NOVELA ZÁKONA O VOJENSKÉM ZPRAVODAJSTVÍ
Původně jsme pod názvem Bezpečná obrana - obranná bezpečnost připravovali seminář, který by se obsáhleji věnoval jak kybernetické bezpečnosti, tak kybernetické obraně (viz odložený seminář). Vzhledem k současným opatřením jsme prozatím jeho konání odsunuli. O náhradním termínu budete včas informováni.
Vláda však v těchto dnech nejedná pouze o bodech, které přímo souvisí s koronavirovou pandemií, ale i o řadě dalších důležitých materiálech. Jedním z takových je i Novela zákona o vojenském zpravodajství. Ta byla schválena v pondělí 16. 3. 2020, tedy v den, kdy na programu byl i velice diskutovaný zákon o evidenci skutečných majitelů a den, kdy na tiskovou konferemci po jednání vlády byl vpuštěn pouze omezený počet novinářů. Vzhledem k důležitosti novely a citlivosti některých jejích bodů, jsme se rozhodli shromáždit související názory. Jako první jsme požádali ředitele vojenského zpravodajství Ing. Jana Berounaa poslance PSP ČR, člena podvýboru pro obrannou, kybernetickou a bezpečnostní politiku a strategické koncepce ČR Ondřeje Profanta. Postupně se budeme snažit získávat další informace a můžete přidávat i své vlastní názory na stránce věnované tomuto tématu.
Komentář k novele zákona o Vojenském zpravodajství
Jan Beroun, ředitel, Vojenské zpravodajství
Vláda minulý týden schválila novelu zákona o Vojenském zpravodajství, který má za cíl zohlednit specifika kybernetického prostoru při obraně státu a jeho obyvatel. Jedná se o řešení zadaného úkolu stanoveného vládou vycházející z Národní strategie kybernetické bezpečnosti ČR, které umožní detekovat kybernetické útoky a adekvátně na ně reagovat.
Základem pro zajištění kybernetické bezpečnosti státu je potřeba kybernetickým hrozbám primárně předcházet vzděláváním, prevencí, sdílením znalostí, spoluprací, ale i nastavením jasných pravidel. Naprosto totiž postačí, když před většinou běžných útoků budou systémy dobře zabezpečeny, zálohovány a v podstatě ze strany státních institucí (pokud nebudou přímo ony cílem útoku) nebude třeba žádné větší ingerence. S rostoucí intenzitou možných dopadů či v případě sofistikovaných útoků však role státu musí být významnější, jelikož stát musí garantovat bezpečnost svých občanů v kyberprostoru stejně, jako garantuje jakoukoliv jinou formu bezpečnosti. Stát musí být schopen bránit nejen státní instituce, ale také nemocnice, banky, elektrárny a v důsledku tak i životy a zdraví českých občanů, takže význam tohoto zákona je v této době víc než zřejmý.
Aby vše fungovalo, je potřeba erudovaných lidí s odvahou převzít odpovědnost, ale také jim musí být dány kompetence, důvěra a oprávnění konat. Role Vojenského zpravodajství bude spočívat v reakci na ty úplně nejzávažnější kybernetické hrozby. Cílem návrhu je doplnění daného systému o prvky, které v současné situaci státu chybí, přitom jsou nutné k jeho obraně. To vše v návaznosti na to, aby státní instituce společně se soukromou i akademickou sférou spolupracovaly a snažily se pokrýt celé spektrum možných hrozeb.
Kybernetická obrana na státní úrovni je zcela novým prvkem, i proto tato problematika budí velký zájem. My tento zájem vnímáme jako pozitivní, protože se nám díky němu, myslím, podařilo vytvořit precizované znění návrhu. Z připomínkových míst se nám sešlo na 160 připomínek a ozývali se nám i nestátní aktéři. My jsme společně s ministrem obrany samozřejmě mluvili nejen s připomínkovými místy, ale také s různými organizacemi, spolky i s politickými stranami a jsme připraveni s nimi v diskuzi pokračovat i nadále. Kybernetická obrana České republiky musí být naším společným cílem.
Ve státní sféře byl zákon nejvíce projednáván mimo jiné s Národním úřadem pro kybernetickou a informační bezpečnost, Úřadem pro ochranu osobních údajů či ostatními zpravodajskými službami. Z politických stran se z logiky věci o novelu zákona ve větší míře zajímá Pirátská strana, i na základě jejich relevantních připomínek a přímých jednáních s jejich zástupci došlo ke zkvalitnění znění zákona.
Rozumím obavám ohledně zachování soukromí na internetu, které kolem této novely panují. I proto jsme v této problematice změnili naše obvyklé postupy, a ačkoli jsme zpravodajská služba, snažíme se být co nejvíc otevření a transparentní. Účastníme se diskuzí a akcí v rámci odborné i široké veřejnosti či zveřejňujeme potřebné informace na webových stránkách. Snažíme se toto téma vysvětlovat, jak jen nám to prostředí tajné služby dovolí.
Za účelem odhalení kybernetických útoků bude Vojenské zpravodajství umisťovat do sítí operátorů takzvané nástroje detekce, které budou zachytávat pouze předem definované anomálie, na základě kterých bude možné dále reagovat. Návrh zákona velice jasně vymezuje, k čemu a jakým způsobem je možné tyto nástroje umístit a provozovat. Obsah návrhu zákona je již delší dobu podroben odborné diskuzi a prošel významným vývojem. Návrh byl shledán ústavně konformní a obsahuje dostatek záruk a kontrolních mechanizmů, aby nebylo možné vykročit z mantinelů, které svými ustanoveními nastavil.
Komentář k novele zákona o Vojenském zpravodajství
Ondřej Profant, poslanec PSP ČR
V Česku rozlišujeme kybernetickou bezpečnost a kybernetickou obranu. Bezpečnost je “měkká”, civilní a zajišťuje ji NÚKIB. Obrannou linii má zajišťovat Vojenské zpravodajství (VZ) spadající pod Ministerstvo obrany. Obranou se rozumí ochrana životů obyvatel, územní celistvosti, principů demokracie a dalších podstatných aspektů našeho života před vnějším napadením. Předpokládá se tedy, že VZ může operovat v zahraničí.
Již v minulém volebním období VZ předložilo návrh, jak svou roli sehrát. Tento návrh byl tvrdě odmítnut. V pozadí probíhající pandemie VZ návrh znovu předložilo a vláda ho schválila 16. 3. 2020. Návrh byl do mezirezortního připomínkového řízení opětovně vložen 12. 2. 2019. Zásadní výhrady vyjádřily Ministerstvo spravedlnosti, Hospodářská komora, ICT Unie, Český telekomunikační úřad nebo Česká advokátní komora. Piráti nabídli svou verzi, kterou zpracovali ve spolupráci s nevládní organizací IuRe.
S VZ jsme o návrhu jednali půl roku. Některé naše připomínky byly zapracovány, ale jiné opět ne. Musíme pochválit definici metadat, která má zajistit sledování pouze provozu, nikoliv obsahu komunikace. Též jsou upřesněny podmínky, za kterých může dojít k omezení lidských práv a svobod tak, aby odpovídaly analogiím.
Největším problémem stále zůstává samotná realizace sběru dat. Návrh hovoří o “nástroji detekce” namísto původně použitého “sonda”. Piráti prosazovali, aby už v zákoně bylo jasně stanoveno, že data se sbírají pasivními zařízeními z odbočené sítě (např. pomocí optického splitteru), aby VZ nemohlo pomocí těchto zařízení měnit provoz v síti. To by usnadnilo i fyzickou realizaci daných opatření. Bohužel jsme tu opět svědky principu security through obscurity, kdy naše legislativně-bezpečnostní myšlení výrazně zaostává za technickými poznatky.
Velkou neznámou je také termín “aktivní zásah”. Zatímco konvenční armáda nemůže za normálních okolností zasahovat v ulicích, VZ by obdobnou pravomoc dostalo, neboť internet nemá hranice a identifikovat útočníka může být téměř nemožné. Osobně se velmi obávám provokací pod falešnou vlajkou, kdy cizí mocnost vyprovokuje VZ k zásahu a následná eskalace konfliktu se později obrátí proti nám.
Dalším bodem sporu je předpokládaná spolupráce s poskytovateli internetového připojení (operátoři, ale i lokální podnikatelé). Ti by měli mít ze zákona povinnost se zpravodajci spolupracovat a detekční zařízení nechat do “svých kabelů” umístit. Návrh ovšem požaduje mlčenlivost a hrozí také likvidačními pokutami, pokud by soukromý subjekt součinnost odmítl. Složitá je i náhrada případné škody.
Představovali bychom si také mnohem důslednější kontrolu ze strany Poslanecké sněmovny, aby se minimalizovalo riziko zneužití. Zahraniční i naše zkušenosti jasně ukazují, jak moc je to důležité. V konečném důsledku i pro samotnou rozvědku, která tím získává větší důvěryhodnost.
Kybernetickou obranu nesmíme podceňovat. Bylo by naivní se domnívat, že nám nic nehrozí. VZ a další bezpečnostní složky státu samozřejmě musí být k dispozici prostředky a oprávnění k tomu nás dostatečně chránit před stále novými hrozbami. Nesmíme se přitom ale vzdát racionálního přístupu a nástrojů demokratické kontroly.
Jak bylo řečeno, další názory a to i Vaš vlastní, sbíráme na samostatné stránce věnované problematice kyberbezčnosti a kyberobrany.