logo CZ.NIC, z.s.p.o.

Návrh novely zákona o VOZ ohrožuje kybernetický prostor České republiky

Je alarmující, že ačkoliv je deklarováno, že umísťované pasivní i aktivní prostředky kybernetické obrany Vojenského zpravodajství v sítích provozovatelů elektronických komunikací nebudou provádět plošný odposlech, ze své podstaty přes ně bude nekontrolovaně procházet téměř veškerý internetový provoz.

Zástupci tří významných profesních internetových organizací poslali otevřený dopis předsedovi vlády České republiky, v němž ho upozorňují na nedostatky, které přináší novela zákona o Vojenském zpravodajství. Ta byla 30. 1. 2017 projednávána na půdě poslanecké sněmovny.

Celý text otevřeného dopisu

Úřad vlády České republiky, Nábřeží Edvarda Beneše 4, 118 01 Praha 1

K rukám Mgr. Bohuslava Sobotky, Předsedy vlády České republiky

V Praze 30. ledna 2017

Vládní novela zákona o Vojenském zpravodajství a dalších zákonů (včetně novely zákona o elektronických komunikacích - Sněmovní tisk 931) - zajištění kybernetické bezpečnosti a kybernetické obrany ČR

Vážený pane premiére,

jménem níže podepsaných sdružení, profesních, zájmových a expertních organizací, které jsou součástí kybernetické infrastruktury ČR a které podporují snahy České republiky a jejích představitelů o zajištění bezpečného kyberprostoru, si Vás dovolujeme upozornit na některé skutečnosti, které dle našeho názoru vyplývají z navrhované novely zákona o Vojenském zpravodajství a souvisejících zákonů.

V Poslanecké sněmovně je v současné době projednávána novela zákona o Vojenském zpravodajství, ve které je navrhováno, aby Vojenské zpravodajství (VOZ) dostalo novou pravomoc a subjekty zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací novou povinnost. Pravomoc VOZ je založena na oprávnění umisťovat pasivní i aktivní prostředky kybernetické obrany do sítí provozovatelů sítí elektronických komunikací.

Při přípravě návrhu zákona nebyly vzaty do úvahy skutečnosti, které činí toto potenciální oprávnění VOZ velmi problematickým. Přestože je deklarovaným záměrem zákona zvyšovat kybernetickou bezpečnost a zajišťovat kybernetickou obranu země, může jeho implementací naopak dojít k ohrožení kybernetického prostoru České republiky a řady soukromých i veřejných institucí a organizací. Pokud se do sítí významných operátorů zapojí prvky pod správou VOZ, vznikne tzv. "single point of failure", tedy jedno místo, kvůli jehož chybě bude možné napadnout všechny dotčené sítě najednou.

Pokud tedy bude v zabezpečení či nastavení systému VOZ jediná chyba (což stoprocentně nelze vyloučit u žádné organizace) může toho útočník využít a lehce zaútočit na celou Českou republiku. Z indicií daných VOZ prostřednictvím médií o tom, jak bude celá činnost Národního centra kybernetických sil zajištěna, vyplývá, že vedení VOZ počítá s tím, že roky nebude umět činnost zabezpečit a na pozice expertů bude najímat absolventy VŠ.

Je nesporné, že se zapojením nových prvků do sítě operátora se pojí celá řada provozních rizik. Je prakticky nemožné garantovat bezpečnost a integritu sítě, jak vyplývá z povinnosti ze zákona o elektronických komunikacích. Pokud vlivem zařízení instalovaného VOZ vznikne jakákoliv mimořádná událost, je operátor nucen o této skutečnosti pomlčet - pokud tuto událost vůbec zaznamená, ale to jej nezbavuje odpovědnosti vůči uživatelům jeho sítě, což byl jeden z požadavků na úpravu zákona ze strany povinných subjektů. Může reálně nastat situace, kdy bude operátor sankcionován zákazníky anebo regulátorem za nedodržení kvality služby, ačkoliv tato skutečnost nastane kvůli zařízení VOZ.

Novela zákona také předpokládá aktivní využití prostředků kybernetické obrany, což znamená, že by VOZ mohlo v sítích operátorů provádět i kybernetické útoky a protiútoky.

To naráží na dva zásadní problémy:

Jako naprosto nesystémové a nedomyšlené ze strany tvůrců zákona je, že novela míří pouze na provozovatele sítí elektronických komunikací. Tím jsou vyloučeny z obrany subjekty, které služeb operátorů nevyužívají, ale z hlediska kybernetického provozu jsou velmi významné. Může jít o významné poskytovatele obsahu (např. Seznam.cz, Google) nebo o mnohé nadnárodní subjekty, které mají vlastní spoje do peeringových center a do zahraničí, mj. i banky. Například nedávný krátký výpadek služeb společnosti Google jasně ukázal, jak je česká společnost na službách těchto poskytovatelů obsahu závislá. Z tohoto pohledu se jeví vymezení povinných subjektů jako účelové, nejasné, nelogické a nesystémové.

Je také alarmující, že ačkoliv je deklarováno, že zařízení VOZ nebudou provádět plošný odposlech, ze své podstaty přes ně bude nekontrolovaně procházet téměř veškerý internetový provoz. Ačkoliv to zákon vylučuje, bude technicky možné odposlechnout jakýkoliv provoz v síti (libovolného uživatele) pouze na základě rozhodnutí administrátora systému. To generuje vysoká bezpečnostní rizika v případě selhání konkrétního jedince nebo například v situaci, kdy nějaký hacker prolomí systém VOZ a využije tuto infrastrukturu ke svým cílům.

