Poslanec v Číně je vždy riziko, když navíc kope za Huawei, říká expert

Článek si také můžete poslechnout v audioverzi.

Byl u toho, když Národní úřad pro kybernetickou bezpečnost (NÚKIB) vydával varování před technologiemi čínské firmy Huawei. Z první ruky tak měl možnost zaznamenat, jak tehdejšího ředitele kyberúřadu po Praze sledovali Číňané s cílem ho zastrašit.

Necelých pět let poté se v Česku řeší Huawei znovu, tentokrát v souvislosti s připravovaným kyberzákonem, který má právě na rizikové technologie z Číny nebo Ruska tvrdě dopadnout.

Poslanec Marek Novák (ANO), který se v Číně se zástupci Huawei setkal, tvrdí, že šlo o poznávací cestu ve volném čase. „Je to tentýž poslanec, který pořádal Huawei konferenci na půdě Poslanecké sněmovny, aby je legitimizoval,“ říká ovšem Daniel Bagge.

Seznam Zprávy kontaktovaly s dotazy ohledně Novákovy cesty do Číny zástupce společnosti Huawei i samotného poslance. Do vydání článku zůstaly dotazy bez odpovědí.

Byla cesta poslance Nováka bezpečnostní hrozbou pro Českou republiku?

Nenazval bych to hrozbou, spíše rizikem. V pořádku nebyla, to říkám jako bezpečnostní expert, ne jako zástupce státu, kterým už dávno nejsem. Každá návštěva Číny nějakou exponovanou osobou je problematická, varují před tím i zpravodajské služby. V nebezpečí jsou například technologie, které si člověk s sebou přiveze.

Co tedy mohlo být konkrétně v ohrožení u poslance Nováka?

Například komunikace, kterou si v oněch technologiích s sebou přivezl. Ať už to jsou konverzace přes Signal, WhatsApp, poslanecký a soukromý e-mail. Rozhodně to riziko bylo.

Poslanec, kterého pozvala Čínská hospodářská komora, se brání tím, že šlo o „poznávací cestu“, na které „nevystupoval politicky“. Je podle vás opravdu každá cesta politika do Číny nebo Ruska rizikem pro stát?

Jel tam jako poslanec, byl tam zván jako poslanec, už to je jisté gesto. Tyto cesty se dají zneužít technologicky nebo politicky, poslanec Novák se navíc i podle reakce předsedy ANO Babiše dopředu moc nepřipravoval, s nikým se moc neradil. Vzhledem k tomu, že Čínská lidová republika je autoritativní stát, může si být jistý, že na sobě měl sledku.

Z jeho cesty byly nepochybně pořízeny detailní záznamy, které se budou Číně v budoucnu hodit. Ať už ve vztahu k hnutí ANO, nebo k České republice. Aby bylo jasno, rozhodně neříkám, že by lidé, a to včetně politiků, neměli jezdit do Číny. Před takovou cestou by ale měla rozhodně proběhnout důkladná příprava a měly by o tom vědět bezpečnostní složky.

Novák se v Číně setkal s šéfem Huawei. Na čínskou firmu by přitom mohl dopadnout nový český zákon o kybernetické bezpečnosti, který poslanec ostře kritizuje. Vadí mu především část zákona, která se týká prověřování dodavatelských řetězců. Jak vidíte postup NÚKIB vy? Je při práci na kyberzákonu „papežštější než papež“, jak se objevilo v médiích a na internetu?

NÚKIB vychází z mandátu, který dostal od vlády a Bezpečnostní rady státu už v roce 2022. Propisuje se do něj také evropská směrnice NIS2, není to nic, co by si úřad vymyslel. Existuje politické zadání, aby měl kyberúřad kontrolu nad dodavatelským řetězcem strategických subjektů.

Rozhodně to není „zákon o Huawei“, jak to někteří interpretují. Nic se nemá plošně zakazovat. Stát by ale měl dostat do ruky mechanismus, kterým by se dala řešit kybernetická bezpečnost dodavatelských řetězců. Je to podobné, jako když se stát snaží zbavit energetické závislosti na Rusku, jen je zákon zaměřený na technologie.

V čem mohou být dodavatelé problematičtí? Jak se rizika hodnotí?

Každá technologie má své zranitelnosti, které mohou být zneužité. Ve firmách to většinou funguje tak, že na zranitelnost někdo přijde a vymyslí se záplata. A například v Číně se taková zranitelnost povinně musí nahlásit zpravodajským službám. Až ty rozhodnou, co bude firma dělat, což ovlivňuje chování firem. Když se podíváme zpátky do Česka, my jsme si už dříve na základě zkušeností vyhodnotili, že jsou čínské firmy kvůli těmto zásahům shora rizikové. Máme to napsané například v Bezpečnostní strategii, kterou loni schválila vláda. Čína je tam uvedena jako systematický rival páchající kyberšpionáž.

Jaké další nepřesnosti kolem kyberzákonu kolují? Bude to pro tisíce firem taková zásadní změna, jak kolují zvěsti?

Rozdělil bych to. Jednak se nepřesnosti do veřejného prostoru dostávají skrze různé asociace a spolky, kterých členem je právě společnost Huawei a další firmy. Ty samozřejmě nemají zájem, aby stát a jeho odborníci řešili bezpečnost dodavatelského řetězce. Od nich čtu dezinformace o tom, kolik to bude dotčené stát peněz a na kolik subjektů to dopadne. Jedna z vyložených nepravd je, že to bude stát miliardy města a obce.

Přitom je to jinak, tito všichni spadají v aktuálním znění zákona do nižšího režimu, musí například úřadu do dvou měsíců dodat kontakt na člověka odpovědného za svou kybernetickou bezpečnost a potvrdit, že mají antivirus. Já doufám, že tohle všechny obce a města už dávno mají.

Proč je podle vás kolem kyberzákona tolik problémů? Teď se k němu vyjadřují pozměňovacími návrhy politici, už v přípravné fázi dostal NÚKIB řadu připomínek, například od Legislativní rady vlády.

Upřímně řečeno se tomu trochu divím, kybernetická bezpečnost je v zájmu každého občana, není to věc pouze firem. Stát má moje údaje, ať chci nebo ne, měli bychom chtít, aby byly co nejlépe zabezpečené. Část odpovědi spočívá v tom, že se přísnější pravidla nelíbí některým byznysovým entitám, které budou muset dokládat bezpečnost svých produktů.

Když to přirovnám k dopravě, v autě máte také povinný pás, nikdo proti tomu neprotestuje. U kybernetické bezpečnosti je to hůř hmatatelné, stejně jako u dopravní nehody bychom ale také při kybernetických incidentech měli chtít odpovědnost po tom, kdo nebyl připoutaný.

Kolik subjektů bude muset splňovat ta nejpřísnější opatření?

Kolem sto padesáti právních subjektů, které tvoří strategickou páteř republiky. Kdyby je někdo vypnul, vypne celý stát. Proto se má hlídat i dodavatelský řetězec.

Říkal jste, že se to některým, převážně čínským, subjektům nelíbí. Jak se to projevuje?

Narativ je, že se to nelíbí byznysu. Ono se to ale nelíbí především Čínské lidové republice. Když jsme vydali v roce 2018 varování před čínskými technologiemi, hodně proti tomu brojila čínská ambasáda a Huawei, měly stejné argumenty, chodily spolu na schůzky. Teď už to dělají chytřeji, přes zmiňované spolky a asociace, kterých jsou čínské firmy součástí.

Na které dodavatele tedy nový zákon dosáhne? Zkuste to přiblížit na příkladu.

Vezměte si třeba Čepro. Jejich dodavatelský řetězec se neskládá jen z technologií, ale také z dodavatelů řepky, motorového oleje a tak dále. Ty NÚKIB neřeší, zákon mu dovolí dohlížet jen na technologické dodavatele.

Vraťme se zpět do doby, kdy jste v NÚKIB vydali varování před Huawei (2018). Co jste v té době zažívali? A jaká byla odezva z Washingtonu, kde jste tehdy působil?

Po letech se ukázalo, že to mělo opodstatnění, byť se některé informace nedají zveřejnit, protože jsou utajené. Bylo to zajímavé období, sledovali jsme různé kybernetické hrozby z Číny a Ruska, ale také třeba nestátní hackerské gangy. Kromě technických aspektů jsme se zaměřili i na jejich motivaci. Do toho se motala politika, tehdejší premiér Andrej Babiš zadal úřadu analýzu kvůli zapojení Huawei do energetických zakázek ČEZ. Ta byla velmi citlivá, bylo v ní mnoho utajovaných informací, které mohlo vidět jen pár lidí v republice. Poté jsme vydali varování, které vyvolalo velké vášně.

Čínský velvyslanec se ostře ohradil na facebooku.

Což bylo vtipné, protože Facebook je v Číně zakázán. Zaznamenali jsme ale pozitivní ohlas ze zahraničí, hodně států vzkazovalo, že by podobné varování také rádo udělalo, ale legislativa jim to neumožňuje. NÚKIB na to ale měl politický a zejména legislativní mandát. Mimochodem, diskuze, která probíhala před pěti lety, kdy někteří varování zpochybňovali, je dost podobná dnešní diskuzi o kyberzákonu. Jen dnes jsou oponenti hlasitější a dělají méně chyb. Vazby na Čínu jsou ale zřejmé.

Můžete ještě více popsat tlak ze strany Číňanů?

Sledovali například tehdejšího ředitele kyberúřadu Dušana Navrátila. Říká se tomu otevřené sledování, kdy chcete, aby o vás sledovaná osoba věděla. Jedná se tedy o zastrašování, otevřený vzkaz. Tlak přicházel také od různých politických nebo kvazi-mediálních osob. Vzduchem stejně jako dnes létaly částky, o které mělo Česko kvůli varování přijít, jako čtyřicet miliard korun kvůli možné mezinárodní arbitráži. Nic z toho se nepotvrdilo.

Jakou roli sehrál v roce 2018 Andrej Babiš? Říká se, že mu vaše varování otevřelo dveře do Bílého domu.

Vnímal hrozbu a nechal si to vysvětlit. Když jsme odfiltrovali všechny dezinformace a měl na stole jen fakta, nakonec nám dal za pravdu. Varování před Huawei bylo opravdu popsané i ve výstupu z oficiálního jednání mezi Českem a USA, kdy se obě země shodly na tom, že kyberbezpečnost je důležitá.

NÚKIB za vašeho působení pořádal pro Američany také speciální cvičení. Můžete je popsat?

Udělali jsme několik cvičení kybernetické bezpečnosti v Kongresu nebo pro americké ministerstvo obrany. Pro demokraty i republikány to byla premiéra, připravili jsme jim speciální scénář, který eskaloval, a oni na něj měli reagovat. Pro Pentagon jsme udělali jiný scénář, tam šlo o simulované kybernetické incidenty, které mohou přijít ze strany Ruska. Reagovali jsme tehdy na anexi Krymu. Myslím, že se to velmi povedlo, cvičení si vyžádaly i další země NATO. Ze své zkušenosti můžu říct, že v oblasti kybernetické bezpečnosti jsme považovaní za velmi silného hráče.

V Česku řešíme nejčastěji podvody po telefonu nebo e-mailu. Jsou Češi proti těmto podvodům odolní?

Osvěta nikdy nekončí, musí se dostat ke všem napříč věkem i vzděláním. Tady bych se opět dostal otočkou ke kyberzákonu, ten bude pro bezpečnost velmi důležitý.

NÚKIB vydal varování také proti TikToku. Vládní politici včetně Petra Fialy ho ale začínají porušovat. Co na to říkáte?

Je to jejich politické rozhodnutí, mají na to právo. TikTok nicméně je nástroj čínské propagandy, sbírá obrovské množství dat. To sice dělají i ostatní sociální sítě, ty ale data používají k vydělávání peněz, v Číně končí u bezpečnostního aparátu, který je využívá k narušování společnosti, podobně jako Rusové a jejich dezinformační kampaně. Dnes má každý v kapse chytrý telefon plný osobních dat, lze díky tomu provozovat „mikrocílení“, které je velmi efektivní.

Takže váš osobní názor na TikTok je asi jasný.

Stručně: TikTok mi na telefon nesmí. Je to nástroj na sběr informací o mé osobě a zároveň mě krmí informacemi, které nejsou v mém zájmu.

My ale nemáme čínskou verzi aplikace, která bývá používaná také na nechvalně známý „social scoring“. Počet uživatelů TikToku v Česku roste. Je to problém i u veřejnosti?

Rozhodně ano. Chápu, že některým influencerům může dobře vydělávat, na druhou stranu se dá svým obsahem a sběrem dat přirovnat k zesílené verzi dezinformačních webů.

Slováci v tomhle ohledu varují před Telegramem, kde se dezinformace šíří bez kontroly. Chápu to správně, že pro Čechy je TikTok podobně nebezpečný?

To si netroufám odhadnout, TikTok se dá využívat pro ekonomickou aktivitu, popularita tedy asi ještě poroste. Lidé by si ale měli uvědomit, že stát před TikTokem varuje a má pro to důvody. Ekonomika zde ale vítězí nad bezpečností.