Tak trochu stranou mediální pozornosti zůstalo usnesení Vlády ČR ze 16. března, kterým se schvalují změny v zákoně č. 289/2005 Sb., o Vojenském zpravodajství. V jeho rámci má tato tajná služba získat nové pravomoci v oblasti kybernetické obrany České republiky.
Patrně nejzásadnější část návrhu zákona, předloženého ministrem obrany Lubomírem Metnarem, se týká používání „technických prostředků kybernetické obrany“ ve veřejných sítích. Co si pod tímto termínem máme představit a kam novela zákona míří?
Návrh zákona je reakcí na Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020, schválený vládou v květnu 2016. Ministr vnitra byl v jeho rámci pověřen přípravou podmínek pro kybernetickou obranu ČR. Jedním z úkolů je například vybudování Národního centra kybernetických sil.
Nové nástroje pro sledování v síti
Pro nás jsou zajímavé především „nástroje detekce“, které jsou v předkládací zprávě popsány následovně: „Nástroje detekce budou umísťovány v určených bodech veřejných sítí elektronických komunikací, přičemž povinnost zřízení rozhraní pro toto umístění bude právnickým nebo podnikajícím fyzickým osobám zajišťujícím veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací ukládána rozhodnutím vydaným Ministerstvem obrany.“
Z popisu plyne, že se bude jednat o síťové zařízení, které bude tajná služba moci připojovat do veřejných sítí. Provozovatel takové sítě bude muset poskytnout patřičnou součinnost – tedy zejména připravit ve stanovené lhůtě rozhraní dle požadavků.
Zpravodajské služby mohou „zasahovat do základních práv a svobod, zejména v oblasti ochrany soukromí, osobních údajů“. Samozřejmě to nemají činit kdykoli a kdekoli, ale pouze v odůvodněných případech.
V předkládací zprávě je také zmíněno, že zásadní připomínky k návrhu vznesly Hospodářská komora České republiky a Česká advokátní komora. Obsah zákona je dle nich „zcela zjevně v rozporu s požadavky na regulaci státní moci“.
Více než jen sledování
Podívejme se tedy na platné znění schváleného návrhu zákona. Začněme § 16a, jež definuje, že „Vojenské zpravodajství za podmínek stanovených tímto zákonem provádí cílenou detekci jevů nasvědčujících o existenci kybernetického útoku nebo hrozby mající původ v zahraničí.“
Při určování hrozeb přitom vojenská rozvědka vychází nejen z vlastní činnosti, ale i ze zpráv ostatních zpravodajských služeb, informací poskytnutých Národním úřadem pro kybernetickou a informační bezpečnost a dalšími státními orgány.
Kromě detekce případného útoku však zpravodajci požadují i možnost provádět případné protiakce a opatření – takzvaný „aktivní zásah“. To umožňuje § 16e, který říká, že „Vojenské zpravodajství v případě zjištěného útoku nebo hrozby směřující proti důležitým zájmům státu provede za podmínek stanovených tímto zákonem aktivní zásah k jejich neprodlenému odvrácení, hrozí-li nebezpečí z prodlení.“
K takovému kroku však zpravodajci mohou přistoupit pouze se souhlasem ministra obrany. Podmínkou jeho udělení je například „ohrožení důležitých zájmů státu ve značném rozsahu“ v případě, že nelze útok nebo hrozbu odvrátit jinými prostředky.
Nástroje detekce
Dostáváme se ke klíčovému bodu novely zákona – konkrétně k § 16c, který definuje prostředky, jež mohou zpravodajci využívat. Podle návrhu mají být „na určených bodech veřejných komunikačních sítí“ umísťovány blíže nespecifikované nástroje detekce.
Velmi podstatný je v tomto případě druhý odstavec, který definuje, co tyto nástroje vlastně budou dělat. Konkrétně mají zaznamenávat metadata o provozu veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací.
Zákon řeší i otázku, co to vlastně jsou ona „metadata“, nicméně definice je v tomto případě poměrně vágní a umožňuje širokou interpretaci. „Metadaty podle odstavce 2 se rozumí data popisující bez zaznamenávání samotného obsahu dat a informací souvislosti jejich přenosu v čase a jejich strukturu.“
Návrh přitom jasně stanovuje, že „Nástroje detekce nesmí být využito pro provádění odposlechů a záznamu nebo zpráv podle zákona o elektronických komunikacích.“ Z výše uvedeného logicky plyne, že by nástroje detekce neměly zachytávat obsah přenášených dat.
K čemu bude „černá skříňka“
V návrhu změny zákona o elektronických komunikacích je jen o něco blíže specifikováno, že nástroj detekce má umožňovat provádět cílenou detekci jevů nasvědčujících o existenci kybernetického útoku nebo hrozby a jejich identifikaci.
Vcelku pochopitelné je ustanovení, že ten, do jehož sítě bude takové zařízení nainstalováno, do něj nemá právo žádným způsobem zasahovat. Stejně tak nesmí jakkoli omezovat jeho funkčnost. Zpravodajci také požadují zajištění přístupu k tomuto zařízení.
Nutno podotknout, že zpravodajská služba slibuje úhradu efektivně vynaložených nákladů. Vyžaduje však po provozovateli sítě mlčenlivost „o všech skutečnostech souvisejících s připojením a užíváním nástroje detekce“. Za její porušení hrozí pokuta až pět milionů korun.
Co to znamená (nejen) pro poskytovatele
Zákon se dotýká hned několika skupin – jmenovitě právnických nebo podnikajících fyzických osob zajišťujících „veřejnou komunikační síť nebo poskytujících veřejně dostupnou službu elektronických komunikací“. Přinejmenším se tedy bude jednat o poskytovatele internetového připojení či jiné služby elektronické komunikace.
Ti budou muset dle § 16d zřídit a zabezpečit „v určených bodech jí zajišťované veřejné komunikační sítě rozhraní pro připojení nástroje detekce“. Z této formulace je tedy evidentní, že půjde o blíže nespecifikovaný hardwarový síťový prvek.
Konkrétní místa, kam budou tato zařízení instalována, zákon sám o sobě přímo neřeší. Je to celkem logické – při každé změně by bylo nutné měnit i samotný zákon. Uvádí tedy jen, že „základní charakteristiky veřejných komunikačních sítí využitelných pro umístění nástrojů detekce“ stanoví Ministerstvo obrany.
Ti, kdož budou muset poskytnout síťové rozhraní pro připojení přístroje dostanou stanovenou lhůtu, ve které tak budou povinni učinit. V rozhodnutí bude také stanovena doba, po kterou bude zařízení provozováno. Ta sice nesmí být delší než 6 měsíců, avšak návrh zákona jedním dechem dodává, že Ministerstvo obrany může tuto dobu prodloužit.
Pokud by firma odmítla poskytnout součinnost při připojení nástroje detekce, hrozí jí po novelizaci Zákona o elektronických komunikacích pokuta ve výši až 50 milionů korun nebo do výše 10 % z čistého obratu.
Zásah v kybernetickém prostoru
Víme tedy, že vojenští zpravodajové budou moci umísťovat do sítí zařízení, která budou nějakým způsobem monitorovat a analyzovat provoz. Co se ale bude dít v případě detekce nějakého útoku? Situaci, kdy taková hrozba bude mířit „proti důležitým zájmům státu“ řeší § 16e – „Oprávnění provést aktivní zásah v kybernetickém prostoru“.
Ten říká, že v případě nebezpečí z prodlení bude moci Vojenské zpravodajství provést zásah směřující k jeho neprodlenému odvrácení. Není nijak specifikováno, zda tento zásah bude realizován přes zařízení pro detekci, nebo nějakým jiným (a případně jakým) způsobem.
O provedeném zásahu pak zpravodajci informují vládu, náčelníka Generálního štábu Armády České republiky, ředitele Národního úřadu pro kybernetickou a informační bezpečnost a ostatní zpravodajské služby.
Zásah proti útoku či hrozbě může, je-li to nezbytně nutné, také zasáhnout do základních práv a svobod fyzických osob. V případě, že tím dojde k nějaké škodě nebo nemajetkové újmě, má dotyčná osoba nebo subjekt právo na její náhradu.
Ještě není definitivně schváleno
Jednou z hlavních změn zákona je zapojení Vojenského zpravodajství do obrany v kybernetickém prostoru. Primárním cílem těchto změn je ochrana před kybernetickými útoky. To je do jisté míry chvályhodné – zrovna minulý týden zažila Fakultní nemocnice Brno útok, který vedl k odstavení téměř všech počítačových systémů.
Otázkou je, jak zpravodajci hodlají takovým útokům zabraňovat, respektive jakým způsobem proti nim míní aktivně zasahovat. Z návrhu zákona plyne, že chtějí do sítí instalovat zařízení pro detekci, avšak odpověď na způsob odvracení probíhajícího útoku v něm nenajdeme.
Zásadní, avšak spíše filozofickou otázkou je, zda jsou to právě vojenští zpravodajci, plnící roli tajné služby, kdo má mít právo monitorovat kybernetické útoky. Podobně nejasné je, co jsou vlastně ona „metadata“, jež chce rozvědka používat – definice v té podobě, v jaké je v návrhu zákona, v podstatě umožňuje široký výklad tohoto pojmu.
Vládní návrh nyní bude čekat na projednání ve sněmovně, která jej následně může schválit.
Tento článek je součástí balíčku PREMIUM+
Odemkněte si exkluzivní obsah a videa bez reklam na devíti webech.
Vyzkoušet za 1 Kč
Nebo samostatné Živě Premium