potřebujeme spojení: Jan Rozkošný - editor DVTV, nebo kdokoliv odtamtud
Digitální bezpečnost a soukromí
Tisková zpráva
Praha, 30. 1. 2017
Experti: Novela zákona o Vojenském zpravodajství je nebezpečná, umožní na internetu sledovat všechny.
Sněmovna bude v druhém čtení projednávat novelu zákona o Vojenském zpravodajství. Ta dává vojenské tajné službě pravomoc umístit na internetové linky „černé skříňky“, jež by mohly odposlouchávat, ale i blokovat či měnit provoz českého Internetu. Podle vojáků opatření pomůže kybernetické obraně státu. Počítačoví odborníci, právníci i poskytovatelé internetu však považují návrh zákona za zneužitelný. Ohrozí podle nich ústavní práva na soukromí i svobodu projevu a bezpečnost sítí může paradoxně výrazně zhoršit.
Novelu její překladatelé obhajují nutností kybernetické obrany státu. „Jsme přesvědčeni o tom, že nový zákon ve skutečnosti obraně nijak nepomůže a že jejím hlavním účelem je sběr informací. Pokud má ministerstvo obrany nebo Vojenské zpravodajství pocit, že dokážou soukromé sítě firem bránit lépe než jejich specialisté, mohou jim například radit. Na to nepotřebují šmírovací novelu,“ říká Štefan Šafár, odborník na bezpečnost IT z platformy „Digitální bezpečnost a soukromí“ (DBaS), stojící za výzvou Přichází rozvědka [1], již k dnešnímu dni podepsalo přes 1400 signatářů.
„Nemáme nic proti tomu, aby si stát umístil technické obranné prostředky před sítě zajišťující státem provozovanou infrastrukturu a mohl tak chránit jím provozované služby i data, která o občanech potřebuje mít uložená. Perimetr takových sítí je nejlogičtějším místem, kde lze útoky na státem provozovanou infrastrukturu detekovat a reagovat na něj,“ říká odborník na počítačovou bezpečnost Pavel Růžička z iniciativy DBaS. „Stát má již teď spoustu jiných možností reakce na probíhající útok, např. spoluprací s bezpečnostními týmy CSIRT či za pomoci NCKB. Pokud chtějí vojáci provádět odvetné kybernetické útoky, mohou si pronajmout linku coby běžný zákazník ve zvláštním režimu a se zvláštními podmínkami. S čím však nesouhlasíme je umisťování státem provozovaných zařízení do sítí soukromých subjektů, především pak takových, které fungují na principu masivního dohledu nad vším provozem,“ popisuje.
„Navrhovaná novela umožní vojenskému zpravodajství především sledovat občany. Nepomůže mu bránit český internet, ten si velmi dobře ve vlastním zájmu brání samy firmy, které sítě provozují. Rozhodně souhlasíme s tím, že je nutné řešit kybernetickou obranu, ale současně nesmíme udělat to nejhorší, co je možné. V podstatě jediný efektivní způsob obrany je široká spolupráce,“ doplňuje Šafár.
Zneužitelnost k odposlechům
K instalaci „černých skříněk“ (v novele definovaných pouze jako „prostředky kybernetické obrany“) by vojákům stačilo rozhodnutí vlády. Problém je v tom, že skříňky tak uvidí do veškeré internetové komunikace a efektivně tak umožní její odposlech. Soukromá komunikace je v ČR chráněna Listinou základních práv a svobod a každé narušení tohoto práva, stanovené zákonem, se váží na lékárnických vahách. Dosud byly odposlechy ze strany policie či tajných služeb možné pouze s povolením soudu, na základě prokazatelného podezření, na omezenou dobu a za soudem stanovených podmínek. I tak jsou množství odposlechů i časté skandály s jejich úniky předmětem kritiky. Oproti tomu novela zákona o Vojenském zpravodajství je ohromně vágní a dává vojákům pravomoci téměř neomezené.
