Zákony jsou jako děti. Chtěné, nechtěné, z trucu, vymodlené… Každý má svou historii a někdy překvapivé pozadí. U některých, třeba těch, které upravují kompetence tajných služeb, vstupuje do hry ještě prvek tajemství, příchuti šestákových románů a konspirace.
Většinou to není pravda a celý příběh je často jen přeháněním parlamentní administrativy. Takže pokud čekáte vzrušení při přijímání novely zákona o vojenském zpravodajství, musím vás zklamat, žádné vzrušení se nekonalo a nekoná.
Tajné černé skříňky
Příběh novely zákona o vojenském zpravodajství, které mělo této organizaci přidělit novou kompetenci – provádění kybernetické obrany – začalo nešťastně. Dne 5. října 2016 doputoval do Poslanecké sněmovny vládní návrh zákona o vojenském zpravodajství, postavený na principu – my, Vojenské zpravodajství, zajišťujeme kybernetickou obranu, a vy, milí operátoři, strpíte instalaci černých skříněk do svých sítí. Nemůžeme vám říct, co to bude dělat, věřte nám, myslíme to s vámi dobře, ale neptejte se.
Tento přístup logicky vzbudil odpor. Webem lítaly titulky jako „Organizace CZ.NIC, ICT UNIE a NIX.CZ se postavily proti novele zákona o vojenském zpravodajství“, „Zastavte novelu o kybernetické obraně, vyzvaly internetové firmy premiéra. Ohrožuje Česko“. Nekvalita legislativního textu, špatný přístup a pachuť z přijetí zákona o „blokování nezákonných loterií“ z pera Ministerstva financí, zvedly vlnu nevole. V Poslanecké sněmovně se podařilo pozdě (ale přece) zahájit diskuzi se zástupci Ministerstva obrany, připravit pozměňovací návrh, ale než se návrh stačil schválit, přišly volby a návrh zákona spadl pod stůl.
Protože efektivní kybernetická obrana na rozdíl od častých technologických „buzzwordů“ je objektivní potřebou každého státu (doporučuji nový dokument Dokonalá zbraň z produkce HBO), připravilo Ministerstvo obrany a Vojenské zpravodajství novelu zákona o vojenském zpravodajství.
Vláda ji na jaře schválila ve znění stanoviska předsedkyně Legislativní rady vlády. Dlužno říct, že tento návrh byl výrazně lepší než legislativní pokus diskutovaný v letech 2016 – 2017. Přesto protože ne všechny problémy byly dořešeny a díky příležitostné iracionální panice, vzbudil tento krok menší pozdvižení.
Znovu a lépe s lidmi z oboru
Zástupci sektoru se spojili a v rámci společné aktivity zaštítěné Svazem průmyslu a dopravy oslovili Vojenské zpravodajství s cílem vyřešit existující obavy a posunout kvalitu legislativního textu. Hlavními otevřenými body byly garance pasivnosti sondy, možnost využít vlastních detekčních prostředků, pokud je operátor již má v síti a postavení inspektora pro kybernetickou bezpečnost.
Pracovní skupina zastoupená experty ze sdružení CZ.NIC, ICT Unie, NIX.CZ, Výboru nezávislého ICT průmyslu a AFCEA za výrazného přispění zástupců Svazu průmyslu a dopravy se dokázala shodnout na úpravách, které se následně staly předmětem uceleného technického návrhu. Bylo skvělé vidět, že se soukromá sféra a zástupci státu dovedou domluvit v tak důležité oblasti jako je kybernetická obrana. Na čem je tento návrh postavený?
Dohoda a součinnost
Systém detekce je založen na třech pilířích – spolupráci na základě písemné dohody, součinnosti při detekci a detekci prostřednictvím nástroje detekce. Spolupráce na základě písemné dohody umožňuje operátorovi využít své vlastní prostředky a nemusí instalovat nástroj detekce. Návrh zákona předepisuje, že dohoda musí obsahovat technické a organizační podmínky nezbytné pro realizaci detekce, způsob předávání metadat o zachyceném útoku nebo hrozbě (tedy ne všechna metadata o všem provozu v síti) a způsob určení výše efektivně vynaložených nákladů.
Institut součinnosti při detekci je postaven na několika předpokladech – neexistuje dohoda o spolupráci, hrozí nebezpečí z prodlení a operátor má prostředky, kterými může cíleně vyhledávat konkrétní kybernetický útok nebo hrozbu pomocí ukazatelů. Lze očekávat, že tento postup se použije primárně při ad hoc řešení v síti menšího operátora.
Nasazení nástrojů detekce do sítě operátora jako třetí možnost detekce kybernetických hrozeb a útoků může být využita, pokud to vyžaduje důležitý zájem obrany státu a zároveň nelze s vynaložením potřebného úsilí dosáhnout uzavření ani změny dohody o spolupráci nebo zajišťování detekce na základě uzavřené dohody není účinné. Nástroje detekce jsou nasazovány na základě výsledku správního řízení, které na návrh Vojenského zpravodajství má vést Ministerstvo obrany. Proti tomuto rozhodnutí je možné podat rozklad a případně následně využít obranné prostředky u soudu. Nástroje detekce musí být pasivní a nesmí být využity k aktivním útokům a nesmí sloužit k odposlechům nebo zachytávání komunikace.
Ne plošnému sledování
Ve světle rozhodovací praxe Evropského soudního dvora je potřeba ještě uvést, že novela zákona o vojenském zpravodajství nezavádí plošné sledování. Systém detekce bude probíhat na základě stanovených ukazatelů kybernetických útoků, nedojde k plošnému ukládání metadat (pro účely této novely definované jako popisující informace a souvislosti nezbytné pro přenos dat, jejich strukturu a čas o zachyceném provozu veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací, a to pouze v rozsahu souvisejícím s detekovaným kybernetickým útokem nebo hrozbou na základě stanovených ukazatelů; součástí není obsah přenášených dat).
Podstatná je i další úprava, resp. oprávnění pro Vojenské zpravodajství informovat o kybernetických útocích nebo hrozbách provozovatele národního CERT nebo i další osoby, které mohou provést opatření směřující proti kybernetickému útoku či hrozbě.
Bez spolupráce to nepůjde
Efektivní a účinná kybernetická obrana nebude podle mého názoru možná, pokud si stát, operátoři a soukromé firmy budou každá hrát na svým vlastním pískovišti a občas si rozdupou bábovičky. Tohle je velké pískoviště a drahé lopatičky a velký smysl má spolupracovat a vyměňovat si informace. Třeba i v rámci existujícího projektu Fenix.
Návrh zákona prošel v Poslanecké sněmovně do druhého čtení, poslanci přijali připravený ucelený technický návrh jako základ pro další diskuzi. Poslanci z Ústavně právního výboru navíc indikovali přípravu pozměňovacích návrhů. Legislativní proces budeme nadále pečlivě sledovat.
Zákony jsou jako děti. Chtěné, nechtěné, z trucu, vymodlené… pevně doufám, že z novely zákona o vojenském zpravodajství vyroste kvalitní základ pro bližší spolupráci státu a soukromé sféry pro zajištění kybernetické obrany České republiky.
