Česko na prahu přijetí novely o Vojenském zpravodajství. Co je kybernetická obrana a kam zemi posune?

~ AKTUALIZOVÁNO 21. 3. 2021 ~

Termín „kybernetická obrana“ český právní řád nedefinuje – a ani nebude, jelikož je součástí standardní obrany státu.[1] Obranu definuje zákon č. 222/1999 Sb., o zajišťování obrany České republiky, jako „souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením“ [§ 2 odst. 1]. Mezi opatření přitom nespadá jen reaktivní činnost, ale i příprava a výstavba obranného systému či kroky vedoucí k odvracení hrozeb.

Kybernetický prostor – ačkoli neexistuje všeobecně přijatá definice – můžeme chápat ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti, jako „digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací“ [§ 2 písm. a)].

Potřeba ČR přijmout právní úpravu, jež by kybernetickou obranu zakotvila, plyne z několika důvodů. Za prvé ze členství v Severoatlantické alianci (NATO), která uznala kybernetický prostor v roce 2016 za operační doménu.[2] [3] To znamená, že útok v kyberprostoru může aktivovat článek 5 Washingtonské smlouvy[4] nebo že se na kybernetickou obranu vztahuje článek 3, který členské státy zavazuje udržovat a rozvíjet schopnosti proti ozbrojeným útokům. K budování obrany v kyberprostoru vyzývá i Strategie kybernetické bezpečnosti EU (CELEX 52013JC0001) přijatá v roce 2013.

Na národní úrovni úkol budovat kybernetickou obranu vyplývá z Bezpečnostní strategie a Národní strategie kybernetické bezpečnosti. Aktéra, jenž dostal kybernetickou obranu na starost, určil Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020, konkrétně úkoly C.9.01 a následující.[5] Vláda jej přijala 25. května 2015, přičemž příprava legislativních změn byla navržena tak, aby šlo obranu v kyberprostoru provádět od poloviny roku 2015. Tímto určeným aktérem se stalo Vojenské zpravodajství (VZ).

Proč Vojenské zpravodajství?

Stojí za zmínku, že VZ – ačkoli spadá pod Ministerstvo obrany (MO) – není ozbrojenou silou podle zákona č. 219/1999 Sb., o ozbrojených silách České republiky.[6] Je ozbrojenou zpravodajskou službou s vnitřní i vnější působností, jejíž zaměření a fungování definují primárně zákony č. 153/1994 Sb., o zpravodajských službách České republiky, a č. 289/2005 Sb., o Vojenském zpravodajství.

Obranu kyberprostoru dostala na starost zpravodajská služba v souladu s ústavním zákonem č. 110/1998 Sb., o bezpečnosti České republiky, jenž ukládá povinnost podílet se na bezpečnosti země všem.[7] Rozhodnutí padlo na základě analýzy Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB),[8] která došla k několika závěrům: obrana kyberprostoru musí probíhat zčásti utajovaně, po nákupu nové techniky a na základě mezinárodní spolupráce a výměny zpravodajských informací.[9]

Ve hře byla i možnost, že by obranu dostal do područí NÚKIB jakožto vznikající gestor kybernetické bezpečnosti. To se nakonec nestalo, protože budování kybernetické obrany se od zbylé agendy NÚKIB zásadně liší. Účelem obrany je soustředit se na útočníka, zatímco úřad má za úkol prevenci a při útoku se apriori zaměřuje na pomoc obětem.[10]

VZ na přidělených povinnostech pracuje od roku 2015, ačkoli jen na základě vládního zmocnění. V roce 2016 vzniklo uvnitř zpravodajské služby Národní centrum kybernetických operací (NCKO),[11] které bude jádrem kybernetické obrany a mj. v roce 2018 vypracovalo Strategii kybernetické obrany pro roky 2018–2022. Zásadní cíl Akčního plánu – přijmout odpovídající právní úpravu – se doposud nepodařilo naplnit.

Návrh novely, který neprošel

Předpisem, jenž má kybernetickou obranu a její podobu zakotvit, je zákon č. 289/2005 Sb., o Vojenském zpravodajství. První návrh novely vznikl v roce 2016. Jeho cesta ale skončila v Poslanecké sněmovně kvůli obavám, že by zpravodajská služba získala oprávnění narušovat soukromí lidí na internetu a omezovat práva poskytovatelů internetového připojení.[12]

MO dostalo za úkol předpis přepracovat a kontroverze odstranit. Na přípravě nového návrhu se podíleli i zástupci soukromého sektoru v rámci seminárního setkání, na němž padlo přesně 160 doporučení v mimorezortním připomínkovém řízení.[13]

Návrh byl vládě předložen 7. ledna 2020 a Legislativní rada vlády k němu vydala stanovisko s doporučenými úpravami 10. března. Vláda samotná se návrhem zabývala – a přijala jej v souladu s předloženým stanoviskem – na řádném zasedání 16. března 2020.[14] Tedy v den, kdy byl vyhlášen první nouzový stav v historii ČR. Po vlně kritiky, kterou jednání vyvolalo, vláda deklarovala, že návrh bude projednán ve standardním režimu, nikoli zrychleně, jak to nouzový stav umožňuje.[15]

Ani s přepracovaným zněním ale nebyly všechny strany spokojeny; např. Svaz průmyslu a dopravy České republiky vydal stanovisko, že se MO „rozhodlo nevyslyšet zásadní připomínky civilního sektoru“.[16]

Od 30. března 2020 tak Poslanecká sněmovna evidovala návrh jako Sněmovní tisk 800, který byl 72 hlasy[17] schválen v pátek 12. února 2021 na 79. řádné schůzi. Do horní komory zamířil ve znění, které se oproti projednávanému liší o pozměňovací návrhy navržené Ústavněprávním výborem a Výborem pro obranu.

Senát návrh v tomto znění schválil na své 7. schůzi 17. března 2021. Pro přijetí se vyjádřilo 63 senátorů ze 71 přítomných, proti nebyl nikdo, zbylých 8 se zdrželo hlasování.[18] Novela tak téměř rok od svého zařazení ve sněmovně putuje na podpis k prezidentu republiky.

Detekce jako základ kybernetické obrany

Návrh novely rozšiřuje současný zákon o novou část (zařazeno jako část čtvrtá) pojmenovanou „Činnosti Vojenského zpravodajství při zajišťování obrany České republiky“. Budoucí podoba české kybernetické obrany je rozpracována v § 16a až 16n a VZ připisuje tyto povinnosti [podle 16a odst. 1]:

• provádět cílenou detekci kybernetických útoků a hrozeb majících původ v zahraničí a směřujících proti důležitým zájmům státu,
• identifikovat a vyhodnocovat detekované kybernetické útoky a hrozby a jejich dopady,
• provádět opatření k odvrácení detekovaných kybernetických útoků a hrozeb.

Cílená detekce má probíhat za spolupráce se zajišťovateli a poskytovateli veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací – tedy soukromoprávními subjekty. Případně může VZ využít vlastní technologie, tzv. nástroje detekce, které do těchto systémů umístí.

Návrh klade důraz na dohodu mezi VZ a subjekty. VZ sice ve vztahu k nim vystupuje v mocenském postavení, kdy může přes MO nařídit nasazení nástroje detekce a subjekt má povinnost umístění a provozování strpět, zároveň ale návrh nastavuje mantinely. Je na subjektech, kam rozhraní pro nástroje detekce v systému umístí. Navíc mohou k detekci nabídnout vlastní technologie.

Služba je dále omezena časovým hlediskem – doba umístění nesmí přesáhnout 12 měsíců[19] – a funkčním hlediskem – nasazení nesmí vést k odposlouchávání a pořizování záznamů, nesmí narušit činnost, pro niž je komunikační síť primárně určena, a nesmí zasahovat do dostupnosti, důvěrnosti a integrity systému. Jiné využití sítě (např. pro vojenské účely) se zakazuje.

Anomálie, indikátory, metadata

Nástroje detekce mají v sítích monitorovat dopředu nastavené parametry, o nichž návrh hovoří jako o „metadatech“. V podstatě se jedná o anomálie a indikátory toho, že se schyluje k útoku nebo hrozbě. Konkrétně by VZ mohlo shromažďovat údaje o IP adresách, použitých technologiích, velikosti přenášených dat, časové údaje aj. Nebude možné sledovat obsah komunikace ani zavádět plošný monitoring (nenadefinovaných) metadat.[20]

Právě nástroje detekce a rozsah jejich použití se staly hlavním důvodem, proč původní návrh novely neprošel. Nástroje detekce v něm byly označeny jako „sondy“ umožňující „monitorování kybernetického prostoru“, přičemž se nikde nezmiňovalo, co přesně by v sítích měly dělat a sledovat.[21] Oproti původnímu návrhu jsou současné nástroje jen pasivní zařízení, která nemohou do sítí zasahovat, budou schraňovat pouze dopředu vymezená data a nelze je využít k aktivnímu zásahu [podle § 16d].

Nejzazší možnost: ofenzivní obrana

Další novinkou je, že VZ má získat oprávnění provádět v kyberprostoru aktivní zásahy. Aktivní zásah nepředstavuje něco, čeho by mohlo být využíváno pokaždé, když dojde k identifikaci útoku či hrozby. VZ jej může použít pouze v případech, kdy budou splněny všechny následující podmínky [podle § 16g odst. 1]:

• existuje ohrožení důležitých zájmů státu,
• útok nebo hrozba trvá nebo bezprostředně hrozí,
• ohrožení nelze odvrátit v součinnosti s ozbrojenými silami a aktivní zásah představuje jediný způsob odvrácení.

Aktivní zásah lze také provést, pokud hrozí nebezpečí z prodlení [§ 16f odst. 3]. I při splnění všech podmínek je ale nutné získat předchozí souhlas ministra obrany. Nejsou-li podmínky naplněny, ale útok či hrozba existuje, má VZ za úkol zjištěné informace neprodleně předat státním orgánům, jež se o něj postarají, případně národnímu CERT[22] týmu.

Ofenzivní obrana je vedle detekce druhým nejdůležitějším aspektem. Rozšiřuje obranu ČR o možnosti, jimiž žádná složka zatím nedisponuje. Dosavadním řešením v kyberprostoru je čistě defenzivní činnost bez možnosti odstrašení sebeobranným útokem.[23]

Aktivní zásah v návrhu postrádá konkrétní definici nebo přiblížení, což je terčem kritiky.[24] Bližší vysvětlení neobsahuje ani důvodová zpráva. Není tak jasné, jaké kroky může VZ podniknout ani jaká intenzita zásahu je upřednostňována.[25]

Nové pravomoci pod novou kontrolou

V neposlední řadě počítá návrh se vznikem funkce inspektora pro kybernetickou obranu. Ten má mj. prověřovat postup VZ při plnění kybernetické obrany, podílet se na zavádění opatření, poskytovat VZ poradenství v oblasti ochrany dat a informací nebo spolupracovat se subjekty, u nichž jsou nasazeny nástroje detekce [podle § 16j odst. 1]. Obracet se na něj mohou povinné osoby mimo VZ, u nichž se provádí detekce, pokud jsou ohrožena jejich práva.

Inspektor má být jmenován (a odvoláván) vládou na návrh ministra obrany na dobu pěti let. Podmínkou je, aby byl vojákem z povolání nebo zaměstnancem zařazeným ve VZ. Původní návrh bez pozměňovacích návrhů přitom počítal s možností, že inspektorem může být jen příslušník VZ. Takové nastavení kritizoval např. Svaz průmyslu a dopravy, podle něhož negarantovalo „dostatečnou nestrannost“.[26] Verze přijatá poslanci tuto kolizi mírní.

Obecnou vnější kontrolu bude provádět vláda, Stálá komise pro kontrolu činností Vojenského zpravodajství, Orgán nezávislé kontroly zpravodajských služeb a ministr obrany.

Zvyšování rozpočtu netřeba

Aby bylo zajištěno správné fungování VZ (respektive NCKO), je třeba zohlednit i finanční dopady. Důvodová zpráva vyšší finanční nároky přiznává, MO by se s nimi ale mělo vypořádat v rámci existující rozpočtové kapitoly a žádné požadavky na navýšení rozpočtu by novela vyvolat neměla.[27]

Ačkoli návrh zavádí zcela novou činnost, většina potřebné infrastruktury už je vybudována. K výstavbě docházelo postupně od doby přijetí Akčního plánu a samotné NCKO omezeně funguje po celou dobu své existence. Jedním z hlavních doposud neprovedených výdajů má být nákup detekčních zařízení.

Úpravy v dalších předpisech

Spolu se zákonem o Vojenském zpravodajství má dojít k novelizaci dalších předpisů, jež s kybernetickou obranou úzce souvisí.

Prvním je zákon č. 153/1994 Sb., o zpravodajských službách České republiky. Ten se má rozšířit o dvě ustanovení, která zakotví, že se VZ podílí na zajišťování obrany ČR v kybernetickém prostoru[28] a že tato činnost spadá pod vnější kontrolu.[29] Bez této změny není možné, aby zákon o Vojenském zpravodajství rozebíral způsob, jakým bude kybernetická obrana probíhat, protože k tomu VZ nikdo nikde nezmocní.

Součástí je i úprava podmínek pro výběr kandidátů do Orgánu nezávislé kontroly [podle § 12e]. Ti nově nebudou vybíráni jen z absolventů právnického vzdělání a celkově se procedura jejich výběru zjednoduší.

Druhým předpisem je zákon č. 127/2005 Sb., o elektronických komunikacích, jehož rozšíření je větší. Zjednodušeně řečeno mění povinnosti subjektů, které mohou přijít s VZ do kontaktu jakožto zajišťovatelé a poskytovatelé veřejné komunikační sítě a veřejně dostupné služby elektronických komunikací. Pravomoci a povinnosti VZ při provádění detekce tak předpis upravuje ze strany těch, jež budou muset konání VZ strpět. Současně předjímá vydání vyhlášky MO, která upraví finanční nároky dotčených subjektů.[30]

Možnosti detekovat, identifikovat a případně reagovat na útok či hrozbu útoku nejsou nic jiného než základní obranné mechanismy státního útvaru, který chce zajistit zachování své existence. Rozvojem moderních technologií se vytvořila potřeba přesunout tyto možnosti i mimo klasické sféry – vodu, zemi, vzduch – do kybernetického prostoru. Téměř šest let po přijetí Akčního plánu a pět let od uznání kybernetického prostoru jako operační domény na alianční úrovni je ČR na prahu přijetí novely zákona, která obranu země od 1. července 2021[33] posune do 21. století.

[1] Vojenské zpravodajství. Novela zákona o Vojenském zpravodajství [online]. N.d. [cit. 8. 2. 2021]. Dostupné zde.

[2] Zbylé tři domény v době přijetí byly moře, vzduch a země. V roce 2019 byl přidán vesmír.

[3] NATO. Warsaw Summit Communiqué [online]. 2017. [cit. 9. 2. 2021]. Dostupné zde.

[4] „Smluvní strany se dohodly, že ozbrojený útok proti jedné nebo více z nich v Evropě nebo Severní Americe bude považován za útok proti všem, a proto se dohodly, že dojde-li k takovémuto ozbrojenému útoku, každá z nich [...] pomůže smluvní straně nebo stranám takto napadeným [...] s cílem obnovit a zachovat bezpečnost severoatlantického prostoru.“

[5] Národní centrum kybernetické bezpečnosti (NCKB). Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 [online]. 2015 [cit. 8. 2. 2021]. Dostupné zde.

[6] Podle § 3 odst. 1 a 2 vytváří ČR k zajišťování své bezpečnosti „ozbrojené síly, které se člení na armádu, Vojenskou kancelář prezidenta republiky a Hradní stráž“.

[7] Čl. 3 odst. 2.: Státní orgány, orgány územních samosprávných celků a právnické a fyzické osoby jsou povinny se podílet na zajišťování bezpečnosti České republiky. Rozsah povinností a další podrobnosti stanoví zákon.

[8] V dané době součástí Národního bezpečnostního úřadu.

[9] MAGDOŇOVÁ, Jana. Šéf Vojenského zpravodajství: Čas je v kyberobraně klíčový, novela zákona všechna bílá místa nesmaže. iROZHLAS.cz [online]. 8. 7. 2020 [cit. 6. 2. 2021]. Dostupné zde.

[10] Národní úřad pro kybernetickou a informační bezpečnost. NCKB [online]. N.d. [cit. 28. 2. 2021]. Dostupné zde.

[11] Původně pojmenované Národním centrem kybernetických sil.

[12] Pro více informací doporučuji navštívit stránku Přichází rozvědka, která se kontroverzím prvního návrhu detailně věnuje. Dostupné zde.

[13] Vojenské zpravodajství, op. cit.

[14] Vláda České republiky. Usnesení Vlády České republiky ze dne 16. března 2020 č. 229 [online]. N.d. [cit. 28. 2. 2021]. Dostupné zde.

[15] CIBULKA, Jan. Zákon o vojenském zpravodajství míří do sněmovny, kritici se bojí o soukromí i bezpečnost sítí. iROZHLAS.cz [online]. 31. 5. 2020 [cit. 6. 2. 2021]. Dostupné zde.

[16] Svaz průmyslu a dopravy České republiky. Stanovisko Svazu průmyslu a dopravy České republiky k návrhu zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství (dále jen „návrh zákona“) [online]. 27. 4. 2020 [cit. 6. 2. 2021]. Dostupné zde.

[17] Přítomno hlasování bylo 100 poslanců, 15 hlasovalo proti návrhu a 13 se zdrželo. Detailní přehled jak kdo hlasoval je dostupný na stránkách Poslanecké sněmovny zde.

[18] Detailní přehled jak kdo hlasoval je dostupný na stránkách Senátu zde.

[19] Na žádost VZ může MO dobu nasazení detekčního nástroje prodloužit nejvýše o šest měsíců [§ 16e odst. 5].

[20] Parlament České republiky, Poslanecká Sněmovna. Sněmovní tisk 800/0: Vládní návrh zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a některé další zákony. Důvodová zpráva [online]. Dostupné zde.

[21] CIBULKA, op. cit.

[22] Úkoly národního CERT týmu vykonává CSIRT ČR, provozovaný sdružením CZ.NIC.

[23] MAGDOŇOVÁ, op. cit.

[24] CIBULKA, op. cit.

[25] Aktivním zásahem mohou být např. manipulace, narušení funkčnosti, dočasné vyřazení z provozu, úplné zničení.

[26] Svaz průmyslu a dopravy České republiky, op. cit.

[27] Sněmovní tisk 800/0, op. cit.

[28] § 2 odst. 2: Vojenské zpravodajství se v rozsahu a způsobem stanoveným zákonem o Vojenském zpravodajství podílí na zajišťování obrany České republiky v kybernetickém prostoru.

[29] § 12 odst. 1: Činnost zpravodajských služeb podléhá kontrole vlády, Poslanecké sněmovny a Orgánu nezávislé kontroly zpravodajských služeb České republiky (dále jen „orgán nezávislé kontroly“); kontrole kontrolujícími podléhá rovněž činnost Vojenského zpravodajství, kterou se podílí na zajišťování obrany státu v kybernetickém prostoru podle zákona o Vojenském zpravodajství [...].

[30] Vyhláška o způsobu určení výše efektivně vynaložených nákladů na zřízení a zabezpečení rozhraní pro připojení technických prostředků kybernetické obrany do sítě elektronických komunikací a způsobu jejich úhrady.

[31] Rekonstrukce státu. Vojenské zpravodajství má bránit český kyberprostor. Riziko pro kritickou infrastrukturu a soukromí občanů nebo přiměřené opatření? Rekonstrukcestatu.cz [online]. 25. 3. 2020 [cit. 9. 2. 2021]. Dostupné zde.

[32] MAGDOŇOVÁ, op. cit.

[33] Předpokládaný den nabytí účinnosti.