Analýza novely zákona

(z pohledu odborné technické veřejnosti)

Obsah

Aktuální stav

Stav k 8.5.2019: V tuto chvíli je novela ve fázi vypořádávání připomínek z meziresortního připomínkového řízení. V následujících odstavcích vycházíme ze znění novely z 12.2.2019 na webu úřadu vlády.

Úvodní slovo

Jsme si vědomi stále narůstající a intenzivnější potřeby obrany kybernetického prostoru v ČR. Proto podporujeme snahy dodržet závazek soběstačnosti v rámci kybernetické obrany, který plyne z našeho členství v NATO a zároveň zajistit obranyschopnost republiky jako takové i v této relativně nové dimenzi obrany.

Jsme si však vědomi i toho, že se zde stýkají dva ze základních zájmů ČR, a to obrana republiky a zajištění základního ústavního práva jakým je právo na soukromí.

Jsme toho názoru, že byť je novela tří zákonů připravována s velkým úsilím, poctivě a se snahou zapracovat některé z připomínek odborné veřejnosti, stále vykazuje zásadní nedostatky. Zároveň jsme toho názoru, že není vhodné legislativu tohoto typu uspěchat, neboť je zde možné napáchat špatně odvratitelné škody.

S vědomím výše uvedeného proto předkládáme v tuto chvíli pouze několik zásadních připomínek a konstruktivních návrhů řešení, které rozhodně nezahrnují úplný výčet všech nedokonalostí aktuálního znění novely. (Mělo by zde zaznít i to, že tento web připravuje odborná veřejnost s hlubokými znalostmi problematiky, včetně znalostí technických)

Problematické body návrhu novely

Novela zákona o Vojenském zpravodajství má řadu vážných pochybení, které jsou při komunikaci s odbornou veřejností vysvětlovány odlišně od aktuálního návrhu novely a význam těchto pochybení je zlehčován. Vzhledem k tomu, že jde o zákon, který má de facto technicky umožnit přístup zpravodajské komunity k datové komunikaci občanů ČR a to plošně, mají tato pochybení zejména v případě neadekvátně dlouho uchovávaných zachycených dat dlouhodobý dopad na nejen soukromí občanů ČR, ale ve svém důsledku i na jejich budoucí bezpečnost.

Na tomto informačním webu se zabýváme aktuálním zněním návrhu novely, přičemž ve chvíli zapracování připomínek budeme tento web aktualizovat. Není totiž možné vyjadřovat se k ničemu jinému, než k písemnému a jasnému znění zákona, neboť pouze to zaručuje jistotu pochopení budoucích povinností a kompetencí.

Vnitřní logické rozpory a nekonzistence

Novela bohužel s novým zněním získala i nové logické rozpory:

  • předkladatel zákona mluví o zpracování pouze neadresných dat, ale účel, potřebný rozsah dat pro daný účel, a další ustanovení novely sběr pouze neadresných dat vylučují.
  • v případě, že zákon dovoluje Vojenskému zpravodajství nasadit sondy pro monitoring do sítí jednotlivých ISP a zároveň zákon výslovně neomezuje připojení sondy pouze pasivním způsobem s omezením výstupních dat, je zde rozpor s povinnostmi, které jinak ISP ukládá zákon o el. komunikacích. Je zde tedy rozpor mezi deklarativností omezení účelu použití sond a mezi jeho nevynucením.
  • novela kybernetickou obranu buď směšuje v některých aspektech s činnostmi spadajícími spíše do oblasti kybernetické bezpečnosti, nebo není důsledná při používání a rozlišování těchto pojmů. Toto je jeden z důvodů vzniku názoru o kompetenční nevhodnosti Vojenského zpravodajství.
  • ač zákon deklaruje, že nemá docházet k narušování soukromi, zároveň zaručuje (požaduje) zachování pouze integrity sítí (není požadováno např. zachování důvěrnosti přenášených dat).

Kompetence Vojenského zpravodajství

Návrh novely a jeho důvodová zpráva nachází pouze formální důvody pro určení příslušnosti Vojenského zpravodajství k zajištění kybernetické obrany. Vzhledem k tomu, že Vojenské zpravodajství má ze zákona provádět zpravodajskou činnost, není příliš vhodné rozšiřovat jeho kompetence tímto způsobem. Níže v sekci "Konstruktivní návrh řešení" popisujeme "Model čtyř sil" z dílny ICT Unie, který ukazuje logiku zapojení jednotlivých silových státních útvarů v celém spektru činností v oblasti kyberprostoru.

Pozn.: pro případ aktivní obrany proti kybernetickému útoku vedeného ze zařízení nacházejících se na území ČR není legislativně možné využít sil AČR (dělení na vnější a vnitřní hrozby) a zde dává smysl využít sil Vojenského zpravodajství. Variantou je úprava legislativy, kdy by i v případě aktivního odvracení útoku v kybernetickém prostoru, kdy útok i aktivní obrana probíha kompletně na území ČR, mohla provádět Armáda ČR, což je optimální řešení. V případě aktivní obrany proti kybernetickému útoku vedeného ze zařízení nacházejících se mimo území ČR dává smysl využít pouze sil AČR.

