NOVELA ZÁKONA O VOJENSKÉM ZPRAVODAJSTVÍ

Původně jsme pod názvem Bezpečná obrana - obranná bezpečnost připravovali seminář, který by se obsáhleji věnoval jak kybernetické bezpečnosti, tak kybernetické obraně (viz odložený seminář). Vzhledem k současným opatřením jsme prozatím jeho konání odsunuli. O náhradním termínu budete včas informováni.

Vláda však v těchto dnech nejedná pouze o bodech, které přímo souvisí s koronavirovou pandemií, ale i o řadě dalších důležitých materiálech. Jedním z takových je i Novela zákona o vojenském zpravodajství. Ta byla schválena v pondělí 16. 3. 2020, tedy v den, kdy na programu byl i velice diskutovaný zákon o evidenci skutečných majitelů a den, kdy na tiskovou konferemci po jednání vlády byl vpuštěn pouze omezený počet novinářů.

Do Poslanecké sněmovny Parlamentu ČR byla předložena 30. 3. 2020 jako  - sněmovní tisk 800

Vzhledem k důležitosti novely a citlivosti některých jejích bodů,  jsme se rozhodli shromáždit související názory. Jako první jsme požádali  ředitele vojenského zpravodajství Ing. Jana Berouna a poslance PSP ČR, člena podvýboru pro obrannou, kybernetickou a bezpečnostní politiku a strategické koncepce ČR Ondřeje Profanta. V druhém kole nám svůj pohled na novelu poskytl Mgr. Lubomír Metnar, ministr obrany a Ing. Karel Řehka, ředeitel Národního úřadu pro kybernetickou a informační bezpečnost

Postupně se budeme snažit získávat další. Můžete přidávat i své vlastní názory, případně typy na další zainteresované odborníky , jejichž názor byste rádi četli.

  

brig. gen. Ing. Jan Beroun, ředitel, Vojenské zpravodajství Ondřej Profant, PSP ČR

Vláda minulý týden schválila novelu zákona o Vojenském zpravodajství, který má za cíl zohlednit specifika kybernetického prostoru při obraně státu a jeho obyvatel. Jedná se o řešení zadaného úkolu stanoveného vládou vycházející z Národní strategie kybernetické bezpečnosti ČR, které umožní detekovat kybernetické útoky a adekvátně na ně reagovat.

Základem, aby byla zajišťována kybernetická bezpečnost státu, je potřeba kybernetickým hrozbám primárně předcházet vzděláváním, prevencí, sdílením znalostí, spoluprací, ale i nastavením jasných pravidel. U většiny běžných útoků totiž naprosto postačí, aby systémy byly dobře zabezpečeny, zálohovány a v podstatě ze strany státních institucí (pokud nebudou přímo ony cílem útoku) nebude třeba žádné větší ingerence. S rostoucí intenzitou možných dopadů či v případě sofistikovaných útoků, však role státu musí být významnější, jelikož stát musí garantovat bezpečnost svých občanů v kyberprostoru stejně, jako garantuje jakoukoliv jinou formu bezpečnosti. Stát musí být schopný bránit nejen státní instituce, ale také nemocnice, banky, elektrárny a v důsledku tak i životy a zdraví českých občanů, takže význam tohoto zákona je v této době víc než zřejmý. 

Aby to vše fungovalo, je potřeba erudovaných lidí s odvahou převzít odpovědnost, ale také jim musí být dány kompetence, důvěra a oprávnění konat. Role Vojenského zpravodajství bude spočívat v reakci na ty úplně nejzávažnější kybernetické hrozby. Cílem návrhu je doplnění daného systému o prvky, které v současné situaci státu chybí, přitom jsou nutné k jeho obraně. To vše v návaznosti na to, aby státní instituce společně se soukromou i akademickou sférou spolupracovali a snažili se pokrýt celé spektrum možných hrozeb.  

