• @ALL má oprávnění číst
  • @Celostatni forum má oprávnění nahrávat
  • @Registrovani priznivci má oprávnění nahrávat

Připomínky k návrhu zákona o kybernetické bezpečnosti

Na základě Věcného záměru zákona o kybernetické bezpečnosti [1] (dále jen návrh) je stanoviskem České pirátské strany následující:

a) Důvody předložení zákona obsahují diskutovatelná či přímo nepravdivá tvrzení. 

b) Ani jeden z uvedených důvodů není argumentem hovořícím pro potřebu zavádět novou legislativu regulující veřejnou část sítě (internetu) a jejich správce (nejčastěji soukromí ISP).

c) Je velmi pravděpodobné, že návrh nepovede ke zlepšení stavu kybernetické bezpečnosti, ale naopak může vést ke zhoršení současné dobré situace na veřejné síti, vytvoří nástroje a postupy jimiž by bylo možno např. nařizovat odpojování libovolných segmentů datových sítí včetně dozoru nad doménami, a tedy koncentrovat další moc nad nezávislými datovými sítěmi do rukou netransparentních úřadů a politiků.

e) Návrh namísto se současnými dvěma úřady počítá se třemi, přičemž minimálně jeden z těchto úřadů pod NBÚ vlastně nebude nic důležitého dělat.

d) Některá navrhovaná východiska jsou nerealistická či zbytečná a v důsledku povedou pouze k nárůstu nepotřebné administrativy (vyhlašování „stavu kybernetického nebezpečí“).

f) Další problém vidíme v nedostatečném rozlišování veřejných a oddělených sítí. Myslíme si, že internet (veřejná část sítě) je natolik specifické prostředí, že by mělo být regulováno státem jen v naprosto nezbytném rozsahu, který je v současnosti podle nás dostatečný, a proto nevidíme důvod k posílení pravomocí státu (potažmo ČTÚ) v tomto sektoru.

g) Nejsou uvedeni autoři návrhu. U návrhu věcného záměru zákona by to měla být samozřejmost.

h) Návrh vnáší zmatek zaváděním nových významů pro mezinárodně uznávané pojmy [2] (máme na mysli to, že Vládní CSIRT (nebo CERT, jedná se o ekvivalentní označení) je v návrhu označen jako Národní CSIRT a to, co je jinde běžně označováno jako Národní CSIRT, označuje návrh jako „Ústřední dohledové pracoviště“. Situaci navíc komplikuje fakt, že Národní CSIRT již máme. Ještě upozorňujeme, že pojmy CSIRT (Computer Security Incident Response Team) a CERT (Computer Emergency Response Team) jsou významově ekvivalenty.

i) Nejsou ani hrubě vyčísleny náklady na jednotlivé varianty řešení.

Na základě výše uvedených bodů Česká pirátská strana věcný záměr tak, jak je předložen, odmítá jako celek. Nejen že nesdílíme obavu předkladatele, že nezavedení navržené regulace znamená pro ČR nebezpečí, ale máme výrazné pochybnosti jak o účinnosti, tak o legitimitě navrhovaných řešení.

Česká pirátská strana považuje za dostatečné řešení kybernetické bezpečnosti státu následující scénář, který nebyl v původním návrhu uveden. Výhodou takové koncepce je splnění všech reálných požadavků na kybernetickou bezpečnost státu a nebude vyžadovat prakticky žádné dodatečné finanční prostředky.

Protože již Národní CSIRT máme (http://www.csirt.cz), je nutné se zaměřit především na fungování toho, co se ve světě označuje jako Vládní CSIRT. Z tohoto důvodu navrhujeme tyto kompetence převést na úřad s podobnou funkcí, kterým je dnešní Národní centrum kybernetické bezpečnosti pod NBÚ, a jeho přejmenování na Vládní CSIRT. 

Tak aby byla pro zahraničí jasná naše struktura kybernetického zabezpečení a zajištění dostatečných pravomoci pro zajištění bezpečnosti vládní informační a komunikační infrastruktury a kritické státní informační infrastruktury (systémy jako řízení rozvodů elektrické sítě, řízení dopravy, …). Tyto kritické části jsou, nebo by měly být, zcela oddělené od veřejné komunikační sítě (internetu). 

(Součástí těchto systémů ovšem mohou být propojovací body s veřejnou částí komunikační sítě - Internetem. Typicky se jedná o vládní servery s webovými aplikacemi jako datové schránky nebo podatelna.)

Na celou tuto infrastrukturu by dohlížel v rámci NBÚ Vládní CSIRT a měl by i zodpovědnost za případné hrubé porušení bezpečnostních standardů, které měl kontrolovat. Vytvářel by například i pravidla pro smlouvy se soukromými poskytovateli služeb elektronických komunikací (většinou ISP) tak, aby byla zajištěna dostatečná bezpečnost propojovacích bodů s veřejnou částí, nebo propojení úřadů (předpokládáme, že se automaticky používají vyhrazené/oddělení linky). Tento úřad by i komunikoval se svými protějšky v zahraničí (zahraniční vládní CSIRT).

Národní CSIRT by bylo hlavní komunikační centrum na úrovni veřejné sítě (internetu), tedy tak jako doposud. Tento úřad by také vydával doporučení zabezpečení veřejné sítě a informoval o případných hrozbách. Nebráníme se ani dalšímu propojeni s dalšími místními organizacemi zabývajícími se otázkami bezpečnosti. Spolupráce se soukromými správci komunikační infrastruktury (typicky ISP) by měla být stejně jako doposud dobrovolná. V dobrovolnosti nevidíme problém především proto, že soukromí ISP mají jasný komerční zájem na zabezpečení svých sítí, a proto nám jakékoli vynucování pomocí zákonů připadá zbytečné. Tento úřad by byl i hlavním  komunikačním místem se zahraničím, a to především z toho důvodu, že má na starosti internet, tedy síť s jasným mezinárodním přesahem.

Oba úřady by si samozřejmě v rámci možností vyměňovaly informace a spolupracovaly tak, aby byla zajištěna maximální míra zabezpečení všech místních elektronických sítí. Tento koncept by se samozřejmě musel rozvést, ale zdá se, že řeší většinu nedostatků předkládaného záměru.

Má-li už existovat nějaká zákonná norma upravující stav kybernetické bezpečnosti v ČR, pak tedy jako soubor nouzových a havarijních opatření v případě selhání standardních komunikačních mechanismů mezi občanem a veřejnou správou. Tedy něco jako „nouzové zásobování internetem“, plán pro situaci, kdy by hrozilo, že veřejná správa nebude schopna poskytovat občanům služby. 

Další připomínky budou následovat jako komentáře u sporných částí návrhu.

Obecná část

1 Důvod předložení

1.1 Vnější vlivy

Útočníci se stále více zaměřují na prvky kritické infrastruktury, jako jsou energetické systémy, produktovody, zdravotnické informační systémy a informační systémy veřejné správy. Žádáme o doložení. Např. uvedením statistiky či studie, ze které by vyplývalo toto tvrzení. O útoku na energetický systém například nemáme informaci vůbec žádnou. 

V rámci mezinárodní regulace tohoto fenoménu je vyvíjen na Českou republiku tlak, aby problematiku ochrany kybernetického prostoru řešila formou závazné právní regulace. Které požadavky EU, případně NATO v současnosti podle navrhovatele nesplňujeme a jaký tlak má navrhovatel na mysli?

Bezpečnost kyberprostoru každé země se stává hodnotícím kritériem pro investory a významně ovlivňuje konkurenceschopnost dané země. Doložte, prosím, příklady investorů, které současný stav naší kybernetické bezpečnosti odradil od investic. Podle nás není argument pravdivý. Privátní společnosti se v žádném případě nespoléhají na nějaké státem řízené zabezpečení kyberprostoru.

1.2 Vnitřní vlivy

V České republice se ochrana kybernetického prostoru řeší prostřednictvím privátních subjektů bez regulace, prostřednictvím partikulárních pracovišť. Tato pracoviště často řeší případné útoky na informační technologie nahodile ad hoc, bez kvalifikovaných doporučení z centrální úrovně; nemají tak ani poznatky o útocích, které již byly řešeny, a musí je řešit samostatně a zvyšují se tak zbytečně náklady na jejich řešení. Z textu vyznívá, že bez kvalifikovaných doporučení z centrální úrovně je přistup privátních subjektů a samostatných pracovišť ke kybernetické bezpečnosti amatérský a apriori horší než ten řízený z centra. Navrhovatel navíc úplně zapomněl, že Národní CSIRT již máme.

Piráti jsou toho názoru, že současné zabezpečení je na velmi dobré úrovni právě v těch oblastech, které mají na starosti privátní subjekty. Nepovažujeme jejich práci za amatérskou a myslíme si, že jejich komerční zájem na zabezpečení svých sítí, společně s Národním CSIRT je v současnosti dobrým garantem bezpečnosti veřejných sítí (internetu). Máme obavu, že případná státní intervence povede naopak ke zhoršení současného dobrého stavu.

Mnohem menší důvěru máme ve vládní instituce a jejich schopnost zabezpečit vládní informační infrastruktury, včetně kritických prvků. Jediným cílem návrhu by tedy podle nás mělo být vytvoření funkčího Vládního CSIRT, který bude hlídat standardy zabezpečení vládní informační infrastruktury, a který bude mít i zodpovědnost za její prvky.

V oblasti veřejné správy neexistuje jednotný způsob stanovení bezpečnostních standardů, které by minimalizovaly potencionální škody vzniklé z kybernetických útoků. V oblasti zabezpečení IT samozřejmě existuje celá řada bezpečnostních standardů, kterými se IT společnosti řídí. Jde však o standardy průmyslové a technické - nikoliv administrativní.  Pokud by měla být obava z nekompetentnosti jednotlivých IT oddělení veřejné správy oprávněná, je samozřejmě na místě požadovat nápravu.

Dalším vlivem je snaha o výrazné zefektivnění výkonu veřejné správy. Souhlasíme s tvrzením, že veřejná správa je neefektivní, ale příčinou zjevně není stav její kybernetické bezpečnosti, spíše však nevůle kompetetních orgánů a politiků na existenci právě takové moderní veřejné správy - což návrh neřeší.

Mezi hlavní rizika spojená s nečinnostíse řadí nárůst kybernetických útoků, výrazné materiální škody, ohrožení kritické infrastruktury státu a v neposlední řadě i neplnění mezinárodních závazků České republiky včetně závazků plynoucích ze smluv o ochraně investic. Žádáme o doložení těchto tvrzení. My se naopak obáváme, že státem řízené regulace můžou vést k horšímu stavu, než je ten dnešní, a to především na veřejné části datových sítí (internetu). Dále ještě jednou žádáme navrhovatele, aby definoval, které mezinárodní dohody v současnosti nedodržujeme.

1.3 Popis cílového stavu a dílčích řešení kybernetické bezpečnosti

Základním cílem zákona o kybernetické bezpečnosti je zvýšit bezpečnost kybernetického prostoru, nastavit mechanismus aktivní spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity při řešení kybernetických bezpečnostních událostí a v této souvislosti zavést do praxe soubor oprávnění a povinností.  Zákonem nařízená „aktivní spolupráce“ soukromých subjektů pracující v oblasti elektronické infrastruktury žádným způsobem nezvýší efektivitu „řešení kybernetických bezpečnostních událostí“. Nová administrativa a nová pravidla mohou naopak samy být bezpečnostní hrozbou daleko horší než nečinnost. 

1.4 Popis současného stavu a dílčích řešení kybernetické bezpečnosti

V retrospektivě chybí zmínka o memorandu, které ministerstvo informatiky (tehdy v čele s Ivanem Langerem) podepsalo s firmou RELSIE spol. s r.o. Podle některých odborníků [2] bylo právě toto memorandum důvodem dlouhé nečinnosti resortu vnitra při budování národního CERT/CSIRT. Podle dostupných informací takto vzniklý národní CERT nikdy nefungoval. Pro zjevnou souvislost by veškeré infromace kolem tohoto projektu měly projít veřejnou diskusí ještě dříve, než dojde na diskusi ohledně předkládaného zákona.

Dále nám z retrospektivy vyplývá, že v současnosti Národní CSIRT máme a je jen nutné dopracovat fungování Vládního CSIRT, který by měl mít na starosti NBÚ a starat se o vládní kritickou kybernetickou infrastrukturu. Takto vzniklý úřad NBÚ by měl mít samozřejmě i odpovědnost za zabezpečení vládní kybernetické infrastruktury.

Jak je vidět, v oblasti kybernetické bezpečnosti do současnosti vzniklo mnoho koncepčních a strategických dokumentů, avšak většina jejich cílů zatím nebyla splněna. Praktické zkušenosti s kybernetickou bezpečností však v České republice existují – zejména v soukromé a akademické sféře. Navrhovatel by měl uvést nezdary a jejich důvody. Na jedné straně přiznává, že dosavadní snahy institucí ke zlepšení bezpečnosti příliš nevedly, a přiznává, že o bezpečnost se velmi kvalifikovaně starají soukromé a akademické instituce. Na straně druhé automaticky předpokládá, že tento koncept bude mít jednoznačně pozitivní vliv. Připravovaný zákon budou však zprácovávat právě ty instituce, které se doposud o zlepšení zabezpečení státních a  veřejných sítí příliž nezasloužily.

