Odpovědi na otázky k novele zákona o Vojenském zpravodajství

V současné době je v legislativním procesu novela zákona o Vojenském zpravodajství, která se týká zajišťování kybernetické obrany České republiky (sněmovní tisk č. 800). V DSM již několik let přípravy této novely sledujeme a zaznamenali jsme kolem tohoto tématu velký rozruch, jehož součástí je i řada dezinformací. Vyvstává proto několik zásadních otázek. Rozhodli jsme se požádat o vyjádření k této problematice několik vybraných odborníků, aby mohli okomentovat některé aspekty zmiňované novely. O odpovědi jsme požádali také přímo Vojenské zpravodajství. Otázky byly pro všechny stejné:

V zákoně se objevuje pojem „nástroj detekce“ (§ 16), který zaznamenává metadata provozu veřejných komunikačních sítí, a to pouze v rozsahu souvisejícím s detekovaným kybernetickým útokem nebo hrozbou na základě stanovených ukazatelů. Budou nástroje detekce čistě pasivní, nebo jimi bude možné provádět aktivní zásahy? Je to jediná činnost k zajištění informací ve prospěch kybernetické obrany?

JAN BARTOŠEK

poslanec KDU-ČSL

 

 

O aktivním zásahu je možné se dočíst přímo v zákoně, resp. za jakých podmínek bude možné aktivní zásah provést. Celá obrana v kybernetickém prostoru je komplexním souborem činností a postupů, které mají zajistit co největší míru bezpečí. Proto se nemůže jednat o jedinou věc, která má obranu v kybernetickém prostoru posílit, měla by nastat úzká spolupráce všech zainteresovaných složek a úřadů, čímž by se vybudoval kompaktní a funkční systém.

TOMÁŠ CZERNIN

senátor TOP 09

 

 

Nástroje detekce jsou koncipovány tak, aby nesbíraly konkrétní data, nýbrž systémové znaky ohrožení. V tom smyslu budou pasivními prvky. Jejich účel je zajišťování informací ve prospěch kybernetické obrany a nevidím zde jiný prostor pro činnost.

ONDŘEJ FILIP

výkonný ředitel sdružení CZ.NIC, správce české národní domény

 

 

Na úvod musím zmínit, že od verze z roku 2017 došlo v textu ke značnému posunu. Jak jsem měl možnost se seznámit s návrhem zákona, který je nyní v Poslanecké sněmovně, nástroje detekce jsou koncipovány jako pasivní zařízení pro cílenou detekci. Umím si přirozeně představit explicitnější vyjádření, ale pokud porovnáte text § 16 s návrhem nového § 98a zákona o elektronických komunikacích, tak mi z toho vyplývá, že by mělo jít o čistě pasivní zařízení. Definice těchto nástrojů byla zpřesněna, což by mohlo pomoci rozptýlit některé obavy, které panovaly ohledně zásahu do sítí jednotlivých poskytovatelů.

ADAM GOLECKÝ

ředitel sdružení NIX.CZ

 

 

Návrh zákona prodělal od roku 2017 velký posun, nejen terminologický (nástroje detekce vs. sondy), ale i věcný. Po prostudování poslední verze je zřejmé, že nástroje detekce nemají sloužit k aktivním zásahům. Fakticky by to ani nedávalo smysl, neboť v dnešní době, kdy jsou útoky stále sofistikovanější, by se jednalo o primitivní typ útoku, který by Českou republiku kompromitoval.

JAN KUDRNA

odborný asistent na katedře ústavního práva PF-UK a člen Legislativní rady vlády

 

 

Z návrhu zákona vyplývá, že nástroje detekce mají mít pasivní charakter. Návrh zákona přímo vylučuje, aby nástroj detekce mohl komunikovat směrem do veřejné komunikační sítě. Pokud bude nutný aktivní zásah, bude třeba provést jej jinými prostředky, přičemž VZ je tím posledním, kdo má takový zásah provádět. Má konat pouze tehdy, není-li možné, aby odpovídající zásah provedly jiné orgány veřejné moci. Instalace a provoz nástrojů detekce přirozeně nebude jediným prostředkem k zajištění informací ve prospěch kybernetické obrany. K dispozici budou všechny možnosti, které má veřejná moc již nyní. Použití nástrojů detekce tyto možnosti pouze významně posílí. Nicméně v některých případech mohou být užitečnější informace, které získá např. policie nebo zpravodajské služby jiným způsobem (od informátora, že někdo kybernetický útok připravuje).

TOMÁŠ POJAR

prorektor Vysoké školy CEVRO Institut

 

 

Abyste věděli, co se v systému děje, potřebujete takové nástroje mít. Sám nemám problém s aktivními prvky, ale pokud vím, tak se v tomto případě bude jednat o prvky výlučně pasivní. Každopádně není dobré v zákoně všem protivníkům a nepřátelům jasně vlastní schopnosti nebo neschopnosti definovat, proto vítám zvolený neutrální termín.

