Čínské drony natáčely Dukovany. Stát varování nedbal

Dukovany jsou přísně střeženou částí kritické infrastruktury státu. Počítá se s tím, že právě jaderná elektrárna může být jedním z cílů útoků, které by mohly zásadně zkomplikovat fungování státu. Zařízení chrání ozbrojená ostraha, speciální jednotka policie a nad areálem platí bezletová zóna.

Jak ale ukazuje pátrání Seznam Zpráv, přesto se loni v létě do naprosté blízkosti dostal špičkový dron se záznamovým zařízením od čínského výrobce DJI, před nímž opakovaně varovaly bezpečnostní složky USA, které upozorňují, že Číně mohou tato zařízení posloužit ke špionáži.

Nešlo přitom o náhodu nebo zpravodajskou operaci cizího státu. Na to, aby dron, z něhož data tekla přímo na servery čínské firmy, okolí Dukovan monitoroval, dokonce stát poskytl dotaci. Stejně jako na další podobné akce blízko věznic, elektrického vedení nebo letiště.

Šest milionů korun dostala česká firma Telink, která je distributorem dronů DJI v Česku. Její projekt, na kterém spolupracuje s Českým vysokým učením technickým a Řízením letového provozu, má zkoumat, zda je možné kritickou infrastrukturu za pomoci dronů hlídat.

Čínské drony okolí citlivých zařízení pokusně snímají navzdory tomu, že loni v září vydal plošné varování proti čínským technologiím i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Polostátní firma ČEZ připouští, že než Dukovany k projektu propůjčila, s českými bezpečnostními složkami to neřešila. Čínské drony se prolétly i kolem fotovoltaické elektrárny Ševětín, která je třetí největší v Česku.

„K písemné konzultaci mezi námi a bezpečnostními složkami nedošlo, protože šlo jen o přísně omezený test. Řídíme se doporučením NÚKIB, a to v současné době pouze obecně varovalo před použitím čínských technologií bez specifikace na DJI,“ uvedl mluvčí ČEZ Ladislav Kříž.

Varování NÚKIB bylo jen obecné záměrně. Vychází totiž z toho, že v Číně je ze zákona s tamními bezpečnostními složkami povinna spolupracovat každá tamní firma. Jinak jí hrozí drakonické tresty.

„Kdo svěřuje svá data a správu technologií do Čínské lidové republiky, riskuje jejich zneužití. Není to strašení, ale realita, kterou potvrzují i konkrétní případy kyberútoků proti České republice i našim spojencům,“ komentoval to tehdy Lukáš Kintr, ředitel Národního úřadu pro kybernetickou a informační bezpečnost.

DJI, která je dnes největším výrobcem dronů na světě, nařčení, že by byla bezpečnostním rizikem, odmítá a v USA se brání soudně. Zároveň její drony i v USA stále používají i stovky bezpečnostních sborů.

Americká Federální komise pro komunikace ovšem loni v prosinci zakázala prodej nových dronů DJI i dalších do USA kvůli tomu, že „představují nepřijatelné riziko pro národní bezpečnost USA“. Americké ministerstvo obrany už v roce 2022 zařadilo DJI na seznam firem, které spolupracují s čínskou armádou. Stejná firma ještě o rok dříve skončila na sankčním seznamu, protože se podle USA podílela na sledování menšiny Ujgurů, jejichž lidská práva Čína porušuje.

Technologická agentura ČR (TAČR), která je za grant na využití dronů ke střežení kritické infrastruktury zodpovědná, sdělila, že o použití čínských dronů nevěděla. „V podaném návrhu nebyla uvedena žádná zmínka o technologiích pocházejících z Číny, nicméně jejich reálné využití ověříme,“ řekla mluvčí agentury Veronika Dostálová.

Projekt získal podporu v programu Ministerstva dopravy a jako garanti vystupují Ministerstvo dopravy a Úřad pro civilní letectví. Grantová agentura argumentuje, že veřejné peníze Telink dostal i proto, že měl dobrozdání od několika provozovatelů kritické infrastruktury. „Předpokládáme, že v případě bezpečnostního rizika by projekt nebyl akceptován,“ dodala Dostálová.

Vedle Telinku je dalším účastníkem projektu Řízení letového provozu, které bezpečnostní rizika odmítá. „Provozní testování probíhá v režimech, které omezují přenos dat do externích systémů (např. offline režim, šifrovaný přenos dat),“ napsal mluvčí organizace Richard Klíma.

A obdobný argument má i třetí účastník - Fakulta dopravní ČVUT v Praze, která je druhým z partnerů. „Provoz probíhá výhradně v offline režimu bez aktivního připojení k internetu. Získaná data jsou pak ukládána na zabezpečená úložiště. Tím je řízen kompletní přístup k datům z provozu,“ řekla mluvčí fakulty Petra Skolilová. ČVUT si to navíc vyhodnotila tak, že se na tuto činnost varování NÚKIB nevztahuje, protože to se týká ohrožení uživatelských dat, zatímco drony shromažďují data o reálném světě.

Jak ale zjistily Seznam Zprávy, video z testování okolo Dukovan zveřejněné na webu Telinku dokládá, že firma minimálně v tomto případě použila internetovou aplikaci DJI FlightHub, běžící přímo na serverech čínské firmy. Data se tak k ní dostala.

Firma Telink, která je hlavním řešitelem projektu, ale opakuje, že možná bezpečnostní rizika dronů, které prodává, bere vážně a má je ošetřené. Že část dat skončila na serveru čínské firmy, ale Telink na přímý dotaz připustil.

„Při tomto testování se dron záměrně pohyboval mimo střežený prostor elektrárny Dukovany. Legislativním cílem bylo bezpečně přeletět vozovku. Prioritou pro tento druh letu tedy bylo zajistit maximální bezpečnost letu. Pro vzdálené ovládání dronu byl použit software výrobce. Ten garantuje využití nejnovějších funkcí bezpilotních systémů pro geo-caging a přesné plánování letu s centimetrovou přesností vůči okolním překážkám,“ řekl Seznam Zprávám jednatel Telinku Jaroslav Řešátko.

Manažer Telinku ujišťuje, že při dalších testech data do Číny neodcházela. „V běžném provozu v rámci kritické infrastruktury se cloudová varianta softwaru nepoužívá. Pro tyto účely je k dispozici lokální instalace nebo české řešení bez napojení na veřejnou síť,“ dodal Řešátko.

„Bezpečnost dat je v projektu řešena systémově a vícestupňově. V rámci testovacích letů nedochází ke sběru utajovaných ani citlivých informací o kritické infrastruktuře. Lokality a scénáře jsou vybírány provozovatelem infrastruktury tak, aby nedošlo k ohrožení bezpečnostních zájmů,“ dodal Řešátko.

Instituce, které jsou za zapojenou kritickou infrastrukturu zodpovědné, zase argumentují, že shromažďovaná data nejsou příliš citlivá. „Nejsou shromažďovány žádné citlivé údaje o kritické infrastruktuře ČR. Údaje, které jsou při testovacích letech pořízeny, jsou volně k dispozici v mapových aplikacích nebo je možné je vidět osobně při pohybu v dané lokaci,“ říká mluvčí ČVUT Petra Skolilová.

„Nemyslíme si, že by mohlo dojít k ohrožení kritické infrastruktury, taková vnější data se dají pořídit i jinými technologiemi,“ dodává mluvčí ČEZ Ladislav Kříž.

S tím ale nesouhlasí některé zdroje z bezpečnostní komunity, s nimiž pod zárukou anonymity Seznam Zprávy o projektu mluvily.

„Čína má zájem si mapovat kritickou infrastrukturu v Česku a my jí to takto usnadňujeme a navrch na to stát ještě sám přispívá,“ uvedl jeden z expertů. Ti varují i před tím, že některé činnosti Čína koordinuje i s Ruskem, u něhož západní bezpečnostní složky varují, že se připravuje na možné napadení evropských států NATO. Kritická infrastruktura by v takovém případě byla jedním z klíčových cílů. Kontrarozvědka BIS Čínu hned vedle Ruska ve svých veřejných výročních zprávách jmenuje jako největší riziko pro bezpečnost Česka.

DJI přitom těží z toho, že v posledních letech před konkurencí získala výrazný technologický náskok. Najít západní konkurenci se srovnatelnými schopnostmi a cenou je pro zájemce o profesionální drony mimořádně obtížné.

V Česku tak čínské drony postupně nakupují i armáda a policie, jak už upozornily Novinky.cz. A nejen ty. Monitorují i elektrické vedení. „Společnost ČEPS je vlastníkem několika dronů DJI a používá je pro mimořádné kontroly na přenosových vedeních,“ uvedla mluvčí ČEPS Hana Klímová. I tato státní firma je zapojená do nynějšího projektu a tvrdí, že má bezpečnost dat blíže neupřesněným způsobem ošetřenou.

I ČEZ slibuje, že si bezpečnost u dronů, které se chystá pořídit, chce důkladně pohlídat. „Připravujeme veřejné výběrové řízení na dodávku dronů a jednou z podstatných podmínek bude i to, že pořízená data ani telemetrická data neopustí datové prostředí ČEZ. Bezpečnost je naší prioritou a zároveň sledujeme doporučení NÚKIB a řídíme se jimi,“ dodal Kříž.