Kladenská radnice se pustila do velkého projektu dronového centra. Investice za patnáct milionů korun, přestavba celého patra radnice na monitorovací centrum, nákup čtyř dronů pro městskou policii. Problémem je jejich značka: jsou od čínské firmy DJI. Před využíváním čínských technologií ve veřejné správě přitom dlouhodobě varují experti i český kybernetický úřad.
K tomuto tématu jsme vydali podcast Odposlech:
Nejnovější monitorovací technologie na sledování a analyzování záběrů z dronů na několika monitorech a nonstop dispečink se stálou službou. Tak má vypadat podkroví kladenské radnice neboli sídlo dronového centra místní městské policie.
Rada města se pro jeho vybudování rozhodla, aby posílila „inspekce infrastruktury a budov, doplňování fotodokumentace, monitoring rizikových míst, podporu městské policie, rychlé mapování nehod a krizových událostí, podporu při pátracích akcích“, jak se píše v zadávací dokumentaci zakázky.
Jak to zatím funguje ve skutečnosti? Drony městská policie využívá k pátrání po uprchlých koních nebo „monitoringu“ zahrádkářské kolonie, hřbitova nebo třeba schodiště v centru města. Díky přeletu dronem strážníci na začátku května odhalili stan postavený ve zmíněné zahrádkářské kolonii „a v něm dvě osoby“, jak se píše v článku Týdeníku Policie.
Cena zakázky – patnáct milionů korun s DPH, spolufinancovaných z evropských zdrojů.
Začerněná smlouva, jasné fotografie
Důležitou částí celého projektu jsou samotné drony. Ve smlouvě s dodavatelem byly všechny technické specifikace začerněné a veřejnost se tedy neměla šanci dozvědět, jaké drony město kupuje. Samotní strážníci ale své tajemství odhalili ještě dřív, než se na to mohl redaktor investigace.cz zeptat.
Ve výše zmíněném článku Týdeníku Policie lze najít fotografie od kladenských strážníků, na kterých jsou vidět drony čínské značky DJI. Na problém používání dronů DJI upozornil už loni v září Národní úřad pro kybernetickou a informační bezpečnost.
„Všem fyzickým osobám, jejichž data by mohla být cílem aktivit zahraničních zpravodajských služeb, Úřad doporučuje, aby zvážily případné omezení či úplný zákaz využívání technologií či služeb, jejichž prostřednictvím by mohlo docházet k přenosu systémových a uživatelských dat do Číny,“ uvedl NÚKIB ve svém varování.
Redakce investigace.cz se proto města Kladna zeptala, jestli bezpečnostní rizika, před kterými NÚKIB v souvislosti s čínskými drony varoval, radnice při výběru technologie zvažovala.
„Bezpečnostní rizika zmiňovaná v dotazech řešíme systémově. Důraz neklademe pouze na koncový hardware, ale na celou komunikační architekturu 5G, která garantuje odolnost a soulad s legislativou i vnitřními předpisy,“ odepsal mluvčí města Kladna Vít Heral.
Podle něj je dronové centrum investicí do bezpečnosti a správy města. „Využívá nejmodernější technologie pro ochranu občanů při současném striktním dodržování bezpečnostních standardů. V současné době probíhá audit kybernetické bezpečnosti financovaný z Národního plánu obnovy,“ dodal mluvčí Kladna.
V kyberbezpečnostní komunitě ale nákup čínských technologií není považován za správný krok. „Nákup čínské technologie určitě není dobrý nápad, obzvláště u kritických nebo bezpečnostních služeb státu. Takže toto je určitě velmi zvláštní rozhodnutí,“ popisuje redakci kyberbezpečnostní expertka Princeps Institute Adéla Klečková.
Data v Číně = data u Komunistické strany
Klečková upozorňuje nejen na varování z kyberbezpečnostního úřadu, ale i na zprávu Bezpečnostní a informační služby. Ta ve svých výročních zprávách pravidelně označuje Čínu za jednu z kritických hrozeb a za nepřátelského aktéra, který podniká vlivové operace v rámci České republiky.
V dosud poslední výroční zprávě za rok 2024 BIS kromě jiného pojmenovala i riziko plynoucí ze spolupráce mezi čínskými technologickými firmami a čínskými státními orgány. „Podstatným prvkem jsou minimálně některé soukromé IT společnosti, které spolupracují právě se zpravodajskými službami, popřípadě s dalšími státními subjekty. (…) Hlavní síla celého čínského kybernetického ekosystému tkví v tom, že jeho jediným cílem je působit v zájmu čínské vlády, respektive Komunistické strany Číny,“ píše BIS.
„Nemyslím si, že je správné nakupovat technologie z Číny, obzvláště v případě, že máme celou řadu technologií ze států, které spadají do transatlantického paktu, a kde nebezpečí nehrozí,“ dodává expertka Klečková.
Nejvíc zranitelným prvkem infrastruktury jsou data, která čínský dron pořizuje a ukládá. Experti navíc dlouhodobě upozorňují, že při použití dronového rozhraní na dálkový přenos obrazu se data mohou posílat přímo na čínské servery. Právě to může hrozit i u dronů pořízených kladenskou městskou policií.
Kyberbezpečnostní úřad se tomuto systému doporučuje vyhýbat. „Využívání dronů a obdobných technologií ve veřejné správě musí být doprovázeno systematickým řízením kybernetických a informačních rizik. V praxi doporučujeme zejména (…) oddělení provozu dronových systémů od interních informačních systémů, důslednou kontrolu práce s obrazovými a lokalizačními daty, včetně jejich ukládání a přenosu (nebo) omezení nebo vypnutí cloudových služeb, pokud nejsou nezbytné pro provoz,“ napsal redakci mluvčí české kybernetické autority Jakub Neščivera.
Privátní infrastruktura
Investigace.cz u zaměstnanců kladenské radnice zjišťovala, jaká konkrétní opatření byla zavedena. Petr Jorg z odboru bezpečnostních rizik napsal, že pro ně je důležitá datová architektura kolem přístroje.
„Bezpečnostní a kybernetická rizika byla posuzována již při návrhu řešení. Město vychází z principu, že klíčová není samotná značka zařízení, ale způsob jeho provozu a datová architektura. Proto je systém postaven na privátní 5G infrastruktuře a lokálním zpracování dat, bez přímé vazby na cloudové služby výrobce,“ sdělil Jorg.
Obdobně se prý staví i k ochraně osobních údajů, respektive ke hrozbě úniku dat na čínské servery. „Z pohledu ochrany osobních údajů je provoz řešen v souladu s GDPR. Statutární město Kladno má plnou kontrolu nad veškerými datovými toky. Data nejsou přenášena mimo Evropský hospodářský prostor ani poskytovaná výrobcům zařízení. Tento postup je technicky i smluvně ošetřen.“
Právě na odpovědnost Kladna za výběr dodavatele a související rizika upozorňuje i Neščivera z NÚKIB. „Žádná předchozí komunikace s Kladnem ani MP Kladno v této věci neproběhla,“ dodal mluvčí.
Kyberzákon není funkční
Jak už investigace.cz upozornila i v předchozím článku o čínských technologiích, NÚKIB nemá možnost aktivně vstupovat do zakázek ani zakazovat pořízení vybraných značek.
Podle kybernetického zákona, který vstoupil v platnost loni, může kyberúřad zakázat nákup některých výrobků jenom „subjektům v režimu regulace“, tedy těm, které spadají pod kritickou infrastrukturu státu. „V ostatních případech může NÚKIB poskytovat nezávazná doporučení, strategické analýzy a metodická stanoviska, která mají pomoci institucím kvalifikovaně posoudit bezpečnostní rizika spojená s volbou konkrétní technologie,“ řekl k tomu Neščivera.
Jenomže na to si česká veřejná správa stěžuje. Některá doporučení jsou podle úřadů chaotická nebo nedostatečná. „Vedení i zaměstnanci zdejšího soudu si jsou vědomi obecného varování NÚKIB, nicméně nikdo ze zdejšího soudu není expert na kybernetickou bezpečnost ani na vysledování původu veškeré užívané technologie. Varování NÚKIB je proto natolik neurčité, že se jím nejsme schopni efektivně řídit,“ vzkázal kyberúřadu před časem mluvčí Obvodního soudu pro Prahu 9 Jan Šípal.
Mluvčí kybernetické autority Neščivera dodává, že při nejasnostech se na ně úřady mohou obrátit „s žádostí o konzultaci nebo stanovisko. Tyto konzultace však nejsou povinné a záleží na jednotlivých institucích, zda je využijí.“
Vyřešit to měl zákon o kybernetické bezpečnosti, který původně počítal i se zavedením nových pravomocí pro kyberúřad. Nakonec však vláda Petra Fialy nedotáhla legislativní proces do konce.
„V průběhu legislativního procesu byla pravomoc NÚKIB vydat prováděcí vyhlášky, které měly vymezit strategicky významné služby a specifikovat části infrastruktury, na něž se má mechanismus vztahovat, přesunuta na vládu formou nařízení. Tato nařízení však nebyla bývalou vládou přijata, přestože samotný zákon již nabyl účinnosti 1. 11. 2025. V důsledku toho není mechanismus prověřování bezpečnosti dodavatelských řetězců v současnosti plně funkční,“ řekla Lenka Soukupová z NÚKIBu.
Třetina produktů je made in China
Problémem je i samotné množství produktů s označením made in China, tedy výrobní dominance Číny obecně. Podle webu statista.com byla v roce 2023 Čína největším celosvětovým výrobcem, téměř 29 % výrobků světa pocházelo z Číny. Druhé v pořadí Spojené státy americké měly o víc než 10 % menší výrobu.
Na to upozorňuje i výzkumník z Katedry asijských studií Univerzity Palackého Richard Turcsányi. Podle něj drony DJI mohou nést riziko, jako i všechna ostatní elektronika z Číny.
„Pokud existují vhodné alternativy, bylo by samozřejmě ideální je využít. Realita je však taková, že Čína je ve světě dominantní, co se týká výroby elektroniky, ale i mnoha komponentů, které do takových výrobků proudí,“ popisuje expert na Čínu.
Autor textu: Dávid Pásztor
Rádi bychom vás poznali o něco víc. Vyplnění krátkého anonymního dotazníku vám zabere jen pár minut a nám to hodně pomůže.