Zbyněk Pospíchal: Jaká rizika přináší chystaný zákon o kybernetické bezpečnosti?

Národní bezpečnostní úřad pracuje na návrhu zákona, který má pomoci Česko ochránit před kybernetickými hrozbami. Jak se na návrh normy dívá expert na telekomunikační služby?

Nedávno se mi dostalo do ruky paragrafové znění připravovaného zákona o kybernetické bezpečnosti. (NBÚ na svém webu tvrdí, že uniklá verze z ledna 2013 je pouze pracovní a že aktuální verzi zveřejní po 15. dubnu – pozn. redakce).

V následujícím textu se pokusím shrnout, co tento zákon na český Internet chystá, jaká v něm vidím rizika a jestli nás tento zákon dokáže uchránit před opakováním DDoS útoků z počátku března. 

Stát nemá k ochraně kyberprostoru mandát

Předně musím říci, že proti uvedenému zákonu mám výhrady v rovině obecné, neboť jsem přesvědčen, že k ochraně „kyberprostoru“ neudělili voliči státu mandát a že infrastruktura, kterou se stát pokouší chránit, je ve svrchované míře soukromá, provozovaná soukromými subjekty a postavená na principech svobodného trhu, který má k naplnění potřeb uživatele výrazně účinnější a efektivnější nástroje, než jakými kdy může disponovat veřejná správa. 

Dále nelze opomenout, že podíl veřejné správy na vzniku infrastruktury českého Internetu je výrazně menšinový, naopak subjekty na tomto trhu působící, jako ostatně i všechny ostatní tuzemské subjekty, trvale zatěžuje, ať již vysokou daňovou zátěží nebo nadbytečnou administrativou. 

Pokud snad pro někoho tedy toto není dostatečným principiálním důvodem proti zavádění dalších regulací, je na místě zabývat se konkrétními ustanoveními uvedeného zákona.

Bude Úřad rozhodovat sám o sobě?

Velmi závažnou skutečností je už jen samotný fakt, že uvedený zákon, tak jak je napsán, určuje meze své platnosti nikoli svým textem, ale svým účelem. Rozsah povinností, které mají být uloženy „povinným osobám“, tedy operátorům a provozovatelům komunikační infrastruktury a kritických informačních systémů, stejně jako detaily možných ukládaných povinností samotných, neobsahuje tento návrh zákona, ale prováděcí předpisy. 

V této branži jsou však právě podrobnosti tím, co se může zásadním způsobem ovlivnit jak účelnost prováděných opatření, tak i vedlejší škody, které prováděné opatření způsobí. Zákonodárce tak nebude znát ani skutečnou šíři pravomocí, které předá do rukou Úřadu. 

Zákon neříká, kdo vydá prováděcí právní předpis. Dá se předpokládat, že návrh prováděcího právního předpisu dodá vládě sám Úřad a vládou tento předpis s největší pravděpodobností projde, protože ve vládě nesedí odborníci na problematiku elektronických komunikací a podle toho to také vypadá, zmíním v tomto smyslu například vyhlášku č. 357/2012 Sb., která u některých ustanovení umožňuje dvojí odlišný výklad. Podle tohoto návrhu zákona si proto Úřad bude moci sám do značné míry rozhodovat o rozsahu svých vlastních pravomocí.

Co je kritická infrastruktura?

Mimochodem, který Úřad? V návrhu zákona se slovo Úřad sice vyskytuje mnohokrát, ale nikde není dále definováno, o který úřad se jedná a dokonce ani jak se jmenuje. Že uvedená problematika spadá zrovna do kompetence Národního bezpečnostního úřadu, o tom není v návrhu ani zmínka. 

Definiční část uvedeného návrhu je také veselá, například „kritickou informační infrastrukturou je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti.“ 

Že tomu nerozumíte? Jste schopni podle této definice rozpoznat, který prvek komunikační infrastruktury je součástí kritické infrastruktury a který nikoli? Já se provozováním a správou takové infrastruktury mnoho let docela úspěšně živím, ale rozdíl mezi kritickou a nekritickou informační infrastrukturou mi podle uvedeného ustanovení jasný rozhodně není. Ještě, že je zde spasitel ve formě Úřadu, který v této věci arbitrárně rozhodne.

