Vlákno názorů k článku
Premiér Petr Fiala se vyslovil proti návrhu vyhlášky o zaznamenávání navštívených stránek od M_D - Ty titulky všude jsou nesmysl. Není žádáno, aby...

Ty titulky všude jsou nesmysl. Není žádáno, aby operátoro zaznamenával stránky, URL, SNI hlavičky, ... Jasně, to si přidali novináři, aby to hezky znělo. Fakticky ten návrh současný stav doplňuje o to, aby pod data retenrion padlo i "adresa IP a číslo portu, ke kterým bylo připojení uskutečněno". Ten návrh jen zohledňuje faktický současný stav...
Připomínám, týká se to jen lidí, co jsou za CGNAT. Kdo má svoji veřejnou IP adresu, pro ty se nic nemění, kdo je za CGNAT, tak teď platí, že se má uchovávat:
3.3.7 u služby přístupu k internetu s překladem adres IP
3.3.7.1 privátní adresa IP,
3.3.7.2 veřejná adresa IP a číslo portu nebo přidělený rozsah portů,
3.3.7.3 datum a čas zahájení překladu adres ve formátu DD.MM.RRRR HH:MM:SS,
3.3.7.4 datum a čas ukončení překladu adres ve formátu DD.MM.RRRR HH:MM:SS,
Nově návrh přidává bod:
3.3.7.5 adresa IP a číslo portu, ke kterým bylo připojení uskutečněno.

V reálu, polovina ISP na data retention kašle, protože kolem tooh bylo v historii tahání ano/ne. Druhá nekašle. Kdo to dělá, tak stejně zaznamenává i ten cíl, kam to spojení mířilo (Aspoň u těch, kde tuším co je tam realizováno). Možná si některý poctivě ty netflow a spol templejty upravoval, že nechce cílocou IP:port uložit. Ty data stejně ukládám i kvůli sobě, pro analýzu, co se mi děje v síti, dohledávání incidentů atd (a je to plně v souladu s požadavky ZoEK). Ano, pro analýzu mi stačí třeba držet měsíc zpět a pro data retention pak dalších 5 měsíců, kde už toto odmažu. Ehm, pakárna, stejně to tam zůstává....
Nu, teď jak se k tomu Policie dostane. Mám obecně povinnost předat informace, které mám, spolupracovat při vyšetřování s Policíí, je to v trestním řádu §8. Pokud přijde Policie a položí správně otázku na základě §8 - byla v čase T z vaší sítě vedena komunikace na cíl C? Tak dostane odpověď a data co chce. Prtotože k těmto datům má nyní přístup, pokud je mám a zdarma je musím předat. Pokud by položila otázku, byl v čase T vedena komunikace z IP adresy A, tak řeknu, ehm, prosím o soudní příkaz k vydání dat, protože toto podléhá pod data retention §97 ZoEK a bude to patřiččně fakturováno za každý záznam. Pokud ten cíl komunikace přidají pod data retention, tak ho budu muset už ukládat a přístup k tomu bude jen přes soud, už se k tomu nedostane dle trestního řádu.
Takže kdo chce mít maximální klid, tak má veřejnou dynamickou IP adresu. Tam máte nejméně uložených informací a nejhorší přistup k datům aktuálně. :-) Pokud mám statikcou IP adresu, nejlépe ve smlouvě, tak to Policii sdělím, protože ty data mám v smluvním IS na základě jejich dotazu hned o koho jde, protože to jsou to data mimo retention. Pokud má zákazník dynamickou veřejku, tak vedu si data od kdy do kdy ji měl přidělenu, uchovávm 6 měsíců, ale identifikaci předám jen po nařízení soudu, protože tato data padají pod to data retention status. A kdo je za CGNAT, tak pro něj se vede info o každém spojení (teď, teoreticky, bez cíle kam mířilo a asi to tak chvíli ještě v legislativě zůstane, volby jsou volby :-) ).

Když to bude Policie chtít vědět a budu mít (protože to mám třeba v NetFlow aktuálních datech a stihli se přijít zeptat dost rychle, protože netflow veřejných IP mažu po 45 dnech), tak po odkýváním soudcem to dostane. Když to mít nebudu, tak to nedostanou a nic se neděje, protože takové informace ukládat v rámci retence nemusím (ehm, ono se tooh v reálu ani moc neděje, pokud bych data měl mít a nemám). Pokud mám lidi připojené přes nesdílenou IP adresu, tak se předává toto:
3.3.1 u služby přístupu k internetu z pevného připojení
3.3.1.1 typ připojení, například dial-up, ADSL, kabelový modem, LAN, WLAN,
3.3.1.2 telefonní číslo nebo označení uživatele, na které se výpis provádí,
3.3.1.3 identifikátor uživatelského účtu,
3.3.1.4 adresa MAC zařízení uživatele služby,
3.3.1.5 datum a čas zahájení připojení ve formátu DD.MM.RRRR HH:MM:SS,
3.3.1.6 datum a čas ukončení připojení ve formátu DD.MM.RRRR HH:MM:SS,
3.3.1.7 označení přístupového bodu u bezdrátového přístupu k internetu,
3.3.1.8 adresa IP a číslo portu, ze kterého bylo připojení uskutečněno.

Nikde není požadavek na ten cíl a ani tato úprava do tohoto nezasahovala. Požadavek na cíl spojení (cílováIP:port) byla snaha teď přidat jen u toho CGNAT spojení, jak je ten výpis o příspěvek výše, protože bez toho nejde jednoznačně linku/spojení v řadě případů identifikovat (záleží na typu a jak funguje konkrétní NAT implementace).

Ta retence nemá sloužít tomu, abych pro každou přípojku pro stát vedl X měsíců kam všude se z ní lezlo a na lusknutí prstu to úřadu dal (nepochybujme, že řada ouřadů by to tak ale chtěla). Účelem je, když přijde oprávnněý požadavek, tak určit z jaké přípojky bylo zkoumané spojení vedeno. Ke splnění tohoto, tak u přípojek s nesdílenou IP, stačí jen ten přehled jakou IP od kdy do kdy měla přidělenu. U toho CGNAT je to ukládání infa o jednotlivých spojeních jen rovnák na ten NAT ohýbák, jak se dopátrat konkrétní zdrojové přípojky...

To f) rozšiřuje specifikaci údajů z a)/b) pro případ NATu.
Vlastní formát předávání je příloha a do toho se zasahuje změnou č.9, tou se mění formát předávaných údajů a cílová IP:port se předává u spojení s překladem IP (položka 3.3.7.5).