2. Návrh variant řešení

2.1 Nulová varianta (bez specifické právní regulace)

Platí přitom, že i relativně bezvýznamný poskytovatel služeb nebo subjekt zajišťující síť může svou liknavostí nebo neochotou účastnit se na systému kybernetické bezpečnosti poskytnout útočníkovi dostatek prostoru k závažnému ohrožení kybernetické bezpečnosti. Rádi bychom od navrhovatele slyšeli příklad, jak může malý poskytovatel připojení způsobit závažná ohrožení kybernetické bezpečnosti státu. Pokud tomu tak je, je jednoznačně chyba v zabezpečení kritických systémů. Stát se nikdy nemůže spoléhat na dostatečné zabezpečení internetu, protože na větší část této sítě nebude mít nikdy vliv.

Z hlediska bezpečnostního by nulová varianta přinesla značnou míru bezpečnostní rizikovosti následovanou absencí efektivních nástrojů k obraně před rozsáhlým kybernetickým útokem celospolečenskéhovýznamu. Opět postrádáme důkaz tohoto tvrzení a upozorňujeme, že sám předkladatel přiznal, že privátní subjekty se o zabezpečení minimálně veřejné informační sítě (internetu) starají velmi dobře.

Současně by však došlo k výraznému zvýšení nákladovosti u partikulárních investic do zabezpečení konkrétních systémů tam, kde by se k němu příslušný správce odhodlal. Soukromoprávní i veřejnoprávní subjekty se zájmem o zabezpečení svých systémů (resp. subjekty, pro které bezpečnost jejich systémů představuje ekonomickou či politickou nutnost) by tedy byly nuceny do zabezpečení své infrastruktury investovat nepoměrně více prostředků, než kolik by bylo nutno v situaci, kdy by zákon upravil základní bezpečností standard a určil odpovídající jeho institucionální zajištění. Předpoklad, že zákonem vynucené bezpečnostní standardy povedou ke snížení nákladů na zabezpečení informační infrastruktury pro soukromoprávní subjekty, je v globálním prostředí internetu nereálný. Opět bychom od navrhovatele rádi slyšeli nějaký důkaz tohoto tvrzení. Případně uvedení modelového příkladu. Považujeme to za nepravdivé tvrzení. V oblasti zabezpečení samozřejmě již určité standardy jsou a každý, kdo zabezpečení řeší, se jimi řídí. Navíc internet je jeden a nikdo normální se nebude spoléhat na nějaké státní standardy.Co se týče vládních kritických informačních a komunikačních systémů, tak tam má vláda dostatečný vliv již teď a nezdá se nám, že by to vedlo k lepšímu zabezpečení těchto systémů.

Situace je v tomto případě podobná jako v případě protipožární ochrany. Není-li stanoven základní standard a institucionální zajištění protipožární ochrany, musí subjekt se zájmem o ochranu svého objektu před požárem investovat nejen do vlastních ochranných opatření, ale též do opatření pro případ, že se požár rozšíří z nezajištěných sousedních objektů. Lze to vyjádřit i tak, že by nebyla efektivní, ale ve svých důsledcích ani hospodárná, protože by nutně přinesla fakticky větší tlak na jiné prostředky ochrany. Tento příklad považujeme opět za naprosto zcestný. Zcela opomíjí fakt, že internet je jeden. V tomto příkladě je soused i PC někde v Číně a asi se nám nikdo nemůže divit, že nás stát nepřesvědčí, že v Číně zajistí dodržování bezpečnostních standardů. Pokud společnost zabezpečení řeší, řeší ji bez ohledu na standardy jakékoli vlády, protože dobře ví, že internet hranice nezná.

Z hlediska filozofického by pak nulová varianta znamenala rezignaci státu na ochranu základního práva, jehož důležitost v současné společnosti stále roste, tj. práva na informační sebeurčení. Tohle přece není pravda. Sám navrhovatel píše, že Národní CSIRT již máme, takže o nějaké rezignaci nemůže být řeč (a to opomíjím, že ta nerezignace stála obrovské množství státních prostředků a nebýt privátních institucí, nevedla by prakticky nikam). Jediné, co nám pravděpodobně chybí, je funkční Vládní CSIRT, který by určil bezpečnostní pravidla pro vládní informační infrastrukturu, ale o tom se v „nulové“ variantě vůbec nemluví.

2.3 Varianta obecné působnosti vůči orgánům veřejné správy

Variantu řešení kybernetické bezpečnosti pouze v rámci regulace orgánů veřejné správy nelze realizovat z následujících důvodů. Informační systémy veřejné správy a jejich komunikační infrastruktura tvoří pouze část množiny informačních systému a služeb elektronických komunikací, které jsou nezbytné k fungování společnosti. Bez účasti soukromoprávních subjektů se pak jedná o partikulární řešení, které nesplňuje očekávání, neboť umožňuje reagovat pouze na útoky vedené vůči informačním systémům veřejné správy České republiky, ale neumožňuje případně reagovat na útoky na jiné informační systémy vzniklé z bezpečnostního incidentu v rámci informačních systémů veřejné správy. Tato varianta tedy neumožňuje plnit mezinárodní závazky České republiky vůči jejím spojencům z NATO a EU. Tato varianta zcela opomíjí fakt, že Národní CSIRT již máme a jediné, v čem jsou mezery, je to, čemu ve světě říkají Vládní CSIRT. Proto by právě tato varianta představovala nejednoduší řešení celého problému a nijak to ani nevylučuje případné další rozšíření pravomocí (které nepovažujeme za nutné, ale nebráníme se diskusi na toto téma). Pro představu: V rámci NBÚ se zřídí Vládní CSIRT který bude mít na starosti zajištění bezpečnosti vládních informačních systémů, především těch kritických. Většina těchto systémů (řízení elektrických sítí, nemocniční systémy, řízení dopravy, vládní systémy) by měla být mimo veřejnou část sítě (internetu), takže zde by NBÚ v rámci Vládního CSIRT stanovil a hlídal standardy zabezpečení obecně a určil sankce za jejich nedodržování. U systémů, které mají napojení na veřejnou část sítě (především internetu), by NBÚ hlídal tato „napojení“ (typicky vládní webové aplikace) a stanovil pro ně také bezpečnostní standardy (v podstatě by mohl převzít obecně uznávaná pravila v tomto oboru). Dále by stanovil sankce za jejich nedodržení a kontroloval jejich dodržování. Tento vládní úřad by samozřejmě spolupracoval jak s mezinárodními úřady tohoto typu, tak s Národním CSIRT. Navíc by NBÚ mělo i zodpovědnost za případné narušení bezpečnosti způsobeným hrubých nedodržením nařízení NBÚ, které mělo NBÚ odhalit. Prosíme navrhovatele o posouzení uvedené představy, která vychází z této varianty, a případné zdůvodnění, proč podle něho není možná.

2.4 Varianta obecné působnosti a spolupráce se soukromoprávními subjekty

Tato varianta by vlastně mohla být námi uvedená představa u předchozí varianty. Spolupráci by zajišťoval Národní CSIRT. Bohužel předkladatel se na to dívá jinak.  Snaží se na všechny části kyberprostoru aplikovat stejná pravidla a povinnosti a to je podle nás špatně. Toto je třeba řešit opravdu opatrně a hlavně jasně definovat kompetence státních orgánů. Přesně to ale návrh prakticky vůbec nedělá.

