(12.50 hodin)
(pokračuje Stanjura)

Klíčová otázka je, kdo bude spravovat ta data, jak dlouho, jak se budou likvidovat, pod čí kontrolou ta data budou. Odpovědi jsme nedostali. Naopak na začátku jsme dostali absurdní vyjádření ředitele Vojenského zpravodajství, že žádná data oni shromažďovat nebudou. Ale pak to nemá žádný význam. A já si za nás říkám, je to jasné, je to logické a stát musí ta data shromažďovat. Rozumíme si? Nejde o to, že nemá, protože pak je ta obrana bezzubá, ale musíme si to říct otevřeně, musíme si říct, jak nejlépe zabezpečíme tato data, abychom zvýšili důvěru, že nedojde ke zneužití těchto dat.

Další věc, a mluvili o tom kolegové, myslím, že poslanci z hnutí ANO, mluvili o nutných prostředcích a myslím, že pan zpravodaj porovnával výdaje na obranu v té konvenční oblasti a v té kybernetické bezpečnosti. Já s panem zpravodajem souhlasím. Jenom mi nedá, abych nepřipomenul ještě hlasování v prosinci loňského roku, kdy to sice byl opoziční návrh, ale podle mne směřoval do oblasti obrany, kdy jsme navrhovali posílit pro letošní rok rozpočet Vojenského zpravodajství o jednu miliardu korun. Samozřejmě proti těm padesáti čtyřem je to pořád málo, ale řekněme si, co k tomu řekla vláda jako celek, pan ministr obrany a vládní koalice. Odmítli tento vstřícný krok. A teď nemluvím o těch dalších devíti miliardách, protože dnes nemluvíme o armádě, mluvíme o kybernetické bezpečnosti. Je to škoda. I kdyby - slyším ten argument a slyšel jsem ho - nestačili bychom to efektivně využít. Tak u každého druhého materiálu, nebo když vznikne nějaký dodatečný požadavek na rozpočet v kterékoli oblasti, které logicky vznikají za každé vlády, tak velmi často říkáme takovou tu oblíbenou položku všech ministrů: nespotřebované nároky. Jinými slovy nebyla nutnost ty peníze utratit v roce 2017. Díky rozpočtovým problémům byla jistota, že ty peníze u Vojenského zpravodajství zůstanou. Bohužel vláda to odmítla.

Pak si myslím, že jsou v tom i poměrně vágní pojmy. Například jak plánuje Vojenské zpravodajství garantovat zajištění ochrany osobních údajů, citlivých údajů a soukromí zákazníků? A odpověď zní: Garance v takových případech bude postavena na stejné bázi, jako připouští zpravodajské techniky v případě odposlechů. Z toho bych mohl dovozovat, že nasazení prvku pasivní obrany bude povolovat soud, protože pokud je napsáno v odpovědi, že to bude stejné jako v oblasti použití zpravodajské techniky v případě odposlechu, tam přece nasazení těchto prostředků povoluje soud. Myslím si, že by to nebylo dobře. Já si opravdu nemyslím, že o tomhle by měl rozhodovat soud. To by určitě měla rozhodovat o tom exekutiva a ne soud. Ale pak nemáme odpověď na tu otázku, jak bude chráněno to soukromí. Takže je tady jiný mechanismus, než který se uvádí v odpovědi.

Pak je velmi problematické, ale možná to tak jde, v zásadě i pan ministr i ta důvodová zpráva říká: ta úprava je minimalistická, v zákoně jsou nejrůznější věci a všechno ostatní se bude řídit exekutivou. Já nevím, jestli to tak úplně jde. Podle mě je málo v zákoně upraven vztah mezi státem a povinnými soukromými subjekty. Myslím si, že by to mělo být upraveno precizněji, podrobněji, protože pak se vyvarujeme případných konfliktů a střetů zájmů. Tady se střetávají zájmy soukromých společností a státu. A já za nás říkám, že je jasné z našeho pohledu, že zájem státu musí být vyšší - musí být vyšší -, současně je třeba najít co nejširší shodu s těmi soukromými subjekty k tomu, aby ty kolize a případné soudní spory nevznikaly.

Takže já bych se chtěl pana ministra zeptat, proč a jestli, možná že ne, zda bude podporovat ten požadavek ICT unie, která reprezentuje tyto soukromé subjekty, aby případné škody, které použitím prvků, a teď ať se nechytáme za slovo, buď pasivní, nebo aktivní obrany, i když oni vidí riziko pouze u těch prvků aktivních, jestli stát bude podporovat, nebo pan ministr bude podporovat jejich podle mne oprávněný nárok, aby případné škody garantoval stát. To si myslím, že je správný a logický požadavek.

K tomuto požadavku směřuje můj pozměňovací návrh, který jsem podal v písemné podobě. Sněmovní dokument má číslo 6459, pak se k němu formálně přihlásím v podrobné rozpravě. Nebudu číst jednotlivé paragrafy, jenom to krátce zdůvodním. V zásadě se ale týká tohoto problému, o kterém jsem před chvílí mluvil.

Dle vládního návrhu by bylo možné do stávajících veřejných sítí elektronických komunikací umisťovat technické prostředky, které aktivně zasahují do provozu sítí, například, abychom si pod tím představili, co to může být, protože nejsme všichni odborníci na tuto oblast, například generují falešný provoz či provádějí další kybernetický útok nebo protiútok, případně jakkoli jinak narušují provoz. A je třeba vzít v úvahu, že tyto sítě jsou provozovány soukromými podnikateli a slouží k poskytování veřejných komunikačních služeb. Konstrukce a kapacity těchto sítí nejsou budovány pro účely aktivní obrany státu a jejich využití pro tento účel může vést k přetížení či jiným nepředvídaným stavům sítě. Jakákoliv diagnostika poruchy s jinými než pasivními prvky - tady vidíme, že soukromý sektor na ty pasivní prvky je připraven a říká, že má na to i dostatečnou diagnostiku - by byla ztížena. A aby tomu tak nebylo a probíhalo to řádně, případně servisní zákrok, museli by být pracovníci Vojenského zpravodajství součástí těch servisních týmů, což si vůbec neumím představit, jak by to v praxi mohlo fungovat.

Vojenské zpravodajství tak instalací jiných než pasivních prvků de facto převzalo správu páteřní infrastruktury operátora, de facto ano, de iure se tomu brání, ale de facto ano, protože jakákoliv modifikace provozu je de facto zásahem do fungování a řízení sítě. Mimoto mají operátoři nastavené vlastní systémy obrany před kybernetickými útoky. A já bych možná ještě udělal poznámku, já si myslím, že ta čísla o kybernetických útocích jsou v zásadě příliš optimistická a že reálně je jich ještě mnohem více. Myslím si, že mnohé komerční subjekty z obchodních důvodů nepodávají úplnou informaci o počtu kybernetických útoků na jejich systémy, případně o škodách, které tyto útoky způsobí klientům těchto komerčních společností, a mnohdy ty škody, aniž by o tom ten klient věděl, platí a hradí ta komerční společnost, protože se obává možného odlivu klientů v okamžiku, kdy by se ukázalo, že nějaký kybernetický útok byl úspěšný. Takže k těm číslům, která tady říkal pan poslanec Štětina, já si myslím, že to je minimalistický odhad, že realita je ještě mnohem horší a že ten počet útoků, zejména těch nenahlášených, je mnohem vyšší. A z toho taky musíme vycházet. Já mnohdy říkám, že vláda je příliš optimistická, ale tady vláda nemá jinou možnost než se kromě toho, co monitoruje sama, spolehnout na ta data z komerční oblasti. A říkám, jsem přesvědčen, že jsou podhodnocená.

Ta instalace aktivních prvků obrany pak může vést k omezení fungování sítě či k jejímu výpadku, což by mohlo mít negativní důsledky např. na systém, čísla tísňového volání, fungování záchranného systému. Z těchto důvodů navrhuji zákonem upravit pravomoc Vojenského zpravodajství tak, aby do sítí se mohly umisťovat výlučně technické prostředky kybernetické obrany s pasivními prvky, protože pomocí těchto prvků lze provoz na sítích pouze monitorovat a analyzovat.

A tady se vracím k té předchozí odpovědi Vojenského zpravodajství. Ty pasivní prvky totiž, pouze ty pasivní prvky, odpovídají dosavadní praxi u policejních odposlechů. Přitom tato praxe nebo ty pasivní prvky by umožnily získat Vojenskému zpravodajství dostatek informací k plánování a realizaci aktivní kybernetické obrany jinými, vhodnějšími prostředky než umisťováním aktivních prvků do soukromých sítí.

Potom k bodu 2 a 3, to je článek... § 16b a § 16c... (Odmlka pro hluk v sále.) ***




Přihlásit/registrovat se do ISP