„Jako taková nepřinese žádný posun k aktuálním otázkám kybernetické ochrany, pouze rozvolní ústavou zaručenou ochranu veřejnými sítěmi přenášených informací a vytvoří nástroj jejich možného zneužití bez efektivní kontroly ze strany nezávislého orgánu,“ uvedla v nedávném prohlášení [2] Česká advokátní komora. „Operátoři tak již nebudou schopni zaručit plnou důvěrnost komunikace zákazníků. Ústavně garantovaná ochrana listovního tajemství tak bude jednoznačně porušena,“ doplňuje komora.
Zastánci zákona tvrdí, že sledování konkrétního člověka by musel coby „zpravodajský prostředek“ povolovat soud. Problém je v tom, že pokud budou „černé skříňky“ nainstalovány na linky, nikdo nezjistí, co všechno sledují. „Technicky budou schopny sledovat plošně všechen provoz,“ varuje Pavel Růžička. Zastánci novely si podle něj často protiřečí: „Na jedné straně říkají, že nebudou plošně odposlouchávat všechny, současně ale mluví o tom, že budou v komunikaci hledat konkrétní klíčová slova. Takové vyhledávání rozhodně nelze provádět jinak, než vstupem do komunikace samotné. Celá idea zákonem vynucováného pronikání státu prostřednictvím jím provozovaných síťových zařízení do sítí soukromých subjektů je naprosto zcestná a je zásadním ohrožením demokracie a ústavou zaručených svobod,“ upozorňuje Růžička.
Velká část naší internetové komunikace je šifrovaná – přístup k emailu, komunikace s bankami, firemní VPN přenášející obchodní tajemství, či přenos zdravotnické dokumentace. Právě šifrování může vytvářet falešný pocit bezpečí. Ve skutečnosti jsou k dispozici i technologie a postupy, které umožňují šifrování prolamovat. Pokud se nepodaří prolomit přímo použitou šifru samotnou, je možné použít útok typu Man-in-the-Middle (MitM), pro nějž jsou právě černé skříňky – umožní-li zákon jejich „aktivní“ podobu – ideální platformou. Vojenské zpravodajství by tedy tímto získalo legální možnost vstupovat a např. i pozměňovat obsah šifrované komunikace.
Nedostatečná kontrola
Závažný problém je, že nikdo efektivně nezkontroluje, co budou sondy vojenského zpravodajství skutečně dělat. „Návrh zákona tedy představuje obrovský prostor pro zneužití, u něhož je jen obtížně představitelné, že by ze strany Vojenského zpravodajství, mimochodem držitele anticeny pro Úředního slídila za rok 2013 za své angažmá v kauze Nagyová, nebyl využit k obcházení soudních povolení pro nasazování zpravodajské techniky či zjišťování informací o elektronických komunikacích,“ uvádí [3] Jan Vobořil z nevládní organizace Iuridicum Remedium, která se k iniciativě Přichází rozvědka připojila.
Nejhlasitější zastánce a zpravodaj novely, Bohuslav Chalupa (ANO), se snaží uklidňovat veřejnost „pětistupňovou kontrolou“. Jmenuje interní kontrolu VZ, ministra obrany pod kontrolou premiéra a Parlamentní komisi pro kontrolu Vojenského zpravodajství, které však sám předsedá. Těžko předpokládat, že rozvědka bude efektivně sama bránit svému zneužití. Ministr obrany, pod nějž vojenské zpravodajtsví spadá, je politik, aktuálně Martin Stropnický (ANO). A parlamentní komise nemůže vstupovat do živých kauz a pracuje pouze s informacemi, které jim zpravodajci sami předají.
Jistou nadějí by mohl být „druhý stupeň kontroly“, jak jej navrhuje novela zákona o zpravodajských službách, která však stále neprošla parlamentem. „Nový expertní kontrolní orgán, složený z důvěryhodných, bezpečnostně prověřených a veřejností respektovaných občanů, by měl mít pravomoc provádět hlubší kontrolu všech tří tajných služeb. Zásadním problémem může být, že tento ‚důvěryhodnější‘ orgán bude konat pouze na základě podnětu orgánů parlamentních, které se, z důvodů svých omezených pravomocí, o potřebě provést hlubší kontroly nemusí dozvědět a tedy v mnoha případech pravděpodobně ani nebudou potřebnou kontrolu iniciovat. Případné schválení novelizace fungování kontrolních orgánů tajných služeb je jistě zlepšením oproti současnému stavu, i přesto se ale lze oprávněně domnívat, že taková kontrola bude v mnoha případech nedostatečná,“ říká Pavel Růžička z platformy DBaS.
