Zákon o vojenském zpravodajství míří do sněmovny, kritici se bojí o soukromí i bezpečnost sítí

Novela zákona o vojenském zpravodajství, kterou se začíná zabývat Poslanecká sněmovna, má rozvědce umožnit jak sledování, tak i protiútoky na internetu. Nejde o plošné sledování internetu. Kritici ale varují před nedostatkem kontroly. „Chybí definice aktivního zásahu, seznam údajů, ke kterým mají zpravodajci přístup a nevíme, nakolik půjde o individualizované informace,“ říká Jan Vobořil z organizace Iuridicum remedium.

Analýza internet Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Zákon předpokládá, že se nebude evidovat veškerá komunikace. Ilustrační foto | Foto: Benoit Tessier | Zdroj: Reuters

Vojenské zpravodajství, jedna ze tří tuzemských tajných služeb, se má nově podílet na kybernetické obraně republiky. Alespoň s tím počítá novela zákona z dílny ministerstva obrany, která začala svou cestu sněmovnou. Vláda ji předložila sněmovně v době nouzového stavu, po kritice ale veřejnost ujistila, že její projednání proběhne ve standardním režimu, nikoli zrychleně.

Novela dává zpravodajcům do ruky dvojici nových pravomocí: umisťovat do veřejné internetové sítě nástroje detekce a provádět aktivní zásahy v kybernetickém prostoru. Hlavně první z novinek ale byla v minulosti cílem kritiky veřejnosti i poskytovatelů připojení k internetu.

Černé krabičky

Ve znění novely zákona se ještě v loňském roce psalo neurčitě o sondách „umožňujících monitorování kybernetického prostoru“. Co přesně sondy měly dělat, bylo tajné, a o jejich zapojení do veřejné internetové sítě by rozhodovalo ministerstvo obrany.

Taková pravomoc se ale nezamlouvala samotným poskytovatelům internetového připojení. ICT unie, která poskytovatele připojení sdružuje, vydala prohlášení, podle kterého novinka přináší potenciálně nové hrozby a případná rizika, kterým bude potřeba čelit.

Šifrované spojení

Odposlech informací přenášených přes internet je poměrně komplikovaný, jelikož většina webů komunikaci s uživatelem standardně šifruje. O poznání snazší je sběr metadat, tedy informací, kdo, kdy a odkud se připojoval na určitou stránku. Přitom taková informace naznačuje hodně o zálibách a aktivitách uživatele.

Už nyní se pro potřeby bezpečnostních složek šest měsíců nazpět uchovává záznam o pohybu mobilních telefonů včetně informace, odkud a kdy se připojovaly k internetu. To samé platí i pro pevné připojení. Cílová adresa, kterou si uživatel prohlížel, se ale neeviduje.

„Krabičky“, do kterých nikdo nevidí, totiž můžou v síti způsobit řadu problémů: mohou zhoršit kvalitu připojení či spojení úplně přerušit. A snaha o případný odposlech může ohrozit zajištění ochrany osobních údajů, komunikaci a soukromí uživatelů internetu, obávala se unie. Podle ní nešlo vyloučit, že zařízení na chytání hackerů se samo nestane jejich cílem a z bezpečnostního nástroje se tak nestane nakonec hrozba.

Navíc zkušenosti ze zahraničí ukazují, do jakých rozměrů sledování komunikace na internetu může narůst. Názorně to ukázaly v roce 2013 dokumenty zveřejněné analytikem americké tajné služby NSA Edwardem Snowdenem. V rámci programu PRISM docházelo k masivnímu sběru informací o uživatelích řady webových služeb jako jsou Facebook, Youtube či Skype, sledování dopadlo na klienty technologických gigantů jako Google, Apple, či Microsoft.

Důkazy o smysluplnosti masivního sběru dat ale chybí. Letošní text New York Times odhalil, že čtyřleté plošné sledování SMS zpráv a telefonátů ve Spojených státech vedlo jen k jednomu zásadnímu vyšetřování.

Nastražená past

Pod tlakem odborné a veřejné kritiky ministerstvo obrany ustoupilo a novelu zákona částečně přepsalo. Aktuální verze ve sněmovně tak hovoří o nástrojích detekce, které nesmí zaznamenávat obsah komunikace, pouze takzvaná metadata. Zjednodušeně řečeno půjde o informace, odkud a kam komunikace na internetu směřovala, a kdy se tak stalo.