ONDŘEJ PROFANT

poslanec Piráti

 

 

V důvodové zprávě je uvedeno, že nástroje detekce mají sledovat pouze net flow (provoz). V jedné z předchozích verzí návrhu definice metadat obsahovala formulaci, že se nejedná o obsah. Nicméně aktuální verze se odkazuje na zákon o svobodném přístupu k informacím, kde jsou metadata definována i jako obsah komunikace. To je pro nás zásadní problém, který od začátku připomínkujeme a navrhujeme lepší definici metadat a definování nástrojů detekce jako pasivních zařízení. Co se týče aktivních zásahů, ty má dle návrhu provádět vojenské zpravodajství jinými nástroji než nástroji detekce. Jak přesně, není v zákoně definováno. Podstata problému ovšem zůstává stejná – pokud má mít VZ pravomoc provést aktivní zásah (např. protiútok), musí být v zákoně jasně definováno, za jakých podmínek a v jakých mantinelech se musí pohybovat. Obdobně jako je to u operací konvenčních ozbrojených sil. Proto budeme navrhovat omezení či úplné vyškrtnutí možnosti aktivního zásahu. Činností, které může Vojenské zpravodajství a další orgány (NÚKIB) podnikat, je celá řada. My se už dva roky snažíme od Vojenského zpravodajství získat informaci, jak konkrétně nástroje detekce a možnost aktivního zásahu pomůžou s kyberobranou (např. při útocích na české nemocnice) a zda je opravdu nutné tyto pravomoci umožnit v takto extenzivní míře.

KAREL ŘEHKA

ředitel NÚKIB

 

 

Zákon neumožňuje využití nástrojů detekce pro aktivní zásah. Má se jednat o pasivní zařízení, jejichž účelem je vyhodnocování provozu v sítích a upozornění na možné anomálie, čímž budou napomáhat v odhalování kybernetického útoku. Tyto nástroje detekce samozřejmě nejsou jedinou činností k zajištění informací ve prospěch kybernetické obrany. K zajištění informací pro ochranu a obranu kyberprostoru se vždy využívá celá škála informačních zdrojů technického i netechnického charakteru. Příkladem může být i naše nedávné varování, kdy jsme získali informace od partnerů, že je tady reálná hrozba poměrně sofistikovaných kybernetických útoků většího rozměru ohrožujících zejména zdravotnická zařízení. Informace jsme začali okamžitě ověřovat z více zdrojů, běžela komunikace s domácími i zahraničními partnery a taky jsme rozjeli vlastní technická opatření. Museli jsme vše analyzovat a zasadit do kontextu pandemické krize. Posuzovala se reálnost útoku, jeho možné dopady i vhodnost a rizika dalšího postupu, a to vše ve značné časové tísni. Výsledkem bylo vydání varování. K tomu se vždy musí využít všechny dostupné informační zdroje. Zmiňované nástroje detekce pak bezpečnostnímu systému ČR poskytnou další cenný zdroj informací, který považuji za adekvátní a potřebný. V konečném důsledku to pomůže chránit majetek, ale také zdraví a životy občanů naší země.

VOJENSKÉ ZPRAVODAJSTVÍ

 

 

Zákon neumožňuje jiné využití nástrojů detekce než cílené odhalení kybernetických útoků – tedy ani využití pro aktivní zásah. Umístění daného nástroje bude probíhat vždy v součinnosti s provozovatelem, na základě správního řízení a ve všech případech bude možné tato zařízení co do technických parametrů testovat. Umísťování a provozování daných zařízení se bude řídit v maximální možné míře principy spolupráce a vzájemné součinnosti. Rozhodně se nejedná o jediný informační zdroj, neboť ani neexistuje žádné opatření, které by se stoprocentní jistotou vedlo k detekci útoku. Je tedy nutné vystavět komplexní systém, který bude kombinovat různé způsoby detekce (technický i netechnický, státem zajišťovaný, outsourcing či sdílený atd.). Tyto způsoby musí být vzájemně provázané a zároveň musí být navázané na procesy krizového řízení a obranného plánování. Je skvělé, že v ČR působí projekty jako FENIX a další. Návrh, aby stát doplnil stávající prostředí o prvky, které mají zvýšit bezpečnost a jejichž role je daná pro mimořádné situace v případě krajních krizí, rozhodně neznamená, že současný systém selhává. ČR v zajištění kybernetické bezpečnosti patří mezi světovou špičku a je to dáno především velmi erudovaným personálním obsazením právě různých soukromých společností, které dennodenně řeší kybernetické incidenty. Žádným způsobem se jejich role nemá upozadit. Obecné zajištění ochrany a bezpečnosti sítí musí primárně zajišťovat stávající aktéři. Nikdo jiný to ani nesvede lépe a rozhodně by nebylo dobré, aby se zde stát angažoval více, než je třeba. V případě nejkritičtějších možných situací je však nutné, aby to byl stát, kdo je schopen dostát své základní povinnosti – zajistit obranu.

Stát vynakládá prostředky na systém tzv. data retention, ze kterého by bylo možno využívat data. Umístění nástrojů detekce je dalším ze způsobů, jak odhalit kybernetický útok. Myslíte si, že je dobré využívat více informačních kanálů a budovat obranu státu komplexně, nebo jen jeden, např. právě data retention?

JAN BARTOŠEK

poslanec KDU-ČSL

 

 

Jak bylo uvedeno, je to jeden z dalších způsobů. Kybernetický útok je jedním pojmem, který v sobě ukrývá mnoho aktivit. V běžném životě se také proti případnému útoku nemůžeme bránit pouze jednou cestou. Útok v kybernetickém světě začíná být větší hrozbou než útok v realitě. Útok může být vedený z druhého konce světa, z jednoho počítače a může se jednat o jednotlivce, organizovanou skupinu nebo přímo cílený útok druhého státu. Také se liší důvody, proč je tento útok vedený, jestli má za cíl škodit, získávat citlivá data nebo finanční prostředky. Je tisíce způsobů, jak útok vést a na co ho směřovat, a proto je naprosto klíčové, aby byla naše obrana budována komplexně. Musí se jednat o štít, který je schopný reagovat na vše. Musíme si uvědomit, že kybernetický útok je skutečnou hrozbou. A i když je vedený virtuálně, může napáchat velké škody v běžném životě.

TOMÁŠ CZERNIN

senátor TOP 09

 

 Obrana státu je vždy věcí komplexní. Ochrana před kyberútoky musí být součástí této komplexní aktivity.

ONDŘEJ FILIP

výkonný ředitel sdružení CZ.NIC, správce české národní domény

 

 

Je potřeba si uvědomit, že data retention mají úplně jiný režim a nejsem si jist využitelností tohoto institutu pro kybernetickou obranu. O něčem jiném je možný přístup k metadatům o datových tocích, který by mohl poskytnout informace využitelné pro kybernetickou obranu. Stát v tomto ohledu investoval poměrně značné prostředky a bylo by moudré je využít namísto budování nějaké další paralelní infrastruktury. Osobně se domnívám, že stát by se mohl více zapojit do spolupráce s poskytovateli připojení a služeb, např. v projektu FENIX.

ADAM GOLECKÝ

ředitel sdružení NIX.CZ

 

 

Určitě souhlasím s tím, že stát, a to platí obecně, by měl využívat informace, které již má, nebo informace z prostředků, do kterých již investoval. V oblasti kybernetické obrany to může být složitější, nicméně pokud by VZ mělo přístup k metadatům o datových tocích, mohlo by novou kompetenci kybernetické obrany naplňovat bez původně navrhovaného plošného monitoringu obsahu a bez drahých nástrojů detekce. Umím si představit i zapojení státu v projektu FENIX, který vznikl jako reakce na intenzivní DoS útoky v březnu 2013, jimž čelila významná česká média, banky i operátoři. Smyslem projektu, který se stále zdokonaluje, je umožnit v případě DoS útoku dostupnost internetových služeb v rámci subjektů zapojených do této aktivity.

JAN KUDRNA

odborný asistent na katedře ústavního práva PF-UK a člen Legislativní rady vlády

 

 

Podle mého názoru i v oblasti kybernetické obrany platí všechno to, co platí v oblasti obrany, případně zpravodajství. Tedy obrana či zpravodajská činnost musejí mít komplexní charakter. Data retention se téměř nedá použít, protože směřuje ke konkrétnímu spojení osob, resp. zařízení. Kybernetická obrana nutně musí stát na širším základě. Kromě toho je vhodné připomenout, že pro získání údajů data retention je nutné získat soudní souhlas. Právě proto, že se jedná o zásah do soukromí jednotlivých, časem i identifikovatelných osob.

TOMÁŠ POJAR

prorektor Vysoké školy CEVRO Institut

 

 

 Komplexní řešení je vždy lepší, o tom nepochybuji.

ONDŘEJ PROFANT

poslanec Piráti

 

 

Předložení novely chápeme tak, že údaje z data retention VZ nestačí, proto vláda navrhuje rozšíření jeho modus operandi. Stále však čekáme na vysvětlení, zda a do jaké míry tyto pravomoci zajistí lepší obranu (viz předchozí odstavec). Obecně je žádoucí, aby při zajišťování kybernetické obrany a bezpečnosti různé subjekty spolupracovaly (např. VZ a NÚKIB). Nicméně je nutné rozlišovat vnitrostátní bezpečnost a obranu státu a s tím související pravomoci (jako se rozlišují pravomoci policie a armády). Pokud VZ doloží, že navrhované pravomoci potřebuje k obraně státu (tzn. životů, ústavních institucí, kritické infrastruktury), pak nejsme a priori proti rozšíření pravomocí za stanovení jasných mantinelů. Rozhodně by ovšem nemělo VZ využívat své nástroje např. k řešení trestní činnosti v rámci České republiky. Proto navrhujeme vyjmout možnost poskytnout součinnost Policii ČR.

KAREL ŘEHKA

ředitel NÚKIB

 

 

Nástroje detekce jsou vhodným doplněním ostatních způsobů, jak odhalit kybernetický útok, a to nejlépe ještě před tím, než nastanou jeho zamýšlené efekty. Rozhodně se tedy nejedná o jedinou možnost, jak zjistit, že se něco v kybernetickém prostoru děje. Z logiky věci bychom nikdy na žádný jediný informační zdroj spoléhat neměli. Ideálním řešením je výstavba koordinovaného systému, kde má více subjektů jednoznačně rozdělené role a vzájemně se doplňují.

