Hacknutí MZV jak na zavolanou?

Jak jistě víte, v současnosti je ve sněmovně novela zákona o Vojenském zpravodajství, jež má svěřit obranu (ano, to je rozhodně něco jiného než ochrana) českého kybernetického prostoru Vojenskému zpravodajství (VOZ). Pokud mi dovolíte velké zjednodušení, tak zákon v podstatě říká, že VOZ bude instalovat do sítí operátorů prostředky kybernetické obrany, což jsou technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky. Operátoři mají povinnost o připojení prostředků kybernetické obrany pomlčet.

Není divu, že takto vágně formulovaný zákon vzbudil vlnu nevole. Asi nejviditelnějším protestem je prohlášení tří významných asociací – CZ.NIC, ICT Unie a NIX.CZ. Samozřejmě, argumentů proti této novele lze nalézt mnohem více. V tom ovšem přišla zpráva jako hrom, a to, že někdo hacknul mailový server Ministerstva zahraničních věcí ČR, a rázem jsou předkladatelé zákona „na koni“. Je teď přeci evidentní, že Česká republika potřebuje kybernetickou obranu a že stát se o to postará nejlépe. Na toto téma jsem si přečetl i zajímavý rozhovor na Aktualne.cz. Ale je tento bezpečnostní incident skutečně argumentem pro přijetí této novely? Já myslím, že je tomu právě naopak!

Ve zmiňovaném rozhovoru ministr (všeobecné) obrany uvádí, že pokud by byl přijat zákon, vojenští zpravodajci by zasahovali. Zní to, jako jasný argument pro urychlené přijetí zákona. Ale já si neustále kladu otázku: „Kdo jim v tom bránil?“. A teď mi prosím promiňte, že budu v následujících řádcích vnímat státní správu jako jeden celek. Nicméně, stát přeci v žádném případě neměl zakázáno starat se o svou vlastní kybernetickou bezpečnost (či obranu, chcete-li). Pokud chce stát dávat zařízení kybernetické obrany do sítí soukromých operátorů, proč je už neinstaloval do svých, státních sítí, aby ukázal, jak prospěšná zařízení to jsou? Proč se stát či konkrétně VOZ nechlubí množstvím odražených útoků v sítích státních úřadů, aby ukázal, že tímto jednoznačně prospěje i soukromé sféře? Není to spíše naopak? Žádný významný soukromý poskytovatel e-mailů neměl v poslední době takto závažný incident. Proč si tedy někdo myslí, že nás stát ochrání a že by měl instalovat prostředky kybernetické obrany v sítích soukromých operátorů? Proč nezačne u sebe? Například může začít na MZV a dalších ministerstvech.

Mimochodem je velmi zajímavé sledovat, jak se mění argumentace předkladatelů k zákonu v reakci na ono prohlášení asociací. Například i ve zmíněném rozhovoru se hovoří o tom, že zmíněná zařízení kybernetické obrany budou pouze pasivní a jejich vyřazením z provozu tedy nemůže dojít k závažnějším provozním problémům. Ale to je v přímém kontrastu s definicí obsaženou v navrhované novele. Tato definice mluví jasně o technických prostředcích vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku. Pokud mají být zařízení pouze pro odposlech, proč se v návrhu zákona mluví o zastavení a odvrácení?

Rozhodně podporuji snahu státu o zvýšení kybernetické bezpečnosti svých systémů. Ale nemyslím si, že správným prostředkem je odposlech všech i se státními systémy nesouvisejících sítí. Pevně věřím, že vše zlé je pro něco dobré. Doufám, že tento podivný návrh zákona nastartuje seriozní debatu o tom, jak zvýšit kybernetickou bezpečnost země a stát upustí od podivných Orwellovských nápadů a začne se vážně zabývat tím, jak zvýšit zabezpečení svých IT systémů.

Autor:

Komentáře (2)

  1. Pavel Ruzicka říká:

    Ono s tou pasivitou vs aktivitou je to totiz nejspis tak ze druhu/kategorii tech krabicek ma byt vice. Nektere na sber dat (ponechme stranou jak hluboko do provozu by mely nahlizet), tedy vlastne zpravodajskou cinnost a jine na skutecnou „aktivni obranu“, v pojeti VZ tedy utok. Coz bohuzel jednak v zakone napsano neni .. nejspis proto ze zakonodarce sam nevi nebo to nechce, z duvodu o nichz muzeme spekulovat, v zakone omezovat. Zdanlivy rozpor misto aby se timto tedy vysvetlil naopak vyvolava spostu dalsich opravnenych otazek.

  2. Koko říká:

    Z mého pohledu je to kouřová clona jak prase, kouká z toho nějaká sviňárna. Nasazení špionážních krabiček u českých poskytovatelů, když útok údajně přišel z Ruska, nějak nedává smysl. A to se nebavíme o tom, zda náhodou nebyl na objednávku. Proč problematiku bezpečnosti sítě řeší zelení mozci a ne např. ministerstvo vnitra, taky nechápu. A diskrétnost nasazení? Kde to jsme???

Zanechte komentář