Současně je tato varianta postavena na předpokladu, že podstatná část kybernetické informační infrastruktury státu, a to včetně součástí kritického významu, má soukromoprávní vlastníky, správce nebo provozovatele. Služby informační společnosti značné společenské a ekonomické důležitosti, ať už je jejich uživatelem stát nebo soukromý sektor, tedy jsou z podstatné části poskytovány soukromoprávními subjekty, nejčastěji pak komerčním způsobem. Jak jsme již naznačili výše, považujeme tohle tvrzení za zavádějící. Opravdu kritické systémy jako řízení dopravy, nebo řízení rozvodů elektrické sítě jsou od veřejné části sítě oddělené, nebo by oddělené být měly. Pokud zajišťují tuto část soukromé společnosti, jsou vázaný smlouvou, takže i zde má stát dostatečný vliv na zajištění bezpečnosti. Nemáme nic proti tomu, aby vzniklo něco jako Vládní CSIRT, který by tyto kritické části hlídal a měl za ně zodpovědnost. Považujeme ale za nutné rozlišovat mezi kritickou vládní kybernetickou informační infrastrukturou a veřejnou sítí, tedy především internetem. Veškeré napojení státních institucí na veřejnou část sítě (typicky webový server s webovou vládní aplikací, která na tomto serveru běží) by také Vládní CSIRT mohl regulovat (převzít pravidla v tomto oboru uznáváná jako standard pro zabezpečení a hlídat jejich dodržování). NBÚ by měl být také za tuto infrastrukturu zodpovědný. Na druhou stranu si nemyslíme, že by měl mít NBÚ pravomoc například k „vypínání“ veřejných segmentů internetu, nebo „vypínání“ cz domén, což tento návrh velmi nepřímo naznačuje ve výčtu institucí, nad kterými chce mít kontrolu. Pokud totiž na jakékoli cz doméně běží nějaký nelegální a nebezpečný SW, má provozovatel služby povinnost takový web vypnout ze zákona, takže není nutná žádná další pravomoc pro NBÚ. Navíc tohle je velmi citlivé téma a kdo nám zaručí, že jakmile jednou bude taková pravomoc existovat, nebude zneužita k politickým cílům? Tohle navíc ani nezvyšuje bezpečnost na internetu, protože největší hrozby plynou z míst, kde nebude mít  nikdy vládní nařízení žádnou váhu.

Bezpečnost českého kyberprostoru má pro tyto soukromoprávní subjekty značný ekonomický význam, neboť jen fungující síť jim může generovat náležitý ekonomický efekt. Tyto soukromoprávní subjekty tedy aktivně investují do zabezpečení vlastní infrastruktury a mají ekonomicky motivovaný zájem podílet se na zajištění celkové kybernetické bezpečnosti. Ano, shodujeme se s navrhovatelem že o bezpečnost veřejné části se kvalifikovaně starají soukromé subjekty. Navíc ale máme strach, že regulace na úrovni státu může tento stav zhoršit.

Lze přitom předpokládat, že vzniklá zátěž nebo další náklady budou v přiměřené výši ve vztahu k chráněnému zájmu a jejich vynaložení bude ve srovnání s nulovou variantou efektivnější. Kde bere navrhovatel jistotu, že se naopak státní intervencí bezpečnost veřejné části sítě nezhorší? Obzvláště, když v tomto návrhu sám konstatuje, že za deset let se díky intervenci státu bezpečnost nezlepšila. Znovu upozorňujeme, že špatně vytvořené regulace můžou znamenat bezpečnostní ohrožení a tedy pravý opak toho, co se tento návrh snaží řešit.

Vzhledem k bezproblémové ústavní konformitě, vysoké efektivitě a nízké nákladovosti se tato varianta jeví být pro zajištění kybernetické bezpečnosti České republiky v současné situaci ideální. Nemáme nic proti spolupráci se soukromými subjekty, ale na tomto místě se obáváme, že navrhovateli nejde o spolupráci, ale o nějaké nově zaváděné povinností pro tyto subjekty, které v konečném důsledku můžou vést k zhoršení dnešní poměrně dobré situace veřejné části sítě. Navíc jsou prokazatelně zbytečná, protože o bezpečnost této části sítě se již stará Národní CSIRT a mnoho dalších renomovaných privátních nebo akademických subjektů.

2.5 Varianta obecné působnosti a přímé regulace

Kritériem k zamítnutí této varianty by neměla být „extrémně vysoká ekonomická a organizační náročnost“, ale právě především nedemokratičnost a praktická nerealizovatelnost varianty.

2.6 Vyhodnocení nákladů a přínosů

Problematika, která má být upravena, je vzhledem ke své obecné aplikovatelnosti značně rozsáhlá co do počtu skupin subjektů a oblastí regulace, jichž se bude dotýkat. Ano a již tohle považujeme za problematické místo návrhu. Myslíme si, že by se na celou věc mělo nahlížet ze dvou pohledů, tak jak je ostatně v zahraničí běžné. Tedy jasně rozdělit vládní kritickou infrastrukturu a kritické systémy napojené na veřejnou sít a samotnou veřejnou síť, tedy nejčastěji internet. Tímto rozdělením docílíme lepší přehlednosti navrhovaných opatření a vyhneme se zbytečným nejasnostem. Za každou část bude zcela logicky odpovědná jiná instituce. Oba úřady ale budou spolupracovat.

Současně však navrhované řešení vychází především z dosavadních zahraničních poznatků. Bohužel tento pocit nemáme a za pravdu nám dává již návrhem zavedené nestandardní označení úřadů a to, že chce zavádět o jednu instituci navíc, než je v zahraničí běžné. Tomu se ale budeme věnovat dále.

V návrhu řešení je zohledněna též dlouhodobá strategie vlády v oblasti kybernetické bezpečnosti. To je sice možné, ale nevíme, jestli je to argument pro nové regulace, když sám navrhovatel v podstatě konstatuje, že celá dlouhodobá strategie nemá žádné výrazné výsledky.

Nová regulace přinese výrazné zvýšení úrovně bezpečnosti informační společnosti obecně. Centrální systém monitorování kybernetických útoků, systém varování a systém vhodně koncipovaných protiopatření přinese rovněž vyšší stabilitu sítí, sdílení informací povede k lepší prevenci a v konečném důsledku povede k zefektivnění výkonu veřejné správy i činnosti podnikatelů. Toto zní skoro jako prohlášení z úst politika pro veřejnost. Kde ale bere navrhovatel jistotu vydávat toto za fakt? Regulace veřejné datové sítě, stejně jako centralizace kompetencí povede s největší pravděpodobností k efektu opačnému. Na samotný výkon veřejné správy to rovněž nemůže mít žádný pozitivní vliv.