VOJENSKÉ ZPRAVODAJSTVÍ

 

 

Cílem návrhu zákona není vyloučit další eventuality – tím spíše méně invazivního charakteru. Vystavět koncepci detekce jen na principu data retention by nebylo nejvhodnějším řešením. Lze plynule navázat na předchozí odpověď. Umístění nástrojů není snahou dublovat činnosti bezpečnostního charakteru, které již správci sítí sami vykonávají. Má se jednat o přidanou hodnotu vycházející z činností a znalostí VZ, jež se následně promítnou v cíleném nakonfigurování konkrétních parametrů a indikátorů, které poskytnou informaci o hrozícím či již probíhajícím útoku. Pravděpodobně žádný soukromý subjekt totiž nebude disponovat zpravodajskými informacemi o povaze a zdroji těch nejzávažnějších útoků, které VZ získá jak z vlastní činnosti, tak ze strany zahraničních partnerů. Žádný z těchto soukromých subjektů nemůže disponovat ucelenou analýzou útoku z pohledu geopolitických zájmů a možných mezinárodních dopadů. Také nelze předpokládat, že tyto soukromé prvky mohou disponovat informacemi o tom, že se nějaký takový útok chystá. Nejzávažnější kybernetické útoky nejsou pouze technickým problémem, na který postačí znovu jen technicky reagovat, ale jedná se o mnohem komplexnější a složitější problematiku. Útoky mohou být provokací, zástěrkou k něčemu jinému, zkouškou systému atd. Tyto skutečnosti je nutné vyhodnotit a až na základě toho reagovat adekvátně.

Domníváte se, že je navrhovaný způsob detekce přílišným zásahem do soukromí? (pozn. red.: Právě jsme svědky toho, že si lidé v rámci ochrany svého zdraví nechají značně zasáhnout do soukromí – roušky, zákazy návštěv příbuzných, sledování kontaktů… Myslíte si, že v rámci obrany státu budou také ochotni?)

JAN BARTOŠEK

poslanec KDU-ČSL

 

 

Zda se jedná o přílišný zásah do soukromí, je složitá otázka a asi na ni nelze odpovědět ano či ne. Nejprve si musíme uvědomit, co bereme jako své soukromí a jestli ve virtuálním světě něco jako soukromí existuje. Dobrovolně se na internetu svého soukromí vzdáváme a někdy si to ani neuvědomíme, vkládáme na internet citlivá osobní data, které následně schválíme k zneužití. Chováme se na internetu diametrálně odlišně než v soukromém životě, jelikož máme představu, že zde máme soukromí. Dnes kybernetický útok může dopadnout na každého. Nemusí se mi líbit, že stát bude některá data monitorovat a procházet, ale asi budu rád, když stát zvládne útok, který mohl z provozu vyřadit nemocnici, elektrárnu, teplárnu nebo třeba jen semafor na frekventované křižovatce.

TOMÁŠ CZERNIN

senátor TOP 09

 

 

Navrhovaná detekce směřuje nikoli ke sběru konkrétních dat, nýbrž metadat, znaků hrozeb v systému. Veškeré tyto aktivity také podléhají schválení a jsou časově omezené. Nepovažuji je tedy za přílišné riziko zásahu do soukromí.

ONDŘEJ FILIP

výkonný ředitel sdružení CZ.NIC, správce české národní domény

 

 

Test vyváženosti zásahu do soukromí může, podobně jako se to stalo v Německu, provést na návrh poslanců nebo senátorů Ústavní soud. Ale díky tomu, že již nejde o plošný sběr dat, byl by tento zásah výrazně nižší.

ADAM GOLECKÝ

ředitel sdružení NIX.CZ

 

 

Nejsem si jist, zda proporcionalitu zásahu do soukromí dokážu ze své pozice posoudit. To je věcí ústavních právníků, běžný spotřebitel je však podle mě ochoten vyměnit své osobní údaje a soukromí za pochybnou možnost výhry ve spotřebitelské soutěži v obchodním řetězci.

JAN KUDRNA

odborný asistent na katedře ústavního práva PF-UK a člen Legislativní rady vlády

 

 

Nemyslím si to. Protože sledován má být obecně provoz internetu a výskyt vytipovaných jevů v něm, nikoli konkrétní spojení či komunikace. K jejímu sledování bude moci dojít až následně a v běžném právním režimu platném pro použití zpravodajské techniky.

TOMÁŠ POJAR

prorektor Vysoké školy CEVRO Institut

 

 

Osobně s ním nemám problém. Ten mám spíše se scénářem, že nebudeme mít žádný funkční systém a po první vážné krizi sáhneme k daleko drastičtějším nástrojům, které v ten moment většina veřejnosti podpoří. Z mého pohledu vybudování systému tak, jak je navrhován, může spíše předejít daleko většímu omezení soukromí v budoucnosti.

ONDŘEJ PROFANT

poslanec Piráti

 

 

Ano, aktuální znění novely nezaručuje, že nástroje detekce nebudou číst obsah. Pokud tuto pravomoc VZ chce, musí nástroje detekce podléhat obdobnému povolovacímu a kontrolnímu mechanismu jako policejní odposlechy. Pokud tuto pravomoc VZ nechce (což stojí v důvodové zprávě), pak požadujeme v zákoně explicitně definovat nástroje detekce tak, že mohou číst jen metadata a ne obsah.