Hlavním prostředkem obrany proti zneužití by podle expertů měly být striktní limity, které vojákům dá sám zákon. V současném znění ale novela nijak nedefinuje, jak se bude se získanými daty nakládat, zda se budou moci ukládat, na jak dlouho a kdo k nim bude mít přístup. Nevylučuje ani například předání třetí straně. „Je třeba se na věc dívat ne z pohledu toho, co vojáci slibují, že budou či nebudou dělat, ale z pohledu toho, co jim zákon umožní,“ říká Pavel Růžička.
Obavy poskytovatelů internetu
Podle navrhovaného znění zákona tak můžou vojáci přijít za poskytovateli připojení a umístit na všechny odchozí linky do okolních sítí sondy, které budou schopny provoz nejen zachytávat a analyzovat, ale i modifikovat, tedy blokovat přístup k některým službám, či celým webům, v extrémním případě i např. podvrhávat důkazy na nepohodlné osoby. „Nepodezíráme vojáky z toho, že by to plánovali, ale zákon by tuto zneužitelnou pravomoc neměl dávat vůbec nikomu. Z takto vybudované sítě se může stát obdoba ruské státní šmírovací sítě SORM [4]. Pokud by novela prošla, byla by i tato extrémní varianta zcela legální,“ doplňuje Růžička.
„Tvrdí-li obhájci zákona, že jim půjde pouze o obecné informace o provozu, tzv. metadata, měl by to zákon stanovovat.“ Pro poskytovatele internetového připojení by to znamenalo ohromný rozdíl. Zařízení umístěné na odchozí linku, které bude mít neomezené “pravomoci“, je technicky něco úplně jiného, než pasivní odbočka internetového provozu a něco jiného je svod informací o metadatech (tzv. NetFlow). A právě novelou stanovená „aktivní“ role černých skříněk vzbuzuje v providerech obavy — černé skříňky mohou například nezamýšlenou chybou napáchat v jejich sítích zásadní škody a bezpečnost tuzemského internetu tak paradoxně ohrozí. “Jediná chyba v zabezpečení či nastavení systému tak může umožnit útočníkovi zaútočit na celou zemi. Navíc prvky pod cizí správou v síti operátora mohou narušit funkčnost a stabilitu sítě,“ uvedlo [5] minulý týden Sdružení pro internetový rozvoj (SPIR). Zákon nestanovuje rozvědce za případné chyby žádnou odpovědnost. Poskytovatelé internetu budou navíc vázáni mlčenlivostí a nebudou moci zákazníkům vysvětlit, proč k selhání sítě došlo. „Pro operátory neexistuje žádný opravný prostředek, popřípadě formalizovaná možnost přezkumu využívání těchto prostředků v síti operátora,“ uvedla již dříve [6] ICT Unie. Zákon navíc nevylučuje monitoring hlasových služeb a SMS — i to je vágnost, která je podle operátorů znepokojující.
„Novela si vyžaduje zásadní revizi, zásadní odbornou diskusi a zásadní změnu. Proto si myslíme, že poslanecká sněmovna by měla návrh odmítnout,“ říká Jan Vobořil, z nevládní organizace Iuridicum Remedium. Novela je podle něj i proto jedním z horkých favoritů na anticeny Velkého bratra, jež IuRe každoročně vyhlašuje. „O cenách bude dnes rozhodovat porota a budou vyhlášeny 16. 2.,“ doplňuje Vobořil.
Kontakt pro média:
Pavel Růžička, DBaS, info@dbas.cz
Štefan Šafár, DBaS, +420 739 773 111
petice: https://prichazi.rozvedka.cz
twitter: @dbascz a #orwelluv_zakon
odkazy v textu:
COLON:
Vojáci odmítají s odvoláním na utajení sdělovat, jak přesně budou technická opatření realizovat. XXX CITACE CHALUPA XXXX Techniky útoků jsou ale veřejně známy, stejně jako obrana vůči nim.
