Odolnost železnice nebo civilních letišť vůči hackerským útokům je zásadní i pro armádu. „Pokud stát není chráněný, můžete ho přes kyberprostor ochromit," říká v rozhovoru pro Radiožurnál náčelník generálního štábu Karel Řehka, který dřív vedl Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Nový zákon o kyberbezpečnosti, který je teď ve Sněmovně, navrhuje, aby si Česko mohlo říct, koho si (ne)pustí do nejcitlivějších systémů. Rozhovor Praha 15:02 3. října 2024 Náčelník Generálního štábu Armády České republiky Karel Řehka byl v letech 2020-2022 ředitelem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)

Nový zákon o kybernetické bezpečnosti minulý týden probrali poslanci několika sněmovních výborů, včetně výboru pro obranu. Představil jim ho ředitel NÚKIB Lukáš Kintr a vy jste pak mluvil o tom, proč si myslíte, že je zákon důležitý i pro vojáky. Proč tedy? NÚKIB má na starost ochranu civilních systémů.

Nový kyberzákon není důležitý jen pro NÚKIB. Moje role jako náčelníka generálního štábu je poukázat na to, že bychom měli celkově zvýšit odolnost společnosti. To je v podstatě cílem i směrnice NIS2 (tuto směrnici nový kyberzákon přenáší do českého právního řádu – pozn. red.) a druhá část zákona se věnuje tomu, abychom měli zabezpečené dodavatelské řetězce. To je extrémně důležité i pro obranu a pro použití ozbrojených sil.

Obrana je věcí celé společnosti, není to jenom o armádě. A armáda je do značné míry závislá na tom, že funguje důležitá civilní infrastruktura a že společnost je odolná. Závisí na tom například proveditelnost plánů NATO na obranu Aliance.

Nový zákon o kybernetické bezpečnosti NÚKIB připravil nový zákon o kybernetické bezpečnosti, teď ho projednávají poslanci. Platit by měl od začátku roku 2025. Nahradí stávající zákon o kybernetické bezpečnosti z roku 2014. Nový zákon „přenáší“ do českého právního řádu evropskou směrnici NIS2. Ta rozšíří počet institucí a firem, na které bude NÚKIB dohlížet – ze současných čtyř stovek na asi šest tisíc. Řeší také bezpečnost dodavatelských řetězců, tedy to, jaké dodavatele Česko pustí do své nejkritičtější infrastruktury. Pod tuto nejpřísnější regulaci bude spadat přibližně 180 subjektů, například telekomunikace či elektrárny.

Byť to nespadá do gesce ministerstva obrany nebo armády, tak pro nás vojáky je zásadní, abychom měli bezpečně nastavené a odolné železnice, přístavy, letiště. To všechno se v minulosti už stalo terčem kybernetických útoků.

Útok přes dodavatelský řetězec je nejnebezpečnější a nejzákeřnější, protože se to strašně těžko hlídá.

Musíte mít určitou důvěru v dodavatele, přes kterého se vám do systému může něco dostat. Do značné míry jsou dnes ty systémy tak složité, že se to technicky nedá všechno ohlídat. Proto musíte zvažovat nejen technické aspekty, ale i ty netechnické, tedy třeba to, odkud ta firma pochází, ze které země.

Zákon žádnou konkrétní zemi nejmenuje, ale obecně se nejčastěji mluví o riziku čínských technologií. Čínské firmy mají povinnost spolupráce s tajnými službami. Znamená to, že do kritické infrastruktury by se nemělo kupovat už nic z Číny?

Ne, tak to není. Já samozřejmě nechci mluvit za NÚKIB, ale ta regulace je chytrá, není plošná, týká se to jenom některých subjektů, některých systémů. Není to tak, že teď někdo přijde a řekne: všechno, co je z Číny, musí jít pryč.

Kyberbezpečnost v České republice funguje na principu řízení rizik, to znamená, že nejde o to eliminovat každé riziko, ale ta rizika nějak řídit a pracovat s nimi.

Nový zákon o kyberbezpečnosti vytváří mechanismus, abychom v případě potřeby byli schopni některé věci v dodavatelských řetězcích kritické infrastruktury omezit.

Pro mě je na tom nejbizarnější, že o tom vůbec polemizujeme, když stát teď nemá žádné nástroje (k určení, které dodavatele pustí do kritické infrastruktury – pozn. red.). Po Ukrajině, když jsme viděli, jaké jsme měli problémy třeba v energetice.

Můžeme se bavit o tom, jak to aplikovat, jak moc přísně, kdo všechno do toho má mluvit, to všechno je legitimní diskuse, ale stát nějaké nástroje mít musí. Dnes máte jen varování NÚKIB, což je v podstatě nic. Povinné subjekty (podle zákona o kybernetické bezpečnosti) ho musí vzít v potaz, ale je to velmi slabý nástroj.

Hlídat si to

Bezpečnost dodavatelských řetězců se řešila už v době, kdy jste byl ředitelem NÚKIB, je to tak?

Je to dlouhodobý proces. Víme, že je to naše bolest. Když jsem byl na NÚKIB, tak se nám dokonce stalo, že nás oslovili lidé z kritické infrastruktury. Žádali nás v podstatě o pomoc. Potřebovali něco koupit a říkali, že když to budou soutěžit podle zákona o zadávání veřejných zakázek nebo prostě na cenu, tak to dopadne tak, že vyberou něco, co není bezpečné. Vymýšleli jsme, jak jim pomoct, protože stát na to nemá nástroje.

Mluvíme o kritické infrastruktuře, co konkrétně to je? Třeba elektrárny?

Může to být elektrárna, ale můžou to být i některé důležité státní instituce nebo nějaké systémy v obraně. Dávat si do těch nejdůležitějších, kritických systémů komponenty ze států, které se k nám chovají minimálně ne přátelsky, mají jiné zájmy než my nebo mají přímo v legislativě, že jsou nuceny spolupracovat se zpravodajskými službami, to prostě nedává smysl. Navíc máme x příkladů, kdy takové země prováděly kyberšpionáž nebo kyberútoky.

Ředitel Národního centra kybernetických operací Vojenského zpravodajství Václav Borovička řekl na diskusi v Poslanecké sněmovně na téma bezpečnosti dodavatelských řetězců, že i v kyberprostoru se musíme připravovat na časy, kdy mír nebude samozřejmostí. Můžete uvést nějaké konkrétní příklady kybernetických útoků, které souvisely právě s bezpečností dodavatelských řetězců?

Typický je příklad, kdy Čína zaplatila, vyprojektovala a pomáhala postavit sídlo Africké unie a Huawei se stal hlavním dodavatelem. Pak vyšlo najevo, že ve večerních hodinách pravidelně dochází k nelegitimnímu kopírování dat na servery v Šanghaji. Známý je taky příklad hackerského útoku na americkou společnost SolarWinds, který zasáhl spoustu amerických státních institucí. Nedávno při aktualizaci subdodavatele zkolabovala spousta počítačů, to byl také dodavatelský řetězec. To ukazuje, že je fakt důležité si to hlídat.

Netýká se to jenom obrany. Pokud se vám podaří napadnout některé systémy státu, tak nevyplatíte sociální dávky, nevyberete daně. Pokud stát není chráněný, můžete ho přes kyberprostor docela ochromit.