O blokování stránek s nepovoleným hazardem, které má jít ve středu do třetího čtení v Poslanecké sněmovně, jsme na Lupě napsali už hodně. Návrh zákona o hazardních hrách zavádí pro poskytovatele připojení (ISP) povinnost do 15 dnů blokovat weby, které se objeví na seznamu sestaveném ministerstvem financí. Norma ale neřeší jednu důležitou věc: jak blokování zařídit technicky.
První konkrétnější informace získala firma Seznam, která se ministerstva financí na požadovaný mechanismus oficiálně zeptala. Lupa má odpověď zástupce Státního dozoru nad sázkovými hrami a loteriemi na dotazy Seznamu k dispozici (její kopii najdete níže v článku).
Ministerstvo v ní nejdřív konstatuje, že poskytovatelé připojení budou mít nově povinnost blacklist stránek s nepovolenými hrami sledovat a uvedené weby do 15 dnů zablokovat. O zařazení webu na seznam bude úřad rozhodovat ve správním řízení – to se ale nebude týkat jednotlivých ISP, takže provideři nebudou moci do procesu nijak zasahovat.
Co to je „zablokovaný web“
Jak konkrétně mají ISP weby blokovat? Návrh zákona nic konkrétního nestanoví. Podle ministerstva je to schválně, a to „… za účelem zachování flexibility zákona, neboť stěží si lze představit dynamičtější materii, než je internetové prostředí.“ Z hlediska úřadu to má logiku: pokud by zákon popisoval konkrétní metody, jak mají ISP web blokovat, musel by se s největší pravděpodobností často měnit, což není tak jednoduché a dlouho to trvá. Ministerstvo tak uvádí jen to, že:
…z technického hlediska naplnění účelu zákona bude postačující, když se daná webová stránka prostě nezobrazí či se zobrazí informace, že se jedná o blokovaný obsah dle návrhu.
Z hlediska ISP je ale vágnost zákona hodně problematická. Norma neříká, co to vlastně „zablokovat“ web znamená a která z metod je podle zákona dostatečná. Dosáhnout stoprocentního zablokování webu přitom v podstatě není technicky možné – a i jen přiblížit se absolutní blokaci je hodně drahé. Zákon přitom nespecifikuje, jestli bude stačit, když stránku neuvidí třeba 90 % uživatelů. Nebo 75%. Nebo polovina.
„Ministerstvo buďto nemá ani základní představu, jak velký je to zásah do podnikání operátorů, anebo se domnívá, že jsme vybavení nějakou moderní verzí pohádky Oslíčku, otřes se. Požadované blokování je odborně i technicky vysoce náročné,“ komentuje představy úřadu šéf ISP Alliance Jakub Rejzek.
Podle něj existuje několik variant, jak jsou ISP schopní obsah blokovat: „V zásadě to nejde snadno. Znamenalo by to mít speciální HW s firewallem, který by prováděl diagnostiku až na 7. síťové vrstvě OSI. To je velmi drahé zařízení a operátoři s ním obvykle ani nemají důvod disponovat,“ popisuje.
„Další možností je blokování celého rozsahu IP adres, což ale znamená blokování i dalších domén hostovaných na stejné IP adrese. Blokování lze také provádět změnami DNS záznamů. Toto řešení lze ale technicky obejít, umět to bude zákazník i s poněkud vyšší laickou znalostí,“ doplňuje Rejzek.
Doména 3. řádu a URL za lomítkem
Požadovaný rozsah blokování je obecně velmi slabým místem celého návrhu. Ve zmíněné odpovědi Seznamu ministerstvo své představy popisuje následovně:
V současnosti je však jisté, že nezbytná blokace by měla co nejméně zasahovat do legálního obsahu daného webu (z čehož vyplývá, že se nepočítá se zablokováním celého serveru, resp. domény 2. řádu). Obecně lze tedy říci, že se bude blokovat od domény 3. řádu a níže. Adresa hypertextového protokolu může obsahovat konkrétní hru nicméně i za lomítkem – v tomto případě bude blokována adresa za lomítkem. Konkrétní případy se tedy mohou lišit. Pro ISP, potažmo veřejnost, však technický algoritmus blokace nemá valný význam, neboť tuto problematiku bude řešit výhradně Ministerstvo financí.
Pojďme se na to podívat podrobněji. Je určitě dobře, že si ministerstvo uvědomuje, jaké velké škody by mohlo napáchat, kdyby požadovalo blokování celých webů nebo IP adres. Jenže blokování domén 3. řádu v praxi nic neřeší – provozovatel hazardní hry určitě zvládne zřizovat nové domény 3. řádu mnohem rychleji, než je úřad dokáže zařazovat na svůj blacklist.
Také podle Rejzka má provozovatel webu řadu možností, jak blokování obejít: „Třeba dynamickými změnami doménových názvů. Databáze doménových názvů ministerstva bude potom tak obludně velká, že to bude klást ještě vyšší nároky na HW firewallu. Tak drahé řešení někteří finančně neunesou,“ popisuje.
Blokování „adresy za lomítkem“ je přitom ještě složitější. „Řeší to opět firewall na sedmé vrstvě OSI. Otázka je, jak se zabezpečenou komunikací, třeba když hazardní část bude na webu, který bude v zabezpečeném protokolu HTTPS. Potom nebude mít ISP jinou možnost, než blokovat celý web, a tím i nehazardní obsah,“ dodává Rejzek.
Jak obejít blokování
Dosáhnout blokování, které se aspoň blíží k neprůstřelnosti, je přitom pro ISP dost drahé. „Blokování domén 3. řádu si dovedeme představit na resolverech, které provádějí forwarding dál. To technicky zařídit nějakým způsobem možné je. Co se týče blokování podle celé URL, tam si dovedu představit řešení pomocí nějaké transparentní proxy, nicméně otázkou zůstává kapacita a cena takového zařízení a změna designu sítě, kterou si to vyžádá. Kdo to zaplatí? Mluvíme o nákladech v řádu desítek milionů korun. A ani tak ani jedno z těchto řešení nedokáže zajistit naprosto jednoznačné prosazení cíle tohoto zákona. Všechna použitelná řešení lze vždycky nějak obejít,“ uvádí Zbyněk Pospíchal z firmy Dial Telecom.
Jakékoli blokování internetového obsahu je přitom nekonečným bojem, který těžko někdy bude mít vítěze. „Postupem času bude přibývat dalších způsobů, jak blokování obejít. Například speciálními aplikacemi, které nebudou používat sledované protokoly, případně budou hazardní data pro přenos vhodně kryptována,“ říká Rejzek.
V této souvislosti je dobré připomenout jednu formulaci z odpovědi ministerstva. „V současnosti je však jisté, že nezbytná blokace by měla co nejméně zasahovat do legálního obsahu daného webu (z čehož vyplývá, že se nepočítá se zablokováním celého serveru, resp. domény 2. řádu).“
Úřad si tak do budoucna ponechává otevřená vrátka, aby mohl své požadavky měnit. A návrh zákona mu poskytuje bianco šek, se kterým může zacházet zcela podle své libosti.