Liché argumenty Google Švýcarsko
Role tajných služeb “Jde o základní koncepční změnu v nastavení tajných služeb, kdy byla na začátku 90.let široká debata a zvítězilo pojetí jen informačních agentur. Nyní se bez diskuse a dost pokoutně snaží předkladatelé tuto koncepci zcela přeorat,” říká Jan Vobořil. “Návrh je jedním z horkých favoritů na získání Ceny Velkého bratra za rok 2016. O cenách bude v pondělí rozhodovat porota a budou vyhlášeny 16.2.,” říká Jan Vobořil
Stát k obraně, které jsou schopni ISP nic víc nepřidá.
Zákon podle inciativy bezpečnost spíš ohrozí. Do vizuální podoby našeho webu https://prichazi.rozvedka.cz jsme zakomponovali dohlížející oko počítače HAL 9000 jako příklad technologie, která se při plnění svého úkolu obrátila proti člověku.
Existuje rozpor mezi tvrzením VZ ohledně nemožnosti vyhovět požadavku precizace textu novely s odvoláním na nevyzrazování strategických informací o postupech VZ a tím, že VZ podalo mnohem citlivější informace médiím. (pozn.: Právo 13.12.2016) Existuje právní názor, že novela nereflektuje judikaturu Evropského Soudniho dvora ohledně direktivy o data retention. Existují oprávněné výtky (např. i ÚOOÚ) ohledně reflexe ochrany osobních údajů. Novelu lze logicky vykládat i tak, že budou existovat dva typy rozhraní od ISP: rozhraní pro připojení technických prostředků kybernetické obrany pro monitoring, které bude připojeno výhradně pasivně (neboť se jedná o monitoring) a rozhraní pro připojení technických prostředků kybernetické obrany pro vedení aktivního útoku, což ale bude vlastně standardním připojením (VZ bude de facto dalším standardním zákazníkem) s případnými dodatečnými úpravami vlastností tohoto připojení. Pokud je to i vnímání VZ, proč takové rozlišení není obsahem novely? Pokud není výše zmíněný výklad v předchozí otázce stejný jako výklad VZ, má potom VZ potřebu i aktivního přístupu k odposlouchávané lince? A z jakých důvodů? Není specifikována povinnost zavést technická opatření pro kontrolu, která jsou auditovatelná bez pochyb pro vznikající orgán nezávislé kontroly zpravodajských služeb. Ve firmách jsou takové nástroje využívané a pokud chce stát podporovat kybernetickou bezpečnost, pak je nasazení takových nástrojů nutné. V rámci "Akčního plánu k Národní strategii kybernetické bezpečnosti" si státní správa sama dala za úkol zpracovat postup pro přechod mezi vyhlášeným stavem kybernetického nebezpečí dle zákona o kybernetické bezpečnosti a stavy dle ústavního zákona č. 110/1998 Sb., o bezpečnosti ČR. V navrhované novele jakékoli vazby, které by opravňovaly VZ např. aktivně zasáhnout proti útočníkovi v případě jasně definovaných stavů kybernetického nebezpečí, naprosto chybí.
Orwellův zákon jde podruhé do sněmovny
Už zítra (10. 1. 2017) vstupuje do druhého čtení ve sněmovně novela zákona o Vojenském zpravodajství, jež by dovolovala vojákům instalovat k českým providerům “černé skříňky”.
Výzvu proti zákonu na webu https://prichazi.rozvedka.cz podepsalo zatím přes 800 lidí. Petici oznámili její organizátoři na posledním 33c3 v Hamburku. Iniciativě vadí zejména:
Web upozorňuje i na to, že ani šifrování nezajistí dostatečnou ochranu proti sledování, protože důležité informace lze získávat i z metadat.
Závažné výhrady k zákonu zveřejnili právníci sdružení Iuridicum Remedium, které pořádá ceny Velkého bratra, i Česká advokátní komora - obě organizace mluví o zásahu do ústavních svobod. Ostře se proti návrhu ohradil i Ondřej Filip, výkonný ředitel CZ.NIC. Z politiků zákon kritizovala zejména Pirátská strana, která však nemá zastoupení v parlamentu.
Ministr obrany Stropnický potřebu zákona obhajoval mimo jiné nedávným výpadkem Googlu. Google ale znovu potvrdil, že výpadek se stal chybou jejich vlastní konfigurace a ministerstvo obrany později Stropnického výrok samo bagatelizovalo. Předkladatel zákona Bohuslav Chalupa (ANO) i důvodová zpráva přirovnávají sondy k úsekovému měření rychlosti.
Zákon vadí i internetovým providerům, kteří se bojí, že jim Vojenské zpravodajství bude moci zasahovat do sítí a že nejsou definované konkrétní technické okolnosti: zejména to, jestli “černé skříňky” (“sondy”, řečí zákona “prostředky kybernetické obrany”) budou aktivní, či pasivní. A zda na ně budou muset směrovat pouze NetFlow nebo i celý provoz - zákon v tom nedává žádné hranice a vojáci tak budou moci legálně požadovat obojí.
NCKB je ovšem úřadem, který hackery „jen“ analyzuje a odhaluje, sám proti nim ani proti jejich útokům nemůže aktivně zasáhnout. Informace o odhalených hackerech předává policii, tajným službám, zahraničním partnerům. Pomáhá budovat elektronickou ochranu státních institucí, odhaluje systém práce hackerů, slabiny sítí. V okamžiku, kdy specialisté z centra potvrdili, že na tuzemskou státní infrastrukturu útočí hackeři – s největší pravděpodobností - ve službách cizího státu, nemohli se bránit klasickým vzkazem kolegům či policistům z dotyčné země. To už si experti z centra vyhodnotili jako znaky války. A věděli, že v Česku neexistuje žádný zákon, který by úřadům umožňoval zaútočit na cizí nepřátelskou Síť a bránit tak náš prostor. „Věděli jsme, že takový zákon musí vzniknout a že to budou moci dělat jedině vojáci prostřednictvím armádní tajné služby,“ říká Dušan Navrátil.
S nápadem začít stavět aktivní kybernetickou obranu přišli lidé z NBÚ - ještě před loňským summitem NATO, který vybaven zprávami tajných služeb Německa, Velké Británie nebo USA o pokusech i dotažených kybernetických operacích ruských tajných služeb proti státním institucím zemí aliance, zadal všem členským státům úkol vybudovat proti podobným operacím obranu. Služby by měly vybudovat systémy, které dokážou na dálku a pomocí malwarů, virů, červů a dalších kybernetických nástrojů napadnout technologické zázemí agresora a vyřadit jeho servery z provozu.
Loni napsalo ministerstvo obrany zákon, který umožňuje Vojenskému zpravodajství vést takovou válku. Zákon hladce prošel vládou, sněmovními výbory i prvním čtením v plénu, ale v půli ledna byl na žádost premiéra Sobotky ze sněmovny stažen. „Je nutné jej ještě prodiskutovat,“ vysvětlil premiér svůj krok a v tomto týdnu se nad návrhem sejdou představitelé všech parlamentních stran. Zákon totiž vzbuzuje i obavy a odpor.
Vojenské zpravodajství dostává podle něj právo nasadit do systému každého tuzemského provozovatele sítí sondy, či blackboxy, jak je nazývají kybernetičtí vývojáři. Tyhle skříňky budou schopny zaregistrovat a poslat do úložiště tajné služby online komunikaci každého uživatele internetu. Vojenští zpravodajci tedy budou vědět, komu jste psali maily, co jste si prohlíželi. Dle tvrzení obhájců zákona se budou sledovat jen metadata. Tedy tajná služba deklaruje, že bude registrovat třeba s kým si píšete maily, ale jejich obsah už ne. Že jste hledali vlakové spojení, ale už se nedozví kam. Nicméně skříňky budou technicky umět odchytit plně všechny informace i bez rozhodnutí vlády a potvrzení soudem, kterým by v případě rozhodnutí zpravodajců, že vaše komunikace je nebezpečím pro stát, měla mít její sledování posvěcené. V takovou chvíli bude moct Vojenské zpravodajství vysledovat skrze blackbox každé vaše klepnutí na klávesnici.