V tomto stadiu lze přesně vyčíslit jen náklady potřebné na vybudování a provoz Národního centra kybernetické bezpečnosti. Ale vždyť již Národní CSIRT máme, tak o čem je tu řeč? Jediné, co je potřeba dořešit, je Vládní CSIRT. Obáváme se ale, že navrhovatel vlastně myslí Vládní CSIRT, jen má poněkud popletené názvy. Celé to ale bohužel již v tomto okamžiku přestává dávat jasný smysl. Na splnění cílů tohoto návrhu by nemusel být pravděpodobně vůbec navýšen rozpočet NBÚ. Stačilo by jen přejmenovat „Národní centrum kybernetické bezpečnosti“ na Vládní CSIRT a definovat pro něho jasná pravidla. Pokud s námi navrhovatel nesouhlasí, prosíme o vysvětlení proč.

3. Vymezení skupina oblastí dotčených regulací

3.1 Osobní a věcná působnost

Poskytovatelé služeb a provozovatelé sítí elektronických komunikací. Předpokládáme, že má navrhovatel na mysli především poskytovatele přípojeni k internetu (ISP), a tady si myslíme, že je státní regulace v podstatě zbytečná. Současná situace jasně dokazuje, že o bezpečnost se tito poskytovatelé dokážou postarat i bez intervence státu.

Správci systémů kritické komunikační infrastruktury. Prosíme navrhovatele o vyjmenování alespoň pěti příkladů, o koho se jedná, a zdůvodnění, proč tomu tak je. Opravdu není jasné, jestli se jedná o ISP, kteří zabezpečují propojení vládních systémů, nebo o všechny velké poskytovatele připojení obecně. Rádi bychom měli i jistotu, že se nejedná například o správce CZ domény.

Správci informačních systémů zařazených do kritické informační infrastruktury Opět není zcela jasné, koho má navrhovatel na mysli, ale předpokládáme, že se jedná o správce například elektrických rozvodných sítí, dopravní infrastruktury, nebo vládních sítí, tedy těch sítí, které nazýváme „neveřejné“. Prosíme o ujištění, že jsme to pochopili správně.

Zákon se naopak ve své věcné působnosti netýká obsahové stránky služeb informační společnosti a nezasahuje do práva na informační sebeurčení. K určitému omezení služeb může dojít v rámci vyhlášení stavu kybernetického nebezpečí. To je samozřejmě naprosto v pořádku, ale vadí nám naznačení, že tomu tak za určitých okolností nemusí být. Mohl by navrhovatel uvést konkrétní příklad, kdy by omezení služeb informační společnosti mohlo být účelné při vyhlášení stavu kybernetického nebezpečí a jak by to podle něho vypadalo v praxi?

3.2 Derogace a novelizace jiných právních předpisů

Nevidíme v současnosti důvod pro posilování pravomocí ČTÚ vůči poskytovatelům připojení. Proto považujeme změnu § 98 zákona č.127/2005Sb. za zbytečnou. Už teď má ČTÚ poměrně široké pravomoce pro vyžádání dat ve spojení s §2a) a §115, a návrh nepřináší jediný argument, proč by tomu mělo být jinak.

5. Realizace, vynucování a přezkum účinnosti regulace

5.1 Realizace

Rovněž je nutno založit NBÚ možnost spolupráce se soukromoprávními a zahraničními subjekty, jakož i působit v oblasti kybernetické bezpečnosti metodicky a osvětově. Nejsme přesvědčeni, že je nutné pro spolupráci se soukromoprávními a zahraničními subjekty vytvářet nový zákon. Pro zahraničí to podle nás nemá význam žádný a u soukroprávních subjektů zapojených do vládní informační infrastruktury stačí zabezpečení řešit smluvně. Pokud navrhovatel s tímto tvrzením nesouhlasí, prosíme o vysvětlení proč. Navíc znovu upozorňujeme, že máme Národní CSIRT a že o bezpečnost veřejné části sítí se starají kvalifikovaně i jiné nevládní organizace.

Aby bylo možno postihnout i výjimečné situace, kdy bude formou rozsáhlého kybernetického útoku závažným způsobem ohrožena nebo narušena bezpečnost České republiky, počítá záměr se zavedením zvláštního stavu fungování zákona o kybernetické bezpečnosti, tj. stavu kybernetického nebezpečí. Opět by byl na místě nějaký příklad takovéto situace. Jak si toto navrhovatel představuje?  Bez bližšího popisu čtenáři návrhu můžou nabíhat nejrůznější asociace od případů ze zahraničí až po příklady science fiction nebo cyberpunku (v nejhorším případě z produkce Hollywoodu).

5.2 Vynucování

Struktura povinností předpokládaných záměrem se vztahuje k soukromoprávním subjektům i veřejnoprávním korporacím, přičemž základní jejich rozlišení je podle typu infrastruktury, kterou příslušný subjekt spravuje či zajišťuje. Jak jsme již naznačili, považujeme toto rozdělení za nelogické a nekoncepční. Mnohem lepší by z našeho pohledu bylo rozdělení sítí na „veřejnou“ (internet) a „neveřejnou“ (veškeré kritické části vládních datových systémů, kritických systémů nutných pro chod státu a „propojek“ (jako třeba webový server datových stránek) s internetem). Jednoduše řečeno by měly vzniknout pravidla a sankce pro vládní infrastrukturu (jak vládní weby, tak například řízení dopravy), přičemž většina (důležitější části) těchto sítí by měla být oddělena od veřejné části (typicky internetu). Tuto oblast by měl mít na starosti NBÚ v rámci svého Vládního CSIRT a hlídal by dodržování standardů bezpečnosti a byl by také za zabezpečení vládní infrastruktury odpovědný. Staral by se také o propojovací „body“ s internetem. Národní CSIRT by se naopak staral (ostatně jako doposud) o bezpečnost veřejné části informačních sítí, navrhoval by bezpečnostní standardy (i pro vládní infrastrukturu) a sbíral by informace o bezpečnostních incidentech v ČR i v zahraničí. Navíc by měl na starosti i komunikaci s obdobnými institucemi v zahraničí. Obě organizace by spolu pochopitelně spolupracovaly.

Kontrolní a sankční pravomoci jsou pak rozděleny tak, aby reflektovaly současné postavení a kompetence ČTÚ na úseku elektronických komunikací následovně: Považujeme nové pravomoci a „povinnosti“ pro ČTÚ jako neopodstatněné a to minimálně všeobecně vůči poskytovatelům připojení (ISP).

Povinnost poskytovatelů služeb elektronických komunikací a subjektů zajišťující sítě elektronických komunikací hlásit kontaktní údaje pro předávání informací o kybernetických bezpečnostních událostech a povinnost vybraných poskytovatelů služeb elektronických komunikací a vybraných subjektů zajišťující sítě elektronických komunikací hlásit kybernetické bezpečnostní události: kontroluje a sankcionuje ČTÚ. Povinnost provádět protiopatření stanovená NBÚ ve stavu kybernetického nebezpečí: kontroluje a sankcionuje NBÚ. Myslíme si, že pokud by měla platit povinnost nahlásit kontaktní údaje pro případ informování o bezpečnostních hrozbách (nejsme o nutnosti této povinosti přesvědčeni), měla by se tato DB udržovat v Národním CSIRT. Proč navrhovatel tuto variantu nezvážil?

5.3 Přezkum účinnosti regulace

Již samotný návrh zpracování nové právní úpravy vychází především s ohledem na potřeby praxe. Rovněž v případě přijetí nového zákona o kybernetické bezpečnosti bude k přezkumu účinnosti docházet nadále na základě provádění kontrolní činnosti a konzultací se subjekty, jichž se zákon o kybernetické bezpečnosti dotýká, bude sledováno uplatňování nově upravených procesních pravidel v praxi. V důsledku této činnosti bude následně zvažována případná novelizace či úplné odstranění těch ustanovení, jež se v praxi neosvědčí, a naopak zavedení nových mechanismů, které regulovanou činnost v praxi zefektivnily. Tohle na nás působí dojmem, že navrhovatel chce doslova hazardovat s bezpečností kyberprostoru a prosazovat zákony způsobem „pokus/omyl“. Tohle je naprosto nepřípustné. Podle nás musí být nejdříve zahájena diskuse se všemi zainteresovanými stranami a teprve po konsenzu těchto stran se může začít připravovat nějaký zákon.  

B:Návrh věcného řešení

6. Vymezení pojmů

Kritická informační infrastruktura – prvek kritické informační infrastruktury nebo systém těchto prvků, narušení jehož funkce by mohlo způsobit poškození nebo ohrožení zájmu České republiky. Prosíme navrhovatele o ujištění, že se jedná především o takzvanou neveřejnou část sítě, tedy například řízení elektrických rozvodů, nebo uzavřené vládní systémy.

Kritická komunikační infrastruktura  - prvek kritické komunikační  infrastruktury nebo systém těchto prvků, narušení jehož funkce by mohlo způsobit poškození nebo ohrožení zájmu České republiky. Opět žádáme o přesnější informace, jestli má navrhovatel na mysli jen poskytovatele připojení, kteří zajišťují připojení vládních institucí, nebo jestli se jedná o větší skupinu a kdo všechno do ní spadá.

Ústřední dohledové pracoviště (standardně mezinárodně užívaný termín „Národní CERT“) pracoviště provozované zpravidla soukromoprávním subjektem na základě veřejnoprávní smlouvy, které zajišťuje a zprostředkovává sdílení informací (hlášení bezpečnostních událostí, zranitelností a další) v národním i mezinárodním kontextu (i jako kontaktní místo poslední instance), a to zejména pro soukromoprávní subjekty, akademickou sféru, oblast samosprávy, neziskový sektor, za předpokladu, že subjekty z těchto oblastí nepodléhají zcela nebo v některých částech působnosti NBÚ. Ústřední dohledové pracoviště koordinuje svou činnost s NBÚ. Naprosto nechápeme, proč chce navrhovatel vytvářet chaos v pojmech, když pro ně existují mezinárodně uznávaná pravidla [3]. Prosíme o jasné zdůvodnění. Myslíme si, že Národní CERT/CSIRT již máme a můžeme se maximálně bavit o lepším napojení na další privátní subjekty působící na našem území.

Národní dohledové pracoviště (standardně mezinárodně užívaný pojem „Vládní CERT“) – pracoviště provozované jako součást Národního centra kybernetické bezpečnosti za účelem ochrany služeb a sítí elektronických komunikací a informačních systémů před kybernetickými bezpečnostními událostmi. Opět to samé. Pokud je jedním z cílů tohoto návrhu zlepšit komunikaci se zahraničím, považujeme zavádění nestandardních pojmů za hrubou chybu a žádáme navrhovatele o vysvětlení. Podle naší představy je pravděpodobně dobrý nápad zřídit Vládní CERT/CSIRT, který bude působit pod NBÚ a bude mít na starosti zabezpečení vládních systémů a systémů kritických pro stát a bude mít také za tyto systémy zodpovědnost. Nevidíme ale jediný důvod, proč ho pojmenovat nestandardně.

Stav kybernetického nebezpečí – stav vyhlašovaný předsedou vlády České republiky na základě návrhu ředitele NBÚ, je-li ve velkém rozsahu ohrožena bezpečnost služeb nebo sítí elektronických komunikací anebo informačních systémů, a tím dojde k porušení nebo ohrožení zájmu České republiky a ohrožení není možné odvrátit běžnou činností Národního centra kybernetické bezpečnosti. Z našeho pohledu velmi sporný pojem a nevidíme praktický význam.

7. Působnost úpravy

7.1 Věcná působnost

Jak už zaznělo, myslíme si, že věcná působnost by měla být rozlišena na část kritickou a veřejnou, přičemž do kritické části by mělo spadat všechno, co je pro fungování státu kritické. Tedy především uzavřené datové sítě (řízení elektrické rozvodné sítě, řízení dopravy) a systémy veřejné správy, které by také měly být z velké části oddělené od veřejné datové sítě (internetu), a propojení kritických částí s veřejnou (typicky vládní webové systémy jako datové schránky, nebo weby ministerstva financí). O tyto kritické části by se měl starat NBÚ v rámci zřízeného Vládního CSIRT/CERT a měl by mít také zodpovědnost za jejich zabezpečení. Na veřejnou část datových sítí (typicky internet) bude  dohlížet Národní CERT/CSIRT. Národní bude komunikovat se zahraničím, protože hlavně on bude mít na starosti hrozby z internetu, který hranice nezná. Naše představa pochopitelně počítá se spolupráci těchto dvou subjektů.

