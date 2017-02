Kolem novely zákona o vojenském zpravodajství se strhla velká debata. Podle mnohých hrozí špehování internetové komunikace. Projednávání novely bylo přeloženo na březen a poslanci předkládají pozměňovací návrhy. Šéf Vojenského zpravodajství Jan Beroun v rozhovoru pro Lupu o novele mluví jako o nutné podmínce pro kybernetickou obranu země.

Jaké to je dostat Cenu Velkého bratra?

Moc jsem to nevnímal, protože výchozí kritéria, podle kterých byla anticena udělována, byla trochu mimo realitu. To, co se nám připisuje, že chceme dělat, prostě dělat nechceme.

Takže nechcete sledovat provoz na internetu?

Rozhodně nechceme sledovat ničí komunikaci a podobně.

K čemu stát potřebuje sondy sbírající informace v sítích?

Stát si vybudoval nějakou kapacitu v kybernetické bezpečnosti a při aplikaci kybernetické bezpečnosti došel Národní bezpečnostní úřad (NBÚ) k závěru, že stát má velkou díru v kybernetické obraně. Předložil materiál vládě a vláda se s tím ztotožnila a uložila vybudovat základy kybernetické obrany. Ta se stává integrální součástí obrany České republiky. Jelikož se v tomto prostoru odehrávají útoky, je pochopitelné, že si musíme vybudovat kapacity v obraně tohoto prostoru.

Z toho důvodu tedy potřebujete aktivně zasahovat?

S tím slovem „aktivně“ se hraje taková trochu nefér hra. Pořád se nám podsouvá, že budeme něco aktivně ovlivňovat na sítích a podobně. Na sítích nebudeme aktivně ovlivňovat nic. Sondy v sítích, o kterých se mluví, to jsou naprosto pasivní sondy, jednosměrné, nedá se jimi vůbec nic ovlivnit.

Návrh novely zákona o vojenském zpravodajství je nicméně hodně nejasný.

Viděl jste někdy nějaké jiné ustanovení zákona o obraně České republiky, kde se říká, že gripeny mohou nalétávat z výšky 2000 metrů a nesmějí ze 4000 metrů, že tanky mají útočit zprava a nesmějí zleva, že budeme útočit ráno a ne odpoledne? Je naprosto jasně napsáno, za jakým účelem to můžeme používat a jaké prostředky můžeme využít. Účel bude stanovovat vláda. Té se předloží plán kybernetické obrany a vláda v nějakém režimu utajení rozhodne. Obrana je exekutivní záležitostí vlády.



Nicméně vláda si tu obranu může vyložit, jak chce.

Dobře, ale když k tomu budete přistupovat takto, v podstatě se vám zhroutí pilíře, na kterých stát stojí. Když přijde komplikovanější vláda, musíte sebrat policistům a vojákům zbraně – co kdyby je vláda chtěla zneužít proti vlastnímu lidu? To prostě není možné. Jsme demokratická země, vláda vzniká demokratickou cestou a vláda musí mít nějaké povinnosti a oprávnění, jak povinnostem dostát.

A s rozhodováním soudu by to nešlo?

My s tím počítáme. Pokud půjdeme do obsahu komunikace, zákon nám jasně stanoví, že musíme jít za soudcem a ten k tomu vydá souhlas.

Pozměňovací návrhy novely zákona mluví o tom, že budete monitorovat metadata. Co to znamená?

Chceme sledovat nějaké signatury, anomálie v chování na sítích, analyzovat je a na základě toho stanovovat postupy, jak stát chránit.

To je dost obecná definice.

Co chcete říct za větší detail? Metadata jsou terminus technicus. My nechceme jít do obsahu, potřebujeme sledovat anomálie na síti a ty pak analyzovat. Jinak nejsme schopní ten útok predikovat. Můžeme si vyměňovat informace s partnery, protože když už někde nějaký útok proběhl, už jsou detekovány nějaké signatury a my můžeme hlídat, jestli se něco neobjeví v provozu.

Už víte, jaké budete používat technologie?

Ne, protože toto všechno bude záležet na komunikaci s operátory a poskytovateli. Ti budou mít na základě schváleného plánu kybernetické obrany právo nebo povinnost s námi vyjednávat o konkrétní obraně. Budou účastníky smlouvy, kterou nám schválí vláda. Musíme se přizpůsobit technickým podmínkám.

Takže když vám provider či operátor řekne, že si můžete nasadit pouze ten a ten kus hardwaru či softwaru, tak se podřídíte?

My to dokonce ani nechceme do ruky. V ideálním případě řekneme konfiguraci, kterou bychom potřebovali dostat. Ať to klidně koupí ten operátor, pokud to bude možné. Ne vždy to bude možné, některá zařízení mohou být licencovaná a bude je muset koupit stát. Ale když to bude možné, ať to koupí oni. Ať to otestují na síti a nám předají do využívání.

