nemá žádný význam. A já si za nás říkám, je to jasné, je to logické a stát musí ta data shromažďovat. Rozumíme si? Nejde o to, že nemá, protože pak je ta obrana bezzubá, ale musíme si to říci otevřeně, musíme si říci jak nejlépe zabezpečíme tato data a abychom zvýšili důvěru, že nedojde ke zneužití těchto dat.
Další věc, a mluvili o tom kolegové, myslím, že poslanci z hnutí ANO, mluvili o nutných prostředcích a myslím, že pan zpravodaj porovnával výdaje na obranu v té konvenční oblasti a v té kybernetické bezpečnosti. Já s panem zpravodajem souhlasím, jenom mi nedá, abych nepřipomenul ještě hlasování v prosinci loňského roku, kdy to sice byl opoziční návrh, ale podle mne směřoval do oblasti obrany, kdy jsme navrhovali posílit pro letošní rok rozpočet Vojenského zpravodajství o jednu miliardu korun. Samozřejmě proti těm padesáti čtyřem je to pořád málo, ale řekněme si, co k tomu řekla vláda jako celek, pan ministr obrany a vládní koalice? Odmítli tento vstřícný krok. A teď nemluvím o těch dalších devíti miliardách, protože dnes nemluvíme o armádě, mluvíme o kybernetické bezpečnosti. Je to škoda. I kdyby, slyším ten argument a slyšel jsem ho, nestačili bychom to efektivně využít, tak u každého druhého materiálu nebo když vznikne nějaký dodatečný požadavek na rozpočet v kterékoli oblasti, které logicky vznikají za každé vlády, tak velmi často říkáme takovou tu oblíbenou položku všech ministrů: nespotřebované nároky. Jinými slovy nebyla nutnost ty peníze utratit v roce 2017. Díky rozpočtovým problémům byla jistota, že ty peníze u vojenského zpravodajství zůstanou. Bohužel vláda to odmítla.
Pak si myslím, že jsou v tom i poměrně vágní pojmy, např. jak plánuje Vojenské zpravodajství garantovat zajištění ochrany osobních údajů, citlivých údajů a soukromí zákazníků? A odpověď zní: garance v takových případech bude postavena na stejné bázi jako připouští zpravodajské techniky, případě odposlechů. Z toho bych mohl dovozovat, že nasazení prvku pasivní obrany bude povolovat soud, protože pokud je napsáno v odpovědi, že to bude stejné jako v oblasti použití zpravodajské techniky v případě odposlechu, tam přece nasazení těchto prostředků povoluje soud. Myslím si, že by to nebylo dobře. Já si opravdu nemyslím, že o tomhle by měl rozhodovat soud. To by určitě měla rozhodovat o tom exekutiva a ne soud. Ale pak nemáme odpověď na tu otázku jak bude chráněno to soukromí, takže je tady jiný mechanismus než který se uvádí v odpovědi.
Pak je velmi problematické, ale možná to tak jde, v zásadě i pan ministr i ta důvodová zpráva říká: ta úprava je minimalistická, v tom zákoně jsou nejrůznější věci a všechno ostatní se bude řídit exekutivou. Já nevím, jestli to tak úplně jde. Podle mne je málo v zákoně upraven ten vztah mezi státem a povinnými soukromými subjekty. Myslím si, že by to mělo být upraveno precizněji, podrobněji, protože pak se vyvarujeme případných konfliktů a střetů zájmů. Tady se střetávají zájmy soukromých společností a státu a já za nás říkám, že je jasné z našeho pohledu, že zájem státu musí být vyšší, musí být vyšší, současně je třeba najít co nejširší shodu s těmi soukromými subjekty k tomu, aby ty kolize a případné soudní spory nevznikaly.
Takže já bych se chtěl pana ministra zeptat, proč a jestli, možná, že ne, zda bude podporovat ten požadavek ICT unie, která reprezentuje tyto soukromé subjekty, aby případné škody, které použitím prvků, a teď ať se nechytám za slovo, buď pasivní nebo aktivní obrany, když oni vidí to riziko pouze u těch prvků aktivních, jestli stát bude podporovat, nebo pan ministr bude podporovat jejich podle mne oprávněný nárok, aby případné škody garantoval stát. To si myslím, že je správný a logický požadavek.
