Zákonem o hazardních hrách to neskončilo
Jistě si vzpomenete, že se před časem intenzivně řešil zákon o hazardních hrách, navržený ministerstvem financí a otevřeně podporovaný sdružením sázkových kanceláří APKURS. V návrhu zákona byla i povinnost „poskytovatelů internetového připojení“ blokovat přístup k „internetovým stránkám“ uvedeným na seznamu zveřejňovaném ministerstvem.
Proti zákonu vznikla iniciativa Přichází cenzor!, k níž jsme se připojili i my. Zákon ale úspěšně prošel legislativním procesem – byl schválen jak sněmovnou, tak i senátem a podepsán prezidentem republiky. A to navzdory tomu, že obsahoval i mnoho zásadních nejasností, které na loňské konferenci IT 16 popsal Jiří Peterka, člen Rady ČTÚ.
Skupina senátorů v čele s Veronikou Vrecionovou proti zákonu podala ústavní stížnost s návrhem na zrušení příslušných ustanovení. Ta však byla v únoru letošního roku zamítnuta, s tím, že ústavní soud nespatřuje problém ani v samotné povinnosti blokovat, ani v terminologických nejasnostech.
V současné době není na webu ministerstva financí uveden žádný web, který by bylo povinné blokovat. Zároveň je však třeba připomenout, že do seznamu se zapisuje na základě výsledku správního řízení, které vždy nějakou dobu trvá.
Zatímco zákon o hazardních hrách je tu již s námi, do legislativního procesu vstoupil další „výbušný“ návrh, který může mít zásadní dopady na fungování českého Internetu. Je to návrh novely zákona o vojenském zpravodajství. Na letošní konferenci IT 17 o něm hovořil Ondřej Filip.
Zapojte tam tuhle krabičku a nikomu to neříkejte!
V návrhu se objevila kromě jiného povinnost provozovatelů sítí elektronických komunikací, aby umožnili Vojenskému zpravodajství (VZ; vojenská zpravodajská služba plnící funkce rozvědné i kontrarozvědné – vznikla sloučením původního Vojenského zpravodajství s Vojenským obranným zpravodajstvím) instalaci technické prostředků pro předcházení, zastavení nebo odvrácení kybernetického útoku (prostředků kybernetické obrany) a aby o tom zachovali mlčenlivost. Jak ve své přednášce upozornil Ondřej Filip, navržené povinnosti přinášejí celou řadu problémů.
„Kdybych vám v reálném světě řekl, že bezpečnost vyřeším tak, že všem do domů nainstaluji odposlech a budu ho využívat hrozně rozumně, jen když to bude opravdu nutné, tak věřím že se proti tomu vzbouří spousta lidí,“ začal Ondřej Filip příměrem k reálnému světu, kde jsou ale věci „víc vidět“ a tedy i silněji vnímány. V kybernetickém světě je to ale trochu jinak: „Tam vždycky zabírá ten argument, že kdo nedělá nic špatného, ten se nemusí bát.“
Střet pravomocí – NBÚ vs. VZ
První problém spočívá v tom, že provozovatelé sítí již nyní podléhají zákonům a regulačním úřadům. Kromě zákona o elektronických komunikacích a Českého telekomunikačního úřadu je to hlavně zákon o kybernetické bezpečnosti a Národní bezpečnostní úřad (resp. nově to bude Národní úřad pro kybernetickou a informační bezpečnost – zákon byl podepsán prezidentem 22. června 2017). Provozovatelé sítí tak budou mít problém, aby vyhověli zároveň „dosavadním“ regulacím a zároveň požadavkům Vojenského zpravodajství.
Provozní rizika – cizorodé prvky v síti
Další problém vyplývá z přítomnosti cizorodých prvků v síti. Provozovatel by neměl mít žádnou možnost ovlivnit, jaké prvky se do jeho sítě zapojují – zda jsou kompatibilní elektricky i datově, co přesně dělají nebo mohou dělat (to nebude ani vědět) a jaké dopady to bude mít na provoz sítě. Nevhodné prvky mohou závažným způsobem provoz narušit, aniž by s tím provozovatel mohl něco dělat (kromě toho, že síť přestane provozovat).
Mlčenlivost vs. SLA uživatelům
Provozovatelé sítí jsou obvykle zavázání svým zákazníkům (uživatelů) dodržet určitou úroveň služby. S tím, že nedodržení má za následek vysoké smluvní pokuty, nehledě na dopady na dobré jméno provozovatele. Pokud prvek vložený VZ do sítě způsobí problémy, z pohledu zákazníka to bude považováno za poruchu z viny provozovatele – přičemž kvůli povinné mlčenlivosti nebude smět provozovatel sdělit, co bylo skutečnou příčinou problémů. Zákon nijak neřeší, kdo a jak by kompenzoval vzniklé škody.
Zneužitelnost
Přestože by cílem návrhu mělo být zvýšení bezpečnosti, reálně může dojít naopak k jejímu snížení. Cílem něčího útoku se totiž mohou stát právě zařízení vložená do sítí VZ a následně působit mnohem větší škody. Zejména by byl problém, pokud by byla napadena zařízení stejného typu, instalovaná hromadně do většího počtu sítí. Efektivně by se tak dal ochromit celý český Internet. „Každý, kdo se vyzná v budování systémů, ví, jak nebezpečná může být homogenita sítě.“
Útoky ze sítí operátorů – rozpor se ZoKB
Co by se stalo, pokud by zařízení VZ začala provozovat nějakou aktivní činnost (aktivní obranu)? Opět problém. Podle zákona o kybernetické bezpečnosti je provozovatel sítě povinen učinit určité kroky (snažit se útok eliminovat, ohlásit úřadu atd.). Navržený zákon o vojenském zpravodajství však provozovateli sítě zakazuje eliminovat činnost vložených zařízení.
Rozhodnutí SDEU o „data retention“
Soudní dvůr Evropské unie opakovaně – naposledy v prosinci 2016 – rozhodl, že plošný sběr a uchovávání provozních a lokalizačních dat jsou v rozporu s právem EU. Návrh zákona však něco takového v podstatě zavádí. „To je to, co by tyto krabičky stoprocentně dokázaly. Já samozřejmě nevím, co budou dělat. Nikdo vám to neřekne, protože je to strašně tajné.“
Co přináší novela zákona? (zdroj: prezentace Ondřeje Filipa)
Co se odehrálo a jaký je stav
V reakci na návrh odeslaly ICT Unie, CZ.NIC a NIX.CZ společně dopis předsedovi vlády Bohuslavu Sobotkovi, v němž vysvětlují problémy návrhu. Premiér přislíbil, že se věci bude věnovat. Záležitosti se dostalo i mediální pozornosti. Poslanci podali k zákonu několik pozměňovacích návrhů, které ho mírně změkčují.
Návrh se nyní nachází v Poslanecké sněmovně ČR, ve druhém čtení. Jeho projednávání bylo dvakrát přerušeno, nejdřív 25. května a poté 28. června. Zda se stihne projednat do konce volebního období (jinak „spadne pod stůl“, protože v novém volebním období se začíná znovu od nuly), je otázka. Stejně jako to, co bude po volbách, protože složení sněmovny může být výrazně odlišné od toho dnešního.