příprava zákona o kybernetické bezpečnosti

[Ivo.Vasicek]

Vzhledem k tomu, že jsem představitelem ČIMIB (Český institut informační bezpečnosti) informuji, že jsme byli požádáni o připomínkování připravovaného znění zákona. http://www.nbu.cz/cs/aktuality/808-vecn ... a-vladou-/
V ČIMIB máme 2 lidi, kteří se na formulaci přímo podílejí. Informovali mne, že Piráti záměr zákona připomínkovali, ale nezúčastnili se jednání (údajně Piráti nereagovali na pozvání).
Nevím jaká je příležitost pro Piráty nyní (zřejmě by bylo vhodné toto ověřit, ale není vhodné, abych to řešil já, protože jsem již k připomínkování vyzván jako ČIMIB). Pokud by byl problém mohu to v rámci možností (názory lidí z ČIMIB)
Draft mi z NBU pošlou zítra, takže přepošlu. Optimální by však bylo přímé zapojení Pirátů jako účastníka.
Pozn.: členové ČIMIB jsou bezpečnostní IT specialisti z bank, finančních institucí, různých firem, ale i z NBÚ, CIRC, MO, MV

[Devilkin]

Vzhledem k tomu, že jsem představitelem ČIMIB (Český institut informační bezpečnosti) informuji, že jsme byli požádáni o připomínkování připravovaného znění zákona. http://www.nbu.cz/cs/aktuality/808-vecn ... a-vladou-/
V ČIMIB máme 2 lidi, kteří se na formulaci přímo podílejí. Informovali mne, že Piráti záměr zákona připomínkovali, ale nezúčastnili se jednání (údajně Piráti nereagovali na pozvání).
Nevím jaká je příležitost pro Piráty nyní (zřejmě by bylo vhodné toto ověřit, ale není vhodné, abych to řešil já, protože jsem již k připomínkování vyzván jako ČIMIB). Pokud by byl problém mohu to v rámci možností (názory lidí z ČIMIB)
Draft mi z NBU pošlou zítra, takže přepošlu. Optimální by však bylo přímé zapojení Pirátů jako účastníka.
Pozn.: členové ČIMIB jsou bezpečnostní IT specialisti z bank, finančních institucí, různých firem, ale i z NBÚ, CIRC, MO, MV

Docela mě zarazila ta poznámka o tom, že jsme byli pozvaní, ale nikdo nereagoval. Dalo by se to nějak upřesnit?

Dá se tedy zjistit, kdo všechno se na připomínkování toho nesmyslu (a fakt se to jinak nazvat nedá) podílel? Byl tam alespoň pan Koubský nebo někdo, kdo si stejně jako my uvědomuje nedostatky tohoto dokumentu?

Jinak jsme se tomu myslím věnovali celkem podrobně (byť to možná nakonec vyznělo zbytečně konfrontačně)
http://www.pirati.cz/kci/cons/cybs

a stejně nám ani nedali vědět, že ten návrh beze změn jednohlasně prošel. Osobně už ani nevím, jestli má cenu k tomu něco říkat. Stejně si to udělají jak chtějí a vláda jim to odkýve .

[Devilkin]

Jak to tedy vypadá? Ne že by mě ten draft až tak moc zajímal, ale přecejen bych si ho přečet. Je sice jasné, že podle špatnáho záměru nemůže vzniknout nic jiného než špatný zákon, ale i tak .

A ještě bych se rád vrátil k tomu pozvání. Opravdu by mě zajímalo, jak se může ztratit pozvání. Kam to posílali? Třaba se s tím ještě dalo tehdy něco dělat .

[Ivo.Vasicek]

Zatím nám místo draftu poslali schválený záměr. Informaci o naší neúčasti mám nepřímou, zprostředkovanou (říkali to našim zástupcům z ČIMIB).

[Ivo.Vasicek]

v příloze je text návrhu, který nám byl předložen (ČIMIBU)

Návrh zákona o kybernetické bezpečnosti 16.1.2013.docx

(49.87 KiB) Staženo 95 x

[Vilem.Marsik]

Včera (tedy 22.1. odpoledne) jsem se zúčastnil schůzky, a vzal s sebou Michala Poláka, kterého se jako ISP zákon přímo týká.

Setkání se týkalo zmíněného návrhu zákona, tedy už ne věcného záměru. Nejprve zhruba hodinová prezentace se slajdy, o čem ten zákon vlastně má být (ani předkladatelé zdá se nepředpokládají, že by ho odborná veřejnost pochopila z toho jak je napsaný), pak zhruba půlhodinové povídání o kybernetické bezpečnosti (v zásadě vyjmenovával co do oblasti patří), nakonec také zhruba půlhodinové dotazy a připomínkování.

Předkladatele musím pochválit; podobnou zpětnou vazbu jako od nás dostali zdá se i od ostatních, mezi odbornou veřejností jsou lidé z NIC.CZ, akademických i komerčních sítí, a oproti věcnému záměru se mnoho věcí zlepšilo. Místo ignorování stávajícího CERTU a vytváření tří nových podepsali s tím stávajícím smlouvu na 3 roky, zakládají jediný vládní, a dokonce se už i jmenují správně (vládní a národní). Ty co neprovozují vládní ani kritickou infrastrukturu se snaží regulovat co nejméně. Zmizely i některé další nesmysly.

Návrh počítá s tím, že vládní CERT bude regulovat pouze státní a kritickou infrastrukturu, tu soukromou jen v případě vyhlášeného kybernetického nebezpečí, jinak jim bude pouze vydávat nezávazná doporučení. Co přesně je kritická infrastruktura ovšem v zákoně přímo není, určí se to vyhláškou; pokud budeme věřit prezentaci, tak se jedná o zařízení, jejichž výpadek může způsobit smrt nějakých 250 lidí, hospitalizaci 2500, nebo vážné dopady pro 125000. Na můj dotaz, zda sem patří např. firma nabízející dialup pro Brno-venkov nebo serverhousing pro Seznam.cz jsem dostal odpověď že ne, že počet uživatelů není jediným kritériem. NBÚ sem uvažuje přidat několik hlavních páteřních sítí, podle přednášky toho ale snad bude většina normálních ISP ušetřena. Kritické infrastruktury se týká naprostá většina regulací, pro ně platí závazná nařízení, budou je nutit mít certifikace ISO 27001, a musejí hlásit incidenty. Incidenty se nebudou hlásit všechny, NBÚ už asi někdo vysvětlil že nechtějí vědět o každém slovníkovém útoku proti SSH, zatím ale nevědí přesně co chtějí, plánují to dát do vyhlášky. Každopádně pokud nepatříte mezi kritickou infrastrukturu, budou po vás chtít pouze kontaktní údaje, a můžete doufat, že nenastane stav kybernetického nebezpečí; jedině v tom případě by vám vládní CERT mohl ukládat povinnost zavést nějaká opatření.

Stav kybernetického nebezpečí musí schválit vláda, a po každých 7 dnech prodloužit. Nelze ho vyhlásit, pokud nebezpečí vyřeší to co vládní CERT může nařídit za normálního režimu, což by mělo fungovat jako určitá pojistka proti bezdůvodným a opakovaným vyhlašováním a přehnané buzeraci všech.

Podal jsem připomínku, že opatření nejsou nikde upřesněna, že vládní CERT může nařizovat cokoliv, čím může poškodit provozovatele i jeho zákazníky, například odpojení celých segmentů sítě. Také se proti těmto nařízením nelze účinně bránit, a v případě nesplnění hrozí označení za správní delikt a pokuta. Zákon tyto konflikty neřeší, odpovědnost za takové postupy a náhrada škody není nikde popsána, jednání o náhradě škod mohou být obtížná a zdlouhavá.

Navrhovatel odpověděl, že pokud umíme tato nápravná opatření upřesnit, máme to poslat do připomínek mailem. Problém zodpovědnosti za excesy a svévoli státního aparátu je obecný a má být dostatečně vyřešen například judikáty Ústavního soudu (osobně dost pochybuji že je vyřešen dostatečně, ale souhlasím, že se týká celé státní správy, a ne speciálně tohoto zákona).

Připomínky se mají poslat mailem do 14 dnů, takže bychom je měli dát dohromady zhruba do pátku 1.2., ať máme trochu rezervu. Napište v čem vidíte problémy, a hlavně bych potřeboval pomoct s formulací, jaká závazné opatření má mít vládní CERT pravomoc nařizovat.

[Vaclav.Malek]

Na ty vyhlášky taky pozor... aby si tam pak nenarvali všechno možné...

[Vojtech.Pikal]

No, tomuhle moc nerozumím. Je někde k dispozici text návrhu?
Jinak by určitě pomohlo, kdyby rozsah oněch vyhlášek byl již v zákoně rámcově vymezen.

[Ivo.Vasicek]

No, tomuhle moc nerozumím. Je někde k dispozici text návrhu?
Jinak by určitě pomohlo, kdyby rozsah oněch vyhlášek byl již v zákoně rámcově vymezen.

text jsem dal o tři příspěvky dříve.

[Michal Wagner]

Netýká se to nějak tohothle?
internet-f557/http-www-senat-cz-xqw-xer ... 15441.html