Blackbox bude tedy umět získat jakoukoli informaci, k tajné službě se však dostanou bez svolení vlády a soudu jen ta obecná - - říkají na uklidněnou stoupenci a autoři zákona. „Ale i ta o vás prozradí co děláte, kam chodíte, kde zrovna jste,“ reagují na to s nesouhlasem lidé sdružení pod iniciativou Přichází rozvědka, podle nichž nemá chystaný zákon daleko „k orwelovské kontrole každého občana“.
V iniciativě se spojili IT odborníci, kteří se zabývají bezpečností serverů a sítí. „Nevíme, co se bude dít s informacemi z blackboxů. Tajná služba si bude moci účelově a bez kontroly vybrat kohokoli a sledovat ho. Kdo zkontroluje, co dělá bez svolení soudu? Zotročí jeho počítač, bude manipulovat jeho data v počítači, může mu tam vložit kompromitující materiály,“ říká Pavel Růžička, hlavní tvář iniciativy a odborník v bezpečnosti kybernetických systémů.
Podle iniciativy se dají blackboxy umístit v síti na rozhraní (tzv. perimetr), která budou monitorovat jen kybernetický prostor, o něž by měl mít stát zájem a které by měl chránit, protože se jedná o důležité sítě pro chod státu. Státní instituce, úřady, strategické firmy, nemocnice, školy. „Stát by se měl vyhnout plošnému sledování “otevřeného internetu” a jeho prostřednictvím vstupování do našeho soukromí, obrana by měla spočívat především v opevňování. Shromažďování informací je vždy ohrožené možností zneužití a proto je lepší takové databáze informací vůbec nevytvářet. Samozřejmě, že dnes o sobě zveřejňujeme spoustu informací na internetu úplně běžně, např. na sociálních sítích. Tam ale máme možnost ovlivnit jaká data jsou o nás dostupná veřejně. V případě plošného sledování a případného prolamování komunikace toto právo jako občan ztrácíte.“ tvrdí mluvčí iniciativy Pavel Růžička.
Ministr obrany Martin Stropnický i šéf Vojenského zpravodajství Jan Beroun říkají, že plošné sbírání informací je vyloučeno. „Co bychom s nimi dělali? Nemáme ani tak velké úložiště. Obviňovat nás z plošného sbírání informací kvůli té technologii je to samé, jako kdyby někdo obviňoval policii, že její technika je schopná odposlouchávat všechny plošně. Taky nemá kapacity aby to dělala,“ říká šéf Vojenského zpravodajství Jan Beroun. “Nebezpečí navrhované novely je mmj v tom, že umožňuje i při relativně malém zajištění personálním a kapacitním sledovat prakticky všecko.”, rozporuje iniciativa. Ministr Stropnický odkazuje třeba na Velkou Británii, kde to, co chce Vojenské zpravodajství, zákon nejen umožňuje, ale provozovatelé sítí jsou třeba povinni v případě potřeby poskytnout klíč k čím dál tím rozšířenější šifrované komunikaci. “Argument, že to někde ve světě funguje obdobně, neznamená, že je to tak správně. Navíc český stát jako provozovatel všeobecně uznávané certifikační autority PostSignum by takto získal možnost vstupovat i do velkého množství šifrované komunikace.”, reaguje iniciativa. Na námitku, že Velká Británie ale nemá tajnou službu, která mimo předpisy i zákon sledovala na popud milenky premiéra bezúhonné občany, odpovídá ministr, že se služba změnila a že kontrola techniky bude zajištěna vládou, soudy, dvěma kontrolními komisemi a ministrem.
Čistě v kompetenci vlády pak bude rozkaz k likvidaci serverů, z nichž přichází atak ohrožující bezpečnost země. Třeba atak snažící se vyřadit kontrolu letového provozu. Skrze zmíněné skřínky se tajná služba dostane snadněji a rychleji k informacím o útoku i směru, odkud byl veden. A pokud by se zjistilo, že z nějaké čínské adresy přichází masívní útok na státní infrastrukturu, mohlo by Vojenské zpravodajství na příkaz vlády server zničit, bez ohledu na to, že ho může spravovat někdo, kdo byl využit jako technologický prostředník a o útoku skrz sebe nemá ponětí.
Text:
Vážený pane Fendrychu,
se smutkem jsem dočetla Váš komentář na serveru aktuálně.cz ohledně moderní války.