Kybernetická obrana na státní úrovni je zcela novým prvkem, i proto tato problematika budí velký zájem. My tento zájem vnímáme jako pozitivní, protože se nám díky němu, myslím, podařilo vytvořit vyprecizované znění návrhu. Z připomínkových míst se nám sešlo na 160 připomínek a ozývali se nám i nestátní aktéři. My jsme společně s ministrem obrany samozřejmě mluvili nejen s připomínkovými místy, ale také s různými organizacemi, spolky i s politickými stranami a jsme připraveni s nimi v diskuzi pokračovat i nadále. Kybernetická obrana České republiky musí být naším společným cílem.

Ve státní sféře byl zákon nejvíce projednáván mimo jiné s Národním úřadem pro kybernetickou a informační bezpečnost, Úřadem pro ochranu osobních údajů či ostatními zpravodajskými službami. Z politických stran se z logiky věci o novelu zákona ve větší míře zajímá Pirátská strana, i na základě jejich relevantních připomínek a přímých jednáních s jejich zástupci došlo ke zkvalitnění znění zákona.

Rozumím obavám ohledně zachování soukromí na internetu, které kolem této novely panují. I proto jsme v této problematice změnili naše obvyklé postupy, a ačkoli jsme zpravodajská služba, snažíme se být co nejvíc otevření a transparentní. Účastníme se diskuzí a akcí v rámci odborné i široké veřejnosti či zveřejňujeme potřebné informace na webových stránkách. Snažíme se toto téma vysvětlovat, jak jen nám to prostředí tajné služby dovolí.

Za účelem odhalení kybernetických útoků bude Vojenské zpravodajství umisťovat do sítí operátorů takzvané nástroje detekce, které budou zachytávat pouze předem definované anomálie, na základě kterých bude možné dále reagovat. Návrh zákona velice jasně vymezuje, k čemu a jakým způsobem je možné tyto nástroje umístit a provozovat. Obsah návrhu zákona je již delší dobu podroben odborné diskuzi a prošel významným vývojem. Návrh byl shledán ústavně konformní a obsahuje dostatek záruk a kontrolních mechanizmů, aby nebylo možné vykročit z mantinelů, které svými ustanoveními nastavil.

 

 

V Česku rozlišujeme kybernetickou bezpečnost a kybernetickou obranu. Bezpečnost je “měkká”, civilní a zajišťuje ji NÚKIB. Obrannou linii má zajišťovat Vojenské zpravodajství (VZ) spadající pod Ministerstvo obrany. Obranou se rozumí ochrana životů obyvatel, územní celistvosti, principů demokracie a dalších podstatných aspektů našeho života před vnějším napadením. Předpokládá se tedy, že VZ může operovat v zahraničí. 

 

Již v minulém volebním období VZ předložilo návrh, jak svou roli sehrát. Tento návrh byl tvrdě odmítnut. V pozadí probíhající pandemie VZ návrh znovu předložilo a vláda ho schválila 16. 3. 2020. Návrh byl do mezirezortního připomínkového řízení opětovně vložen 12. 2. 2019. Zásadní výhrady vyjádřily Ministerstvo spravedlnosti, Hospodářská komora, ICT Unie, Český telekomunikační úřad nebo Česká advokátní komora. Piráti nabídli svou verzi, kterou zpracovali ve spolupráci s nevládní organizací IuRe. 

 

S VZ jsme o návrhu jednali půl roku. Některé naše připomínky byly zapracovány, ale jiné opět ne. Musíme pochválit definici metadat, která má zajistit sledování pouze provozu, nikoliv obsahu komunikace. Též jsou upřesněny podmínky, za kterých může dojít k omezení lidských práv a svobod tak, aby odpovídaly analogiím.

 

Největším problémem stále zůstává samotná realizace sběru dat. Návrh hovoří o “nástroji detekce” namísto původně použitého “sonda”. Piráti prosazovali, aby už v zákoně bylo jasně stanoveno, že data se sbírají pasivními zařízeními z odbočené sítě (např. pomocí optického splitteru), aby VZ nemohlo pomocí těchto zařízení měnit provoz v síti. To by usnadnilo i fyzickou realizaci daných opatření. Bohužel jsme tu opět svědky principu security through obscurity, kdy naše legislativně-bezpečnostní myšlení výrazně zaostává za technickými poznatky.

