Archiv

Zákon o Vojenském zpravodajství – výplod digitální negramotnosti

23. 11. 2016
Sdílet na Facebooku Tweet

Poslanecká sněmovna aktuálně projednává novelu zákona o Vojenském zpravodajství, která vojenské rozvědce nově uděluje pravomoci v oblasti kybernetické obrany ČR. Z návrhu je ale zřejmé, že Ministerstvo obrany vůbec netuší, co si pod pojmem „kybernetická obrana“ vůbec představit.

Vojenské zpravodajství

Piráti již před časem kritizovali starší verzi této novely jakožto další zásah do soukromí bezúhonných občanů. Vláda sice tuto kritiku vyslyšela a doplnila chybějící povinnost získat soudní povolení pro nasazení odposlechu síťového provozu, ale zároveň značně rozšířila pravomoci rozvědky bez doplnění adekvátních právních pojistek. Aktuální verze novely je tedy ještě horší než předtím a vážně ohrožuje bezpečnost českého Internetu, kterou má tento zákon naopak chránit.

Jádrem novely je trojice nových paragrafů, které Vojenskému zpravodajství dávají pravomoc využívat blíže nespecifikované „technické prostředky kybernetické obrany“ a „související postupy a opatření.“ Do takto vágní formulace se dá napasovat v podstatě libovolná internetová aktivita včetně hackerského útoku na cizí sítě a počítačové systémy. Ministerstvo obrany ale podle formulace legislativních změn i důvodové zprávy zjevně žije v domnění, že tyto „technické prostředky“ budou jen digitálním ekvivalentem hloupého analogového záznamníku pro odposlech telefonních hovorů. To je zásadní omyl. Jaké jsou tedy základní typy činností, které bude moci rozvědka podle novely nově provádět?

  1. Odposlech a pozměňování síťového provozu
  2. Krádež dat z cizího počítačového systému
  3. Pozměnění, vymazání nebo jiné znehodnocení dat v cizím počítačovém systému
  4. Vyřazení cizích počítačových systémů nebo sítí z provozu
  5. Převzetí úplné kontroly nad cizím počítačovým systémem nebo sítí

Tohle jsou nejběžnější druhy počítačových útoků. Z těchto pěti možností bude pouze ta první vyžadovat povolení soudu, zatímco všechny ostatní druhy útoků bude schvalovat jen sama vláda, a to formou obecného předpisu, ne jednotlivě. Zajímavá je také formulace ve třetím odstavci § 16a, že povolení soudu je nutné pouze v případě, kdy cílem odposlechu síťového provozu je konkrétní osoba. Plošný odposlech tisíců lidí současně tedy zřejmě bude legální i bez soudního povolení.

Jednou z nejnebezpečnějších částí novely je také § 16c (a související § 98a přidaný do zákona o elektronických komunikacích), který rozvědce umožňuje tajně připojit své „technické prostředky“ přímo do vnitřních sítí provozovatelů klíčové internetové infrastruktury. Na první pohled je to lehce přeformulovaná kopie části § 9 již platného zákona, který upravuje připojení zařízení pro odposlech telefonních hovorů. Vzhledem k propastným technickým rozdílům mezi telefonními a počítačovými sítěmi ale přímé připojení armádních zařízení tímto způsobem jednak představuje vážné riziko pro bezpečnost internetové infrastruktury, a hlavně to vůbec není potřeba. Pro potřeby rozvědky bude bohatě stačit, když provozovatelé síťové infrastruktury budou mít povinnost jen na požádání sbírat některé statistické údaje sami, případně přesměrovat předem určenou síťovou komunikaci do oddělené sítě spravované Armádou ČR. Pokud nerozumíte rozdílu mezi přímým připojením cizího zařízení do vnitřní počítačové sítě soukromé firmy a přesměrováním provozu do oddělené sítě, nechte si to podrobně vysvětlit od odborníka. V tomto článku na to bohužel není prostor. Pro úplnost pouze doplním, že v případě odposlechu obyčejných telefonních hovorů v tom žádný podstatný rozdíl není.

V neposlední řadě pak novela neřeší ani odpovědnost za vedlejší škody, kterou by rozhodně řešit měla. Jak již bylo řečeno výše, kybernetická obrana nesestává pouze z pasivního sběru informací, ale také z útoků na cizí počítačové systémy. Takové útoky mohou v některých případech způsobit škody na majetku nevinných osob, a dokonce i ztráty na životech, byť třeba z nedbalosti. Zákon by měl jasně vymezit hranice, které kybernetická obrana nesmí překročit, a kdo ponese zodpovědnost za způsobené vedlejší škody.

Rozvědka také nevyhnutelně bude muset útočit na sítě a počítačové systémy nezúčastněných třetích stran, například v zájmu překonání obrany nepřítele a utajení vlastní totožnosti, nebo protože nepřítel tyto systémy podobným způsobem napadl a zneužil k útoku proti ČR jako první. Zákon by proto měl určit zvláštní pravidla pro zacházení se systémy, které vlastní nebo provozují nezúčastněné osoby. Rozvědka by měla co nejvíce omezit negativní dopady na běžný provoz takových systémů, po skončení operace by měla ze systému odstranit veškerý škodlivý kód (svůj i nepřítele) a hlavně informovat provozovatele systému, že jeho zabezpečení bylo prolomeno.

Tato novela zákona tedy ve stávající podobě nadělá více škody než užitku a je třeba ji od základu přepracovat v úzké spolupráci s odbornou veřejností. Jednotka hackerů je rozhodně důležitou součástí státní kybernetické obrany, ale vláda by si od ní neměla slibovat zázraky. V praxi mohou státní hackeři zabránit jen velmi malému počtu útoků, takže jejich hlavní obrannou činností bude odhalování totožnosti pachatelů až poté, co útok již proběhl. Pro odvrácení útoku jsou mnohem důležitější pasivní obranné metody, tedy důsledné zabudování bezpečnostních opatření do státní počítačové infrastruktury, pravidelné opravování bezpečnostních chyb a bezpečnostní školení státních zaměstnanců i členů vlády. Ale to už je námět pro úplně jiný zákon.

Autor je programátor a garant programového bodu Internet v České pirátské straně.

Sdílet na Facebooku Tweet

Autor: Martin Doucha

Štítky: #absurdita #hacking #IT #kybernetická obrana #vojenská rozvědka #zákon

Zobrazit diskusi
Facebook Pirátské listy Twitter Pirátské listy Redakce Pirátských listů Česká pirátská strana
Redakce | Kontakt | Piráti | Facebook | Twitter | RSS články | RSS aktuality

Copyleft Pirátské listy. Publikování nebo další šíření obsahu serveru Pirátské listy je umožněno i bez písemného souhlasu. Všechna práva vyhlazena.