K tomuto požadavku směřuje můj pozměňovací návrh, který jsem podal v písemné podobě, sněmovní dokument má číslo 6459, pak se k němu formálně přihlásím v podrobné rozpravě, nebudu číst ty jednotlivé paragrafy, jenom to krátce zdůvodním. V zásadě se ale týká tohoto problému, o kterém jsem před chvílí mluvil. Dle vládního návrhu by bylo možné do stávajících veřejných sítí elektronických komunikací umisťovat technické prostředky, které aktivně zasahují do provozu sítí, např. abychom si pod tím představili, co to může být, protože nejsme všichni odborníci na tuto oblast, např. generují falešný provoz či provádějí další kybernetický útok nebo protiútok, případně jakkoli jinak narušují provoz.
A je třeba vzít v úvahu, že tyto sítě jsou provozovány soukromými podnikateli a slouží k poskytování veřejných komunikačních služeb. Konstrukce a kapacity těchto sítí nejsou budovány pro účely aktivní obrany státu a jejich využití pro tento účel může vést k přetížení či jiným nepředvídaným stavům sítě. Jakákoliv diagnostika poruchy s jinými než pasivními prvky, tady vidíme, že ten soukromý sektor na ty pasivní prvky je připraven a říká, že má na to i dostatečnou diagnostiku, by byla ztížena. A aby tomu tak nebylo a probíhalo to řádně, případně servisní zákrok, museli by být pracovníci Vojenského zpravodajství součástí těch servisních týmů, což si vůbec neumím představit jak by to v praxi mohlo fungovat.
Vojenské zpravodajství tak instalací jiných než pasivních prvků de facto převzalo zprávu páteřní infrastruktury operátora, de facto ano, de iure se tomu brání, ale de facto ano, protože jakákoliv modifikace provozu je de facto zásahem do fungování a řízení sítě. Mimo to mají operátoři nastavené vlastní systémy obrany před kybernetickými útoky a já bych možná ještě udělal poznámku, já si myslím, že ta čísla o těch kybernetických útocích jsou v zásadě příliš optimistická a že reálně je jich ještě mnohem více.
Myslím si, že mnohé komerční subjekty z obchodních důvodů nepodávají úplnou informaci o počtu kybernetických útoků na jejich systémy, případně o škodách, které tyto útoky způsobí klientům těchto komerčních společností a mnohdy ty škody, aniž by o tom ten klient věděl, platí a hradí ta komerční společnost, protože se obává možného odlivu klientů v okamžiku, kdy by se ukázalo, že nějaký kybernetický útok byl úspěšný. Takže k těm číslům, které tady říkal pan poslanec Štětina, já si myslím, že to je minimalistický odhad, že ta realita je ještě mnohem horší a že ten počet útoků, zejména těch nenahlášených, je mnohem vyšší. A z toho taky musíme vycházet. Já mnohdy říkám, že vláda je příliš optimistická, ale tady vláda nemá jinou možnost než kromě toho, co monitoruje sama, se spolehnout na ty data z komerční oblasti a říkám: jsem přesvědčen, že jsou podhodnocená.
Ta instalace aktivních prvků obrany pak může vést k omezení fungování sítě či jejímu výpadku, což by mohlo mít negativní důsledky např. na systém, čísla tísňového volání, fungování záchranného systému. Z těchto důvodů navrhuji zákonem upravit pravomoc Vojenského zpravodajství tak, aby do sítí se mohly umisťovat výlučně technické prostředky kybernetické obrany s pasivními prvky, protože pomocí těchto prvků lze provoz na sítích pouze monitorovat a analyzovat. A tady se vracím k té předchozí odpovědi Vojenského zpravodajství a ty pasivní prvky totiž, pouze ty pasivní prvky, odpovídají dosavadní praxi u policejních odposlechů. Přitom tato praxe nebo ty pasivní prvky by umožnily získat Vojenskému zpravodajství dostatek informací k plánování a realizaci aktivní kybernetické obrany jinými vhodnějšími prostředky než umisťováním aktivních prvků do soukromých sítí.