Většinou Vás ráda čtu a vážím si Vašich názorů, ale v případě tohoto článku, kde se zabýváte mým oborem činnosti - kterým je IT, telekomunikace a s tím spojená bezpečnost - bych Vás ráda upozornila na některé další skutečnosti.
Novelu zákona o vojenském zpravodajství, včetně vyjádření oficiálních míst, sleduji už delší dobu a děsí mě víc a víc. Ne proto, že bych byla zastánkyní naprosto otevřené společnosti a totální svobody jakýchkoli informací, ale proto, že ten zákon nedefinuje žádnou kyberobranu, ale sledování celého českého internetu bez jakýchkoli reálných pojistek.
Dovolím si to trochu rozvést:
Kyberobrana je o tom, že máte kritické sítě a systémy a na jejich hranici máte prostředky na jejich ochranu. Zároveň uvnitř nich sledujete podezřelé chování, pokusy o přihlášení a další věci. Zjednodušeně by to tak znamenalo, že třeba na ministerstvu zahraničí měli mít hromady auditních logů a dávno vidět, že se jim někdo hlásí jako administrátor mailového systému z nezvyklých míst a v nezvyklých časech. A hlavně nemít to rozhraní tak otevřené, aby to vůbec šlo udělat odjinud, než z pár přesně specifikovaných míst. K tomu přidejte i proaktivní obranu, kdy jako rozvědka sledujete běžnými prostředky různé komunikační kanály, diskuzní fóra a další… k čemuž nepotřebujete nic než počítač a trochu šikovnosti, žádné krabičky ve veřejné síti, přes které prochází celý provoz. V podstatě se chovat jako normální tajní agenti, jen v kybersvětě, místo plížení se skutečnými temnými uličkami za podezřelým.
To, co jsem popsala, není v novele vůbec nijak zakotveno a řečeno. Co tam je, mě děsí, protože vím přesně, jak funguje internet a telekomunikační sítě celkově - i jak jsou v současnosti realizovány odposlechy. Abych vysvětlila podstatný rozdíl: dnešní odposlechy jsou opravdu výběrové - nejen že to musí povolit soudce, ale musí být vyvinuto i určité úsilí, aby se technicky takový odposlech stal, musí se vytvořit pravidlo v síti operátora, aby se hlasový kanál duplikoval na dvě místa a tak dále. Nebo dokonce někam umístit fyzicky štěnici. Není to dnes zase tak složité, ale musí se provést nějaká technická akce a to až na povolení soudem. V případě novely zákona o vojenském zpravodajství by ale přes zařízení daná rozvědkou do veřejných soukromích sítí tekl veškerý provoz (z vašeho mobilu, tabletu, počítače… a velká část provozu na internetu je pořád ještě zcela nešifrovaná) - a ve chvíli, kdy by šli za soudcem, by už rozvědka ta data dávno měla, jen by procesně, tedy lidsky, předstírala, že neexistují. Což je z mého pohledu špatně. Navíc, to, co vypouští oficiální místa za vyjádření o “sledování znaků útoku v komunikaci” nebo o “čistém sledování metadat” jsou nesmysly. Útoky, na které se odkazují, někdy ani nebyly útoky, ale technické chyby (například výpadek Google v ČR). Proti velkým útokům zaměřeným na shození služeb vám to také nepomůže - za prvé to má řešit správce systému a sítě a za druhé, když takový útok začne, tak tomu žádné zjevné znaky nepředcházejí, nic jako seismické otřesy v hlubině a o pár hodin později tsunami. Celé je to zkrátka napsané jako bianco šek na sledování všeho… a bez reálného důvodu.
Abych to ještě lépe přiblížila - stav, který je kyberobranou, by měli být “vojáci” na stráži u kritických míst a “agenti v terénu”, co cíleně vyhledávají informace a podezřelé a infiltrují různé skupinky. Stav, který definuje novela, jsou domovní důvěrnice a agent v civilu v každé ulici a na každém náměstí, co poslouchají a donášejí a vytrhávají věci z kontextu. Takovou dobu jsem krátce sama zažila a nechci znovu.
