Dohoda s operátory a online firmami spíše než nucené nasazení „online radarů“ do soukromých sítí, využívání dat o kyberútocích, které už operátoři sami shromažďují, či předávání informací o hrozbách národnímu bezpečnostnímu týmu CERT. To jsou některé novinky, které má do novely zákona o Vojenském zpravodajství (VZ) přinést komplexní pozměňovací návrh vyjednaný mezi zpravodajskou službou a zástupci operátorů a českých firem. Novelu na jaře schválila vláda a momentálně čeká v Poslanecké sněmovně na tzv. první čtení, po kterém má zamířit do výborů. Lupa má návrh k dispozici.
Původně kontroverzní novela, která má dát VZ pravomoci při obraně Česka před kybernetickými útoky, tak nově má podporu velkých profesních sdružení v českém IT sektoru. Pozměňovací návrh vznikl v rámci společné pracovní skupiny zahrnující zástupce VZ, operátorů a online firem na platformě Svazu průmyslu a dopravy.
„Došlo možná ke vzájemnému nepochopení, určitě byly chyby i na naší straně,“ říká k původnímu návrhu zástupce ředitele VZ Václav Žid. „Na začátku tu existoval chybný narativ, že Vojenské zpravodajství bude mít na starost kompletní kybernetickou obranu České republiky. Tak to samozřejmě není – nemůže existovat jediný subjekt, který by kybernetickou obranu zaštítil, je to vždy o spolupráci mezi všemi zúčastněnými aktéry,“ vysvětluje, proč pozměňovací návrh počítá s tím, že zpravodajci budou s tuzemskými online firmami více spolupracovat.
„Měli jsme o zákonu svou představu, která byla odrazem našich interních materiálů, ale když jsme přišli na jednání s partnery, říkali nám, to je sice hezké, ale to v návrhu není napsané,“ popisuje pro Lupu cestu k úpravám. „Pochopili jsme, že operátorům a firmám vadí umisťování nástrojů detekce, ale pro nás to byl zákon o obraně, který řeší skutečně až ta nejzazší opatření, ke kterým bychom mohli přistoupit. Ani v původním návrhu jsme nepočítali s tím, že bychom nástroje detekce umisťovali skutečně všude. Předpokládali jsme, že bude lepší s operátory uzavřít spolupráci a pak s nimi mluvit o výměně informací – umístění nástroje detekce mělo být skutečně až to poslední řešení,“ dodává.
Dohoda o spolupráci a součinnost
V pozměňovacím návrhu tak přibyla ustanovení, která říkají, že VZ může při detekci hrozeb směrem k firmám a operátorům postupovat třemi možnými způsoby. Prvním je uzavření dohody o spolupráci, na jejímž základě mohou potřebná metadata zpravodajcům předávat samotné firmy. Čerpat přitom mají z vlastních bezpečnostních mechanismů, které už dnes k ochraně svých sítí a služeb využívají.
„Disponujeme zpravodajskými informacemi a potřebujeme je promítnout do reálného prostředí. Zatím totiž nemáme žádné nástroje, jak se do něj dostat. Není potřeba jít a priori cestou invazivního umístění našeho zařízení, když jednotliví operátoři bezpečnostní situaci a komunikaci na sítích už teď tak jako tak sledují a mají také nějaké zákonné povinnosti, vyplývající například ze zákona o elektronických komunikacích nebo zákona o kybernetické bezpečnosti a podobně,“ vysvětluje Marek Vrbík z armádního Národního centra kybernetických operací. Návrh zákona podle něj dává VZ oprávnění dohody uzavírat a zároveň poskytuje operátorům zákonný důvod, proč data mohou VZ předávat.
„V rámci návrhu zákona je jasně stanoveno, co musí být v dohodě zakotveno, a není to tak, že bychom mohli žádat o cokoli. My predikujeme, co by mohl být indikátor, který nám řekne o nějakém hrozícím, nebo dokonce už probíhajícím útoku. Tyto indikátory předáme operátorovi, a když na ně operátor v rámci své infrastruktury narazí, předá nám pouze ta metadata, která s těmito ukazateli souvisejí,“ popisuje Vrbík plánovaný mechanismus.
