Hlavní navigace

Zákon o kybernetické bezpečnosti: nutný, zbytečný či nebezpečný?

Petr Krčmář

Chystaný zákon o kybernetické bezpečnosti zvedá ze židle nejednoho provozovatele a uživatele internetové sítě. Bojíme se přílišného zásahu do soukromí, velké byrokracie pro ISP nebo přílišné moci státních orgánů. Riziko je ukryté v samotném zákoně, ale i v prováděcích předpisech, které zatím neexistují.

Připravovaný zákon o kybernetické bezpečnosti vzbuzuje značně rozporuplné reakce. Někteří se na něj těší, jako na něco, co konečně sjednotí nepřehlednou bezpečnostní situaci ve státní správě, jiní se obávají dopadu na komerční sektor a bojí se nepříjemného ovlivnění kyberprostoru.

Na konferenci Internet a Technologie 13, která se konala v Praze 20. a 21. května, proběhla na toto téma panelová diskuse, ve které zástupce státu, soukromých subjektů, národního CSIRT týmu a právník diskutovali nad možnými problémy chystaného zákona.

Panelové diskuse se konkrétně zúčastnili:

  • Jan Kolouch (Policejní akademie ČR)
  • Zbyněk Pospíchal (Dial Telecom)
  • Radomír Valica (NBÚ)
  • Martin Peterka (CSIRT.CZ)
  • Moderoval: Ondřej Filip (CZ.NIC)


Panel diskutující o zákoně

Nejprve svou skepsi vůči zákonu vysvětlil Jan Kolouch, vedoucí oddělení informačních technologií Policejní akademie ČR v Praze: Dostáváme se do doby, kdy máme hromadu zákonů, které regulují vše možné. Na druhou stranu státní správa, která má zajišťovat svůj provoz, potřebuje mít nějakou právní normu, uznal Kolouch. Mnoho IT zaměstnanců státní správy ovšem podle něj neklade na bezpečnost dostatečný důraz, což je potřeba řešit. Na druhou stranu je tento zákon nadbytečný v komunikaci státní správy a soukromých subjektů. Podle Koloucha by bylo možné vše napravit jednodušším způsobem. Zákon je podle jeho slov zbytečně náročný vůči soukromým subjektům.

Zbyněk Pospíchal je hlasitým kritikem připravovaného zákona, podrobně problematiku rozebral ve svém článku na Lupa.cz.. Pospíchalovi opět vadí především zásah zákona směrem k soukromým společnostem. Jedna věc je, jak svou agendu provozuje stát. To je jeho věc. Ve vztahu k soukromým subjektům je ovšem tento zákon zbytečný, až škodlivý, řekl na úvod.



Zbyněk Pospíchal a Radomír Valica

Podle Pospíchala počítačové sítě v současné době bez problémů fungují a dokáží správně přenést data včetně DDoS útoků. Pokud existuje požadavek na reakci na DDoS útok, soukromé firmy jej řeší a to poměrně promptně, popsal bezproblémovou situaci v soukromém sektoru. Naopak firmy dnes aktivně hledají nové cesty, jak se s podobnými útoky vyrovnat. Není potřeba zákon k tomu, abychom to dělali lépe. Děláme to tak, jak to sami dovedeme nejlépe.

Za Národní bezpečnostní úřad, který nový zákon připravuje, se diskuse zúčastnil Radomír Valica. Podle jeho slov není možné jakoukoliv regulaci automaticky označit za špatnou. Nelze říct, že každá regulace je špatná. Nikdo nezpochybňuje třeba regulaci silničního provozu, bránil Valica princip státních regulací. Sám ovšem uznal, že stát musí velmi pečlivě analyzovat, do kterých vztahů vstoupí a do kterých ne. My si myslíme, že regulace vytvářená tímto zákonem je minimální. Podle jeho slov budou povinnosti vyplývající ze zákona dopadat z 95 % na subjekty státní správy. Půjde jenom o kritickou infrastrukturu a významné informační systémy, tedy systémy státní správy, vysvětlil. Zbylých pět procent se podle jeho slov už z principu musí týkat soukromého sektoru. Bohužel státní správa není poskytovatelem internetu, takže některé kritické služby jí musí zajišťovat soukromé subjekty.



Jan Kolouch

Martin Peterka je vedoucím bezpečnostního týmu CSIRT.CZ. Tedy organizace, která pro svou činnost potřebuje spolupráci těch, kterých se nový zákon týká. Přesto zůstává velmi obezřetný: Ďábel bývá skryt v detailech. Součástí zákona jsou prováděcí předpisy, které zatím ještě neznáme, varuje Peterka. Jak moc by byl Úřad zapojen do jednotlivých incidentů by pak podle něj záleželo právě na těchto předpisech. Pokud by byly takové, jak se o nich zatím mluví, pomohly by CSIRTu ve získávání kontaktů. To by naší práci mohlo velmi pomoci. Na druhou stranu Peterka přiznal, že se subjekty, o kterých zákon hovoří, už CSIRT dávno navázanou spolupráci má. Doufám, že zákon bude napsán tak dobře, že nám nebude muset přinést nic, řekl nakonec.

K neexistujícím prováděcím předpisům se vyjádřil z právního hlediska nejprve Jan Kolouch: Předpisy musí mít právní oporu. Takže nejprve je třeba schválit zákon a až pak je možné tvořit vyhlášky, popsal legislativní proces. Neznamená to ovšem, že by neměly existovat věcné záměry vytvořené před přípravou textu samotných předpisů. Je možné vytvořit obecné koncepty týkající se toho, jak budou předpisy vypadat, vysvětlil.



Radomír Valica a Martin Peterka

Pochopitelně tím vznikla otázka, proč tedy neexistují nějaké dokumenty detailněji popisující funkci prováděcích předpisů. Radomír Valica z NBÚ řekl, že je to kvůli časové tísni. Řídíme se nařízením vlády, sestavit zákon. Tlačí nás čas, protože to chceme stihnout do září, ještě do této sněmovny. Pokud to nestihneme, dojde ke zdržení na další dva tři roky, vysvětlil potřebu jednat rychle. Zároveň ale slíbil, že už v červnu bychom měli mít k dispozici kompletní verzi zákona i prováděcích předpisů. Nemusíte se bát, uklidňoval ostatní diskutující, prováděcí předpis nemůže ukládat další povinnosti nad rámec zákona. Nebudou v něm další zásahy jako je třeba definice technických požadavků. Podle Valicy budeme příjemně překvapení tím, jak budou předpisy nakonec „krotké“.

Zbyněk Pospíchal poté znovu hovořil o tom, proč je takový zákon zbytečný. Vztahy mezi dotčenými subjekty je podle něj možné vyřešit jednodušší cestou, která je dnes už bez problémů možná. Pokud stát potřebuje zajistit část své infrastruktury pomocí soukromých subjektů, může s nimi upravit podmínky ve smluvním vztahu a nepotřebuje k tomu zákon, řekl. Radomír Valica k tomu namítl, že cíl zákona je jiný. My tady tvoříme normu pro regulované subjekty. Chceme je donutit, aby se více staraly o bezpečnost. Některé úřady investují do bezpečnosti méně než tři procenta rozpočtu na IT, popsal tristní situaci na úřadech.



Panelisté a auditorium

Martin Peterka odpovídal na otázku z pléna, k čemu CSIRT vlastně je, když většina správců už stejně se svými kolegy z jiných firem komunikuje. Pokud si najdu cestu ke komunikaci sám, tak nepotřebuji CSIRT a všechno si zařídím. Tyhle databáze kontaktů existují pro případy, kdy potřebujete problém nějakým způsobem eskalovat, komunikovat s někým, koho neznáte, popsal celý princip. Uznal zároveň, že nejlepší je se bez CSIRTu obejít. Standardní a nejrozumnější komunikace je samozřejmě peer-to-peer.

Na konci debaty se měli všichni zúčastnění krátce vyjádřit ohledně toho, co podle nich zákon přinese. Jan Kolouch ocenil otevřenost při tvorbě zákona samotného. Musím pochválit NBÚ za otevřený přístup při tvorbě tohoto zákona. Obává se však toho, jakou podobu dostane zákon během svého schvalování. Problém vidím v lidové tvořivosti našich zákonodárců. Je otázka, co z toho vznikne, když se k tomu přidají všechny přílepky a úpravy.

Zbyněk Pospíchal zopakoval svou obavu z chybějících předpisů, které mohou nakonec výrazně zasáhnout do praktického použití zmíněného zákona. Já se nebojím samotného zákona, já se bojím prováděcích předpisů. Radomír Valica jim dal oběma za pravdu. Souhlasím. Často do Sněmovní ulice posíláme psa a vrátí se nám létající kolo, popsal s humorem neveselou praxi.

Nakonec vše uzavřel Martin Peterka: Na to, že je NBÚ státní úřad, komunikuje s námi velmi nadstandardně a dobře. Podle něj už existuje velký mediální tlak na to, aby podobný zákon vznikl. Nakonec tak nebude nikdo, kdo by pro něj ruku nezvedl, uzavřel debatu Peterka.

(Foto: Igor Kytka, CZ.NIC)

Našli jste v článku chybu?

24. 5. 2013 12:36

alistar (neregistrovaný)

smutna pravda, bohuzel
ten natlak na EK i lokalni vlady nabira v poslednich letech na sile
lidi si to (zase) nechaji libit, nekteri ztratam vlastnich svobod a penez dokonce i zatleskaji

jestli to ti lide s vymytymi mozky nemaji jednodussi



24. 5. 2013 8:17

ondro (neregistrovaný)

Suhlas. Na to, co tam popisuju nieje potrebny zakon ale pravidla (predpisy) platne pre statne urady.
Ak im ide len o statnu spravu, tak je to zbytocnost.
Mne to pripada, ze chcu dostat do zakona to aby si po "velkej" museli zo zakona utriet r*ť.
Urcite aj teraz je v nejakom zakone napsiane ako ma statna sprava pristupovat k bezpecnosti jej samotnej. To si myslym, ze staci.

Aj tak to moze byt len vseobecny zakon, lebo technologie a sytuacia v IT bezpecnosti sa tak rychlo meni, ze za chvilu ten z…




DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie