Český parlament připravuje novelu zákona č. 289/2005 Sb., o Vojenském zpravodajství, která rozšíří působnost armádní rozvědky i na kyberprostor. S informací přišla jako první Mafra.

Co to znamená v praxi? Vládou navrženou novelu najdete na webu Poslanecké sněmovny jako tisk 931, který prošel prvním čtením a zatím se zastavil ve výborech. Plně znění v PDF a s tučně vyznačenými změnami pak najdete na této adrese.

Pojďme se na ty změny podívat bod po bodu.

Novela mění hned § 1, ve kterém přibyl nový odstavec, který praví, že Vojenské zpravodajství plní úkoly obrany České republiky v kybernetickém prostoru.

§ 1, odst. 3 Vojenské zpravodajství za podmínek stanovených tímto zákonem plní úkoly obrany České republiky v kybernetickém prostoru (dále jen „kybernetická obrana“).

Mohou nás odposlouchávat

No dobrá, ale jak ty úkoly budou vlastně naši vojenští zpravodajci plnit? Tomu se již obšírně věnuje část čtvrtá s podtitulem Kybernetická obrana a § 16. Píše se v něm, že specialisté mohou využívat nejrůznější technické prostředky k předcházení, zastavení nebo odvrácení kybernetického útoku.

Zajímavé je to slovíčko předcházení, které již implikuje, že Vojenské zpravodajství může mít přístup k informacím i v době klidu. Paragraf zároveň dává zpravodajcům právo používat technické prostředky k odposlechu osob, i když to bude v rozporu se zákonem o elektronických komunikacích.

§ 16a, odst. 2 a 3 (2) Vojenské zpravodajství může při zajišťování kybernetické obrany využívat technické prostředky kybernetické obrany, kterými jsou věcné technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky; Vojenské zpravodajství při zajišťování kybernetické obrany společně s technickými prostředky kybernetické obrany k dosažení shodného účelu využívá také související postupy a opatření. (3) Využívat technické prostředky kybernetické obrany na území České republiky, pokud lze očekávat, že naruší důvěrnost zpráv podle zákona o elektronických komunikacích a s nimi spojených provozních a lokalizačních údajů konkrétní osoby, lze výlučně za podmínek stanovených pro použití zpravodajské techniky tímto zákonem.

Takže Vojenské zpravodajství dohlíží na kybernetický mír a má k tomu technické prostředky a právo porušovat důvěrnost elektronické komunikace stejně jako třeba americká NSA, britská GCHQ a další.

Černé krabičky

Jenže aby mohli zpravodajci na cokoliv dohlížet, tak musejí mít nejprve fyzický přístup k samotné digitální dálnici, po které tečou naše pakety – přístup do sítě. No a to už se dostáváme k oněm černým krabičkám, jak se jim slangově říká. Prostě k softwarovým nebo hardwarovým přípojkám do infrastruktur operátorů a dalších telekomunikačních společností.

Umisťování podobných blackboxů upravují paragrafy § 16b a § 16c. Vstup zpravodajců do cizí digitální infrastruktury navrhne ministr obrany a posvětí Vláda ČR a není k tomu tedy potřeba rozhodnutí soudu.

§ 16b a § 16c (16b) Umístění technických prostředků kybernetické obrany podle § 16a může být provedeno výlučně na základě jeho schválení vládou, která rovněž schválí podmínky jejich používání k zajištění kybernetické obrany. Návrh na umístění technických prostředků kybernetické obrany, jehož součástí je také návrh podmínek jejich používání, předkládá vládě ministr obrany na základě návrhu ředitele Vojenského zpravodajství. (16c) Vojenské zpravodajství může za podmínek schválených vládou podle § 16b a v rozsahu potřebném pro zajišťování kybernetické obrany požadovat od právnické nebo podnikající fyzické osoby zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací zřízení a zabezpečení rozhraní pro připojení technických prostředků kybernetické obrany.

Zaplatí to stát

Samozřejmě se nabízí otázka, kdo to bude všechno hradit. Pro drobného operátora s omezenými prostředky by bylo zhotovení podobných zadních vrátek do jeho systému krajně problematické.

Novela na to pamatuje a na rozdíl od již schváleného hazardního blacklistu, kde veškeré náklady zůstanou na provozovateli sítě, v tomto případě vše zaplatí český stát.

Operátoři i technici budou muset mlčet

Jestli operátor podobný blackbox do své sítě nainstaluje, či nenainstaluje, se však nikdy nedozvíte, bude to totiž tajné a ISP se tím nebude moci chlubit ani zpětně, kdy už se o jeho síť nebude Vojenské zpravodajství jakkoliv zajímat.

Toto vše upravují tři odstavce § 98a.