Nastavená úzká spolupráce regulátora s Vojenským zpravodajstvím, resp. i s civilní rozvědkou, je dalším jednotícím prvkem připravované právní úpravy kybernetické bezpečnosti v tuzemsku a na východ od našich hranic. Ve srovnávání obou přístupů ke kyberbezpečnosti budeme v našem seriálu pokračovat, a to právě problematikou zapojení zpravodajských služeb.
Podle české úpravy mají zpravodajské služby důležitou výjimku. Ať už provozují jakoukoliv službu, nikdy nebude regulovaná, tedy nebudou muset vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) plnit ohlašovací a další povinnosti. To ale neznamená, že by se regulátor a rozvědčíci spolu nebavili. Naopak velmi čilá a intenzivní komunikace se očekává mimo jiné v případě, kdy by mělo dojít na aplikaci mechanismu bezpečnosti dodavatelského řetězce, tedy předtím, než by NÚKIB začal podnikat kroky k omezení konkrétního dodavatele. Tehdy se regulátor na zpravodajce obrátí se žádostí o informace a ti mu nejpozději do 30 dnů sesbírané poznatky poskytnou. V jiných případech je součinnost možná, pokud tomu přímo nebrání zákon o zpravodajských službách nebo povinnost mlčelivosti.
Zákon pamatuje i na aktivní protiúder
Čeští rozvědčíci dostali odpovědnost za obranu státu v kybernetickém prostoru na starost už v roce 2021 při změně zákona o vojenském zpravodajství. Mají cíleně detekovat kybernetické útoky a hrozby přicházející ze zahraničí, pokud směřují proti důležitým zájmům státu, ty identifikovat, vyhodnocovat a ty detekované odvracet.
NÚKIB je do tohoto úkolu zapojen tím, že zpravodajcům předává data a informace potřebné ke stanovení ukazatelů hrozeb a útoků. S poskytovateli telekomunikačních služeb pak má vojenské zpravodajství uzavřeny písemné dohody o spolupráci, které upravují technické podmínky, za nichž v sítích elektronických komunikací detekce probíhá. Dále je zde upraven způsob předávání metadat o zachyceném útoku nebo hrozbě a výpočet pro určení výše efektivně vynaložených nákladů, které s touto spoluprací operátoři mají. Pro případ, že by operátor nechtěl smlouvu uzavřít, podobně jako slovenský zákon i ten náš pamatuje na způsob, jak si potřebnou součinnost zjednat takříkajíc na sílu.
Detekce neznamená odposlech obsahu přenášené komunikace nebo záznam zpráv. Tedy důvěrnost spojení je tu garantována. Pokud činnost rozvědčíků přinese ovoce a odhalí hrozbu nebo útok, předá zpravodajská služba armády informace k odvrácení hrozby dál. Ať už je to národní CERT, příslušné státní orgány nebo i další osoby. Hrozí-li tu nebezpečí z prodlení, může vojenské zpravodajství provést aktivní protiúder v kybernetickém prostoru jako řešení poslední instance.
Naposledy ze strany Národního centra kybernetické obrany jako součásti vojenského zpravodajství k němu došlo letos v lednu při mezinárodní operaci Dying Ember vedené vůči skupině APT28 napojené na ruskou vojenskou rozvědku GRU. Ta zneužívala kompromitovanou infrastrukturu routerů a cílila při tom mimo jiné na české vládní instituce. V tuzemsku fungovalo několik desítek takových zranitelných zařízení. Obranný úder spočíval v tom, že operační tým se napojil na kompromitovaná zařízení, odstranil v nich chyby a tím do nich Rusové ztratili přístup. Tím tajná služba de facto invazivním způsobem vstoupila do soukromých zařízení.
Vnitrostátní incident musí být na Slovensku vyřešený do měsíce
Slováci mají kyberbezpečnost s rozvědkou provázánu podobně těsně, jen právní podmínky k tomu nejsou rozdělené do dvou zákonů, ale vše podstatné je koncentrované do zákona o kyberbezpečnosti. Také tam provozuje samostatná organizační složka vojenského zpravodajství Centrum pro kybernetickou obranu slovenského státu. Za tím účelem se i ona může přímo obracet na provozovatele důležitých objektů nebo prvků kritické infrastruktury a požadovat od nich součinnost a další informace.
A funguje to i naopak. Národný bezpečnostný úrad (NBÚ) má dosud povinnost hlásit vojenskému zpravodajství takový závažný kyberbezpečnostní incident, který vyhodnotí jako kybernetický terorismus, anebo který spadá do nejvyšší kategorie III. stupně. Toto rozřazení závisí na počtu uživatelů zasažených incidentem, délce jeho trvání, stupni narušení fungování základní nebo digitální služby, posuzuje se geografické šíření následků a rozsah vlivu incidentu na hospodářské nebo společenské činnosti státu. Připravovaná novela podmínky zjednoduší a vojenské zpravodajství tak získá přímo od regulátora povědomost o širším okruhu problémů. Následné detaily o závažném kyberbezpečnostním incidentu dostane přímo od provozovatele základní služby.
Podobně jako u nás i na Slovensku bude v případě pokračujícího útoku nutné zaslat těch hlášení několik. Český návrh zákona počítá s prvotním hlášením do 24 hodin, potom s následným oznámením doplněným o dopad a indikátory kompromitace do 72 hodin, a nejpozději za 30 dnů by měla přijít závěrečná zpráva o vyřešení incidentu, nebo alespoň průběžná zpráva o aktuálním stavu jeho zvládání.
Slovenská úprava je obdobná, do 24 hodin se hlásí včasné varování, kde regulátora zajímá, zejména zda incident může mít spojitost s protiprávním jednáním nebo může mít přeshraniční vliv. Následuje do 3 dnů doplněné oznámení s posouzením závažnosti a následků incidentu a do měsíce závěrečná zpráva. Slovenská legislativa nepočítá s tím, že by všechny incidenty mohly být v řešení déle než 30 dnů, a tak závěrečnou zprávu po této lhůtě připouští jen v případech incidentů s přeshraničním vlivem.
Dobrovolnosti se meze nekladou
Slovenský zákon detailněji upravuje problematiku dobrovolných hlášení problémů v kybernetickém prostoru, tedy těch nad rámec povinných oznámení. NBÚ si do novely zakotvilo úpravu, dle které taková hlášení regulátor zpracovává a analyzuje v rozsahu, v jakém mu to umožňují technické podmínky a kapacity tak, aby nedošlo k „nepřiměřenému zatěžování subjektů a neomezovala se mezinárodní spolupráce“. Současně tu nechybí disclaimer, že odesílateli dobrovolného hlášení, pokud není provozovatelem základní služby, nevznikají žádná práva ani povinnosti podle kyberzákona.
Náš připravovaný návrh zákona o kybernetické bezpečnosti se omezuje na konstatování, že NÚKIB dobrovolná hlášení kybernetických bezpečnostních incidentů a kybernetických bezpečnostních událostí nebo hrozeb přijímá, a to prostřednictvím Portálu NÚKIBu. To samé platí pro zjištěné a dobrovolně oznámené zranitelnosti. Co se s takovým hlášením má dít následně, o tom návrh zákona mlčí.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU