K novele zákona o Vojenském zpravodajství (VOZ) jsem se už párkrát vyjadřoval a není tedy asi nutné připomínat, že nejsem velkým příznivcem této normy. Osobně si myslím, že umělé rozdělení na kybernetickou bezpečnost a kybernetickou obranu a také propojení tohoto tématu se zpravodajskou službou je velmi špatný nápad. Razantně jsem vystupoval i proti tomu, aby VOZ mohla technicky získávat veškerá data internetového provozu. Pojistka v zákonu ve formě prohlášení, že se VOZ obsahem nebude zabývat, mi přišla slabá. Stejně tak mi vadí, že by k diskusi o nasazení příslušné techniky nebyli přizváni odborníci mimo okruh VOZ či ministerstva obrany.
Dnešní zasedání výboru pro bezpečnost přineslo mírně příznivé zprávy. Za prvé, navrhovaný pozměňovací návrh říká, že VOZ bude moci získávat pouze metadata. Přeloženo do obecné češtiny to znamená, že VOZ „uvidí“ pouze hlavičky (obálky) zpráv a nikoliv obsah zpráv. V praxi to znamená, že například uvidí, že si dva mailové servery předávaly nějakou zprávu, ale nebudou vědět od koho komu a co v ní bylo. Budou také případně moci vidět, že z nějaké konkrétní IP adresy kdosi přistupoval na web např. Seznamu, CZ.NICu či třeba na servery s obsahem pro dospělé.
Nebudou mít ale 100% jistotu, kdo a co tam stahoval. Daná IP adresa může sloužit firmě, nějaké domácnosti, ale bohužel i pouze konkrétnímu jednotlivci. Dále tato změna také znamená, že je vyloučeno nasazení aktivního zařízení, přes které by protékal veškerý provoz, i pasivního zařízení, které by odposlouchávalo veškerou komunikaci nějaké linky. V praxi by to pravděpodobně znamenalo, že by ISP ze svého routeru posílal informace o provozu pomocí NetFlow či sFlow, což je relativně běžná procedura, která se pro monitoring sítě používá. Ale je pravdou, že pro některé ISP s routery bez této funkcionality to může být určitá technická komplikace.
Druhá změna se týká zřízení poradního orgánu, jenž by měl zahrnovat i odborníky z řad operátorů a který by vydával odborná stanoviska k navrhovanému nasazení techniky. Trochu tomuto ustanovení vyčítám, že není lépe řečeno, kdo přesně bude členem tohoto orgánu. Praxe by to sice vyjasnila, ale byl bych radši, kdyby tam bylo jasně napsáno, že tam budou například i zástupci národního i vládního CERT týmu apod.
Třetí změnou je vydávání každoroční zprávy o učiněných opatřeních. Opět to je pochopitelně dobrý posun. I když je trochu škoda, že navrhovaná úprava je v této věci velmi stručná. Považoval bych za lepší, kdyby zmiňovaná zpráva obsahovala i výčet závažných útoků, jež daná technika pomohla detekovat či eliminovat.
Každopádně závěr výboru vítám. Pořád si sice myslím, že by bylo lepší kybernetickou obranu a bezpečnost této země zajistit jinými mechanismy, ale tento pozměňovací návrh novelu jednoznačně zlepšuje.
Text původně vyšel na blogu CZ.NIC.
