Vojenské zpravodajství jde do druhé obhajoby změn v kybernetické bezpečnosti. Garantem by měla být výhradně tajná služba, což budí silné emoce

Která instituce uchopí problém kybernetické bezpečnosti hýbe Českou republikou už pár let. Foto: ceska-justice.cz

Řádná a dostačující ochrana proti kybernetickým a teroristickým hrozbám nebo přílišná kumulace moci do rukou armádní tajné služby? Sněmovní výbor pro obranu bude tento týden podruhé projednávat novelu zákona o Vojenském zpravodajství. Zákonodárci už jednou za dramatických diskusí předlohu shodili se stolu. Odborníci na komunikaci a IT varují před vlamováním do soukromí a listovního tajemství.

Dá se očekávat, že se nadcházející projednávání novely zákona o Vojenském zpravodajství na zasedání sněmovního výboru pro bezpečnost se neobejde bez problémů. Členové výboru začnou sice dnes uvolněnějším programem – návštěvou armádního Centra biologické ochrany v Těchoníně a pak se přesunou k vojenským chemikům do Liberce. Ale zítra ve 14 hodin ministr obrany Lubomír Metnar odstartuje před zákonodárci vojáky diskusi nad připravovanou novelou, jež vyvolává silné kontroverze. Návrh totiž ve výboru už jednou neprošel. Diskusí o zákonu, upravujícím kybernetickou bezpečnost státu, se aktivně účastnili zástupci profesní organizace ICT průmyslu – ICT unie. Ti jsou jeho velmi tvrdými kritiky Podle aktuálních informací na aktuálním zasedání poslaneckého výboru unie takový prostor pro oponenturu mít nemají.

Proč tolik povyku? Vláda na konci května roku 2016 schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Kvůli tomu uložila ministerstvu obrany úkol předložit návrh nového normativního řešení vytvoření podmínek kybernetické obrany České republiky. Ministerstvo obrany proto připravovalo ve spolupráci s s kolegy z vnitra, Národního bezpečnostního úřadu, civilní rozvědky a kontrarozvědky a a Českým telekomunikačním úřadem návrh zákona, který by měl řádně zamávat českým kyberprostorem. Ten by měl změnit zákon o Vojenském zpravodajství a normu o zajišťování obrany České republiky, včetně zákona o elektronických komunikacích, a související normativní úpravy. Jako například zákon o elektronických komunikacích.

Předkladatel zákona, ministerstvo obrany, aktuálně vyhodnotilo, že kybernetická bezpečnost v rámci zajišťování obrany (tedy vnější bezpečnosti) státu není specifická, souběžně působící struktura nad standardní obranou státu. Úředníci z obrany tvrdí, že kybernetická ochrana je její nedílnou součástí, byť vlivem rozvoje moderních komunikačních technologií a služeb součást novější a specificky technologicky vybavená. „Zejména působící v nestandardním prostředí sítí a služeb elektronických komunikací. I přes tato specifika je však na kybernetickou obranu nutno pohlížet jako na standardní součást obrany státu ve smyslu zákona o zajišťování obrany České republiky, tedy jako na součást ´souhrnu opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením´,“ stojí v důvodové zprávě k zákonu, kterou má Ekonomický deník k dispozici.

Základní změnou koncepce aktuální předlohy zákona od návrhu Parlamentem neprojednaného je úplný odklon od uměle vytvářeného začleňování Vojenského zpravodajství mezi ozbrojené síly. Tedy dle některých zákonodárců a ICT odborníků nepřípustné nepřímé novelizace normy o ozbrojených silách České republiky. V této souvislosti čelili armádní legislativci problému, že provádění kybernetické obrany svou povahou přesahuje obecně vymezené úkoly Vojenského zpravodajství jako tajné služby, protože provádění IT obrany by v určitém rozsahu bylo aktivní činností přesahující rámec zabezpečování informací.

„Navrhované právní řešení současně vychází ze skutečnosti, že v mezidobí od přijetí citovaného usnesení vlády České republiky do dnešních dnů Vojenské zpravodajství významně pokročilo ve své připravenosti k převzetí nové role, a tedy z hlediska věcného i odborného nebylo nutné hledat jinou variantu řešení pro stanovení nositele úkolu,“ napsali armádní legislativci do důvodové zprávy.

Prolomení ochrany soukromí a listovního tajemství

S uchopením kybernetické bezpečnosti i v nové podobě stále nesouhlasí profesní organizace ICT průmyslu – ICT unie. V prohlášení, které Ekonomický deník získal, opět varuje před přílišnou kumulací moci v IT a komunikačním prostředí. „Navrhovaná novela zákona o Vojenském zpravodajství, ani úprava zákona o elektronických komunikacích, snahy o zajištění bezpečného kyberprostoru zásadním způsobem neposiluje. Naopak, může výrazně ohrozit zajištění kybernetické bezpečnosti sítí poskytovatelů internetového připojení, a tím přináší potenciálně nové hrozby a případná rizika, kterým bude potřeba čelit. Řešení představované novelou může mít ve většině případů zásadní negativní dopady na zajištění ochrany osobních údajů, komunikaci a soukromí uživatelů internetu,“ tvrdí ICT unie.

Svoje výtky unie shrnula do následujících bodů: Nesoulad s legislativou Evropské unie, nesoulad s ústavním pořádkem, nesoulad s vnitrostátním právem, vyloučení klíčových orgánů, například Národního úřadu pro kybernetickou bezpečnost z obranného procesu, rozpor v kompetencích, technická nekompatibilita, narušení bezpečnosti a integrity sítí a významné zvýšení rizika napadení. „O nás a našich zákaznících bez nás. Došlo k úplnému vyloučení odborné veřejnosti, zástupců a expertů malých, středních a velkých poskytovatelů veřejných sítí elektronických komunikací z diskuse, přípravy a připomínek v rámci novely zajištění ochrany kybernetického prostoru České republiky,“ stojí v prohlášení ICT unie. Návrh novely zákona podle ICT unie porušuje práva na ochranu soukromí a listovního tajemství v České republice. „Existuje reálné riziko jejich prolomení. Není totiž technicky možné provádět monitorování provozu bez nahlédnutí dovnitř takového provozu. Návrh říká, že činností Vojenského zpravodajství nesmí být narušena důvěrnost obsahu zprávy – to neznamená záruky, že zpráva nemůže být pověřenou osobou přečtena,“ upozorňují insideři z IT a komunikačního sektoru.

Unie ICT proto navrhuje zcela jinou alternativu. A to takzvaný model čtyř sil. „Drtivá většina právních a technologických expertů ze soukromého sektoru na základě svých hlubokých znalostí a zkušeností od nás i zahraničí je dlouhodobě přesvědčena, že ochrana kybernetického prostoru České republiky by měla být budována na principu modelu funkčně oddělených kompetencí a pravomocí jednotlivých státních organizačních složek,“ tvrdí unie. Jak tedy podle ní? Například v systému důsledné koordinace na nejvyšší národní a nadnárodní úrovni, za zajištění dostatečné nezávislé kontroly a minimalizace rizika zneužití pravomocí zejména s ohledem na jistý zásah do soukromí občanů a firem v prostředí online světa. „Za naprosto nepřípustný pokládáme argument, který je předkládán nejméně poslední tři roky. Tedy že armáda nemá v tento okamžik kapacity vybudovat a provozovat jednotky kybernetické obrany a boje a že jediným subjektem, který je schopen tuto činnost zastat, může být Vojenské zpravodajství. To má v tuto chvíli dostatečné nástroje a oprávnění k výkonu účelu, ke kterému je primárně ze zákona určeno a jehož základ spočívá ve zpravodajské činnosti. Legislativa dle našeho názoru nesmí překročit tento rámec, a umožnit zpravodajské organizaci nekontrolovaně monitorovat internet či v něm dokonce provádět aktivní činnosti, narušovat soukromí občanů a firem a případně pozměňovat či modifikovat jejich komunikaci a osobní data,“ varuje profesní sdružení ICT průmyslu.

Obav netřeba, dušují se vojáci

Vojenské zpravodajství se snaží emoce tlumit a snaží se vysvětlit, proč mu novela dává tak zásadní pravomoci. „Zajišťováním kybernetické obrany se v tomto kontextu totiž rozumí zajišťování obrany státu ve smyslu zákona o zajišťování obrany České republiky. Podle jeho obsahu se obranou státu rozumí souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením. Tato obrana v sobě zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému,“ lze se dočíst na webových stránkách tajné služby.