Jsme současně přesvědčeni o neefektivnosti navrhovaného řešení. V případě jiných (výrazně méně demokratických) zemí, které se snaží kontrolovat uživatele internetu a jejich infrastruktura je k tomu plně uzpůsobena, nelze hovořit o tom, že by zajištění kybernetické bezpečnosti a kybernetické obrany byla vyšší, a i průměrně technicky vzdělaní uživatelé mají celou řadu možností, jak případné státem vybudované překážky obejít. Z tohoto pohledu je tedy nesmyslné hromadit v rukou několika málo jednotlivců tak velké a tak zneužitelné oprávnění.

V neposlední řadě musíme zmínit rozhodnutí Evropského soudního dvora z prosince 2016, které konstatuje, že zákony umožňující plošný sběr a uchovávání lokalizačních a provozních údajů jsou v rozporu s právem EU.

Ve svém rozhodnutí Evropský soudní dvůr napsal, že plošné ukládání těchto dat, které zahrnuje například odesílatele a příjemce zprávy SMS a historii volání, umožňuje velmi přesně vyvodit závěry týkající se soukromého života osob, jejichž data byla takto uchovávána, a takováto právní úprava překračuje meze toho, co je nezbytné a nutné, a nemůže být považována v demokratické společnosti za odůvodněnou.

Jakékoliv oprávnění, které má za cíl bojovat proti závažné trestné činnosti, musí podléhat předchozímu přezkoumání soudu anebo nezávislého orgánu. Vzhledem ke skutečnosti, že toto rozhodnutí bylo zveřejněno na konci minulého roku, nemohla ho Vláda ČR zohlednit při přípravě návrhu zákona.

Vážený pane premiére, s ohledem na výše uvedené Vás žádáme o pečlivé zvážení všech argumentů, pozastavení legislativního procesu, znovuotevření diskuze o podobě předkládaného návrhu zákona a jeho úpravu ve spolupráci s odborníky a zástupci průmyslu tak, aby byl co nejlépe naplněn veřejný zájem budování kyberneticky bezpečné a prosperující České republiky.

S pozdravem,

Ondřej Filip - Výkonný ředitel sdružení CZ.NIC

Martin Semrád - Ředitel sdružení NIX.CZ

Zdeněk Zajíček - Prezident ICT Unie

Článek CZ.NIC, z.s.p.o. ze dne úterý 31. ledna 2017

Další články od CZ.NIC, z.s.p.o.

Domain Report české domény .cz za rok 2023

IT kurzy Akademie CZ.NIC

Internet a Technologie 22 - konference

mojeID pro online komunikaci s úřady evropských zemí

CSNOG 2022 konference

Vysoká úroveň záruky ověření identity ve službě mojeID

Internet a Technologie 21.2 konference

Aktuální přehled IT kurzů Akademie CZ.NIC

Stop nezákonnému obsahu na internetu

Konference IT21

Hardwarový firewall Turris Shield pro laiky i profesionály

Penetrační testy zvyšují bezpečnost firemní sítě

Přehled českých domén podle statistik Domain Report 2019

Internet a Technologie - konference CZ.NIC

Bezpečný open source router Turris MOX vstupuje do maloobchodní sítě

Osmibitové mikrokontrolery a počítače

Statistický přehled českých domén

Program kurzů Akademie CZ.NIC pro rok 2019

Volné pokračování komixu Jak na Internet

CSIRT.CZ získal certifikaci bezpečnostního týmu TF-CSIRT

Konference Internet a Technologie

DNS servery pro .cz doménu ve službách kanadské domény .ca

IT kurzy akademie CZ.NIC

Router Turris MOX se představí na FIT ČVÚT

Router Turris MOX nabídne špičkovou bezpečnost a HW konfiguraci na přání

Internet věcí a bezdrátová komunikace pro všechny

Nová služba ISP DNS Stack zvyšuje bezpečnost čekého internetu

Konference Internet a Technologie 17.2

WiFi router Turris Omnia na veletrhu CeBIT

CyberCrime - elektronická kniha o kybernetická trestné činnosti a internetové bezpečnosti

Návrh novely zákona o VOZ ohrožuje kybernetický prostor České republiky

Bezpečný router Turris Omnia je ve volném prodeji

Nechceme cenzuru internetu

Jste pro zavedení cenzury a zdražení internetu?

Kurzy Akademie CZ.NIC

Turris Omnia - víc než jen router

Internet věcí a chytré ovládání domácnosti v projektu Turris

Falešné e-maily o prodloužení platnosti registrace domén

Kurzy Akademie CZ.NIC pro II. pololetí 2014

Test routeru na zranitelnost rom-0

Projekt Bezpečná VLAN se nyní jmenuje Fenix

Internet a Technologie 14 - konference zaměřená na bezpečnost

mojeID do měst a obcí

Český zavináč 2014 pro CZ.NIC

Kniha o LibreOffice Writeru v knižní edici CZ.NIC

Praktický kurz o zajištění kvality a testování softwaru

Služba mojeID má už 300000 uživatelů

Projekt Turris získal ocenění za ochranu soukromí

Vzdělávací aplikace Tablexia pro děti s dyslexií

Knihovna Technické univerzity Liberec umožňuje validovat mojeID