Tento dopis píšu sama za sebe, ale zároveň jsem v kontaktu se sdružením DBaS a velice ráda bych Vám nabídla schůzku s někým z nás, kde bychom Vám mohli co nejvíc lidsky, i třeba na malých technických ukázkách, vysvětlit, proč je ta novela špatně a neměla by se přijmout. A zdůrazňuji, že plně souhlasím s tím, že kyberobrana je potřeba - ale ne v této nesmyslné podobě.
Krásný den, Zuzana Pechová Bezpečnostní administrátorka
1. Proč vznikla iniciativa Digitální bezpečnost a soukromí? Jaké jsou její cíle?
Pro lepší pochopení je asi vhodnější o DBaS mluvit jako o platformě, něčem co umožňuje spolupráci organizacím a jednotlivcům na společném tématu. Cílem je korigování diskuze v tématech kde je třeba bezpečnost skloubit s občanskými svobodami.
2. Spolupracuje platforma DBaS s výzvou Přichází rozvědka?
Výzva Přichází rozvědka je prvním takovým aktuálním tématem a byla zároveň impulsem ke vzniku platformy DBaS.
3. Prosím vysvětlete laicky našim čtenářům, proč máte výhrady k novele zákona o Vojenském zpravodajství.
Nejnebezpečnějším bodem novely je především, že by umožnila Vojenskému zpravodajství do sítě téměř libovolného provozovatele síťě umístit odposlouchávací zařízení, které by získalo přístup ke všemu co takovou sítí prochází. Provozovatel kromě povinnosti tajné službě vyhovět by měl i povinnost o umístění takové obrovské štěnice mlčet. Je to podobné jako by vám někdo trvale koukal přes rameno co děláte na počítači, tabletu, telefonu, odposlouchával záznamy o tom kde se pohybujete, dohlížel co si o vás píší jiní lidé apod. Jen je to méně vidět a jedna taková krabička umožní sledovat ohromné množství lidí najednou.
4. Únorové zasedání výboru pro bezpečnost novelu údajně “posunulo správným směrem”. Prosím můžete vysvětlit čtenářům, které změny výbor udělal. viz - http://blog.nic.cz/2017/02/08/posun-spravnym-smerem/
Parlamentní výbory měly snahu, poté co jsme spolu s dalšíma organizacema kolem navrhované novely vyvolali trochu rozruchu, zapracovat některé připomínky. Jedna z připomínek se právě týká otázky jak hluboko do komunikace mají výše zmíněné krabičky vidět. Vojenské zpravodajství se sice do médií snaží uklidňovat veřejnost tvrzením, že obsah komunikace je nezajímá, avšak napsat to explicitně do zákona se jim příliš nechce, což samo o sobě nebudí příliš důvěru. Nemluvě o tom, že tu možnost sledovat obsah už teď mají, jen k tomu potřebují soudní povolení. Krabičky umístěné u poskytovatelů připojení by jim umožnili tyhle omezení obejít. Tvrzení, že to dělat nebudou, ačkoli ta data budou mít na dosah, je podobně absurdní jako tvrzení Ministerstva financí, že rodné číslo vytištěné na faktuře nelze zneužít, protože to přece zákon zakazuje. Další snahou parlamentních výborů je zapracovat nějakou formu kontroly tajných služeb. Bohužel se ukazuje, že tajné služby jsou efektivně nekontrolovatelné.
5. Jsou podobná opatření, o kterých mluví novela, už někde v zahraničí?
Otázka je o opatřeních jakého druhu se bavíme. Snahy o masivní sledování komunikací se objevují v jednotlivých státech různě po celém světě. Prakticky ale není prokázané, že by to mělo nějaký smysl preventivní a navíc je to tzv zpravodajská činnost. Ministerstvo obrany tu ale má řešit obranu a zřejmě samo neví jak to má dělat. Jednotlivé státy se pod záminkou budování obrany snaží uchvátit část kyberprostoru pod svou kontrolu. To naráží na definici kyberprostoru jako jednotného svobodného prostoru. Už z minulosti známe případy kdy masivní sledování obyvatel v reálném světě bylo nástrojem udržujícím ve státě totalitní zřízení. V kyberprostoru, pokud jim to bude dovoleno, toto pak lze v ještě větší míře a do mnohem větší hloubky.