Kybernetická rizika hýbnou celým světem. Repro: vzcr.cz

Oproti tomu kybernetickou bezpečností se podle armádních zpravodajců rozumí souhrn prostředků směřujících k zajištění ochrany kybernetického prostoru. Tyto prostředky mohou být různého charakteru – právní, organizační, vzdělávací, technické apod. „Zjednodušeně řečeno, kybernetickou bezpečností se v tomto smyslu myslí zajištění důvěrnosti, integrity a dostupnosti informací a dat v kyberprostoru,“ tvrdí Vojenské zpravodajství s tím, že kyberbezpečnost zajišťují armádní tajné služby i jinde ve světě.

A tajná služba dále rozebírá, že rozdíl mezi kybernetickou obranou a bezpečností spočívá především v povaze a intenzitě útoků a na to reagujících opatření, aniž by bylo možné vymezit úplně přesná kritéria. „Připravenost na kybernetické útoky proto musí být komplexní a nemůže se zaměřit pouze na sféru bezpečnosti, ale je nutné budovat schopnosti i proti útokům, které lze vyhodnotit jako způsobilé aktivovat obranu státu. Aktivace kybernetické obrany tak bude přicházet v úvahu pouze v případě těch nejintenzivnějších útoků. Specifikem kybernetické obrany bude skutečnost, že bude prováděna jak v případě vyhlášení mimořádných stavů, především formou součinnosti s ostatními složkami zajišťujícími obranu České republiky, tak i nepřetržitě mimo tyto stavy,“ stojí na webu Vojenského zpravodajství.

Jak tedy tajná služba vyargumentovává, že by se kybernetické bezpečnosti měla chopit jen ona? „Kyberprostor podle ní není klasickým bojištěm, jedná se spíš o prostor informační a na tomto poli tradičně hrají důležitou úlohu zpravodajské služby. Vzhledem k povaze kybernetického prostoru není vždy jednoznačně možné odlišit vnější a vnitřní napadení, a stejně tak není možné zcela přesně vyhodnotit, zda již jde o útok zakládající právo na sebeobranu ve smyslu mezinárodního práva nebo zda se jedná o čin charakteru teroristického, kriminálního nebo například špionážního. Z těchto hledisek se jeví jako nejvhodnější svěřit tento úkol zpravodajským službám, které jsou určeny k tomu, aby se podílely na zajišťování bezpečnosti státu v celém spektru hrozeb,“ vyplývá dále z analýz armádní zpravodajské agentury.

Přidanou hodnotu vidí Vojenské zpravodajství v tom, že jako jediná česká zpravodajská služba působí jak na českém území, tak v zahraničí. „Navíc obranu České republiky zajišťují primárně ozbrojené síly, které jsou stejně jako Vojenské zpravodajství součástí rezortu Ministerstva obrany, což nabízí i další výhody, a sice jednodušší spolupráci s Armádou ČR a z toho vyplývající plynulé pokračování v činnosti v případě přechodu státu do mimořádných stavů,“ napsali armádní zpravodajci dále na webu.

Novelu zákona Vojenské zpravodajství odůvodňuje nezbytností zajištěním proporcionality mezi svěřenými technickými prostředky a opatřeními jeho výkonu, a na druhou stranu dostatečnými zárukami proti jejich zneužití. „Připravovaný právní rámec poskytuje záruky bránící jejímu zneužití, a to jednak v rámci jejího začlenění do podmínek a systému zajišťování obrany České republiky, jednak jednoznačným a předvídatelným nastavením rozsahu a podmínek užití technických prostředků kybernetické obrany, pro které – jsou-li užity ve smyslu zpravodajské techniky – budou platit stejné mantinely a právní limity, jako je tomu u zpravodajské činnosti. Důležitou součástí těchto záruk jsou i navrhovaná pravidla pro nakládání se získanými daty, stejně jako rozšíření kontroly,“ lze se dále dočíst v analýze Vojenského zpravodajství. Koncepční podmínky pro „řádné zajišťování obrany státu v kyberprostoru“ stanovuje strategie kybernetické obrany pro období 2018 – 2022, jejíž veřejnou část je možné si přečíst zde.

Jan Hrbáček