Forma nasazení sond

(alias technických prostředků kybernetické obrany alias nástrojů detekce)

Navrhovaná forma nasazení sond ve stávajícím znění návrhu novely (§16b, §16f,g Zák. o VZ, §98a Zák. o el. kom.) stále nezajištuje technickou nemožnost ovlivnění provozu sítí ani důvěrnosti dat, která síť přenáší. Zavazuje ISP strpět ve svých sítích přítomnost sond, přičemž činnost nazvaná "monitoring" je sice deklarována tak, že: "...nesmí být narušena důvěrnost obsahu zprávy a může být prováděno výlučně způsobem vylučujícím zásahy do soukromého nebo rodinného života...", nicméně již nezaručuje pasivitu těchto sond. (Povinné osoby jsou stále povinny pouze "zabezpečit rozhraní pro připojení sond určených k monitorování kybernetického prostoru a povinnost strpět umístění a provozování tohoto zařízení. Rozhodnutí podle věty první obsahuje výrokovou část a poučení účastníků; odvolání proti rozhodnutí nemá odkladný účinek.".)

Rizikem je zde technická možnost úplného odposlechu datových komunikací, přičemž není přesně specifikováno na jaké typy sítí budou sondy instalovány, není vyžadováno technické zajištění (nikoliv pouze zákonem deklarované) neovlivnění provozu sítě a neporušování důvěrnosti obsahu přepravovaných zpráv. V takovém případě hrozí technická možnost plošného i selektivního vstupu do některých typů šifrované komunikace, pozměňování obsahu komunikace a vytváření neexistující komunikace. Stejně tak je možné ovlivňovat i chování vlastní sítě. Z toho v případě zneužití vyplývají rizika typu zjišťování informací pro konkurenční boj, pro diskreditaci nevhodných osob, vytváření falešných důkazů, využívání sond k útokům na domácí či zahraniční cíle, apod. (Jsme si pochopitelně vědomi, že toto jsou opravdu krajní rizika, nicméně přestože deklarujeme důvěru v profesionalitu stávajícího personálu Vojenského zpravodajství a vážíme si jeho činnosti, je potřeba počítat s tím, že tento zákon bude platit i v budoucnosti.)

Doba uchování zachycených dat

Podle druhého odstavce §16h jsou data získaná "monitoringem" uchovávána "výlučně pro účely zajišťování kybernetické bezpečnosti a obrany České republiky podle tohoto zákona, a to výlučně po dobu zajišťování tohoto účelu".

Riziko: Toto znění je příliš vágní (gumové) a definicí dlouhodobých cílů umožňuje uchovávat data dobu, která může být v kritických případech neadekvátní a nebezpečná. Toto riziko úzce souvisí s předchozím rizikem nepasivity sond.

Rozhodovací a schvalovací pravomoci

Pro případ aktivní obrany (laicky řečeno "obranný útok") je v §16c, odst. 4) podmínkou provedení takového útoku pouze schválení ministra obrany. Toto je ve srovnání se schvalováním provedení konvenčního útoku nedostatečné. (Přičemž např. časová tíseň může být přítomna jak v rozhodování ohledně konvenčního útoku, tak i v případě kyberútoku.) V rámci prezentací Vojenského zpravodajství je odborná veřejnost ujišťována, že aktivní odvracení útoku nebude probíhat ze zařízení umístěných na území ČR a tudíž je minimalizována hrozba zavlečení republiky do konvenčního sporu v případě využití Pravidla 5 Talinského manuálu.

Konstruktivní návrh řešení

Model čtyř sil

Podporujeme model ICT Unie nazvaný Model 4 sil. Tento model ukazuje a nabízí logické řešení příslušnosti jednotlivých silových složek státu pro oblast řešení negativnách událostí v kybernetickém prostoru. Mírnou úpravu tohoto modelu předkládáme v poznámce kapitoly o kompetenci Vojenského zpravodajství.

Rádi bychom, aby vznikla odborná diskuse nad tímto modelem. Při dodržení oddělení kompetencí jednotlivých složek státu pro jednotlivé oblasti zajištění kybernetického prostoru odpadá nevýhoda mixování činností zpravodajské služby a stálého plošného monitoringu komunikace občanů ČR a osob na území ČR.

Odlišný přístup k detekci bezpečnostně relevantních událostí v kyberprostoru

Zároveň jsme toho názoru, že je životaschopné zajištění monitoringu kybernetického prostoru na úrovni Netflow (či podobného informačního obsahu) s kompetencí NÚKIBu, přičemž navrhovaná povinnost zřízení přípojných bodů pro sondy, kterou mají mít povinné osoby, by se změnila na povinnost dodat Netflow z předem dohodnutých bodů v síti a kooperaci NÚKIBu s Vojenským zpravodajstvím a případně Armádou ČR. Další variantou detekce může být pasivní připojení detekčních sond, které sbírají Netflow, jsou nasazovány a pořizovány příslušnou povinnou osobou (ISP) a tato zajišťuje doručení dat státu. Nicméně Netflow samo o sobě je široký pojem označující formát "statistik" o síťovém provozu, který bude potřeba zpřesnit - viz obsáhlý rozcestník na anglické Wikipedii. Zbytečně podrobné Netflow je z dlouhodobého pohledu také zneužitelné z hlediska ochrany soukromí a dalšího.

Zakotvení podobných principů zahájení obranných útoků jako platí v případě nasazení konvenčních sil.

Protože důsledky z chybného použití obranné síly mohou být v krajním případě fatální (konvenční odveta našim kybernetickým aktivním obranným činnostem) a protože jsou podobné jako v konvenčním světě, musí být zákonné podmínky užití takových prostředků v souladu s rozhodováním v konvenčním světě.