Potom k bodu 2 a 3, to je článek § 16b a § 16c -
Chci říct, že novela obsahuje ohledně rozsahu povinností operátorů -
My považujeme ty pozměňovací návrhy za poměrně zásadní a jejich kladné přijetí bezesporu zjednoduší rychlé dokončení projednávání tohoto zákona a, podle mě, zvýší počet hlasů pro přijetí tohoto zákona. Tak mi dovolte, pokud je to tak důležité, abych je řádně zdůvodnil. Vím, že někdo řekne, že je to na internetu, ale víte, jaká je tam přehršel dokumentů ke všem možným tiskům.
Takže ještě jednou zpět k § 16b a § 16c vládního návrhu, který to upravuje velmi vágně a velmi obecně. Nedává vodítko pro proces, jak budou určeny funkce a technické parametry rozhraní
- nepopisuje proces, jak budou určeny funkce a technické parametry rozhraní. A prosím, nepodceňujme to. Technické parametry rozhraní jsou klíčové pro uzavření -
Mohu, pane místopředsedo, ano? (Ano.) Děkuji. Je fakt poměrně nepříjemné se pak koncentrovat na to, pokud to chci opravdu zdůvodnit a chci získat podporu pro ty pozměňovací návrhy. Není to formální věc. V zásadě, a řeknu to, abychom tomu rozuměli všichni. Pokud má stát uzavřít dohodu s operátory soukromých sítí, myslím si, že je klíčové, aby součástí té dohody byly i technické parametry. A aby tato věc byla uvedena v zákoně. Ne ty technické parametry samotné, to by bylo absurdní. Ale aby v tom zákoně bylo uvedené, že jako součást té dohody a té smlouvy musí být uvedeny technické parametry.
To se samozřejmě bude v čase měnit a nikdo z vás není schopen to dneska napsat, to určitě ne. Ale ta povinnost by tam uvedena být měla. (Zpravodaj: Je to tajné.) Pan zpravodaj mi říká, že to je tajné. Tak si představme tu smlouvu, opravdu. Smlouva, kterou má uzavřít stát - teď si řekněme, kdo za stát - a soukromý subjekt. Tato smlouva bude mít charakter tajný. Souhlasím. Co je špatně na tom, když to má charakter tajné, mít tam uvedeny technické parametry, které musí ten subjekt splnit?
Tak my jim řekneme, máte nějakou povinnost a neřekneme jim, jak ji mají zabezpečit? Jak se pak bude posuzovat, jestli ten subjekt plní povinnosti, které mu uložil zákon a které mu v zásadě nařídí vláda, když tam nebudou uvedeny? Souhlasím s panem zpravodajem, že ta smlouva musí mít charakter tajné. Ale kromě toho, že tam budou smluvní strany, tak co je špatně na tom, že tam chceme mít technické parametry? Díky tomu, že tam ty technické parametry budou uvedeny, bude umožněno těm soukromým operátorům, aby splnily ty povinnosti, jak doplnit, případně modifikovat své sítě. Takže to je bod 2 a 3 toho pozměňovacího návrhu. Týkají se článku 16b a16c.
Ten pozměňovací návrh má pak bod 4, který se týká článku III § 98a odst. 1, 2, 3 a 5. Týká se možností odmítnout připojit, nebo odpojit rozhraní, nebo technický prostředek kybernetické obrany za mimořádných okolností. Novela předpokládá, že prostřednictvím rozhraní zřízeného operátorem bude vojenské zpravodajství do sítě elektronických komunikací připojovat technické prostředky kybernetické obrany. Tedy vlastní zařízení, která nejsou nikde blíže specifikována a u nichž vládní návrh nevylučuje ani aktivní působení na síť.
Jsou mimo jiné pochybnosti o souladu tohoto záměru s principy ústavního pořádku. Ovšem tyto pochybnosti nejsou součástí tohoto pozměňovacího návrhu. To nechám případně na ústavních právnících. Velmi zásadní jsou technické a právní implikace. Důsledkem použití těchto prvků, které nemá operátor pod svou kontrolou, může být nejen monitorování provozu, ale též omezení funkčnosti sítě, jejich chybná funkce, nebo výpadek celé sítě. Realizace povinnosti operátora zřídit rozhraní a připojit technické prostředky kybernetické obrany se tak mohou dostat do konfliktu s jinými významnými povinnostmi operátora, jejichž plnění je v zájmu soukromého i veřejného práva. Například -
Děkuji, pane místopředsedo.