Národní bezpečnostní úřad (NBÚ) na základě usnesení vlády ČR připravil a rozeslal do meziresortního a odborného připomínkového řízení návrh zákona o kybernetické bezpečnosti, který doplnil důvodovou zprávou.

Tento návrh zákona považujeme za pokus státu zregulovat i jednu z posledních oblastí společenského života, která zůstává bez státních regulací a svým bouřlivým rozvojem a neuvěřitelnou úspěšností dokazuje možnost významného pokroku v situaci, kdy pravidla určuje jednotlivci tvořený spontánní řád, který není deformovaný státní regulací.

Návrh zákona má ambice regulovat nejen „státní“ kybernetický prostor, ale zasahuje do svobody soukromých subjektů a dává výkonným složkám státu bianko šek do soukromé sféry zasahovat. Současný systém, kdy jednotliví provozovatelé sítí a služeb v internetu spolupracují na základě dobrovolných dohod, je efektivní a státní regulace efektivitu jen zhorší.

Neopravujme, co funguje. Každý nechť si hledí bezpečnosti svých sítí.

Radim Smetka a Karel Zvára
místopředsedové strany

Doplnění krátké zprávy v odpovědi na otázky čtenářů: (doplněno 13.5.2013 17:55)

Návrh zákona stanovuje jak státním, tak soukromým provozovatelům informačních a komunikačních systémů povinnosti, který vymezuje jen v základních parametrech. Vládní CERT totiž podle návrhu zákona může vydávat „bezpečnostní opatření“, jež jsou vymezena jen účelem. Obsah i rozsah zavedení bezpečnostních opatření přitom má stanovit prováděcí předpis, tedy podzákonná norma.

Zákon by tedy de facto v oblasti regulace informačních a komunikačních technologií, a to i individuální, dal tvůrci prováděcího předpisu, NBÚ a jeho vládnímu CERT volnou ruku. Bezpečnostní opatření jsou přitom podle návrhu přímo vykonatelná – povinné osoby nemají možnost odvolat se proti němu dříve, než bude takové bezpečnostní opatření provedeno.

Konkrétně jde o bezpečnostní opatření a povinnosti podle § 5, rychlá vykonatelnost a absence odkladu vykonatelnosti reaktivního protiopatření podle § 15. Proti ochranným opatřením podle § 16 dokonce nelze vést ani přezkumné řízení.

V důsledku tak NBÚ může pomocí různých druhů opatření rozhodovat o nakládání s majetkem soukromých provozovatelů, a to jak hromadně/obecně (ochranná opatření), tak i jednotlivě (např. ve formě reaktivních protiopatření).

Vzhledem ke skutečnosti, že útoky obvykle pocházejí ze zahraničí, národní legislativa je těžko pomůže vyřešit.

Příklad:

Mediálně známé DDoS útoky představují velké množství souběžných dotazů, které vypadají normálně; problémem je jen jejich neobvykle velké množství. Jinými slovy, správce napadeného serveru nedokáže snadno rozlišit mezi požadavky pocházejícími z útoku a běžnými požadavky uživatelů. V současné době se jednotliví poskytovatelé služeb v internetu potýkají tak, že kombinují vlastní opatření jako on-line analýzu dotazů z jednotlivých počítačů a sítí a jejich dočasné odpojování nebo omezování počtu dotazů v čase z jednotlivých adres či sítí. Tato opatření realizují buď samostatně nebo ve spolupráci s dalšími provozovateli služeb internetu, se kterými jsou propojeni.

Dobrovolnou iniciativou tak provádějí kroky, které jsou sice útočníkem rámcově předvídatelné, bránícím však dávají možnost iniciativy právě proto, že jejich vlastní opatření nejsou státem řízena.

Pokud opatření začne vydávat státní orgán, dojde nejspíš přirozeně mimo jiné k následujícím důsledkům:

1. Opatření začnou mít charakteristickou, šablonovitou povahu – budou snadno předvídatelná. Státní orgán bude totiž vykonávat pravomoci úřadu a pro svoji činnost bude muset stanovit postupy, aby bylo možné zpětně hodnotit správnost postupu. Taková opatření budou nasazena vždy s větším zpožděním, než jsou nasazována dnes, neboť jejich provedení vyžaduje další krok – předání od úřadu povinné osobě.
2. Státní orgán bude mít tendenci vykazovat činnost (aby obhájil svůj rozpočet), hrozí tedy, že bude uplatňovat opatření i pokud nebudou nezbytně nutná a tím zatíží soukromé zdroje provozovatelů (každé opatření s sebou nese náklady – ať ve formě práce nebo nasazení techniky).
3. Povinné osoby (tj. mimo jiné soukromé subjekty) budou nuceny dávat státu k dispozici údaje, které mu jinak nejsou povinné dávat. V případě nedávných „útoků“ na internetová bankovnictví přitom může jít například o informace citlivé z ohledem na vnitřní bezpečnost informačních systémů soukromých bank.
4. V důsledku dojde ke zvýšení nákladů provozovatelů sítí a služeb v internetu, a tedy i ke zvýšení koncových cen či daní (podle toho, zda stát bude či nebude provozovatelům zvýšené náklady kompenzovat).
5. V důsledku přehnaných obecných ochranných opatření může docházet ke zcela zbytečnému znepřístupňování služeb internetu, a tedy ke vzniku nákladů z jejich nedostupnosti.

S ohledem na skutečnost, že zatím není známý návrh znění prováděcího předpisu si lze představit i situaci, kdy by orgán například vydal obecné ochranné opatření spočívající v monitorování veškerých spojení a jejich automatizované předávání orgánu pro analýzu a vyhodnocení identity počítačů, které vykazují parametry provozu odpovídající účasti v DDoS útočné síti. Lze si představit takové opatření i jeho zdůvodnění. To však nemění nic na tom, že takové opatření by pošlapalo soukromí uživatelů, byť nejspíš jen vůči tomuto orgánu.

Karel Zvára, místopředseda strany