Pokud bychom internetový provoz přirovnali k poště, z metadat by bylo možné zjistit, kdo, kdy a komu poslal dopis, případně kolik obálka vážila a jakou měla barvu. Obsah dopisu ale známý nebude.

Tajné služby v Česku: kdo je kontroluje a kdo odvolává jejich vedení?

Číst článek

Zákon také předpokládá, že se nebude evidovat veškerá komunikace. Rozvědka bude muset do svých krabiček s předstihem nahrát seznam parametrů, podle kterých bude sledování probíhat. Jedním z nich jsou třeba IP adresy počítačů, které by se komunikace měly zúčastnit. Může jít i o jiné znaky, jako třeba načasování komunikace a použité technologie.

Podle vysvětlení, které serveru iROZHLAS poskytl jeden z pracovníků rozvědky, plánuje služba monitorovat internet kvůli případům, kdy v rámci své činnosti získá či od zahraničních tajných služeb dostane informaci o chystaném útoku. Zpravodajci nemohou vydat s předstihem varování, jako to dělá Národní úřad pro kybernetickou bezpečnost, útočníci by totiž mohli změnit své plány, a navíc by mohlo dojít k prozrazení zdroje, ze kterého zpravodajci informaci získali.

Rozvědka tedy s předstihem nachystá jakýsi alarm právě v podobě nástrojů detekce, které ji na aktivitu útočníka hned v počátku upozorní. Následovat pak bude další sledování či protiútok, to podle závažnosti hrozby.

Zaznamenávat nebo narušovat samotnou komunikaci chystaná novela přímo zakazuje.

Kritikům chybí záruky

Podle advokáta specializovaného na ochranu soukromí Jana Vobořila z organizace Iuridicum remedium ale novela zákona ani v aktuálním znění neposkytuje dostatečné záruky, že rozvědka své nové pravomoci nezneužije. „Chybí definice aktivního zásahu, seznam údajů, ke kterým mají zpravodajci přístup a nevíme, nakolik půjde o individualizované informace,“ vypočítává Vobořil.

Skeptický je i pirátský poslanec Ondřej Profant. Absence jasných mantinelů, co může a nesmí rozvědka v rámci odvetných opatření provádět, podle něj ve finále ohrožuje bezpečnost Česka. „V běžné válce armáda ví, že útočí na skutečného nepřítele, ale v kyberprostoru je těžké říct, kdo za útokem stojí,“ vysvětluje.

Kdo brání český internet

Na ochraně tuzemského internetu se podílí vládní CERT spravovaný Národním úřadem pro kybernetickou a informační bezpečnost a národní CSIRT provozovaný registrátorem českých domén CZ.NIC.

Obě instituce sdílí poznatky a vydávají varování, jak pro soukromé subjekty, tak i pro ty veřejné instituce, které podléhají kybernetickému zákonu. Jejich role je převážně koordinační, konzultační a osvětová.

Své bezpečnostní týmy mají také úřady a firmy, například banky či poskytovatelé telekomunikačních služeb, v oblasti kyberbezpečnosti se také angažují antivirové firmy.

Obává se situace, kdy by se skutečný útočník skrýval za cizí technickou infrastrukturu, český protiútok by tak mohl zasáhnout nevinného, a například poškodit diplomatické vztahy s jiným státem.

Profant také sdílí Vobořilovy obavy z nedostatečné definice informací, ke kterým se rozvědka v rámci sledování dostane. Minimálním předpokladem podle něj je, že zákon technicky znemožní, aby zařízení instalovaná tajnou službou do komunikace na internetu jakkoli zasahovala.

Chystaná novela podle něj takové záruky nedává, proto se Piráti ve sněmovně pokusí prosadit pozměňovací návrh, který zákon zpřesní. Sbíraná metadata budou jasně definovaná jako informace nezbytné pro přenos dat, jejich strukturu a čas. Samotné sondy pak podle pozměňovacího návrhu půjde připojovat do veřejné sítě pouze odbočně.

Druhá změna reaguje i na jednu z výhrad poskytovatelů připojení k internetu, kteří se obávají, že zařízení provozovaná rozvědkou v jejich síti mohou v případě závady zhoršit přenos dat či síť úplně vyřadit z provozu.

