Novela zákona umožní vojenským zpravodajům šmírovat internet

V tichosti a bez pozornosti veřejnosti schválila vláda novelu zákona č. 289/2005 Sb., o Vojenském zpravodajství. V jeho rámci má tato tajná služba získat nové pravomoci v oblasti kybernetické obrany České republiky. která umožní vojenským zpravodajům nasadit do uzlových bodů internetu „nástroje detekce“ - černé skříňky, o kterých nebude moc jasné, jak moc a co všechno budou sledovat, jisté je jen to, že budou nějak monitorovat internetový provoz. Zprávu o tom přinesl webzine zive.cz, ze kterého budu dále více citovat, protože se jedná o solidně zpracovanou informaci.

Důvodem požadavků zpravodajů je údajně „cílená detekce jevů nasvědčující o kybernetickém útoku nebo hrozby ze zahraničí“. Kromě detekce ale zpravodajci také chtějí mít možnost reagovat protiakcí, přičemž zřejmě mohou zvolit metodu podle vlastního uvážení.

Co se monitorování provozu týče, budou černé skříňky sbírat jen tzv. metadata. To jsou data o datech: kdo, komu, kdy a jak moc. Údajně nebude zpracováván obsah samotných zpráv. Údajně. Návrh zákona vysloveně píše, že „Nástroje detekce nesmí být využito pro provádění odposlechů a záznamu nebo zpráv podle zákona o elektronických komunikacích.“ Ale jak si to ověříme, jaká je kontrola, že k tomu nedojde, o tom zákon mlčí. Je to pro Velkého bratra mocné lákadlo – mít celý obsah komunikace pod palcem a číst jen titulek a od koho komu.

Co se bude dít, pokud zpravodajci vyhodnotí, že útok nastal? To řeší § 16e – „ Vojenské zpravodajství v případě zjištěného útoku nebo hrozby směřující proti důležitým zájmům státu provede za podmínek stanovených tímto zákonem aktivní zásah k jejich neprodlenému odvrácení, hrozí-li nebezpečí z prodlení.“ Není nijak specifikováno, jak a čím bude tento zásah realizován; zda přes zařízení pro detekci, nebo nějakým jiným (a případně jakým) způsobem.

Tohle je docela problém. Jaké mohou být druhy útoků? V podstatě dvojího (trojího) typu.

Prní forma útoku: Útok sítí nakažených počítačů (tzv. botnetů), které zahltí cílový server takovým počtem zbytečných požadavků, že klekne. Jde o DDOS attack - Denial of Service Attack a jeho odvozeniny). U tohoto typu útoku bývá těžko najít řídící server. Ale řekněme se, že se to podařilo. Co udělá český stát? Pronajme si jiný botnet a provede cílový útok na řídící server? K tomu ovšem nepotřebuje černé skříňky, "nástroj detekce", jak to v zákoně nazývá. DDOS pozná i úplný idiot prostě tím, že služba přestane fungovat.

Druhá forma útoku může být nabourání se do systému a ukradení dat. Útočník je obvykle velmi dobře skrytý za hradbou různých falešných IP adres a v podstatě existuje malá šance na jeho vypátrání. Znovu se ptám, k čemu "nástroje detekce"? To, že se mi někdo naboural do systému, nemusím vůbec zjistit a pokud to už zjistím, patrně nezjistím, kdo. Obranou je mít pravidelně zaplatovaný systém, dobrá hesla a vyškolený personal, aby neodpovídal na falešné maily (tzv. sociální phishing) a neotevíral neznámé přílohy. Žádné "nástroje detekce" mi tady nepomohou.

Jaká bude protiakce, o které se v zákonu hovoří, v případě odhaleného nabourání se do systému? Nabourají se tajné služby také k údajnému původci útoku?

Existuje ještě třetí forma útoku. Ta nejnebezpečnější. Zažili to Íránci, kterým tajné služby USA a Izraele podstrčili vysoce profesionální virus Stuxnet, cílíci na software jaderných elektráren, které se pokoušel ohromit a vyvolat apokalyptickou katastrofu. I v tomto případě žádné "nástroje detekce" nepomohou, Stuxnet se zřejmě šířil přes nakažené USB klíčenky, teprve později vznikla i síťová varianta.

Co "nástroje detekce" opravdu mohou odhalit? Komunikaci a (nelegální) sdílení souborů formou P2P (Person to Person), stahování souborů, návštěvy pornoserverů včetně detailních informací o tom, kdo se dívá na co, mailovou komunikaci včetně obsahu a vůbec veškeré běžné aktivity a zájmy obyčejných lidí.

Jinými slovy, považuji novelu zákona a tajné instalování černých skříněk do klíčových bodů internetu za jasnou snahu Velkého bratra šmírovat, šmírovat a šmírovat. Nemá to nic společného s bezpečností a obranou státu.

O provedeném zásahu pak zpravodajci informují vládu, náčelníka Generálního štábu Armády České republiky, ředitele Národního úřadu pro kybernetickou a informační bezpečnost a ostatní zpravodajské služby.

Zásah proti útoku či hrozbě může, je-li to nezbytně nutné, také zasáhnout do základních práv a svobod fyzických osob. V případě, že tím dojde k nějaké škodě nebo nemajetkové újmě, má dotyčná osoba nebo subjekt právo na její náhradu.

Dále je stanoveno, že ten, do jehož sítě bude zařízení instalováno, nemá právo do něj jakýmkoliv způsobem zasahovat a také musí mlčet o tom, že takové zařízení v jeho síti existuje a sbírá data. Za ukecanost je navržena pálka pět milionů korun.

Pokud by poskytovatel internetových služeb odmítl zařízení nainstalovat, hrozí mu pokuta 50 milionů korun nebo 10 % čistého obratu.

Nejsem si jistý, na kolik je protlačení podobného šmírovacího zákona právě v této době jen koincidence se současnou situací kolem koronaviru, kdy se mohutně omezují svobody jednotlivců a ti volají ještě po větším omezení a na kolik je to zlý úmysl a využití příležitosti. Ale na náhody moc nevěřím. V každém případě je faktem, že tento důležitý zásah do soukromí člověka je médií zcela marginalizován. Rozhodně by se o tom mělo mluvit a psát.