KAREL ŘEHKA

ředitel NÚKIB

 

 

V návrhu současného znění rozhodně problém nevidím. Jedná se o velmi vyváženou koncepci. Kybernetická bezpečnost obecně tu je mimo jiné i proto, aby soukromí chránila. Je důležité pečlivě zvažovat míru, jakou stát může zasahovat do soukromí svých obyvatel. Zároveň je to ale stát, který musí své občany chránit před cizími útočníky. Stát má povinnost své občany chránit a bránit, a to nejen jejich soukromí, ale i další práva, zdraví a životy. To je přesně účelem této novely zákona. A pokud bych měl popsat svůj osobní občanský pohled na věc, tak když si uvědomím, kdo mimo stát s mými digitálními údaji nakládá a má k nim přístup, a to mnohdy bez přísného dozoru, bezpečnostních prověrek a fyzické bezpečnosti vlastní zpravodajským službám a bezpečnostním institucím státu, tak já osobně se jako občan zneužití nebojím a navrhované kontrolní mechanismy považuji za dostatečné. Já sám nemám problém svěřit svému státu stejná data, která dnes a denně svěřuji řadě soukromých subjektů, jejichž bezpečnostní standardy ani neznám. Ale to je můj osobní postoj a chápu, že zásah státu do soukromí jednotlivce vždy vyvolává jisté obavy. Je dobře, že se o tom vede velmi otevřená a konstruktivní diskuze.

VOJENSKÉ ZPRAVODAJSTVÍ

 

 

Návrh legislativních změn umožní pracovat s velmi omezeným rozsahem dat – pouze o záchytu předem definovaných ukazatelů – pro účely přijetí potřebných opatření, aby se bránily důležité zájmy státu. Cílená detekce je koncipována tak, že se nebude jednat o sledování či zaznamenávaní nejen samotného obsahu, ale ani metadat o komunikaci (typicky provozních a lokalizačních údajů). Nástroje detekce budou zaznamenávat data pouze v rozsahu předem definovaných indikátorů. Informaci o záchytu dané škodlivosti nástroj automaticky pošle stálému operačnímu centru NCKO. Nástroj dále bude zaznamenávat už jen metadata o svém vlastním provozu a případné manipulaci – pro potřebu kontroly i bezpečnosti samotného nástroje, resp. informací ohledně toho, jaké ukazatele jsou vyhledávány. Z logiky věci je tedy využití (možné zneužití) zaznamenaných dat velmi omezené – nejedná se o monitoring, plošné sledování či podobně, kde by míra rizika byla značně vyšší z důvodu sběru velkého množství dat.

Myslíte si, že dobře nastavený systém kybernetické bezpečnosti by byl proti kybernetickým hrozbám dostatečný? Je nutné budovat prvky aktivní obrany? (pozn. red.: Vidíme to na nemocnicích, které nyní čelí značnému počtu útoků. Varování NÚKIB před hrozbou jim bylo velmi nápomocné.)

JAN BARTOŠEK

poslanec KDU-ČSL

 

 

Jestliže se systém podaří nastavit správně, měl by být schopný čelit kybernetickým hrozbám. U armády také postupujeme tak, aby byla dobře vycvičená a vybavená, ale nemůžeme říct, že je na všechny hrozby připravená dostatečně. Systém je stále čím zdokonalovat a ve skutečnosti nikdy nebude hotový. V dnešní době se technologie posouvají rychlým tempem, a proto je velmi důležité neustále hledat prostor ke zlepšení a pokrok nezaspat. Moderní technologie je nedílnou součástí běžného života, takže musíme brát hrozbu kybernetického útoku naprosto vážně, stejně jako hrozbu vojenského či jiného charakteru. Prvky aktivní obrany je nutné mít. Nelze spoléhat pouze na obranu, musíme být i schopni zasáhnout, jestliže to situace bude vyžadovat. Zase je zde paralela s vojáky, ti jsou také cvičeni na možnost zásahu, pokud to bude situace vyžadovat.

TOMÁŠ CZERNIN

senátor TOP 09

 

 

Mám za to, že v budování kyberbezpečnostní struktury jsme stále v počátcích. Kyberhrozby jsou čím dál častější realitou v mezinárodních vztazích. Technologicky i z hlediska bezpečnosti je to jedna z nejrychleji se rozvíjejících oblastí. Tento dnes bouřlivě se rozvíjející segment vyžaduje stejně dynamickou odezvu.

ONDŘEJ FILIP

výkonný ředitel sdružení CZ.NIC, správce české národní domény

 

 

Jak jsem již řekl, oproti verzi zákona z roku 2017 je zde obrovský posun a je vidět, že MO a VZ naslouchaly připomínkám. Domnívám se, že je na rozhodnutí státu, jakým způsobem a jakými nástroji bude plnit své alianční závazky. Jsem rád, že jste zmínila kybernetické útoky proti nemocniční infrastruktuře. To je právě případ, kdy velmi dobře zafungovala spolupráce státu a soukromého sektoru. Proti budování prvků aktivní obrany v zásadě nic nemám, pokud nebudou zasahovat do funkce veřejných sítí v ČR.

