Připravovaný zákon o kybernetické bezpečnosti vzbuzuje značně rozporuplné reakce. Někteří se na něj těší, jako na něco, co konečně sjednotí nepřehlednou bezpečnostní situaci ve státní správě, jiní se obávají dopadu na komerční sektor a bojí se nepříjemného ovlivnění kyberprostoru.
Na konferenci Internet a Technologie 13, která se konala v Praze 20. a 21. května, proběhla na toto téma panelová diskuse, ve které zástupce státu, soukromých subjektů, národního CSIRT týmu a právník diskutovali nad možnými problémy chystaného zákona.
Panelové diskuse se konkrétně zúčastnili:
- Jan Kolouch (Policejní akademie ČR)
- Zbyněk Pospíchal (Dial Telecom)
- Radomír Valica (NBÚ)
- Martin Peterka (CSIRT.CZ)
- Moderoval: Ondřej Filip (CZ.NIC)
Panel diskutující o zákoně
Nejprve svou skepsi vůči zákonu vysvětlil Jan Kolouch, vedoucí oddělení informačních technologií Policejní akademie ČR v Praze: Dostáváme se do doby, kdy máme hromadu zákonů, které regulují vše možné. Na druhou stranu státní správa, která má zajišťovat svůj provoz, potřebuje mít nějakou právní normu,
uznal Kolouch. Mnoho IT zaměstnanců státní správy ovšem podle něj neklade na bezpečnost dostatečný důraz, což je potřeba řešit. Na druhou stranu je tento zákon nadbytečný v komunikaci státní správy a soukromých subjektů.
Podle Koloucha by bylo možné vše napravit jednodušším způsobem. Zákon je podle jeho slov zbytečně náročný vůči soukromým subjektům.
Zbyněk Pospíchal je hlasitým kritikem připravovaného zákona, podrobně problematiku rozebral ve svém článku na Lupa.cz.. Pospíchalovi opět vadí především zásah zákona směrem k soukromým společnostem. Jedna věc je, jak svou agendu provozuje stát. To je jeho věc. Ve vztahu k soukromým subjektům je ovšem tento zákon zbytečný, až škodlivý,
řekl na úvod.
Zbyněk Pospíchal a Radomír Valica
Podle Pospíchala počítačové sítě v současné době bez problémů fungují a dokáží správně přenést data včetně DDoS útoků. Pokud existuje požadavek na reakci na DDoS útok, soukromé firmy jej řeší a to poměrně promptně,
popsal bezproblémovou situaci v soukromém sektoru. Naopak firmy dnes aktivně hledají nové cesty, jak se s podobnými útoky vyrovnat. Není potřeba zákon k tomu, abychom to dělali lépe. Děláme to tak, jak to sami dovedeme nejlépe.
Za Národní bezpečnostní úřad, který nový zákon připravuje, se diskuse zúčastnil Radomír Valica. Podle jeho slov není možné jakoukoliv regulaci automaticky označit za špatnou. Nelze říct, že každá regulace je špatná. Nikdo nezpochybňuje třeba regulaci silničního provozu,
bránil Valica princip státních regulací. Sám ovšem uznal, že stát musí velmi pečlivě analyzovat, do kterých vztahů vstoupí a do kterých ne. My si myslíme, že regulace vytvářená tímto zákonem je minimální.
Podle jeho slov budou povinnosti vyplývající ze zákona dopadat z 95 % na subjekty státní správy. Půjde jenom o kritickou infrastrukturu a významné informační systémy, tedy systémy státní správy,
vysvětlil. Zbylých pět procent se podle jeho slov už z principu musí týkat soukromého sektoru. Bohužel státní správa není poskytovatelem internetu, takže některé kritické služby jí musí zajišťovat soukromé subjekty.
Jan Kolouch
Martin Peterka je vedoucím bezpečnostního týmu CSIRT.CZ. Tedy organizace, která pro svou činnost potřebuje spolupráci těch, kterých se nový zákon týká. Přesto zůstává velmi obezřetný: Ďábel bývá skryt v detailech. Součástí zákona jsou prováděcí předpisy, které zatím ještě neznáme,
varuje Peterka. Jak moc by byl Úřad zapojen do jednotlivých incidentů by pak podle něj záleželo právě na těchto předpisech. Pokud by byly takové, jak se o nich zatím mluví, pomohly by CSIRTu ve získávání kontaktů. To by naší práci mohlo velmi pomoci.
Na druhou stranu Peterka přiznal, že se subjekty, o kterých zákon hovoří, už CSIRT dávno navázanou spolupráci má. Doufám, že zákon bude napsán tak dobře, že nám nebude muset přinést nic,
řekl nakonec.
K neexistujícím prováděcím předpisům se vyjádřil z právního hlediska nejprve Jan Kolouch: Předpisy musí mít právní oporu. Takže nejprve je třeba schválit zákon a až pak je možné tvořit vyhlášky,
popsal legislativní proces. Neznamená to ovšem, že by neměly existovat věcné záměry vytvořené před přípravou textu samotných předpisů. Je možné vytvořit obecné koncepty týkající se toho, jak budou předpisy vypadat,
vysvětlil.
Radomír Valica a Martin Peterka
Pochopitelně tím vznikla otázka, proč tedy neexistují nějaké dokumenty detailněji popisující funkci prováděcích předpisů. Radomír Valica z NBÚ řekl, že je to kvůli časové tísni. Řídíme se nařízením vlády, sestavit zákon. Tlačí nás čas, protože to chceme stihnout do září, ještě do této sněmovny. Pokud to nestihneme, dojde ke zdržení na další dva tři roky,
vysvětlil potřebu jednat rychle. Zároveň ale slíbil, že už v červnu bychom měli mít k dispozici kompletní verzi zákona i prováděcích předpisů. Nemusíte se bát,
uklidňoval ostatní diskutující, prováděcí předpis nemůže ukládat další povinnosti nad rámec zákona. Nebudou v něm další zásahy jako je třeba definice technických požadavků.
Podle Valicy budeme příjemně překvapení tím, jak budou předpisy nakonec „krotké“.
Zbyněk Pospíchal poté znovu hovořil o tom, proč je takový zákon zbytečný. Vztahy mezi dotčenými subjekty je podle něj možné vyřešit jednodušší cestou, která je dnes už bez problémů možná. Pokud stát potřebuje zajistit část své infrastruktury pomocí soukromých subjektů, může s nimi upravit podmínky ve smluvním vztahu a nepotřebuje k tomu zákon,
řekl. Radomír Valica k tomu namítl, že cíl zákona je jiný. My tady tvoříme normu pro regulované subjekty. Chceme je donutit, aby se více staraly o bezpečnost. Některé úřady investují do bezpečnosti méně než tři procenta rozpočtu na IT,
popsal tristní situaci na úřadech.
Panelisté a auditorium
Martin Peterka odpovídal na otázku z pléna, k čemu CSIRT vlastně je, když většina správců už stejně se svými kolegy z jiných firem komunikuje. Pokud si najdu cestu ke komunikaci sám, tak nepotřebuji CSIRT a všechno si zařídím. Tyhle databáze kontaktů existují pro případy, kdy potřebujete problém nějakým způsobem eskalovat, komunikovat s někým, koho neznáte,
popsal celý princip. Uznal zároveň, že nejlepší je se bez CSIRTu obejít. Standardní a nejrozumnější komunikace je samozřejmě peer-to-peer.
Na konci debaty se měli všichni zúčastnění krátce vyjádřit ohledně toho, co podle nich zákon přinese. Jan Kolouch ocenil otevřenost při tvorbě zákona samotného. Musím pochválit NBÚ za otevřený přístup při tvorbě tohoto zákona.
Obává se však toho, jakou podobu dostane zákon během svého schvalování. Problém vidím v lidové tvořivosti našich zákonodárců. Je otázka, co z toho vznikne, když se k tomu přidají všechny přílepky a úpravy.
Zbyněk Pospíchal zopakoval svou obavu z chybějících předpisů, které mohou nakonec výrazně zasáhnout do praktického použití zmíněného zákona. Já se nebojím samotného zákona, já se bojím prováděcích předpisů.
Radomír Valica jim dal oběma za pravdu. Souhlasím. Často do Sněmovní ulice posíláme psa a vrátí se nám létající kolo,
popsal s humorem neveselou praxi.
Nakonec vše uzavřel Martin Peterka: Na to, že je NBÚ státní úřad, komunikuje s námi velmi nadstandardně a dobře.
Podle něj už existuje velký mediální tlak na to, aby podobný zákon vznikl. Nakonec tak nebude nikdo, kdo by pro něj ruku nezvedl,
uzavřel debatu Peterka.
(Foto: Igor Kytka, CZ.NIC)
