Domů Rozhovory Bezpečnost? P...

Bezpečnost? Potřebujeme zákony i kybernetické centrum

Útoky hackerských skupin v posledních týdnech zahýbaly celým – nejen kybernetickým – světem. Skutečně znamená dohoda ACTA omezení svobod? Jak velkou hrozbou jsou počítačoví piráti? A jak je na tom elektronizace české státní správy? To jsou otázky pro Vladimíra Smejkala, soudního znalce a experta na právo v oblasti informačních technologií, v rozhovoru pro Moravské Hospodářství.

Mezinárodní smlouva ACTA vyvolala v poslední době velkou vlnu emocí a kritiky. Česká vláda pozastavila ratifikaci a dohodu chce podrobit analýze. „Nemyslím si, že by v této podobě měla být ratifikována, a to nejen u nás, ale kdekoliv na světě. Je třeba provést revizi, znovu zvážit otázky přiměřenosti a znění dohody upravit tak, aby byla obecně přijatelná. S krokem vlády tedy souhlasím, pouze považuji za nešťastné, že tradičně špatná komunikace vlády s veřejností vyvolává dojem, že se tak stalo v důsledku útoků na weby, nikoliv na základě vlastní rozumové úvahy vlády,“ říká Vladimír Smejkal.

Pokud by vláda smlouvu přijala, znamenala by skutečně omezení svobod v míře, jakou straší média či skupina Anonymous?

Dohoda ACTA je klasickým příkladem toho, jak dobrými úmysly je dlážděna cesta do pekel. Je zřejmé, že porušování práv duševního vlastnictví již překročilo všechny meze. Podle mého názoru nadpoloviční většina opatření v České republice, ale i jiných státech EU již dávno platí v rámci platného právního řádu. Dohoda, která byla v naprosté tichosti vypracována a podepsána, by mohla být dobrým krokem, kdyby jejími signatáři byly i další země, kde dochází k porušování práv nejvíce, a kdyby neobsahovala řadu ustanovení, která mohou – bude-li některý stát chtít – založit nadřazenost práva duševního vlastnictví nad právem vlastnickým obecně, jakož i nad právem na ochranu osobnosti a projevů osobní povahy.

Potřebujeme tedy něco ACTA?

Moc ne. Stávající právní úprava mezinárodními smlouvami a národními právními předpisy v zásadě není špatná. Daleko větší problém je absence celosvětové úmluvy o internetu, podobné, jako je například úmluva o kosmickém prostoru nebo o mořích. Jen tak bude možné vyřešit zásadní rozpor mezi globalitou internetu a teritorialitou práva a zamezit tomu, aby se porušovatelé zákonů stěhovali po světě do takových jurisdikcí, kde jejich stíhání bude obtížné, či zcela nemožné.

Hackerům se v posledních týdnech podařilo napadnout webové stránky řady významných institucí. Jak je možné, že jsem jim to povedlo? Je to proto, že jsou „šikovnější“?

V žádném případě. Jedná se útoky typu DoS nebo DDoS podle toho, zda pochází z jednoho nebo více počítačů současně, a má řadu způsobů provedení. Obvyklou podstatou je, že se více uživatelů počítačů dohodne na stejném postupu v předem stanovenou dobu. Všichni odesílají stále znovu ze svého počítače stejný požadavek, například na vstup na webové stránky instituce X. Server adresáta reaguje standardně, tedy odešle odpověď – požadovanou HTML stránku. Odpovědí dokáže ale posílat jenom omezené množství současně, řádově třeba desítky až stovky za sekundu, podle toho, jak je vybaven. Pokud požadavků chodí víc, zařadí se do fronty a vyřizují se v pořadí, v jakém došly. Je-li ale požadavků ještě podstatně více, než je server kapacitně schopen vyřídit v reálném čase, server se zahltí a přestane reagovat.

Je to nebezpečné?

Nijak ho to nepoškodí, jakmile útok přestane, vrátí se vše do původního stavu. Je to tedy záměrné přetížení serveru mnoha jinak legitimními požadavky, čili jakási forma kybernetické demonstrace, asi jako kdyby se deset tisíc lidí rozhodlo, že budou protestovat proti supermarketu tak, že tam v jeden okamžik přijdou a koupí si každý jeden rohlík. Tato demonstrace nevyžaduje žádné specifické znalosti, schopnosti ani vybavení, jenom si stáhnout jednoduchý program a přes sociální sítě se domluvit na společném terči a času útoku. Takové zátěži se v podstatě nedá bránit, respektive obrana by byla mnohdy neekonomická.

Jak lze vlastně ohodnotit kybernetickou bezpečnost našeho státu?

Je zatím dosti v plenkách. Existují soukromé iniciativy, které svým způsobem spolupracují se státem, například tzv. Národní CSIRT ČR je od loňského roku provozován sdružením CZ.NIC a spolupracuje s ministerstvem vnitra ČR, ale nějaký jednotný systém, dokonce ani širší povědomí o nutnosti obrany proti kybernetickým útokům u nás zatím chybí.

Známe případy z Estonska či Gruzie, kde se zhroutily systémy státní správy. Kdo je v současné době zodpovědný za to, aby podobná situace nenastala u nás?

Právně zodpovědným není podle mého názoru nikdo – alespoň z hlediska kybernetické ochrany státu. Na druhou stranu obecně vzato je odpovědný každý provozovatel nějakého informačního systému veřejné správy a pochopitelně každý poskytovatel služeb pro tyto systémy, například komunikační infrastruktury. To ovšem neznamená, že taková situace nastat nemůže.

Jak akutní je tedy plánované vybudování Národního kybernetického centra?

Nezbytně jej potřebujeme. Od října 2011 se stal gestorem problematiky kybernetické bezpečnosti a národní autoritou pro tuto oblast Národní bezpečností úřad. V současné době se dokončuje návrh věcného záměru zákona o kybernetické bezpečnosti, který by měl vytvořit podmínky pro ochranu té části infrastruktury, která je pro fungování státu významná a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky.

Otázka kybernetické bezpečnosti není jen otázkou technickou, ale také právní. Funguje u nás dostatečná legislativa?

Jen částečně. Chybí nám zákon o kybernetické bezpečnosti a pravděpodobně bude třeba přehodnotit některá ustanovení trestního zákoníku. Ale v případě útoků ze zahraničí, a ty jsou nejpravděpodobnější, můžeme opět narazit na absenci celosvětové úmluvy o internetu, přijaté všemi státy světa.

Jaká je současná největší kybernetická hrozba?

Útoky na kritickou informační a komunikační infrastrukturu státu, která může mít za důsledek omezení či přerušení výkonu základních funkcí státu nebo služeb poskytovaných soukromými subjekty, leč pro náš život nepostradatelných, například dodávky elektřiny, vody, plynu, zásobování potravinami. A samozřejmě útoky na provozy, jejichž napadení může naplnit skutkovou podstatu obecného ohrožení, například řízení letového provozu nebo jiných technologických informačních systémů.

O každém z nás je toho v kybernetickém prostoru stále více. Mohou lidé ovlivnit, jak je s jejich osobními údaji nakládáno? Co když zpracovatelé nepřistupují k ochraně dat odpovědně?

Klíčové je to, jak každý z nás zachází se svými osobními údaji. Pokud nepřemýšlíme o tom, komu a kdy co sdělujeme, či dokonce pokud uveřejňujeme jakékoliv osobní údaje bez rozmyslu na sociálních sítích, popřípadě jsme je ochotni vyměnit za poskytnutí slevy na několik rolí toaletního papíru, pak následná ochrana dat již moc nepomůže. Problém nečiní ani tak zpracovatelé, kteří by nepřistupovali k ochraně dat odpovědně, ale spíše ti, kteří od počátku jasně deklarují, že se hodlají zmocnit osobních údajů a dál si s nimi dělat, co budou chtít. Myslím, že takových příkladů známe mnoho.

Stále více dat „obíhá“ také v rámci elektronizace státní správy. Jsou tam naše soukromé údaje v bezpečí?

Obecně vzato ano, i když protiprávní jednání určité oprávněné osoby nelze nikdy předem eliminovat. Moderní informační systémy veřejné správy jsou již vybaveny bezpečnostními mechanismy, které umožní dokumentovat chování uživatelů – úředníků, policistů apod., a v případě porušení ochrany osobních údajů vydat svědectví o tom, co se v systému odehrálo. Nově budované základní registry by měly ale zabezpečení našich údajů postavit ještě na daleko vyšší úroveň.

e-government se už rozjel naplno, úřady jsou ale často stále zahlceny papíry i absurdními předpisy, řada nejasností panuje kolem vedení spisové služby či archivování. Nepodkopávají tyto právní a organizační záležitosti efektivitu celého systému?

Domnívám se, že ano. Nejedná se ale často o právní aspekt, ale o výklad zákona lidmi, případně o nechuť měnit zavedené postupy. A samozřejmě svoji úlohu zde hraje i to, že v posledních letech, konkrétně od nástupu úřednické vlády premiéra Fischera, se proces budování e-governmentu, který velice dobře zahájila Topolánkova vláda, prakticky zastavil a doposud neresuscitoval. Na velký úspěch v podobě zavedení datových schránek, kterými jsme se postavili do čela všech zemí, usilujících o elektronickou komunikaci s občany a organizacemi, se již nepodařilo navázat.

Návrh novely o archivnictví a spisové službě posouvá termín převodu všech úředních dokumentů do elektronické podoby z léta 2012 na rok 2015. Například Unie ICT upozorňuje na to, že takové odkládání ohrožuje dokončení projektu e-governmentu. Jak velká hrozba to je?

Návrh novely zákona o archivnictví a spisové službě, který právě projednává parlament, je podivným dílem, které se zde objevilo bez projednání Legislativní radou vlády, a přitom zásadním způsobem pozměňuje podmínky pro digitalizaci dokumentů a provádí novelu desítek právních předpisů. A opravdu lze konstatovat, že některá ustanovení vytvářejí další omezení a zhoršují podmínky pro převod dokumentů z listinné do elektronické podoby.

Novela proběhla bez větší komunikace s odbornou veřejností a s minimální snahou o vnesení moderních prvků a předpokladů pro skutečnou digitalizaci. Stále nám chybí institut elektronického spisu, který by fungoval napříč celým právním řádem. Konzervujeme jeden jediný druh elektronického podpisu, a to na bázi asymetrické kryptografie, od kterého jsme si před 10 lety při zavádění slibovali daleko více, místo toho, abychom se pokusili o další, uživatelsky přijatelnější alternativy. Takovou může být např. tzv. dynamický biometrický podpis, který kombinuje vlastnoruční podpis, jež umíme učinit všichni, se snímáním dynamických vlastností písma, jež jsou automatizovaně zpracovatelné a použitelné pro ověření pravosti podpisu. Podle mých informací k takovému kroku již přistoupila Itálie a další evropské země o tom uvažují.

Obce také čekají na zřízení Národního digitálního archivu. Co tato instituce přinese?

Problematika ukládání dokumentů v digitální podobě se netýká pouze České republiky, ale je řešena v naprosté většině vyspělých zemí světa. Zabývají se jí vlády, výzkumné instituce, archivy, knihovny i mezinárodní mezivládní organizace – například UNESCO vypracovalo v roce 2003 Chartu o uchování digitálního dědictví. Ze stále rostoucího podílu digitálních dokumentů a informací, které nás obklopují, vyplývá nezbytnost vzniku Národního digitálního archivu a vytvoření systému pro nakládání s digitálními archiváliemi. Musíme se naučit s nimi pracovat a musíme mít místo, kde budou uloženy.

Je elektronický dokument „věčný“, tedy může zůstat v archivu autentický a neporušený bez jakékoliv péče?

Analogový dokument věčný není, protože ztrácí kvalitu s časem a vytvoření jeho kopie rovněž přináší snížení kvality. Vzpomeňme, jak jsme před 20 lety kopírovali vzácně dostupné videokazety se zahraničními filmy. Naproti tomu digitální dokument je věčný, pokud je s ním dobře nakládáno. Nula a jednička je i v x-té kopii stále stejnou nulou a jedničkou. Jen musíme tu kopii mít, resp. mít zajištěnu její čitelnost. Což znamená provádět migraci digitálních dokumentů tak, aby změna technologií neznamenala ztrátu schopnosti přečíst starší dokumenty. Otázka autentičnosti je ještě složitější: potřebujeme nástroje, které umožní jednoduše tuto autentičnost udržovat. Příliš se v tomto u nás, ale ani ve světě neudálo.

Kam se ještě může elektronizace státní správy posunout? Bude spuštění digitálního archivu a registrů posledním krokem? Odloží někdy úředníci tužku a papír úplně?

Obávám se, že spuštění digitálního archivu to není. Prvním krokem by mělo být povinné zavedení elektronického, tedy digitálního spisu. Ale k odložení tužky a papíru nedojde bez toho, aby stát měl „jasný tah na branku“ v oblasti e-governmentu, nepapouškoval jen formální a prázdné dokumenty EU, které jsou po nějakých letech nahrazovány jinými, odsouzenými rovněž k neúspěchu. Dále bez toho, aby existoval skutečně funkční a dostatečnými pravomocemi vybavený orgán veřejné moci, který bude tlačit na zavádění a dnes hlavně na fungování e-governmentu. A aby důležitou součástí tohoto procesu byl osvěta a podpora soukromoprávních subjektů a jejich motivace k digitalizaci.

Prof. Ing. Vladimír SMEJKAL, CSc. LL.M.

Univerzitní profesor a odborník v oblasti práva, řízení rizik a bezpečnosti informačních systémů. Přes 25 let působí jako soudní znalec v oborech ekonomika, kybernetika, kriminalistika – ochrana dat a autorské právo. Podílel se na vyšetřování mnoha závažných trestných činů spáchaných v souvislosti s moderními informačními technologiemi a internetu.

Je členem vědeckých rad vysokých škol, autorem či spoluautorem řady knih a mnoha článků z oblasti informatiky, práva, veřejné správy a e-governmentu.

Podílí se také na legislativních pracích v ČR (zákon o elektronickém podpisu, o datových schránkách apod.) a je členem Legislativní rady vlády. Působí na Fakultě podnikatelské Vysokého učení technického v Brně, na Právnické fakultě Masarykovy univerzity v Brně a ve své kanceláři soudního znalce v Praze.

Žádné komentáře

Napište komentář

Doplňte správně hádanku *