7.2 Osobní působnost

S předchozího vyplývá, že nesouhlasíme s v návrhu naznačenými okruhy působnosti. Nepřipadá nám rozumné (především s ohledem na bezpečnost), aby ČTÚ mohl nařizovat a vynucovat nějaké pochybné (dokud nebudou specifikovány, myslíme si, že máme na slůvko „pochybné“ právo) nařízení. Prosíme navrhovatele aby vysvětlil, proč slučuje dvě zcela rozdílné oblasti, tedy veřejnou a neveřejnou část datové infrastruktury

8. NBÚ, Národní centrum kybernetické bezpečnosti a dohledová pracoviště

Organizační řešení potřeby centralizovaného vyhodnocování informací o kybernetické bezpečnostní situaci České republiky bude postaveno na existenci dvou dohledových pracovišť, tj. národního (standardně mezinárodně užívaný pojem „Vládní CERT“) a ústředního (standardně mezinárodně užívaný pojem „Národní CERT“). Národní dohledové pracoviště bude součástí Národního centra kybernetické bezpečnosti zřízeného jako součást organizační struktury NBÚ. Ústřední dohledové pracoviště bude provozováno soukromoprávním subjektem na základě veřejnoprávní smlouvy uzavřené s NBÚ. Opět z našeho pohledu zcela neopodstatněný chaos v pojmech. Proč chce tohle navrhovatel takto zavádět? Nebojí se problémů v komunikaci se zahraničím? Proč chce navíc navrhovatel vytvářet další Národní CERT, když už jeden máme? Vůbec není zřejmé, co tímto navrhovatel sleduje. Podle naší představy by bylo nejednoduší přejmenovat  „Národního centrum kybernetické bezpečnosti“ na Vládní CERT/CSIRT a zajistit aby převzalo funkci toho, co se ve světě označuje jako Vládní CERT/CSIRT. Z tohoto důvodu také nesouhlasíme s celým dalším textem, který podle nás  vychází ze špatného vymezení oblastí působnosti a špatného označení jednotlivých  úřadů. 

10. Soukromoprávní subjekty

V běžném režimu zákona o kybernetické bezpečnosti budou mít soukromoprávní subjekty poskytující služby elektronických komunikací nebo zajišťující sítě elektronických komunikací pouze sankcionovatelnou povinnost oznámit ústřednímu dohledovému pracovišti kontaktní údaje pro předávání informací o bezpečnostních událostech a vybraní poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací sankcionovatelnou povinnost zavést hlášení kybernetických bezpečnostních událostí ústřednímu dohledovému pracovišti (podrobnosti k technické specifikaci kybernetických bezpečnostních událostí a formátu hlášení stanoví NBÚ prováděcím předpisem). Opět hlavní problém vidíme v nestandardním pojmenování úřadů. Podle naší představy by měly kontaktní údaje shromažďovat Národní CSIRT (tedy ten, který navrhovatel nesmyslně označuje jako „Ústřední dohledové pracoviště“) a to pro začátek formou dobrovolné spolupráce. Věříme, že pokud bude mít úřad dostatečnou odbornou kvalifikaci, tak žádný poskytovatel nebude mít problém svůj kontaktní mail uvést. Navrhovatel ale počítá se sankcemi, a to i pro malé poskytovatele, kteří již tím, že jsou malí, nepředstavují národní ohrožení kyberprostoru. Obáváme se, že by tato pravomoc mohla sloužit pro neopodstatněné sankce pro malé poskytovatele připojení. Jakou má navrhovatel představu této sankce? Jedná se o částku do 100 Kč, nebo nějaké likvidační sumy? Jsme přesvědčeni, že toto nařízení je i zbytečné. 

Ve vztahu ke kritické informační a komunikační infrastruktuře nebude zákon rozlišovat povahu subjektů spravujících příslušné systémy. Vzhledem ke kritické důležitosti těchto systémů tak zákon u soukromoprávních i veřejnoprávních správců počítá nejen s povinností hlásit výskyt kybernetických bezpečnostních událostí NBÚ, ale též s povinností aplikovat bezpečnostní opatření k ochraně těchto systémů a povinnost provádět protiopatření stanovená NBÚ. Nedovedeme si představit, jak bude někdo hlídat, zda vybraní ISP poskytli údaje o bezpečnostních incidentech. Rádi bychom tady poprosili navrhovatele o příklady těchto bezpečnostních událostí a jakým způsobem bude zajištěno hlídání hlášení těchto incidentů a jaká protiopatření má navrhovatel na mysli.

12. Evidence

Hlášení o kybernetických bezpečnostních událostech, jakož i záznam o provedených protiopatřeních, jsou však rovněž informacemi velkého bezpečnostního i ekonomického významu. Mohou vést k identifikaci napadeného systému, odkrýt bezpečnostní postupy a protiopatření útočníkům, ukázat slabá místa informační a komunikační infrastruktury apod. Je tedy nutno tyto informace chránit před zneužitím a vyloučit možnost jejich úniku. Přitom je však třeba zachovat výhody sdílení informací o kybernetických bezpečnostních událostech s dalšími subjekty podílejícími se na ochraně českého kyberprostoru (včetně provozovatele ústředního dohledového pracoviště, provozovatelů místních dohledových pracovišť typu CERT/CSIRT apod.), jakož i umožnit standardní demokratickou kontrolu činnosti NBÚ prostřednictvím práva na informace. Všechny naznačené problémy řeší náš návrh o oddělení působností Vládního CSIRT a Národního CSIRT (podle jejich mezinárodně uznávaných významů) a jejich vzájemné spolupráce.

13. Spolupráce

13.3 Mezinárodní spolupráce

Mezinárodní spolupráce, kterou bude NBÚ navazovat, bude mít charakter účasti v mezinárodních strukturách k ochraně kybernetické bezpečnosti (zpravidla formou účasti v mezinárodních organizacích a sdruženích zajišťujících výměnu informací o kybernetických bezpečnostních událostech a koordinaci ochranných opatření) a účasti na mezinárodních akcích. NBÚ bude oprávněn sjednávat na úseku kybernetické bezpečnosti rezortní mezinárodní smlouvy, zastupovat Českou republiku v mezinárodních organizacích a účastnit se mezinárodních akcí, tj. cvičení a simulací. Myslíme si, že koncept právě tímto vytváří další nestandardní situaci, a požadujeme vysvětlení proč tomu tak je. Podle nás již Národní CSIRT máme a můžeme se maximálně bavit o jeho dalším napojení na nevládní organizace, případně zlepšení spolupráce s těmi vládními. Tento Národní CSIRT by se měl nadále starat o komunikaci se zahraničím, protože mezinárodní přesah má především veřejná část sítě (internet). 

Naproti tomu by měl Vládní CSIRT, který by vznikl v rámci NBÚ (v podstatě stačí přejmenovat „Národní centrum kybernetické bezpečnosti“) pravomoci hlídat zabezpečení vládních a pro stát kritických částí (zde patří i propojovací body s veřejnou sítí) a komunikovat by měl se zahraničními Vládními CSIRT. 

Samozřejmě to nijak nevylučuje i předávání informací a jinou spolupráci v rámci obou pracovišť. 

14. Kontrola a sankce

V tomto bodě máme především námitky k přidání pravomocí ČTÚ. Co se týká vládní infrastruktury, nevidíme v tom až takový problém, ale pravomoci směrem k soukromým poskytovatelům připojení nám připadají zbytečné. Z hlediska zabezpečení veřejné části sítě (tedy internetu) nám připadá jako lepší varianta vybudovat databázi poskytovatelů v rámci Národního CSIRT (pokud by se tedy po širší diskuzi ukázalo, že by to mělo smysl) a to (minimálně v první fázi) na základě dobrovolnosti. Soukromí poskytovatelé mají dostatečnou ekonomickou motivaci pro udržování svých sítí v maximálním bezpečí. Pokud existují někde přesahy veřejné sítě a vládní kritické komunikační sítě, měl by NBÚ řešit jen tato napojení. Veškerý stav zabezpečení kritických systémů od soukromých subjektů (např. řízení dopravy) by byl řešen smluvně, podle doporučení NBÚ (tedy jeho Vládního CSIRT). 