Podle Ondřeje Filipa, šéfa sdružení NIC.CZ, které provozuje národní kyberbezpečnostní CSIRT tým, je na místě, aby sněmovna při projednávání zákon ještě zpřesnila.

Hlavně tak, že nástroje detkece rozvědka nebude moct použít „pro aktivní útoky a samy jsou až poslední variantou, když nelze využít metadat o síťových tocích, které již nyní operátor má k dispozici.“ Filip nicméně považuje za pozitivní, že aktuální verze novely zakazuje užití zařízení k provádění odposlechů nebo narušování komunikace.

Nezávislá kontrola

Pirátský pozměňovací návrh rovněž počítá s tím, že by kontrolu nad sledováním internetu mohla provádět i sněmovna, a to ve větším rozsahu, než nyní může stálá komise pro kontrolu vojenského zpravodajství. Nyní zákon tuto pravomoc svěřuje kromě komise ještě internímu kontrolorovi uvnitř rozvědky, a také Orgánu nezávislé kontroly zpravodajských služeb.

V prvním případě je ale podle Profanta kontrola jen iluzorní, protože ji bude provádět pracovník tajné služby. V této souvislosti připomíná kauzu Jany Nagyové, která jako milenka tehdejšího premiéra Petra Nečase nechala rozvědkou nelegálně sledovat Nečasovu manželku Radku.

Důstojníci se nechali najmout na dosažení ‚intimních cílů‘ Nečasové. Nebýt jí, zůstali bezúhonní, píše soud

Číst článek

Orgán nezávislé kontroly pak vůbec nefunguje, sněmovně se ho zatím nepodařilo obsadit. Překážkou jsou kvalifikační požadavky na jednotlivé členy, kteří musí mít prověrku na nejvyšší stupeň utajení, právní vzdělání a nesmí několik let pracovat pro žádnou z tajných služeb. Takových lidí je ale v Česku minimum.

Rozhoduje ten, kdo má kabely

Podle rozvědčíka, se kterým server iROZHLAS hovořil, ale tajná služba ani díky novým pravomocem převahu v kyberprostoru nezíská, rozhodující slovo budou mít stále provozovatelé sítí. Rozvědka je jim do jisté míry vydaná na milost, provozovatel musí podle nového zákona sledovací zařízení ve své síti pouze strpět, jinak nemusí práci rozvědce nijak usnadňovat.

Informace, které sledovacím bodem protékají, tak může například důkladněji zašifrovat nebo rovnou přesměrovat jinudy. Rozvědka se proto bude snažit na provozu nástrojů detekce s provozovateli nejdříve dohodnout, ministerstvo obrany pak bude nařizovat jen tam, kde jednání selžou.

Ochrana soukromí uživatelů tak bude do značné míry záviset právě na poskytovatelích připojení, což platí i dnes.

Škodlivé maily, zakódované disky. Vyděračských útoků přibývá, hackeři využívají zastaralé systémy

Číst článek

Podle rozvědky má změna zákona ale i tak smysl. I jen omezené nástroje pomohou státu některým útokům lépe čelit. Málokterý útok na tuzemské sítě je totiž sofistikovaný. I velcí hráči, jako hackeři podporovaní cizími státy totiž často sahají k běžným metodám, mezi které patří například nejrůznější verze šifrovacích virů. Ty dovedou napáchat značné škody a je těžší určit, zda za nimi stojí cizí stát, nebo obyčejní kybernetičtí vyděrači.

Z minulosti je známý případ viru notPetya, který se sice choval jako obyčejný vyděračský virus, ale jeho skutečným účelem bylo poškodit ukrajinské firmy v průběhu války s Ruskem.

Směr, kterým se rozvědka vydává, má podporu i u Národního úřadu pro kybernetickou bezpečnost. Podle jeho nového šéfa Karla Řehky je kybernetická obrana státu zásadní a je nejvyšší čas, aby ji Česko začalo budovat, zvlášť s ohledem na nedávné kyberútoky vůči nemocnicím.

„Když je to v době krize, kdy se počítá každé lůžko a každý ventilátor, a ještě se vám stane tohle, jak to může dopadnout? V nejhorší situaci můžou umírat lidi,“ řekl pro časopis Respekt s tím, že úřad čeká na nové pravomoci vojenského zpravodajství „jako na smilování boží“.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme