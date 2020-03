Zpravodajské služby mohou „ zasahovat do základních práv a svobod , zejména v oblasti ochrany soukromí, osobních údajů“. Samozřejmě to nemají činit kdykoli a kdekoli, ale pouze v odůvodněných případech.

Z popisu plyne, že se bude jednat o síťové zařízení, které bude tajná služba moci připojovat do veřejných sítí. Provozovatel takové sítě bude muset poskytnout patřičnou součinnost – tedy zejména připravit ve stanovené lhůtě rozhraní dle požadavků.

Návrh zákona je reakcí na Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020, schválený vládou v květnu 2016. Ministr vnitra byl v jeho rámci pověřen přípravou podmínek pro kybernetickou obranu ČR . Jedním z úkolů je například vybudování Národního centra kybernetických sil.

Patrně nejzásadnější část návrhu zákona , předloženého ministrem obrany Lubomírem Metnarem, se týká používání „technických prostředků kybernetické obrany“ ve veřejných sítích. Co si pod tímto termínem máme představit a kam novela zákona míří?

Kromě detekce případného útoku však zpravodajci požadují i možnost provádět případné protiakce a opatření – takzvaný „aktivní zásah“. To umožňuje § 16e, který říká, že „Vojenské zpravodajství v případě zjištěného útoku nebo hrozby směřující proti důležitým zájmům státu provede za podmínek stanovených tímto zákonem aktivní zásah k jejich neprodlenému odvrácení, hrozí-li nebezpečí z prodlení.“

Vcelku pochopitelné je ustanovení, že ten, do jehož sítě bude takové zařízení nainstalováno, do něj nemá právo žádným způsobem zasahovat. Stejně tak nesmí jakkoli omezovat jeho funkčnost. Zpravodajci také požadují zajištění přístupu k tomuto zařízení.

Návrh přitom jasně stanovuje, že „Nástroje detekce nesmí být využito pro provádění odposlechů a záznamu nebo zpráv podle zákona o elektronických komunikacích.“ Z výše uvedeného logicky plyne, že by nástroje detekce neměly zachytávat obsah přenášených dat.

Zákon řeší i otázku, co to vlastně jsou ona „metadata“, nicméně definice je v tomto případě poměrně vágní a umožňuje širokou interpretaci. „Metadaty podle odstavce 2 se rozumí data popisující bez zaznamenávání samotného obsahu dat a informací souvislosti jejich přenosu v čase a jejich strukturu.“

Velmi podstatný je v tomto případě druhý odstavec, který definuje, co tyto nástroje vlastně budou dělat. Konkrétně mají zaznamenávat metadata o provozu veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací.

Pokud by firma odmítla poskytnout součinnost při připojení nástroje detekce , hrozí jí po novelizaci Zákona o elektronických komunikacích pokuta ve výši až 50 milionů korun nebo do výše 10 % z čistého obratu.

Konkrétní místa, kam budou tato zařízení instalována, zákon sám o sobě přímo neřeší. Je to celkem logické – při každé změně by bylo nutné měnit i samotný zákon. Uvádí tedy jen, že „základní charakteristiky veřejných komunikačních sítí využitelných pro umístění nástrojů detekce“ stanoví Ministerstvo obrany.

Zásah v kybernetickém prostoru

Víme tedy, že vojenští zpravodajové budou moci umísťovat do sítí zařízení, která budou nějakým způsobem monitorovat a analyzovat provoz. Co se ale bude dít v případě detekce nějakého útoku? Situaci, kdy taková hrozba bude mířit „proti důležitým zájmům státu“ řeší § 16e – „Oprávnění provést aktivní zásah v kybernetickém prostoru“.

Ten říká, že v případě nebezpečí z prodlení bude moci Vojenské zpravodajství provést zásah směřující k jeho neprodlenému odvrácení. Není nijak specifikováno, zda tento zásah bude realizován přes zařízení pro detekci, nebo nějakým jiným (a případně jakým) způsobem.

O provedeném zásahu pak zpravodajci informují vládu, náčelníka Generálního štábu Armády České republiky, ředitele Národního úřadu pro kybernetickou a informační bezpečnost a ostatní zpravodajské služby.

Zásah proti útoku či hrozbě může, je-li to nezbytně nutné, také zasáhnout do základních práv a svobod fyzických osob. V případě, že tím dojde k nějaké škodě nebo nemajetkové újmě, má dotyčná osoba nebo subjekt právo na její náhradu.

Ještě není definitivně schváleno

Jednou z hlavních změn zákona je zapojení Vojenského zpravodajství do obrany v kybernetickém prostoru. Primárním cílem těchto změn je ochrana před kybernetickými útoky. To je do jisté míry chvályhodné – zrovna minulý týden zažila Fakultní nemocnice Brno útok, který vedl k odstavení téměř všech počítačových systémů.

Otázkou je, jak zpravodajci hodlají takovým útokům zabraňovat, respektive jakým způsobem proti nim míní aktivně zasahovat. Z návrhu zákona plyne, že chtějí do sítí instalovat zařízení pro detekci, avšak odpověď na způsob odvracení probíhajícího útoku v něm nenajdeme.

Zásadní, avšak spíše filozofickou otázkou je, zda jsou to právě vojenští zpravodajci, plnící roli tajné služby, kdo má mít právo monitorovat kybernetické útoky. Podobně nejasné je, co jsou vlastně ona „metadata“, jež chce rozvědka používat – definice v té podobě, v jaké je v návrhu zákona, v podstatě umožňuje široký výklad tohoto pojmu.

Vládní návrh nyní bude čekat na projednání ve sněmovně, která jej následně může schválit.