15. Stav kybernetického nebezpečí

Pro případ rozsáhlého kybernetického útoku nebo jiné zvlášť závažné kybernetické bezpečnostní události, která bude mít potenciál bezprostředně ohrozit fungování služeb informační společnosti na území České republiky nebo v mezinárodním měřítku, počítá záměr se zvláštním režimem stavu kybernetického nebezpečí. Zákon o kybernetické bezpečnosti upraví způsob vyhlašování stavu kybernetického nebezpečí, jakož i související specifická práva a povinnosti. Rádi bychom navrhovatele znovu poprosili o příklad takového stavu ohrožení a příklady nařízených protiopatření které budou muset ISP provádět. Stále vycházíme z toho, že kritická část vládní infrastruktury by měla být mimo veřejnou datovou část, takže máme opravdu problém si představit, o čem se tu mluví. Nepovažujeme v současnosti tento bod pro bezpečnost za nijak důležitý a jsme pro úplné odstranění tohoto pojmu. Pokud navrhovatel nesouhlasí, prosíme o vysvětlení proč.

18. Ústavní konformita

Vzhledem k tomu, že byl při tvorbě zákona zvolen minimalistický přístup k ukládání povinností soukromoprávním subjektům, nezasahuje tento záměr do práva na ochranu soukromí, práva na ochranu osobních údajů, práva na soukromý život, práva na svobodu projevu ani do dalších práv souhrnně označovaných jako práva na informační sebeurčení člověka. Je otázka, jestli toto bude platit, když dostane NBÚ pravomoc třeba vypínat segmenty sítě. Nicméně samotný návrh o ničem takovém nemluví, správně říká: Definice informačního sebeurčení tak vychází nejen z předpokládané nutnosti chránit diskrétní informace, ale též z předpokladu, že dnešní člověk může žít plnohodnotný život jen tehdy, pokud má možnost komunikovat s ostatními. Z toho plyne povinnost státu chránit pasivní i aktivní informační práva člověka ochranou národního kyberprostoru, kde se tato práva realizují.

Typicky tak může dojít k situaci, kdy budou zneužity počítače na území České republiky k útoku na cizí stát (takové případy se u rozsáhlých útoků vyskytují běžně) – Česká republika, přestože útok neorganizuje ani se na něm nepodílí, může být pohnána k odpovědnosti za to, že takovému útoku, byť k tomu měla prostředky, účinně nezabránila. Typicky je útok veden přes desítky i stovky PC na celém světě a při výpadku jednoho útočník pokračuje dál. Jediné opravdu účinné řešení je zabezpečení cíle útoku. V nejhorším tak, že se „odpojí kabel“.

Test vhodnosti – záměr, tak, jak je formulován, nepochybně povede ke zvýšení míry kybernetické bezpečnosti České republiky a k ochraně shora zmíněných hodnot.  Nevidíme jediný důkaz pravdivosti tohoto tvrzení.

Dosavadní zkušenosti ukazují, že výměna informací o kybernetických bezpečnostních incidentech a koordinace protiopatření představují nejúčinnější prostředky ochrany kyberprostoru. Záměr tedy vychází z aktuálních poznatků praxe v oboru ICT a vybírá nejefektivnější nástroje ochrany kyberprostoru při zachování minimální zátěže směrem k soukromoprávním subjektům. Navrhovatel se tváří, jako by k této výměně informací dosud nedocházelo a jako by zaváděl nějakou novinku. To ale není pravda. Máme Národní CERT/CSIRT, který se stará o komunikaci se zahraničním, a máme řadu renomovaných soukromých a universitních týmů, které se otázkou bezpečnosti také zabývají a jsou napojeny na mezinárodní organizace. V kontextu veřejné sítě, tedy internetu, tento návrh nepředkládá žádné významné opatření, které by mohlo vést k zlepšení zabezpečení a dostupnosti. Problém vidíme ve vládní informační infrastruktuře a tady navrhujeme zřízení Vládního CERT/CSIRT a jeho zodpovědnost za zabezpečení vládní informačních systémů a kritických státních informačních systému.

Test potřebnosti – provedenými studiemi nebylo zjištěno alternativní řešení, které by mohlo naplnit základní cíl záměru, tj. ochranu kyberprostoru České republiky. Žádáme předkladatele o zveřejnění všech zmiňovaných studií. Zatím vycházíme z toho, že je toto tvrzení nepravdivé. Sami jsme schopni nabídnout několik dalších řešení, které by splňovaly požadavky na zabezpečení kybernetického prostoru ČR. 

Byť je většina poskytovatelů služeb elektronických komunikací pozitivně motivována k účasti na zajištění kybernetické bezpečnosti státu prostřednictvím ekonomických motivů (jen fungující síť může generovat ekonomický efekt) Zájem na tom, aby služba fungovala mají její poskytovatelé zcela zásadní (nejen ekonomický). Maximální dostupné zabezpečení a jištění je dnes běžným standardem. Do dnešního fungujícího stavu není potřeba zasahovat zbytečnou legislativou.

je třeba formou zákonných povinností zajistit i pokrytí těch subjektů, které, ať už z neznalosti, neschopnosti nebo úmyslně, zanedbávají ochranu vlastní infrastruktury a ohrožují tak bezpečnost českého kyberprostoru jako celku – to s důrazem na subjekty, jejichž infrastruktura je pro stát kriticky důležitá. Kdyby měl v tomto bodě navrhovatel na mysli především vládní infrastrukturu, dalo by se souhlasit. Ovšem máme pocit, že se snaží tvrdit, že jakýkoli malý ISP může svou liknavostí ohrozit kritickou infrastrukturu státu. Jestli tomu tak je, je jednoznačně potřeba se zaměřit za zabezpečení této kritické infrastruktury a nikoli na malé ISP.

Zdroje:

[1]  VĚCNÝ ZÁMĚR ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Dostupný z WWW: http://www.nbu.cz/cs/aktuality/592-pripominkove-rizeni-k-navrhu-vecneho-zameru-zakona-o-kyberneticke-bezpecnosti-/

[2]  JAKÝ BUDE ZÁKON O KYBERNETICKÉ BEZPEČNOSTI,     Peterka Jiří, [online] Dostupný z www: http://www.lupa.cz/clanky/jaky-bude-zakon-o-kyberneticke-bezpecnosti

[3]  Baseline capabilities for national / governmental CERTs (Part 1 Operational Aspects)  http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs

© Piráti, 2016. Všechna práva vyhlazena. Sdílejte a nechte ostatní sdílet za stejných podmínek. Podmínky použití.