Budete mít nějaký vzdálený přístup?

Nechceme ani to, nám jde o ta data.

Budete potřebovat nějakou vaši vlastní infrastrukturu?

Budeme muset data nějak analyzovat a pracovat s nimi, abychom mohli dále analyzovat provoz. Když je nenávratně smažeme, co bychom pak do budoucna porovnávali?

Jakou máte infrastrukturu?

Na toto zatím nemáme žádnou, protože je to úplně nový úkol.

Takže ji budete muset postavit?

Budeme ji muset postavit. Nemůžeme nějak masivně stavět v okamžiku, kdy není stanovený zákon.

Máte představy, jak to bude velké a na kolik to vyjde?

Nemám.



A jak to budete určovat?

Bude se to určovat tím plánem kybernetické obrany. Přijde to v nějakých krocích. Je pochopitelné, že investice musí být únosná pro český rozpočet a přiměřená účelu, který nám stanoví vláda.

Nějaké propočty na to, kolik dat například chcete uchovávat, ale už mít musíte?

Máme to nějak propočítané. Budování se ale může spustit, až když bude platný zákon.

Můžete přiblížit, jaký přesně typ pasivních prvků a technologií chcete využívat? Něco podobného, co dnes využívá policie v případě data retention a podobně?

To nechci úplně specifikovat, protože je to přeci jenom citlivá informace. Nechci předjímat technické řešení a podobně. Ale operátorům skutečně pouze definujeme, jaké parametry potřebujeme dostat, a oni si to otestují, pohlídají bezpečnost.

Definovat ale můžete všechno možné.

To, co je v souladu s účelem zákona.

Ten ale moc jasný není.

Jeho účelem je obrana, což je zásadní. Když budeme zpochybňovat toto, proč tedy kupujeme gripeny? Pro účely obrany.

Jde tohle srovnávat? Když gripeny zaútočí na vlastní lidi, tak to bude špatné a bude to vidět. Tady se ale bavíme o tom, že by novela zákona mohla být zneužita pro sledování vlastních občanů, a navíc by to vidět nebylo.

To se pořád podsouvá, že stát má ve službách buď bandu bláznů, nebo zločinců.

To nikdo netvrdí.

Tak proč bychom to dělali? Když už dnes máme v zákoně možnost přijít za soudcem a říci, že máme podezření a potřebujeme monitorovat nějakou IP adresu, komunikaci či telefon, soudce nám povolení dá, nebo nedá. Vůbec nás nenapadne, že bychom to mohli obcházet.

Možná jednou na vaše místa přijde někdo jiný, kdo si řekne „proč bychom to nedělali?“

Dobře, ale co tím získá? To by museli provádět konkrétní lidé. Nad nimi visí několikanásobný Damoklův meč – že ztratí zaměstnání, ztratí prověrku, výsluhy a benefity, lidem by to totálně zničilo život.

A kdyby to byl zájem státu?

To by ten zájem musel být někde definovaný. A ten je definovaný tím, že je to pro obranu. Když zájem státu bude definovaný takto, lidi to budou dělat pro stát. A budou to dělat podle toho zákona. Není možné říci, že zájem státu stojí mimo to, co je definováno v zákoně jako zájem státu. Vojenské zpravodajství není kolektiv bláznů, který by se do něčeho takového dal zlomit. Pořád se objevuje námitka, co když to budeme zneužívat. Ale toto riziko existuje u každého mocenského nástroje nebo oprávnění.

Tak víme, jak je to tady občas s odposlechy…

Koho by před pár lety napadlo, že pilot civilního letadla navede letadlo na zem? Nepřestaneme ale kvůli tomu létat. To, že se najde blázen, který něco zneužije, to se samozřejmě stát může. Ale my máme nastaveny všechny kontrolní mechanismy tak, aby se to jednak nestalo, a když už by se to stalo, aby se na to bezprostředně přišlo.

Bude to nejkontrolovanější činnost v oblasti zpravodajských služeb. Když jsme to počítali, je tam asi 14 druhů kontroly. Když to vezmete, tak tam máte exekutivní kontrolu vlády, a několikanásobnou, protože nám budou schvalovat plán kybernetické obrany, budou schvalovat konkrétní smlouvy s jednotlivými operátory, budou schvalovat rozpočet, je tam kontrola ministra, je tam dvoustupňová parlamentní kontrola, do toho se navrhl „pozměňovák“, že si vláda může zřídit vládní komisi pro kybernetiku, a máme několik stupňů velitelské pravomoci v rámci Vojenského zpravodajství. Každý krok je auditovaný a zaznamenaný. Není možné, aby se operátor podíval na nějaká data a nikdo o tom nevěděl. Kdyby si cokoliv stáhl, bude se vědět, že si to stáhl. Kdyby si cokoliv vytiskl, bude auditované, že si to vytiskl.

A jak to bude moci kontrolovat veřejnost? Vše lze svést na to, že to jsou utajované informace.

Jak toto chcete kontrolovat? Za účelem toho, aby veřejnost byla v bezpečí a stát ji chránil, si zřídil tuto složku a teď jí dá pravomoc. Stát se za ni zaručuje a jak říkám, vygeneruje několikanásobnou kontrolu.

Kdo konkrétně vymýšlel novelu zákona o vojenském zpravodajství?

Vznikla v širokém mezirezortním připomínkovém řízení.

Proč jste ale nic nekonzultovali s odbornou veřejností?

Myslím si, že jsme ji konzultovali.

S kým?

Třeba ICT Unie byla u nás na jednání. Některé věci jsme zapracovali, na některé jsme nepřistoupili.

Co jste třeba zapracovali?

Třeba to, že jsou operátoři aktivním účastníkem řízení o smlouvě, kterou pak schválí vláda.

Projednávání novely zákona bylo odloženo na březen. Co to z vašeho pohledu znamená?

Takto se dohodly špičky politických stran ve Sněmovně. Neumím komentovat politickou dohodu. Mohu být zodpovědný za to, že jsme zákon připravili, za obsahovou stránku, mohu zhodnotit to, že do vlády zákon odešel bez připomínek a vládou prošel.



To jsme ale zpět u těch připomínek trhu. Mluvíte sice o ICT Unii, ale co zbytek?

Buďme féroví: kdo z účastníků trhu, pokud se neschová za nějakou organizaci, bude diskutovat takto citlivou věc?

To je spíš o síle vyjednávání, o tom, že organizace mluví za více subjektů, nebo ne?

Nikdo z jednotlivých subjektů si nepřeje, aby jeho jméno zaznělo.

Pokud vím, tak třeba Seznam připomínky posílal.

Ale Seznam pro nás není klíčový partner. Není to subjekt, na který se budeme zaměřovat.

A co nějací provozovatelé datacenter a podobně?

V tuto chvíli pro nás nemá smysl k těmto firmám nějaké zařízení umisťovat. Budeme se soustředit na příchozí body do České republiky.

Takže to se bavíme i o peeringových uzlech. Tam se také moc nedebatovalo.

Každého tohoto subjektu se to bude týkat v okamžiku, kdy vláda schválí plán kybernetické obrany. My se musíme soustředit na velké hráče, kteří pokrývají maximum provozu, protože víc nezvládneme kapacitně ani finančně.

Vznik novely tedy zadala vláda.

Dostali jsme úkol a v jeho intencích jsme začali zpracovávat tento návrh. Někdy se o něm píše, že je to nějaké oprávnění zpravodajské služby navýšit kapacity, to prostě není pravda. Zákon vůbec nenavyšuje kapacity zpravodajství, úzce se zaměřuje na obranu státu, to znamená exekutivní povinnost vlády. A bylo to zpracováváno s NBÚ, protože jsme se museli držet hranic, kde končí kybernetická bezpečnost. Bylo to zpracováváno lidmi z akademické sféry, kteří se podíleli i na zákoně o kybernetické bezpečnosti. No a samozřejmě i s ČTÚ.

Každopádně si mnoho subjektů stále stěžuje, že zákon je definován velmi vágně a mnoho věcí je nejasných.

Nemůžete definovat úplně všechno, protože některé věci podléhají utajení. A druhá věc je, že když tam budete definovat technické podmínky, tak technika běží tak rychle dopředu, že zcela určitě narazíte na problém, který nebudete moci řešit, protože na něj zákon nebude pamatovat.

Jaká bude role NBÚ?

To je náš přirozený partner ke spolupráci. Nový úřad, který bude z NBÚ vyčleněn, bude zodpovědný za kybernetickou bezpečnost. A tam, kde končí kybernetická bezpečnost, začíná kybernetická obrana, byť se ta lajna nedá udělat úplně ostře. Když někdo zaútočí na jednu banku a útok bude trvat 24 hodin a lidi si nebudou moci vybrat hotovost, asi je to bezpečnostní incident, který spadá do gesce NBÚ. Když to bude trvat týden, je otázka, zda se nám stát nezhroutí.

Každopádně se vyskytují informace, že NBÚ úplně nesouhlasí s tím, jak jste ten zákon pojali.

To si skoro nedokážu představit. Úkol vznikl na základě analýzy NBÚ, materiál vládě předložil on. Od nich máme vypořádání bez připomínek. Když byly námitky, tak nás NBÚ kritizoval, že je zákon málo ambiciózní.

Slyšel jsem, že panu Dušanu Navrátilovi z NBÚ bylo řečeno, že pokud materiál nepodpoří, ministr obrany zablokuje vznik nového kyberbezpečnostního úřadu, kterému by teoreticky následně mohl šéfovat a který má nyní vytvořit.

Tomu nevěřím.

Popíráte to tedy?

Nemohu popřít, co měl říct ministr. Ale já to vylučuji, nevěřím tomu. Nemám pro to jedinou indicii. Kdykoliv jsem se bavil s ministrem, ten velmi chápe, že je to řetězec, který na sebe musí navazovat a být funkční v jeden okamžik.

Co ve vašem podání mají znamenat případné aktivní útoky?

Jednak se o tom špatně mluví, protože je to to nejcitlivější, co v obraně bude. Ale jeden základní princip je, že obrana má smysl, když nebude víc devastující než ten předchozí útok. Je samozřejmě nesmysl zaútočit způsobem, že bude identifikovaná Česká republika, že bude identifikovaný nějaký provider a podobně. O tomto se více říci nedá, to je to nejvíce utajované, o čem se můžeme bavit.

Na tyto aktivity tedy budete používat nové Národní centrum kybernetických sil. Jak bude personálně velké?

Začali jsme nabírat odborníky, abychom byli připravení na rozjezd. V první fázi se počítá s počtem do stovky lidí. Lidi získáváme všude na trhu práce.

Jaký plat u vás dostane odborník na kyberbezpečnost?

Máme zpracováno porovnání nástupních platů se soukromými firmami. U nás na začátku dostane vyšší peníze, než by dostal v soukromé firmě. Samozřejmě ho na tomto platu neudržíme v průběhu růstu. Musíme se soustředit třeba na prvních deset let jeho kariéry, protože v tom okamžiku jsme konkurenceschopní.

Generují školy dostatek lidí z této oblasti?

Ne. V poslední době se roztrhl pytel s potřebou těchto odborníků. V kyberprostoru potřebuje působit NBÚ, policie, my, ve všech firmách jsou potřeba. Požadavků je hodně a školy na to reagují pomalu. A mnoha lidem chybí vědomosti ze středních škol.

Vidíte nějaké reálné kybernetické akce vedené proti Česku?

Je to vidět celosvětově. Proběhl summit NATO ve Varšavě, kde kybernetický prostor označovali za doménu, kde už se vedou bojové operace. My na to musíme reagovat. Hranice mezi tím, co se překlopí do útoku, který by měl aktivovat obranu, je hrozně klikatá a nejasná. Nelze to říct natvrdo. Je to exekutivní záležitost vlády. Jsme obklopení zeměmi, se kterými nemáme žádný konflikt, ale když se podíváte na země, které mají pohraniční konflikty, něco se odehraje jako šarvátka, ale neskončí to válkou. Překročí to nějakou mez a pak se to bere jako útok na zemi. To samé bude v kybernetické oblasti. Tam je to o to složitější, že to nemá žádné hranice. Jsme členskou zemí NATO, takže teoreticky, když nějaká země řekne, že něco považuje za kyberútok, v tu chvíli jsme v tom problému také.

Hodí se vám při dalším postupu schvalování novely zákona to, že byly zveřejněny informace o kybernetickém napadení ministerstva zahraničí? Pomůže to v debatě a argumentaci?

Ne. Spíše si myslím, že to uškodí. Situace je i tak rozjitřená.

Myslíte si, že v březnu už návrh novely projde?

Na základě diskuse k tomu, co požadovala vláda, vznikly pozměňovací návrhy, které naplňují připomínky. Ve výboru pro obranu nakonec nebyl žádný poslanec proti a tím si myslím, že je naplněn požadavek na zpřísnění kontroly, a ještě preciznější definování působnosti. Myslím si, že všechny požadavky jsou splněny a v tuto chvíli nevidím důvod, který by bránil schválení.

Jestli já mám z něčeho obavu, tak z toho, že nás někdo brzy obviní, že zákon je málo ambiciózní a že jsme měli pokrývat mnohem více věcí. Stačí, aby došlo k nějakému útoku a bezpečnostnímu incidentu, který nebude možné odhalit dopředu.

Dušan Navrátil z NBÚ mi v rozhovoru říkal, že Česko je na kybernetické bezpečnostní aktivity samo, a to v podstatě i na úrovni NATO. Že žádné síly nepošle. Vidíte to stejně?

To nepošle, protože žádné nemá. Jde o národní dovednost a někdy se zapomíná, že součástí smlouvy s NATO je to, že každá země si má budovat vlastní kapacity.