Rozpojit linku

Dále, Úřad může povinným osobám ukládat povinnosti prostřednictvím rozhodnutí nebo opatření obecné povahy. Povinná osoba je tímto rozhodnutím Úřadu vázána a musí pod hrozbou stotisícové pokuty rozhodnutí Úřadu vyplnit, neboť proti rozhodnutí lze sice podat rozklad, ale ten nemá odkladný účinek. 

Obdobně je třeba splnit povinnost vyplývající z opatření obecné povahy, které dále nelze podrobit přezkumnému řízení. Pokud tedy Úřad uloží povinné osobě rozpojit nějakou linku, povinná osoba musí bez dalšího tuto linku rozpojit, nehledě na to, jaké toto opatření způsobí škody a nehledě na to, zda by nebylo požadovaného stavu možno dosáhnout jiným způsobem. 

Myslím, že v kritické situaci, pokud hrozí nějaké zásadní škody, se většina Povinných osob raději rozhodne se nechat postihnout pro správní delikt, protože výše postihu bude ve srovnání s hrozící škodou marginální. 

Lze si pak ovšem položit otázku, zda udělení možnosti ukládání takového postihu Úřadem nebude skrytě naplňovat jiný účel, než pro jaký byl tento zákon přijat, což je zase v rozporu s ústavním pořádkem ČR a povede to k množství zbytečných (a drahých) právních sporů, končících nezřídka až před Ústavním soudem. 

Je také třeba si uvědomit, že ne všechny služby jsou poskytovány rezidenční klientele za 300 Kč měsíčně, existuje řada služeb, které jsou zákazníkům dodávány s vysokým SLA a tedy pod hrozbou vysoké pokuty pro operátora při překročení stanovené délky nedostupnosti služby.

Etalon poctivosti

Jistě, můžete namítnout, že Úřad bude určitě objektivní, kompetentní, nestranný, nepodjatý, zkrátka etalon poctivosti a spolehlivosti. Inu, možná se stane zázrak a Úřad takovým skutečně bude, existuje ale nějaký racionální důvod předpokládat, že se Úřad bude nějakým zásadním způsobem lišit od ostatních úřadů a institucí ve státní správě? 

V tomto ohledu je důvodné se obávat zejména nedostatků v jeho odbornosti. Jednak pravděpodobně nebude v možnostech Úřadu zaplatit skutečně kvalifikované specialisty a kromě toho, když si vzpomenete na projekty z oboru informačních technologií ve státní správě, co se vám vybaví? 

Správně, aféra s informačním systémem MPSV, aféra s nefunkčním registrem vozidel, S-karta, Opencard a další průšvihy.

Incident hodný detekování

Jak jsem vysvětloval už v úvodu, bude-li tento návrh zákona přijat, bude zásadním způsobem záležet na prováděcích předpisech, protože mnoho definic je velmi vágních a dá se vykládat různým způsobem. Už jen definice kybernetické bezpečnostní události a kybernetického bezpečnostního incidentu je gumová. Událostí, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací, totiž může být už jen zasunutí UTP kabelu do síťové karty. 

Použijeme-li paralely z reálného světa, najdeme mnoho drobných porušení dobrých mravů či obecních vyhlášek, které jsou tak malicherné, že si žádné „řešení“ ani nezaslouží a jejich hodnocení je v pojetí pozorovatele velmi subjektivní. Někomu může vadit štěkání psa (nevyžádané pingy na server), někomu šlapání po trávníku (portscan), někomu pak až zkoušení, zda má auto zamčené dveře (pokus o ssh login). 

To jsme však stále ještě v rovině vadí/nevadí. I u reálných incidentů je jejich hodnocení různé, mnoho lidí nevolá policii už ani k rozbitému oknu u auta, protože vědí, že policie pachatele stejně nedopadne a pokud výjimečně ano, tak že šance vymoci náhradu škody je minimální.

Paralely z reálného světa je tedy třeba přenést i do kyberprostoru, i zde existují události, které si ani nezasluhují komentář, případně existují i takové, které si sice komentář zaslouží, ale s nimiž jsme se už smířili, protože vyvíjení jakýchkoli aktivit je v dané věci bezúčelné. 

Portscan ani pokus o ssh login v praxi žádný, byť jen velmi jednoduchým způsobem zabezpečený systém, nemohou ohrozit. Reportovat takovou událost Úřadu nebo CERTu je ztrátou času jak pro operátora, tak pro Úřad/CERT a protože lidem se za práci platí, stojí to i peníze.

Jak poznat bezpečnostní událost

V praxi známe mnoho různých způsobů, jak ohrozit nějaký systém či síť elektronických komunikací. Problém je, že ukládá-li se někomu povinnost reportovat bezpečnostní události nebo bezpečnostní incidenty, musí povinný být schopen takové incidenty nebo události vůbec detekovat. 

To vždy není docela dobře možné, byť zákon v § 6, odst. 3 písm. e) zná „nástroje pro detekci kybernetických bezpečnostních událostí“ (čímž je patrně myšlen Intrusion detection system), který ovšem lze nasadit až před konkrétní systémy, jeho nasazení v sítích elektronických komunikací lze však označit jednak za krajně neefektivní a kromě toho i za ohrožující soukromí konkrétních uživatelů. 

Další platnou námitkou je, že ne každá událost, detekovaná systémem IDS, je skutečně bezpečnostní událostí, existují i různé bezpečnostní testy, audity atd., jejichž účelem je prověření existujícího zabezpečení, výkonnosti prvků atd. 

Nepovažuji za smysluplné, aby každé takové testování mělo vyvolat následný řetězec bezpečnostních událostí, z nichž každou by pochopitelně bylo nutné zaznamenat do bezpečnostní dokumentace příslušné Povinné osoby a každá by zabrala pracovníkům jak povinných osob, tak Úřadu, resp. CERTu, nějaký ten čas a stála je nějaké nenulové úsilí.

Vágní důvodová zpráva

Zajímavou analýzu důvodové zprávy k předmětnému zákonu přinesla i Česká pirátská strana, kde upozorňuje na skutečnost, že důvodová zpráva obsahuje zavádějící a místy i nepravdivá tvrzení, že argumenty v důvodové zprávě nejsou dostatečně relevantní ani dostatečně silné k zavádění takhle striktní regulace a že návrh situaci v oblasti kybernetické bezpečnosti v ČR žádným podstatným způsobem nezlepší, ale naopak ji může i zhoršit. S těmito závěry odkazovaného materiálu si dovoluji souhlasit.

(D)DoS útoky pod zákonem

Představme si, že by se opakovala situace z počátku března a došlo opět k masivním (D)DoS útokům proti široké škále českých webových služeb, zpravodajskými servery počínaje a bankovními aplikacemi konče. Co by bylo oproti stávající situaci jinak? 

Operátoři, přes jejichž sítě útoky šly, by dotyčné incidenty museli zdokumentovat způsobem, stanoveným prováděcím předpisem (tedy zatím neznámým způsobem) a předat CERTu. Totéž by museli učinit provozovatelé komunikačních a informačních systémů kritické infrastruktury a správci významných informačních systémů (neproklínejte mě, já si tuhle prkennou formulaci nevymyslel, tak je to napsané v návrhu zákona) a hlášení předat pro změnu Úřadu. 

Oproti současné situaci, kdy operátoři dobrovolně reportovali problém specialistům z CZ.NICu, který je stávajícím provozovatelem CSIRT.CZ, by to tedy byla komplikace, protože provozovatelé sítí elektronických komunikací by reportovali jinam než provozovatelé informačních systémů. 

Nerozumné opatření

Jak by to pokračovalo dál? CERT a Úřad by pak kontaktovali jednak síť, z níž patrně útok přicházel, a taktéž CERT/CSIRT v zemi, v níž má dotyčná síť sídlo. Opět žádná změna oproti stávajícímu stavu. Úřad následně vydá bezpečnostní opatření. 

To může být relativně rozumné, například ve stylu „udělejte, co uznáte za vhodné a potřebné“ – k tomu ovšem žádný úřad nepotřebujeme, nebo vydá bezpečnostní opatření nerozumné, například ve stylu „odpojte se od Internetu“, „filtrujte všechen provoz“, „nasaďte blackholing proti celému světu“, „depeerujte příslušnou síť“ apod. Tím ovšem situaci dále zhorší. 

Současný CSIRT.CZ dnes může vydat doporučení, které operátoři a provozovatelé informačních systémů mohou, ale nemusejí uposlechnout, kupříkladu shledají-li takové opatření nesmyslným či neodůvodněným.

Proč očekávám, že Úřad vydá nerozumné bezpečnostní opatření? Inu jednak proto, že jsem si přečetl jeho vlastní návrh zákona o kybernetické bezpečnosti. Dále proto, že mám své zkušenosti s českou státní správou a také proto, že jsem přesvědčen, že konkrétní provozovatelé sítí elektronických komunikací a informačních systémů znají své sítě a systémy lépe, než je kdy může znát jaký orgán státní správy. 

I motivace Úřadu je odlišná. Provozovatelé mají přímý finanční zájem na poskytování funkčních služeb svým zákazníkům, Úřad ale k fungování ku spokojenosti zákazníka/uživatele žádným přímým způsobem motivován není. 

I to je dostatečně dobrý důvod, abychom bezpečnost ponechali na provozovatelích sítí a informačních systémů a nenakládali na ně pod hrozbou trestů další nadbytečnou administrativní a provozní zátěž.

Možná motivace útoků

Jsou to samozřejmě jen spekulace, ale v různých diskusích to zaznělo mnohokrát: nelze než považovat za svrchovaně zajímavé, že se takové masivní útoky na české internetové služby objevily právě v době, kdy je tento zákon připraven. 

Nepochybně existují osoby a také instituce, které mají na jeho prosazení značný zájem. Vytvoří to nějaká nová pracovní místa, spojená se značnými exekutivními pravomocemi. Pro skutečné specialisty sice zajímavá nebudou, ale pro script kiddies či někoho, kdo si takový útok koupil, zajímavá být třeba mohou. 

Netvrdím, že za těmito útoky stojí přímo NBÚ, byť ani tuhle variantu nelze zcela vyloučit, ač ji kupříkladu Jiří Peterka rezolutně zavrhl, aniž by se s ní ovšem jakkoli argumentačně vypořádal, tedy kromě označení takové myšlenky za naivní. Někdo, kdo by mohl mít zájem o poklidnou IT práci bez zodpovědnosti ve státní sféře s jistotou stálého příjmu až do důchodu, by za nimi ovšem stát mohl. 

Stejně jako by za nimi mohl stát někdo, kdo by se následně chtěl pokusit provozovatelům postižených služeb prodat „řešení“, případně kdosi, kdo měl zájem si pouze ověřit své „schopnosti“. 

Pod státní ochranou

V každém případě je nezbytné si uvědomit, že stát nikoho před podobnými problémy uchránit nedokáže, stejně, jako téměř nikoho nedokáže uchránit před kriminalitou v prostoru reálném, a to včetně sebe sama.

EBF16

Řešení kybernetické bezpečnosti ve stylu uvedeného návrhu zákona mi tak ze všeho nejvíce připomíná následující úsměvné video:

218 názorů Vstoupit do diskuse
poslední názor přidán 2. 5. 2013 18:33

Školení: Jak na firemní Facebook prakticky

  •  
    Jak efektivně propojit Facebook s webem.
  • Jak vše měřit a vyhodnocovat.
  • Jak řešit krizové situace.

Detailní informace o školení Facebooku »