ADAM GOLECKÝ

ředitel sdružení NIX.CZ

 

 

Nalijme si čistého vína. Útočníci jsou sofistikovaní, mají dostatečné lidské i finanční prostředky i motivaci pro útok. Kvalitní a dobře nastavený systém kybernetické bezpečnosti by měl být doplněn i kvalitním systémem kybernetické obrany. Detaily a nastavení samozřejmě musí být předmětem diskuze státu a zástupců operátorů.

JAN KUDRNA

odborný asistent na katedře ústavního práva PF-UK a člen Legislativní rady vlády

 

 

Jsem přesvědčený, že by dostatečný nebyl. Otázka ale stojí jinak. Chceme případným útokům pouze pasivně individuálně odolávat, nebo jim chceme čelit a případně je eliminovat? Osobně se kloním k druhé možnosti. A jak je patrné z celého světa, nejsem ve své úvaze sám. Současně platí, že problematika kybernetické obrany je záležitostí zcela novou. Zákonitě v ní jsou v mnoha směrech teprve kladeny otázky, na které neexistuje jednoznačná teoretická odpověď, nebo dokonce praktická zkušenost. Nelze přehlédnout, že z mnoha diskuzí není jasné, jaký je míněn rozdíl mezi kybernetickou bezpečností a kybernetickou obranou. V některých zemích či jazycích k tomuto silnému rozlišování nedochází. Stejně tak není zcela jasně řečeno, co zařadit pod pojem „aktivní obrana“. To ale neznamená, že se do hledání odpovědí na tyto otázky nemáme pustit. Myslím, že nám ani nic jiného nezbývá, protože oblast počítačů a počítačových sítí je stále významnější a my jsme na nich stále závislejší. Je tedy přirozené, že uvažujeme o jejich větším zabezpečení a ochraně všemi prostředky, které máme k dispozici.

TOMÁŠ POJAR

prorektor Vysoké školy CEVRO Institut

 

 

Žádný systém nebude dokonalý, vždy je třeba jej neustále zlepšovat, konfrontovat s realitou. Kdo však na budování takového systému rezignuje, těžce na to dříve či později doplatí. Každý protivník (státní i nestátní) bude raději útočit na cíle, které se nebudou opírat o aktivní obranu, resp. útočné schopnosti. Obrana a útok jsou dvě strany stejné mince. Rezignujete-li na jednu část, jste daleko zranitelnější. Máte-li vybudovány obě schopnosti, snižuje se pravděpodobnost, že se vám někdo pokusí uškodit. Navíc platí, že kdo není v kyberprostoru aktivní, nemůže dobře poznat svého nepřítele. Neznáte-li svého nepřítele, jste daleko zranitelnější.

ONDŘEJ PROFANT

poslanec Piráti

 

 

Zrovna v případě útoků na české nemocnice je přínos velmi sporný. Z informací, které jsou mi dostupné, útoky nebyly cíleny a prokázaly jen velmi silný amatérismus správců takto důležité infrastruktury. Kybernetická bezpečnost by měla především stát na prevenci. Tzn. budovat kritickou infrastrukturu a systémy (5G sítě, nemocnice, dopravní uzly, elektrárny) od začátku tak, aby se minimalizovalo riziko napadení. Dále je nutné vzdělávání pracovníků. Zjednodušeně řečeno, nemá smysl dávat VZ do ruky mocnější zbraň, když si budou úředníci na ministerstvech nadále stahovat podezřelé přílohy a psát heslo na papírek. Zda jsou prvky aktivní obrany nutné, se ptáme VZ opakovaně a čekáme stále na vysvětlení.

KAREL ŘEHKA

ředitel NÚKIB

 

 

Pro bezpečnost je zásadní hrozbám předcházet, ať už vzděláváním či prevencí. Chceme mít vzdělané a uvědomělé lidi, odolnou informační infrastrukturu a dobře nastavené bezpečnostní standardy a pravidla, která budou dodržována. To je náš cíl a u většiny útoků je dodržování dobře nastavených standardů dostatečné. S rostoucí intenzitou a sofistikovaností útoků a s rostoucím významem možných dopadů však role státu musí být větší a je nutné, aby k tomu disponoval adekvátními nástroji. Pro zajištění celkové bezpečnosti státu potřebujeme také vedle fungující vnitřní bezpečnosti, zahraničně-bezpečnostní politiky a ekonomické bezpečnosti i obranu. Vedle policie, hasičů, záchranářů apod. potřebujeme také vojáky s funkčními zbraněmi. V kyberprostoru tomu není jinak. Bez obrany není celková bezpečnost státu a bez kybernetické obrany není ani celková kybernetická bezpečnost. My se snažíme vzdělávat, šířit osvětu a zabezpečovat ty nejdůležitější systémy státu, aby byly co nejlépe chráněné a odolné. To ale nestačí. Až budeme jednou čelit opravdu vážným a nebezpečným útokům, kde ta naše prevence a zabezpečování už nebudou stačit, budeme potřebovat obránce, který útočníka může aktivně vyhledávat, sledovat a v těch nejvážnějších situacích i zastavit. Takového kyberobránce dnes Česká republika nemá, ale velmi ho potřebuje mít co nejdříve. Na kyberprostoru jsme dnes zcela závislí a není to vždy bezpečné místo. Kybernetickou obranu potřebujeme. A ano, je nutné budovat prvky aktivní obrany. Ona totiž žádná jiná účinná obrana než aktivní ani neexistuje. Každý voják vám řekne, že obrana, aby fungovala, musí být aktivní a mít ofenzivního ducha a schopnosti. Navíc se zapomíná na jeden důležitý aspekt, který je pro jakoukoli obranu zcela zásadní, a tím je odstrašování. Funguje tak, že máte schopnost se bránit, jste odhodlaní se bránit a efektivně tuto schopnost a odhodlání sdělujete všem potencionálním útočníkům. Nejinak je tomu i v případě obrany země v kyberprostoru. Proto už samotné schválení zákonné úpravy, která jasně deklaruje, že vedle dalších opatření v kybernetické bezpečnosti také budujeme aktivní obranu, a říká také, za jakých podmínek tyto schopnosti budeme používat, považuji za významný příspěvek k odstrašování a v konečném důsledku i k prevenci.

