Již v roce 2015 a začátkem loňského roku docházejí čeští političtí představitelé na základě některých kybernetických útoků, jakým byl například útok na web ČSSD, k názoru, že je nutné posílit kybernetickou bezpečnost. V roce 2015 vzniká „Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020“, který svěřuje kybernetickou ochranu vojenské rozvědce, a to přesto, že již zde existují instituce spadající pod NBÚ nebo s tímto úřadem ministerstva vnitra spolupracujícím. Vzniká vládní návrh novely zákona přednesený ministrem obrany. Naposledy na podzim minulého roku ministr Stropnický v médiích návrh takto obhajoval: „Samotné základní nástroje fungování státu, včetně zajišťování obrany a bezpečnosti, dnes závisejí na spolehlivosti komunikačních systémů, a lze proto očekávat, že právě ty se v případě konfliktu stanou terčem kyberútoků. Kyberprostor tak lze bez nadsázky označit za bojiště jednadvacátého století.“ Ministr veřejnost ujišťuje: „Novela nastavuje přísné kontrolní mechanismy a zároveň neopravňuje VZ sledovat obsah komunikace konkrétních osob. Pokud by to bylo v nějakém případě třeba, bude samozřejmě nutné povolení soudu.“ Ale také říká: „Na straně jedné a ochrana soukromí na straně druhé je vždy potřebná. Na druhou stranu existuje jen málo oblastí bezpečnosti, kde je potenciální ohrožení našich zájmů tak závažné a kde zároveň musíme odvést tak velký kus práce, abychom získali adekvátní schopnosti a prostředky ke své obraně.“
Veřejnost se ozvala
V současnosti vznikají iniciativy, které poukazují, jako například prohlášení Pirátské strany, že „ve skutečnosti nový zákon dovolí zpravodajcům ještě více sledovat a aktivně zasahovat do provozu internetu, většinou bez přechozího souhlasu soudu.“ Různé subjekty (viz níže) mají obavu z povinnosti instalace vyspělých zařízení, která umožní sledovat provoz na internetu a za pomoci takzvané hloubkové kontroly paketů. Zákon podle některých IT expertů umožní pracovníkům vojenského zpravodajství instalaci „černých skříněk“ do sítí poskytovatelů internetu. Rozvědka bude mít tak možnost plošného odposlechu, k němuž stačí souhlas vlády.
Akce proti novele zákona se ujímá především iniciativa nazvaná „Přichází rozvědka“, kterou založila skupina DBAS (Digitální bezpečnost a soukromí), což je platforma IT expertů a přichází s Výzvou za svobodný internet v České republice. K té se zatím do neděle odpoledne připojilo celkem 13 subjektů (DBAS, Pirátská strana, Brmlab (hackerspace in Prague), Iuridicum Remedium, Nethemba (slovenská bezpečnostní IT společnost pracující na Slovensku i v Čechách), WALK (IT společnost) a Fitkrám (obchodní společnost), Svobodní (pol. strana), Paralelní Polis z. s., kraxnet.cz (IT společnost), myappin.cz (IT vývojáři), Arec Future (IT technologie), Grade Film (film. produkce). Uvedená iniciativa upozorňuje na vágně napsanou novelu zákona, která umožní plošné odposlechy obyvatelstva, aniž by i v případě kybernetického ohrožení bylo podle iniciativy třeba plošného odposlechu obyvatelstva. Iniciativa poukazuje na skutečnost prakticky neomezené pravomoci. Iniciativa projednávanou novelu příznačně nazvala „Orwelův zákon“.
Upozornění iniciativy „Přichází rozvědka“ a Pirátů
Iniciativa mimo jiné uvádí: „Ve sněmovně se právě projednává novela zákona o Vojenském zpravodajství a souvisejících zákonů. Bude-li přijata v současné podobě, umožní Vojenskému zpravodajství sledovat celý český internet. Číst naši poštu, soukromé zprávy, odposlouchávat telefonní hovory přes internet. Sledovat naši aktivitu na sociálních sítích, navštěvované stránky, nákupy, zvyklosti i přehrávaná videa. Ani šifrování nebude stoprocentní ochranou. Zdůrazněme, že výzva není proti přijetí novely tohoto typu, ale požaduje, aby tato novela byla předem s veřejností projednána.“
Na stránkách Výzvy je k tomu uvedeno: „Máme obavu ze snadné zneužitelnosti mnoha ustanovení, která tato novela předkládá.“
Na možné zneužití upozorňuje také Pirátská strana: „Zpravodajci budou moci číst naši poštu i soukromé zprávy, odposlouchávat naše telefonní hovory přes internet, sledovat nás na sociálních sítích, monitorovat námi navštěvované stránky a sledovat naše nákupy, přehrávaná videa a vyhodnocovat naše uživatelské zvyklosti.“
Proto chce Inciativa vyvolat veřejnou debatu a následnou změnu novely daného zákona tak, aby plnila svůj účel obrany kyberprostoru ČR a zároveň nenarušovala soukromí, práva a svobody občanů ČR.
Iniciativa „Přichází rozvědka“ proto vyzývá další organizace a občany k připojení se k její výzvě. Mimo jiné dále na svém webu uvádí: „V posledních desetiletích vidíme větší a větší ukrajování osobních svobod a soukromí ve jménu boje proti terorismu, cizí propagandě a dalším nepřátelům. Jenže bezpečnost nelze zvyšovat donekonečna, a každý její další dílek je postupně násobně dražší než předchozí. A je jen otázkou času, než si jeden každý z nás uvědomí, že postupně ve jménu bezpečnosti ztrácíme nejen svobodu, ale i sami sebe, protože už dnes jeden každý z nás podvědomě kontroluje co a kde říká a dělá.“
Výňatky z novely a jejího zdůvodnění
Text novely můžete číst na stránkách Poslanecké sněmovny a z tohoto textu vyjímáme část, která zřejmě nejvíc e se dotkla autorů Výzvy:
V § 10 odst. 1 písm. o) se za slova „§ 97“ vkládají slova „a 98a“.
2. Za § 98 se vkládá nový § 98a, který zní:
㤠98a
(1) Právnická nebo podnikající fyzická osoba zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací je povinna, je-li o to požádána za účelem plnění úkolů kybernetické obrany Vojenským zpravodajstvím na základě zákona o Vojenském zpravodajství, zřídit a zabezpečit ve vhodných bodech své sítě rozhraní pro připojení technických prostředků kybernetické obrany.
Některé výňatky ze zdůvodnění předložení novely zákona:
Cílem návrhu je realizace usnesení vlády ze dne 25. května 2016 č. 382, kterým vláda schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 a kterým je Ministerstvu obrany uložen úkol normativního řešení vytvoření podmínek kybernetické obrany České republiky jako součásti obrany České republiky podle zákona č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů. Působnost v oblasti zajišťování kybernetické obrany bude svěřena Vojenskému zpravodajství.
V teorii války začíná být kybernetický prostor považován za pátou dimenzi pro válčení, vedle země, moře, vzduchu a vesmíru. Je proto důležité pro ozbrojené síly každého státu brát tuto okolnost vážně a budovat v rámci svých možností kapacity na vedení operací také v rámci kybernetického prostoru.
Česká republika potřebuje v rámci obranných kapacit prvek schopný provádět široké spektrum operací v kybernetickém prostoru, který by byl schopen aktivního využití prostředků kybernetické obrany a byl by schopen eliminace závažných kybernetických útoků mířených proti České republice a jejím zájmům. V neposlední řadě by měl mít tento prvek schopnost v případě ozbrojeného konfliktu provádět vojenské operace v kybernetickém prostoru na podporu konvenčních vojenských sil.
Kybernetický prostor je výjimečné prostředí k provádění špionáže kvůli své relativní anonymitě, možnosti přenášet velké objemy dat a možnosti maskovat místo původu „útoku“ (ve většině případů však nejde o ozbrojený útok zakládající právo státu na sebeobranu podle mezinárodního práva). Pro zejména zpravodajské služby je tedy kybernetický prostor velmi důležitou sférou, a to jak z hlediska možností získávat informace, tak z hlediska ochrany vlastních informací před obdobnou činností protivníka
Hlavní důvod: Obrana státu je v právním řádu řešena dosud spíše na bázi kinetického válčení v podobě klasického konvenčního konfliktu. … Konkrétní zmínka o kybernetickém prostoru a jeho obraně v těchto zákonech zatím není. V rámci uvedených právních předpisů by činnosti obsahově odpovídající kybernetické obraně mohly být prováděny, byť s určitým omezením, vyplývajícím z přece jenom značně odlišného prostředí, v němž by docházelo k aktivitám ohrožujícím bezpečnost České republiky.
Návrh si klade za cíl v základní podobě upravit problematiku chybějících oblastí zajišťování obrany České republiky a kybernetické bezpečnosti České republiky v širším smyslu, tj. kybernetické obrany, a tím docílit komplexního pojetí právní úpravy obrany státu a kybernetické bezpečnosti.
.Při nepřijetí úpravy by tak činnosti kybernetické obrany mohly sice být prováděny, ale ve značně omezeném, a tedy poměrně neúčinném režimu. Kromě toho by nebyl výslovně určen žádný orgán odpovědný za tuto oblast obrany státu…
Za implementaci řešení bude odpovědné Ministerstvo obrany a jeho součást Vojenské zpravodajství. Po některých vybraných podnikatelích a dalších osobách v oblasti elektronických komunikací bude do budoucna vyžadována součinnost ohledně připojení technických prostředků kybernetické obrany.
Národní kybernetická bezpečnost
Závěrem uveďme, že Česká republika se již delší dobou zabývá obranou svého kybernetického prostoru. Tato činnost byla svěřena úřadu s názvem Národní centrum kybernetické bezpečnosti, které bylo založeno na podkladě vládního usnesení v říjnu roku 2011. Centrum je „gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast“ a je součástí Národního bezpečnostního úřadu, se sídlem v Brně. Úkolem centra je mimo jiné spolupráce s dalšími nejen českými tzv. CERTy/CSIRTy (Computer Emergency Response Team/ Computer Security Incident Response Team).
Jedním z hlavních je tým CSIRT.CZ, který funguje od roku 2007 ( centrum vzniklo na podkladě konkursu-grantu MV ČR jako konsorcium univerzitních pracovišť – síť CESNET) a je na základě „Memoranda“ s MV ČR v roce 2010 národním CSIRT týmem České republiky a jeho hlavním rolí je koordinace řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice (národní autoritou je výše uvedené centrum – GOVCERT). Tento tým je na základě smlouvy provozován správcem české národní domény CZ.NIC. Tým podává hlášení o bezpečnostních incidentech správcům těch sítí nebo domén, z nichž incidenty pocházejí, ale které na stížnosti nereagují. V tomto směru tedy slouží jako jakýsi "institut poslední záchrany" pro případ, že jiné metody kontaktování správců selžou.
Týmů CERT/CSIRT je více a pracují v rámci svých odvětví, pracovišť a spolupracují s výše uvedenými národními týmy. Například týmy CSIRT poskytovatelů internetových služeb nebo univerzitní týmy (např. CSIRT-VUT nebo WIR).
Pro příklad uveďme, že IT-pracovník – správce sítě jednoho pracoviště by měl sledovat tok na síti a bránit jednotlivým útokům na server pracoviště. Musí zhodnotit dopady a rizika. Někteří správci se například těmto útokům brání odkláněním přístupu z určitých IP-adres do tzv. „černé díry“, aby nebylo eventuálně ohroženo dané pracoviště. Lze popsat i další lokální ochranná opatření (např. zabránění používání FTP), ale jde o již o odborný popis, kterému nemusí každý čtenář rozumět. Je samozřejmostí, že správce lokální sítě může celou záležitost konzultovat s poskytovatelem IS vždy o úroveň výše, který může nabídnout určitou pomoc v ochraně sítě a informaci, jak proti kyber-útoku bojovat. U nás jsou dvakrát ročně pořádány lokální „Pracovní skupiny“, kde se experti vzájemně informují o řešení případných incidentů ( viz připravovaná 47. Mezinárodní konference v Praze ).
Z výše uvedeného je vidět, že rovněž český kyberprostor je do značné míry i v současné době pečlivě hlídaný a to poměrně kvalitními expertními týmy. Proto vzniká otázka, proč ministerstvo obrany neprojednávalo celou záležitost veřejně s těmito experty.
Zatím je v platnosti Zákon o kybernetické bezpečnosti ze dne 23. července 2014. VIZ jeho znění ZDE .
Psali jsme:
autor: PV