Pokud by hrozila časová nouze a VZ by nemělo s nějakou firmou, na jejíž síť má mířit útok, dohodu uzavřenou, má mít podle pozměňovacího návrhu další možnost: vyžádat si po této firmě „po nezbytně nutnou dobu součinnost při cíleném vyhledávání konkrétního kybernetického útoku nebo hrozby pomocí ukazatelů v rozsahu bezpečnostních opatření, která tato osoba již provádí“.
„Nemůžeme uzavírat dohody se všemi poskytovateli, ale může nastat situace, kdy víme o možném útoku, který může přijít v horizontu dnů – jako například byly nedávné útoky na nemocnice. Do návrhu zákona proto přibyla ještě možnost vyžádat si součinnost ke konkrétnímu útoku jako takovému. Jde o jakýsi druhý stupeň ještě předtím, než by teoreticky přicházelo v úvahu umisťovat vlastní nástroj detekce,“ říká Vrbík. VZ přitom může po firmě žádat jen metadata, která už operátor v rámci svých vlastních bezpečnostních opatření zjišťuje.
Sondy v sítích
Třetí, nejinvazivnější možností má být pro VZ stejně jako v původní verzi novely umístění vlastních sond (nástrojů detekce) do soukromých sítí. Operátorovi to má mít možnost ve správním řízení přikázat ministerstvo obrany, přičemž odvolání (rozklad) nemá mít odkladný účinek. K nařízení má mít podle návrhu VZ možnost sáhnout jen v případě, že s ním firma odmítne spolupracovat, tedy: „… nelze ani s vynaložením potřebného úsilí dosáhnout uzavření ani změny dohody o spolupráci pro zajišťování detekce.“ Anebo v případě, že „zajišťování detekce na základě dohody o spolupráci uzavřené podle § 16b odst. 2 není účinné“. Tedy například v případě, že firma nebude mít ke sledování metadat sama dostatečné nástroje.
TIP: Přečtěte si detaily o původním textu návrhu novely o vojenském zpravodajství
„V praxi to bude vždycky fungovat po dohodě s operátorem tak, aby mu to technicky vyhovovalo. Nemusí se umisťovat vždy přímo do provozu, bude to vždy s ohledem na infrastrukturu konkrétní firmy.“ Případné sondy podle návrhu nesmí ovlivňovat integritu sítě a nově ani kvalitu poskytovaných služeb „jinak než v rozsahu odpovídajícím veřejnému zájmu na zajišťování obrany státu“.
„Dlouhá léta jsem působil v IT, kde jsem byl odpovědný za provoz technologií. Pamatuju se, jak pro mě bylo těžké, když jsem něco provozoval a měl svá SLA a pak přišel nějaký bezpečák a řekl, my máme nápad, něco si sem k tobě píchneme. A vy namítáte: odpovědnost za kvalitu služby mám já, ne ty. Takže rozumím obavám některých operátorů a tomu, že říkali, ono je snad napadne těmi krabičkami ještě i útočit. Proto do návrhu přibylo například to, že jde skutečně o pasivní zařízení – i když ani dřív nikoho nenapadlo, že bychom jimi měli skutečně na někoho útočit,“ doplňuje Žid.
„Podobné je to i s povinností mlčenlivosti. Důvod, proč o zařízeních nemluvit, je ten, že nechceme, aby někde existoval seznam, kde tyto body jsou, a abychom tak nevyzradili plán ochrany našich aktiv nepříteli,“ vysvětluje.
Jak má fungovat cílená detekce
Co vlastně chce VZ v sítích (ať už na základě dohody, nebo nařízeného umístění sondy) zjišťovat? A na jakých informacích má podle novely stavět své požadavky na data od operátorů? Základem mají být tzv. ukazatele (indikátory), které svědčí o hrozícím nebo probíhajícím útoku. Zpravodajci je podle novely mohou získávat při své analytické činnosti, od jiných tajných služeb nebo z dalších zdrojů.
„Můžeme třeba zjistit, že dochází k nákupu nějaké infrastruktury za nějakou virtuální měnu a na této infrastruktuře nejede žádný byznys case. Podobné poznatky sdílíme i s partnery v rámci zpravodajské komunity a NATO – to může být další zdroj informací. Pak se může ukázat, že v podobné infrastruktuře je nějaký řídící server, který začne vykazovat určitou činnost nebo se na něco připravovat. Nejdelší částí kybernetického útoku je obvykle právě příprava, když někdo mapuje vaši infrastrukturu a snaží se zjistit, co a jak. A pokud budeme mít podezření, že jde o nějaký Command & Control server (řídící uzel, např. v botnetu – pozn. redakce), bude nás zajímat, jaká komunikace z něj probíhá,“ vysvětluje na příkladu Žid.
„Samozřejmě nejde jen o ukazatele získané v rámci kyberprostoru, přísluší k tomu sběr informací napříč úplně vším. Dá se třeba předpokládat, že jestliže se někdo rozhodne pro zájmy České republiky vycestovat do země, o níž si některá jiná větší země myslí, že je její nedílnou součástí, může to znamenat, že se o nás ta větší mocnost začne nějakým způsobem zajímat i v kybernetickém prostoru,“ dodává k tomu, jak chce VZ předpovídat možné útoky.
Novinkou v pozměňovacím návrhu je možnost, že VZ bude moci informace o hrozících útocích předat i tuzemskému provozovateli národního CERT (Computer Emergency Response Team), kterým je na základě smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost sdružení CZ.NIC.
„Když americká FBI například zjistí, že se chystá nějaký útok na nemocnice, může vydat varování a podle TLP protokolu určí, kterým aktérům se informace mohou šířit. My bychom také chtěli dělat něco podobného,“ popisuje Žid. Podle návrhu bude moci VZ varování předat, „pokud vyhodnotí, že je to pro účely zajištění kybernetické bezpečnosti státu účelné“ a „jestliže [předáním] nedojde k ohrožení důležitého zájmu státu“.
Co jsou to metadata
Podle návrhu nesmí VZ sledovat obsah internetové komunikace, ale jen metadata o provozu v síti. Návrh je definuje jako data „popisující informace a souvislosti nezbytné pro přenos dat, jejich strukturu a čas o zachyceném provozu veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací, a to pouze v rozsahu souvisejícím s detekovaným kybernetickým útokem nebo hrozbou na základě stanovených ukazatelů; součástí není obsah přenášených dat“. V případě umístění sondy má jít také o data o jejím provozu a o údaje o případné manipulaci s její konfigurací.
Návrh novely už na jaře nepočítal s tím, že by VZ mohlo metadata sbírat plošně, ale vyžadoval cílenou detekci jen v případě konkrétních hrozeb či útoků. To v pozměňovacím návrhu zůstalo.
Co konkrétně se ale oněmi metadaty rozumí? „Je to IP adresa, port, velikost paketu a čas,“ vypočítává výkonný ředitel peeringového sdružení NIX.cz Adam Golecký, který se vyjednávání pozměňovacího návrhu účastnil.
„Třeba v dubnu jsme zaznamenali případ, kdy se zjistilo, že existuje jedna IP adresa, se kterou se chce spojovat hodně zařízení. Informace přišla přes několik bezpečnostních složek do systému Fénix. Napsali jsme operátorům e-mail, aby sledovali tuto konkrétní IP adresu, nebo ji případně podle svého uvážení blokovali. Mělo to docela ohlas. Na to, že žádost přišla pozdě večer, bylo schopných zareagovat asi patnáct operátorů. A to bylo čistě dobrovolné. Teď to podle mě bude fungovat tak, že přijde požadavek ‚toto je řídící centrum, až s ním bude někdo komunikovat, dejte nám vědět‘. Nebo dorazí žádost, abychom to centrum přímo zablokovali – podle toho, jak si zpravodajská služba vyhodnotí podklady,“ dodává.
„Nejzásadnější informací pro nás je, že k události, které jsme se obávali, došlo, že útok probíhá a my víme například, odkud kam nebo na koho míří,“ doplňuje ho Vrbík.