VOJENSKÉ ZPRAVODAJSTVÍ

 

 

Návrh novely zákona doplňuje systém obecné (kybernetické) bezpečnosti a obecné obrany státu takovým způsobem, že se jedná o řešení navazující na limity působnosti ostatních státních orgánů, především NÚKIB, armády, zpravodajských služeb a Policie ČR. To vše v symbióze a ve spolupráci se soukromým sektorem, bez čehož by nebylo možné pokrýt celé spektrum možných hrozeb. Můžeme si to představit jako integrovaný záchranný systém, ve kterém má každá složka své kompetence a jedna bez druhé se neobejde. Stejně tak ochrana kybernetického prostoru bude funkční pouze za předpokladu koordinace a spolupráce všech potřebných složek, které ke svému výkonu budou disponovat potřebnými nástroji, možnostmi a pravomocemi. Aby byla zajišťována kybernetická bezpečnost státu, je potřeba kybernetickým hrozbám primárně předcházet vzděláváním, prevencí, sdílením znalostí, spoluprací i nastavením jasných pravidel. U většiny běžných útoků naprosto postačí, aby systémy byly dobře zabezpečeny. S rostoucí intenzitou možných dopadů však role státu musí být významnější a je nutné, aby k tomu disponoval adekvátními nástroji. Rolí státu je také znalost, zda některé útoky tvářící se jako generické nejsou součástí nějaké širší kampaně. Jedná se o základní principy, na kterých jsou vystavěny právní normy bezpečnostního charakteru a ani v tomto případě daný návrh není nějakým excesem. Nelze připustit situaci, že by stát, jehož jednou ze základních povinností je zajistit bezpečnost, nedisponoval oprávněními adekvátně reagovat. A to jak v rozsahu reakce na bezprostřední hrozbu v podobě aplikace zásady dané hypertrofovanou situační legitimitou, tak i z dlouhodobého pohledu řešení geopolitických bezpečnostních otázek.

V zákoně se objevuje pozice Inspektora pro kybernetickou obranu (§ 16j). Je dle vašeho názoru jeho postavení definované v zákoně dostatečně?

JAN BARTOŠEK

poslanec KDU-ČSL

 

 

Zákon můžeme studovat neustále dokola a posuzovat jednotlivé parametry, které jsou pro inspektor pro kybernetickou obranu nastaveny, hlavní ale bude vidět práci inspektora v praxi. Stejně tak důležité bude, kdo tento post bude zastávat. Až čas nám ukáže, jestli je pozice inspektora v zákoně definována správně, zda mu dává volné ruce nebo naopak, zda je jeho výkon práce zákonem příliš svázaný. Klíčové je, aby pozice inspektora byla obsazena odborníkem na svůj obor, aby jeho stanoviska byla respektována a aby jeho volba nebyla ovlivněna politickým bojem.

TOMÁŠ CZERNIN

senátor TOP 09

 

 

Ano. Osoba inspektora je po projednání v příslušných parlamentních výborech na návrh ministra jmenována vládou. Neutrální postavení inspektora je garantováno volenými představiteli státu.

ONDŘEJ FILIP

výkonný ředitel sdružení CZ.NIC, správce české národní domény

 

 

Inspektora pro kybernetickou obranu vnímám jako takového ombudsmana či proxy mezi veřejností a světem tajných služeb. Pokud se bavíme o systému kontroly, vnímám nezastupitelnou roli parlamentní kontroly tajných služeb.

ADAM GOLECKÝ

ředitel sdružení NIX.CZ

 

 

Umím si představit preciznější text, ale vnímám inspektora jako doplnění současného systému kontroly činnosti vojenské tajné služby. V konečném důsledku to bude o konkrétních lidech jako ostatně i v jiných funkcích.

