Novela zákona o vojenském zpravodajství přináší do internetového prostředí nová rizika

Praha 23. ledna 2017 ­– Riziko odposlechu provozu v síti, vznik tzv. „single point of failure“, hrozba sankcí pro operátory při nedodržení kvality služeb vlivem vojenských zpravodajských zařízení, negativní vnímání použitých opatření ze strany EU a NATO a rozpor s rozsudkem Soudního dvora EU představují hlavní výhrady, které má k aktuálně projednávané novele zákona o vojenském zpravodajství Sdružení pro internetový rozvoj (SPIR). „Novela zákona ve stávající podobě může bezpečnost země ohrozit, namísto aby ji zvyšovala,“ varuje Ján Simkanič, předseda SPIR. (TZ)

Poslanecká sněmovna projednává návrh novely zákona o vojenském zpravodajství, jejíž součástí je i nová pravomoc vojenské rozvědky (VOZ) umísťovat aktivní prostředky kybernetické obrany do sítí provozovatelů sítí elektronických komunikací. Implementace zákona může bezpečnost země ohrozit, místo toho, aby přispěla k jejímu zvýšení.

SPIR sdílí obavy operátorů spočívající v tom, že zapojí-li se prvky pod správou VOZ, vznikne tzv. „single point of failure“, tedy jedno místo, kvůli jehož chybě bude možné napadnout všechny dotčené sítě najednou. Jediná chyba v zabezpečení či nastavení systému tak může umožnit útočníkovi zaútočit na celou zemi. Navíc prvky pod cizí správou v síti operátora mohou narušit funkčnost a stabilitu sítě. Vznikne-li mimořádná událost vlivem zařízení instalovaného VOZ, bude operátor nucen o této skutečnosti pomlčet, ale nebude zbaven odpovědnosti vůči uživatelům své sítě. Hrozí mu tak sankce za nedodržení kvality služby v důsledku zařízení VOZ.

Aktivní využití prostředků kyberobrany ve stávající podobě novely zákona o vojenském zpravodajství může znamenat také protiútoky. Protože drtivá většina našich propojů vede do zahraničí, hrozí negativní vnímání takové činnosti ze strany EU a NATO. Navíc sítě operátorů jsou již nyní stavěny tak, aby detekovaly a eliminovaly případné kybernetické útoky, a tudíž protiútoky ze zařízení VOZ by byly oslabovány aktivními prvky sítě operátora, a zároveň paradoxně detekovány a oznamovány operátorem ve smyslu povinností dle zákona o kybernetické bezpečnosti.

Novela zákona míří pouze na provozovatele sítí elektronických komunikací, ale opomíjí skutečnost, že naše společnost je závislá také na obsahu poskytovatelů, kteří služeb provozovatelů sítí nevyužívají, protože mají vlastní spoje do zahraničí nebo peeringová centra. Zákon také jasně nereguluje činnosti VOZ v cizině směřující vůči občanům České republiky.

Ačkoli zařízení VOZ nemají provádět odposlech bez souhlasu soudu, technicky umožní procházet téměř veškerý internetový provoz. Existuje tak riziko, že na základě rozhodnutí administrátora systému bude možné sledovat činnost konkrétního uživatele internetu. Tato možnost skýtá vysoká bezpečnostní rizika v případě selhání konkrétního jedince nebo v situaci, kdy útočník prolomí systém VOZ a využije infrastrukturu ke svým cílům.

Řešení navrhovaná v novele dotčeného zákona nejsou efektivní, protože i průměrně vzdělaní uživatelé mají celou řadu možností, jak případné státem vybudované překážky obejít. Soustřeďovat v rukou několika málo jednotlivců tak velké a zneužitelné oprávnění bez dostatečných kontrolních mechanismů se jeví z tohoto pohledu jako vysoce riskantní.

Rozhodnutí Soudního dvora Evropské unie z prosince 2016 konstatuje, že zákony umožňující plošný sběr a uchovávání lokalizačních a provozních údajů jsou v rozporu s právem EU. Plošné ukládání dat, jako je historie volání, odesílatelé a příjemci textových zpráv apod., totiž umožňuje vyvodit závěry o soukromém životě osob a ukládání takovýchto údajů není v demokratické společnosti odůvodněné. Protože během přípravy návrhu novely nebyl rozsudek ještě znám, vyžaduje novela nejen z tohoto pohledu pečlivé opětovné posouzení.