Jak vypadá aktivní obrana
Jedním ze sporných bodů novely byla navrhovaná pravomoc, že VZ může v případě probíhajícího útoku provést „aktivní zásah k neprodlenému odvrácení detekovaného kybernetického útoku či hrozby, pokud neexistuje jiná možnost řešení“. O tom, jak má takový aktivní zásah probíhat, zástupci VZ ani dnes příliš mluvit nechtějí. Zdůvodňují to tím, že by před možnými útočníky neradi příliš odkrývali karty. „Nebude to znamenat, že se bude z nějaké krabičky někam útočit, to vůbec ne. Nemusí to ani být technický zásah, může se jednat o postup na lidské úrovni,“ naznačuje Žid.
„Rozhodně se nebude jednat o něco jako ‚odvetný útok‘. Nebo vlastně jakýkoli útok, jde spíš o legalizaci toho, aby stát měl možnost sebeobrany. Fakticky to bude snaha zabránit efektům útoku, když už na základě zpravodajské činnosti budeme vědět, že má k nějakému napadení dojít. Často to mohou být velmi jednoduché úkony, odklonění, klamání, honeypoty a podobně,“ doplňuje ho Vrbík.
„Návrh říká, že Vojenské zpravodajství může i aktivně útočit, za předpokladu, že ten úkon nemůže splnit nikdo jiný. Neuralgie tohoto bodu byla podle mě v tom, že si každý představoval tu krabičku umístěnou v síti operátora a že z ní budou probíhat útoky. To je ale samo o sobě nesmysl, opravdu si nemyslím, že ve Vojenském zpravodajství by někde někdo čekal s prstem na červeném tlačítku, aby si řekl, že třeba teď síť bývalého českého UPC zaútočí někde na Krymu (smích). Jsem rád, že se nám tyto nerealistické představy podařilo vyjasnit a zklidnit,“ podotýká Jaromír Novák, který od září pracuje v NIX.CZ jako partner pro regulatorní záležitosti.
Podle zástupců VZ se operátoři nemusí obávat toho, že by zpravodajci k aktivním zásahům přistupovali nepromyšleně. „Samozřejmě si uvědomujeme možná rizika. Slyšel jsme komentáře typu ‚co když zpravodajci začnou na někoho bezhlavě útočit, vždyť infrastruktura, ze které probíhá útok, není tím, kdo za útokem ve skutečnosti stojí‘. Toho jsme si vědomi a bereme to opravdu vážně. Atribuce nemusí být vůbec možná nebo může trvat dlouhá léta, to si uvědomujeme a máme s tím zkušenosti z jiných operačních domén,“ vysvětluje Žid.
Proč právě Vojenské zpravodajství
Vojenské zpravodajství má podle dosavadních zákonů „jen“ získávat, shromažďovat a vyhodnocovat informace. K zapojení do aktivní kybernetické obrany zpravodajskou službu zmocnilo až usnesení vlády, která v roce 2015 schválila Akční plán k Národní strategii kybernetické bezpečnosti ČR na období let 2015 až 2020. Podle Žida je logické, aby se Vojenské zpravodajství do kybernetické obrany státu zapojilo.
„Současné zákony o zpravodajských službách vznikly v 90. letech a říkají, že služby mají primárně zajišťovat informace. Nicméně když se dnes podíváme na to, jak služby ve skutečnosti fungují a co dělají, tak nedávno se třeba podle zpráv v médiích jedna služba podílela na vyjednání předání unesených českých občanů. Ve finále to tedy není jen o sběru informací, ale i o aktivní činnosti. Teď chceme tuto novou realitu transparentně promítnout i do nové domény kybernetického prostoru,“ říká Žid.
„Operátoři ví, co se v jejich sítích děje, jaké jsou datové toky a bezpečnostní incidenty, ale určitě nemají kapacitu na to dávat tyto informace do souvislostí s geopolitickými projekcemi cizích mocností a podobně. My ty informace máme mít, máme je posuzovat a stejně jako máme informovat o rizicích, které hrozí zájmům České republiky v jiných oblastech, máme to dělat i v kyberprostoru,“ dodává. Přístup zpravodajských služeb napříč NATO je podle něj stejný.
„Kybernetickou obranu nemá dělat jen Vojenské zpravodajství, ale má na ní mít podíl. Otázkou není proč my, ale spíš by měla znít ‚proč už v tomto směru něco neděláte,‘“ uzavírá.