JAN KUDRNA

odborný asistent na katedře ústavního práva PF-UK a člen Legislativní rady vlády

 

 

Pokud jde o funkci Inspektora pro kybernetickou obranu, je zákonem definována s ohledem na druh funkce více než dostatečně. Tak, jak je funkce navržena, umožňuje zajistit kontrolu a dozor nad novými pravomocemi VZ a současně zachovat jeho funkčnost. Mám za to, že funkce je navržena vyváženě. Nicméně dodám, že se bude jednat o další kontrolní nástroj v oblasti zpravodajských služeb, jejichž paleta je už nyní velmi široká. Proto mám za to, že současní navrhovatelé i zákonodárci v minulosti přistupují k otázce kontroly zpravodajských služeb velmi vážně, s cílem zajistit ochranu ústavně garantovaných práv a svobod.

TOMÁŠ POJAR

prorektor Vysoké školy CEVRO Institut

 

 

Nejsem právník ani legislativec, osobně s definicí problém nemám. Nakonec bude stejně daleko více záležet na integritě konkrétních lidí.

ONDŘEJ PROFANT

poslanec Piráti

 

 

Není. Tento inspektor je členem VZ, a tedy podléhá jejímu řediteli. Pak těžko můžeme mluvit o nezávislosti. Ještě si dovoluji zmínit naše návrhy, které jsme VZ a MO zaslali (týkají se sice starší verze návrhu zákona, ale jsou stále platné). Dále odkazuji na naše tiskové zprávy. Plánujeme také uspořádat v Poslanecké sněmovně kulatý stůl se zástupci profesních a občanských organizací a spustit webové stránky shrnující připomínky naše i dalších subjektů.

KAREL ŘEHKA

ředitel NÚKIB

 

 

Toto nejsem schopen erudovaně posoudit. Nastavení kontroly v tomto sektoru je velmi citlivou záležitostí a málokdo si uvědomuje veškeré souvislosti a konsekvence. Osobně to vnímám jako další úroveň kontroly vedle již existujících mechanismů, což považuji za pozitivní. Obecně souhlasím s tím, že vedle svěřených pravomocí musí vždy existovat také kontrolní mechanismy proti jejich zneužití. Kontrola ale zároveň musí být nastavena tak, aby neznemožňovala samotný výkon činnosti, kvůli kterému ke svěření pravomocí vlastně došlo.

VOJENSKÉ ZPRAVODAJSTVÍ

 

 

Stran legislativního návrhu je potřeba vnímat kontrolu nově navrhovaných činností VZ komplexně. VZ bude při výkonu nově svěřených kompetencí podléhat několikastupňové kontrole. Vnější kontrola bude zajišťována ze strany ministra obrany, jako tomu je v případě ozbrojených sil, a dále ze strany vlády. Exekutivní kontrola je dvoustupňová. Za prvé ze strany poslanecké sněmovny (Stálá komise pro kontrolu činnosti VZ) a za druhé Orgánu nezávislé kontroly (ONK). V případě Inspektora kybernetické obrany se jedná o vnitřní kontrolu (využívá daných možností a operativnosti) mající přesah vůči externím subjektům (operátorům i externím kontrolním orgánům) a zákonem garantovanou vyšší míru nezávislosti. Inspektor má kontrolovat nakládání s daty a informacemi, které VZ při své činnosti získá – především jak jsou zabezpečeny a jakým způsobem se s nimi nakládá. Svojí povahou se tedy jedná o analogii k osobám pověřenců ochrany osobních údajů, kteří vykonávají tuto činnost u jiných státních institucí, ale oproti nim s mnohem širšími právními zárukami. Pro ilustraci lze ještě dodat, že jakékoli snahy inspektorovi upřít nezávislost jeho činností by znamenaly kardinální zásah do výkonu jeho úředních pravomocí a bylo by to možné posuzovat i jako TČ – právě z toho důvodu, že zákon mu nezávislost garantuje.

JANA ČERNOCHOVÁ

předsedkyně výboru pro obranu PS PČR

 

 

Zatím jsme o tomto návrhu zákona na výboru, na klubu ani na plénu podrobně nediskutovali. Poslanec Lipavský, místopředseda našeho výboru pro obranu, chce na toto téma uspořádat v brzké době seminář, dříve to nebylo z důvodu koronaviru možné. Takže si počkám na závěry tohoto semináře i na debatu s odborníky.

PAVEL FISCHER

senátor (v zastoupení)

 

 

 

Dobrý den, pan senátor novelu sleduje, bohužel se ale k otázkám nedostal včas, odpovědi připravujeme. Děkuji.

VÍT RAKUŠAN

poslanec (v zastoupení)

 

 

Pan předseda Rakušan děkuje za zaslané dotazy. Nicméně rád by se zatím omluvil, ale v následujících dvou týdnech bude mít jako předseda Stálé komise pro kontrolu činnosti VZ k tomuto tématu ještě schůzky a nerad by se vyjadřoval před tím, než proběhnou. Jakmile se tisk zařadí a bude jasné, kdy se bude projednávat, určitě rád všechny odpovědi poskytne.

Z oslovených respondentů nezaslal žádnou odpověd pouze Zdeněk Zajíček, z ICT UNIE. Odpovědi respondentů, kteří přislíbili odpovědi po uzávěrce, budou k dispozici na našich webových stránkách.