 

Velkou neznámou je také termín “aktivní zásah”. Zatímco konvenční armáda nemůže za normálních okolností zasahovat v ulicích, VZ by obdobnou pravomoc dostalo, neboť internet nemá hranice a identifikovat útočníka může být téměř nemožné. Osobně se velmi obávám provokací pod falešnou vlajkou, kdy cizí mocnost vyprovokuje VZ k zásahu a následná eskalace konfliktu se později obrátí proti nám.

 

Dalším bodem sporu je předpokládaná spolupráce s poskytovateli internetového připojení (operátoři, ale i lokální podnikatelé). Ti by měli mít ze zákona povinnost se zpravodajci spolupracovat a detekční zařízení nechat do “svých kabelů” umístit. Návrh ovšem požaduje mlčenlivost a hrozí také likvidačními pokutami, pokud by soukromý subjekt součinnost odmítl. Složitá je i náhrada případné škody.

Představovali bychom si také mnohem důslednější kontrolu ze strany Poslanecké sněmovny, aby se minimalizovalo riziko zneužití. Zahraniční i naše zkušenosti jasně ukazují, jak moc je to důležité. V konečném důsledku i pro samotnou rozvědku, která tím získává větší důvěryhodnost.

 

Kybernetickou obranu nesmíme podceňovat. Bylo by naivní se domnívat, že nám nic nehrozí. VZ a další bezpečnostní složky státu samozřejmě musí být k dispozici prostředky a oprávnění k tomu nás dostatečně chránit před stále novými hrozbami. Nesmíme se přitom ale vzdát racionálního přístupu a nástrojů demokratické kontroly.

Mgr.  Lubomír Metnar, ministr obrany

 Ing. Karel Řehka, ředitel, NÚKIB

Bez novely zákona o Vojenském zpravodajství nebude mít Česká republika schopnost účinné kybernetické obrany. Žijeme ve 21. století a mnohem více než konvenční napadení nám hrozí útok prostřednictvím počítačů. Je mnohem levnější, rychlejší a méně předvídatelný.

Pokud se nedokážeme bránit, může napáchat velké škody a ohrozit fungování naší společnosti, která je na počítačích závislá. Nemocnice, banky nebo třeba elektrárny musíme dokázat ochránit. Protože situaci bez nejmodernějších lékařských přístrojů, bankomatů nebo veřejného osvětlení si nikdo z nás nedokáže a nechce představit.    

Vzpomeňme si například na kybernetický útok nemocnici v Benešově nebo útok na OKD se všemi důsledky, které to mělo – ohrožení zdraví a životů pacientů, přerušení respektive omezení těžby na několik dní. Nebo nedávný útok na fakultní nemocnici v Brně, který přišel v době, kdy čelíme epidemii koronaviru.

Je potřeba, abychom v České republice zaplnili mezeru a měli ucelený systém ochrany kyberprostoru. V něm má asi nejdůležitější úlohu Národní úřad pro kybernetickou a informační bezpečnost, který je také hlavním partnerem Národního centra kybernetických operací, které je součástí Vojenského zpravodajství.

Kritici novely často zmiňují ochranu soukromí a obavy o zachování důvěrnosti e-mailové komunikace. Uvědomil si někdo, kolik by bylo potřeba lidí a techniky, aby to šlo udělat? Princip kybernetické obrany je jinde. Zachytávat v počítačových sítích programové a systémové anomálie, které detekují probíhající nebo hrozící útok. A umět včas reagovat. Obsah e-mailů nám nijak nepomůže a nezajímá nás.

Nebude se jednat o nepřetržitý monitoring veřejných sítí. Nástroje detekce budou v kyberprostoru zaznamenávat pouze anomálie na základě předem definovaných ukazatelů získaných z vlastních analýz nebo analýz partnerů. Jednoduše řečeno, pokud detektor nezaznamená nějaký podezřelý ukazatel či signál, nebude se aktivovat. 

Princip fungování bych také mohl přirovnat k systému včasného varování. Zaznamená-li systém v síti nějakou anomálii nebo ohrožení, zaktivuje se a vyšle signál, který bude impulzem pro další kroky. 

Aktivní protiopatření bude až tím nejzazším krokem a pouze v případech, které nesnesou odklad. Ve velkém počtu případů bude stačit předání informací o útoku oprávněným institucím, které přijmou potřebná opatření.

A co je podstatné, novela zákona obsahuje přísné kontrolní mechanismy. Ode mě, vlády, poslanců i uvnitř Vojenského zpravodajství. Bude také zřízena úplně nová funkce nezávislého inspektora.

Věřím proto, že náš návrh po schválení vládou najde i dostatečnou podporu napříč Parlamentem ČR. Bez schválení novely funkční kybernetickou obranu nebudeme schopni vybudovat. 

Závislost našeho světa na informačních a komunikačních technologiích se neustále prohlubuje. Sdílení a ochrana informací jsou v dnešní době pro naši společnost naprosto zásadní. Abychom našim občanům zajistili prosperitu a bezpečí, musíme být schopni chránit a bránit také kybernetický prostor a informace v něm. Navíc lze očekávat, že s rostoucí digitalizací naší společnosti bude význam kybernetické bezpečnosti v dohledné době dále narůstat a bude přímo ovlivňovat všechny další oblasti bezpečnosti a života našich občanů.

 

Tak jako je obrana nedílnou součástí zajištění celkové bezpečnosti státu, musí být kybernetická obrana součástí zajištění celkové bezpečnosti kybernetického prostoru. Stejně jako si každý vyspělý stát, kterým Česká republika bezesporu je, vedle jiných prostředků k zajištění bezpečnosti buduje a udržuje i obranné schopnosti a kapacity, především prostřednictvím svých ozbrojených sil, musí si také budovat síly a prostředky obrany v kybernetickém prostoru. Bez toho není možné moderním hrozbám a potencionálním protivníkům dnešního světa účinně čelit.

 

Zajištění kybernetické bezpečnosti České republiky je jednou z klíčových výzev současné doby a jde ruku v ruce se zajištěním její kybernetické obrany. Skutečně se jedná o dvě strany jedné mince. Již dnes prostřednictvím preventivních, proaktivních i reaktivních činností chráníme informační a komunikační systémy se zaměřením na kritickou informační infrastrukturu státu. Potřebujeme ale partnera, který v případě těch nejzávažnějších kybernetických útoků bude schopen se zaměřit na útočníka a pokud to bude nutné, bude schopen proti němu působit aktivně, bude disponovat potřebnými kapacitami i vojenského charakteru a potřebnými zákonnými pravomocemi k jejich nasazení, což našemu úřadu v žádném případě nepřísluší. Předchozí zkušenost vojáka mě naučila, že jakákoli obrana, pokud má být účinná, musí být aktivní a disponovat i ofenzivními prostředky. To je něco, co České republice v kybernetické prostoru doposud chybělo.

 

Z těchto důvodů velmi vítám vytvoření Národního centra kybernetických operací a novelu zákona o Vojenském zpravodajství, která umožní jeho efektivní využití a která je plně v souladu s platnou Národní strategií kybernetické bezpečnosti ČR a jejím Akčním plánem. Vnímám také citlivost této problematiky a velmi si cením transparentního přístupu Vojenského zpravodajství při jejím vysvětlování. Věřím, že schválení této novely významně přispěje k bezpečnosti našich občanů.

 

 

 

 

Váš názor, nebo typ na dalšího osloveného můžete zaslat tímto formulářem:

Přidat komentář

Jaký je letos rok

Přehled komentářů

inPage - webové stránky, doménawebhosting snadno.