Novela zákona o Vojenském zpravodajství

[next_ghost]

Takže tady je můj návrh článku. Prosím o připomínky, zvlášť pokud vám něco připadá nejasné nebo nesrozumitelné. Psavkyně z toho už můžou začít sepisovat stanovisko, večer to hodím na PL a zítra se to může vydat.

Zákon o Vojenském zpravodajství – výplod digitální negramotnosti

Poslanecká sněmovna aktuálně projednává novelu zákona o Vojenském zpravodajství, která vojenské rozvědce nově uděluje pravomoci v oblasti kybernetické obrany ČR. Z návrhu je ale zřejmé, že Ministerstvo obrany vůbec netuší, co si pod pojmem „kybernetická obrana“ vůbec představit.

Piráti již před časem kritizovali starší verzi této novely jakožto další zásah do soukromí bezúhonných občanů. Vláda sice tuto kritiku vyslyšela a doplnila chybějící povinnost získat soudní povolení pro nasazení odposlechu síťového provozu, ale zároveň značně rozšířila pravomoci rozvědky bez doplnění adekvátních právních pojistek. Aktuální verze novely je tedy ještě horší než předtím a vážně ohrožuje bezpečnost českého Internetu, kterou má tento zákon naopak chránit.

Jádrem novely je trojice nových paragrafů, které Vojenskému zpravodajství dávají pravomoc využívat blíže nespecifikované „technické prostředky kybernetické obrany“ a „související postupy a opatření.“ Do takto vágní formulace se dá napasovat v podstatě libovolná internetová aktivita včetně hackerského útoku na cizí sítě a počítačové systémy. Ministerstvo obrany ale podle formulace legislativních změn i důvodové zprávy zjevně žije v domnění, že tyto „technické prostředky“ budou jen digitálním ekvivalentem hloupého analogového záznamníku pro odposlech telefonních hovorů. To je zásadní omyl. Jaké jsou tedy základní typy činností, které bude moci rozvědka podle novely nově provádět?

1. Odposlech a pozměňování síťového provozu
2. Krádež dat z cizího počítačového systému
3. Pozměnění, vymazání nebo jiné znehodnocení dat v cizím počítačovém systému
4. Vyřazení cizích počítačových systémů nebo sítí z provozu
5. Převzetí úplné kontroly nad cizím počítačovým systémem nebo sítí

Tohle jsou nejběžnější druhy počítačových útoků. Z těchto pěti možností bude pouze ta první vyžadovat povolení soudu, zatímco všechny ostatní druhy útoků bude schvalovat jen sama vláda, a to formou obecného předpisu, ne jednotlivě. Zajímavá je také formulace ve třetím odstavci § 16a, že povolení soudu je nutné pouze v případě, kdy cílem odposlechu síťového provozu je konkrétní osoba. Plošný odposlech tisíců lidí současně tedy zřejmě bude legální i bez soudního povolení.

Jednou z nejnebezpečnějších částí novely je také § 16c (a související § 98a přidaný do zákona o elektronických komunikacích), který rozvědce umožňuje tajně připojit své „technické prostředky“ přímo do vnitřních sítí provozovatelů klíčové internetové infrastruktury. Na první pohled je to lehce přeformulovaná kopie části § 9 již platného zákona, který upravuje připojení zařízení pro odposlech telefonních hovorů. Vzhledem k propastným technickým rozdílům mezi telefonními a počítačovými sítěmi ale přímé připojení armádních zařízení tímto způsobem jednak představuje vážné riziko pro bezpečnost internetové infrastruktury, a hlavně to vůbec není potřeba. Pro potřeby rozvědky bude bohatě stačit, když provozovatelé síťové infrastruktury budou mít povinnost jen na požádání sbírat některé statistické údaje sami, případně přesměrovat předem určenou síťovou komunikaci do oddělené sítě spravované Armádou ČR. Pokud nerozumíte rozdílu mezi přímým připojením cizího zařízení do vnitřní počítačové sítě soukromé firmy a přesměrováním provozu do oddělené sítě, nechte si to podrobně vysvětlit od odborníka. V tomto článku na to bohužel není prostor. Pro úplnost pouze doplním, že v případě odposlechu obyčejných telefonních hovorů v tom žádný podstatný rozdíl není.

V neposlední řadě pak novela neřeší ani odpovědnost za vedlejší škody, kterou by rozhodně řešit měla. Jak již bylo řečeno výše, kybernetická obrana nesestává pouze z pasivního sběru informací, ale také z útoků na cizí počítačové systémy. Takové útoky mohou v některých případech způsobit škody na majetku nevinných osob, a dokonce i ztráty na životech, byť třeba z nedbalosti. Zákon by měl jasně vymezit hranice, které kybernetická obrana nesmí překročit, a kdo ponese zodpovědnost za způsobené vedlejší škody.

Rozvědka také nevyhnutelně bude muset útočit na sítě a počítačové systémy nezúčastněných třetích stran, například v zájmu překonání obrany nepřítele a utajení vlastní totožnosti, nebo protože nepřítel tyto systémy podobným způsobem napadl a zneužil k útoku proti ČR jako první. Zákon by proto měl určit zvláštní pravidla pro zacházení se systémy, které vlastní nebo provozují nezúčastněné osoby. Rozvědka by měla co nejvíce omezit negativní dopady na běžný provoz takových systémů, po skončení operace by měla ze systému odstranit veškerý škodlivý kód (svůj i nepřítele) a hlavně informovat provozovatele systému, že jeho zabezpečení bylo prolomeno.

Tato novela zákona tedy ve stávající podobě nadělá více škody než užitku a je třeba ji od základu přepracovat v úzké spolupráci s odbornou veřejností. Jednotka hackerů je rozhodně důležitou součástí státní kybernetické obrany, ale vláda by si od ní neměla slibovat zázraky. V praxi mohou státní hackeři zabránit jen velmi malému počtu útoků, takže jejich hlavní obrannou činností bude odhalování totožnosti pachatelů až poté, co útok již proběhl. Pro odvrácení útoku jsou mnohem důležitější pasivní obranné metody, tedy důsledné zabudování bezpečnostních opatření do státní počítačové infrastruktury, pravidelné opravování bezpečnostních chyb a bezpečnostní školení státních zaměstnanců i členů vlády. Ale to už je námět pro úplně jiný zákon.

Původně jsem to chtěl nazvat "Novela zákona o Vojenském zpravodajství je ukázkou digitální negramotnosti vlády", ale limit na délku titulku na PL je 64 znaků a tohle se tam nevejde.

[torrespondent]

několik poznámek po prolétnutí novely
1) Vypadá to jako pokus o naroubování loni přijatého franc. zákona o zpravodajství.
2) Rozšíření působnosti vojenské rozvědky a kontrarozvědky do _civilu_ by nemohlo nikoho soudného napadnout. Potřebuje Babiš svoji vlastní StB před volbami? (zákon má platit od června)
3) Vláda, resp. ministr obrany, bude moci vést legálně válku veřejnou infrastrukturou schovávaje se za nic netušící občany, firmy, instituce, atd, vystavujíc je odvetě, ať už bude jakákoliv. Tohle je zákon o lidských štítech pro potřeby demokraticky zvolené vlády.
4) Budou sdílet pole působení s BIS, což jistě povede ke konfliktům a nebezpečným hrám.
5) Vágnost formulací nelze v tomto zákoně vykládat jako omyl.

[next_ghost]

Pokud nikdo nemá připomínky, hodil jsem to na Pirátské listy. Přidejte obrázek a můžete to vydat.

2) Rozšíření působnosti vojenské rozvědky a kontrarozvědky do _civilu_ by nemohlo nikoho soudného napadnout. Potřebuje Babiš svoji vlastní StB před volbami? (zákon má platit od června)

Tohle není rozšíření působnosti do civilu, ale na vojenské operace v digitálním prostředí. V principu je to potřeba, protože civilní rozvědka nemůže provádět útočné operace.

3) Vláda, resp. ministr obrany, bude moci vést legálně válku veřejnou infrastrukturou schovávaje se za nic netušící občany, firmy, instituce, atd, vystavujíc je odvetě, ať už bude jakákoliv. Tohle je zákon o lidských štítech pro potřeby demokraticky zvolené vlády.

To je jeden z hlavních průserů. Druhý největší průser je, že nebude spoleh na bezpečnost české síťové infrastruktury, protože rozvědka ji bude moct kdykoliv hacknout sama, zevnitř, pro vlastní potřeby.

4) Budou sdílet pole působení s BIS, což jistě povede ke konfliktům a nebezpečným hrám.

Pokud se ten zákon rozumně předělá, tak ten překryv bude zanedbatelný. BIS bude řešit zebezpečení národní infrastruktury, Vojenské zpravodajství bude provádět útočné operace. BIS narozdíl od Vojenské rozvědky nemá oprávnění provádět akce v zahraničí.

5) Vágnost formulací nelze v tomto zákoně vykládat jako omyl.

Přečti si důvodovou zprávu. Autor té novely prostě netuší, co plácá za nesmysly.

[Ivan.Bartos]

Šlo by prosím z článku vyrtáhnout i stanovisko pro tisk. Zkusím zakomponovat MO.

[torrespondent]

Tohle není rozšíření působnosti do civilu,..

Jistě že je. V důvodové zprávě, té, kterou mi doporučuješ k přečtení, stojí: "Dopad na podnikatelské subjekty v působnosti zákona o elektronických komunikacích bude spočívat v jejich povinnosti strpět nasazení technických prostředků kybernetické obrany v jimi provozované infrastruktuře."

BIS bude řešit zebezpečení národní infrastruktury, Vojenské zpravodajství bude provádět útočné operace.

O této kombinaci kompetencí žádná z variant nehovoří. Ale jistě ji můžeš ministrovi obrany navrhnout, když do IT bezpečnosti tak dobře vidíš, jelikož jak koukám, už jsi přestal používat krátké pgp key-id, což je pokrok.

[Jakub]

Martin Stropnický ‏@stropnickym
1/2 Podstatou kybernetické obrany není kontrolovat e-maily nebo SMS, ale monitorovat a signalizovat negativní jevy v kybernetickém prostoru.
2/2 Neopravňuje VZ sledovat obsah komunikace konkrétních osob. Pokud by to bylo v případě hrozby třeba, bude VŽDY nutné povolení soudu.

https://twitter.com/stropnickym/status/ ... 9173179392

[Robert.Magni]

Martin Stropnický ‏@stropnickym
1/2 Podstatou kybernetické obrany není kontrolovat e-maily nebo SMS, ale monitorovat a signalizovat negativní jevy v kybernetickém prostoru.
2/2 Neopravňuje VZ sledovat obsah komunikace konkrétních osob. Pokud by to bylo v případě hrozby třeba, bude VŽDY nutné povolení soudu.

https://twitter.com/stropnickym/status/ ... 9173179392

Pokud je něco možné,tak se to dělat bude.Povolení soudu je v ČR k smíchu.

[Frantisek.Kopriva]

Na dnešním semináři výboru pro obranu PSP ředitel Vojenského zpravodajství deklaroval záměr předložit opět tuto novelu, která v minulém volebním období spadla pod stůl.

Alex Mansurov vytvořil shrnutí našich dosavadních připomínek, které jsme s Honzou Lipavským na semináři prezentovali. Budu iniciovat schůzku pracovní skupiny se spřízněnými organizacemi, abychom byli na příští kolo pořádně připravení.

Kdo byste se chtěli zapojit, neváhejte mi napsat.

[Frantisek.Kopriva]

Svoláváme koordinační schůzku Pirátů s odbornou veřejností. Kdo máte zájem dorazit, neváhejte se zapsat na Doodlu (při vyhodnocování termínu bude ovšem prioritou nikoliv počet lidí, ale účast již dříve spolupracujících expertů).

Máme potvrzeno, že návrh novely je momentálně v meziresortním připomínkovém řízení, což znamená, že do sněmovny může jít tisk za několik měsíců, ale třeba už také za několik týdnů. Brace yourself!

[Frantisek.Kopriva]

Zdravím všechny,

zveme vás na schůzku expertní skupiny Pirátů k novele vojenského zpravodajství v pátek 20. 4. od 15:00 do Poslanecké sněmovny.

Projděte si prosím přiložené materiály. Na schůzce bychom si měli vyjasnit:

1. Pozitivní body.
2. Problematické body.
3. Problémy, které existují, a návrh je neřeší.
4. Pro ty, kteří četli původní návrh už v minulém volebním období - liší se nějak ta nová verze?
5. Připravit argumentář, se kterým půjdeme jednat s ostatními stranami.

Naši poslanci František Kopřiva a Jan Lipavský už sondují postoje u ostatních stran. Až bude návrh schválený na vládě, sešli bychom se znovu ke konkrétním pozměňovacím návrhům, které sami nebo ve spolupráci s dalšími stranami předložíme.

Velmi bychom ocenili, kdyby byl na pátek připraven co nejlepší brífink poslanců, aby problematice porozuměli co nejlépe a mohli změnu vyargumentovat před klubem i sněmovnou.

V pátek prosím přijďte na recepci Poslanecké Sněmovny a zavolejte na 728 113 966.

Naše teze:

• všechny ostatní zpravodajské služby musí mít povolení předsedy senátu vrchního soudu (i necílené zpravodajské prostředky) → je nepřijatelné, aby to schvalovala vláda
• už jen IP adresa z monitoringu se bude dát vysledovat, o koho jde (např. vysledování mailu)
• analýzy big data jsou sami o sobě problematické
• bylo by možná lepší si nastavit rychlý schvalovací proces: rozvědka → soud, to může být rychlejší než schvalování vládou
• archivace dat je problematická – později můžou jít data rozšifrovat, protože vzroste výpočetní výkon

Teze předkladatelů ze semináře, který proběhl nedávno na výboru pro obranu:

• soudci jim prý neschvalují celý záměr (chtějí příliš konkrétní specifikaci)
• kontrola zpravodajství má podle předkladatelů vypadat takto:
  - ministr navrhuje plán kyberobrany + rozhodnutí o umístění technických prostředků → vláda schvaluje
  - sněmovní komise pro kontrolu vojenského zpravodajství může do dokumentů nahlížet
  má vzniknout expertní orgán nezávislé kontroly, ale podléhá ministrovi
  - tvrdí, že veškerý postup půjde zpětně auditovat
• momentálně se nábor lidí daří díky navýšení platů, ale nejsme schopní být zajímavým zaměstnavatelem dlouhodobě
• problém školství: VŠ nabízí spíše manažerské obory než ryze technické
• studenti vycházejí ze středních škol hůře připravení než dřív
  - chceme do osnov dostat kyberbezpečnost
• dotaz na technické prostředky:
  - nepůjde o živé svazky, tam se sledovací prostředky používat prý nebudou, takže prý nemají problém poskytovat komisi pro dohled materiály
  - s velkými operátory to prý konzultují, nechají je vyzkoušet si ty černé skříňky
• máme tu asymetrii při kontrole: na jednu stranu se kritizuje, že k materiálům mají přístup lidé bez prověrek, na druhou stranu se chce širší kontrola

Seznam příloh:

• Balíček návrhu novely (relevantní je návrh samotný)
• Prezentace ředitele Vojenského zpravodajství Jana Berouna ze semináře
• Otázky Jany Černochové (ODS) a Berounovy odpovědi z minulého volebního období