Kybernetická obrana

Kybernetická bezpečnost Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Národní strategie kybernetické bezpečnosti pro období let 2015 až 2020, z 16.2.2015 Akční plán k Národní strategii kybernetické bezpečnosti pro období let 2015 až 2020, z 25.5.2015

Kybernetická bezpečnost/obrana Hlavní cíle Kód Úkoly Odpovědný subjekt Časový rámec Průběžně navyšovat technologické a organizační předpoklady k aktivnímu odvracení (potlačení) kybernetických útoků. C.9.01 V rámci Vojenského zpravodajství vytvořit Národní centrum kybernetických sil (NCKS), které bude schopné provádět široké spektrum operací v kyberprostoru a aktivity nutné pro zajištění kybernetické obrany ČR. NCKS bude schopné provádět vojenské operace v kyberprostoru, a to jak na podporu zahraničních operací AČR v rámci NATO nebo EU, tak i v případě hybridního konfliktu za účelem obrany ČR. VZ od Q1 2016 průběžně C.9.02 Připravit projekt financování a budování NCKS. Q4 2015 C.9.03 Zajištění vhodných prostor a nábor personálu pro NCKS. od Q4 2015 průběžně C.9.04 Vybudování kompletní technické infrastruktury pro NCKS. C.9.05 Připravit návrh nutných legislativních změn pro potřeby plné funkčnosti NCKS. ve spolupráci s: NBÚ/NCKB BIS ÚZSI Q3 2015

Kybernetická kriminalita Kybernetická bezpečnost Kybernetická obrana Kybernetický prostor Kybernetická kriminalita Kybernetická bezpečnost Kybernetická obrana Kybernetické zpravodajství Obrana státu je definována v § 2 zákona č. 222/1999 Sb., o zajišťování obrany České republiky, jako souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením. Obrana státu zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému. Ačkoli novela zákona o zajišťování obrany je v pořadí navrhovaných novel až druhá, v celém nově vytvářeném systému právní úpravy kybernetické obrany je první. Doplňuje totiž kybernetickou obranu do celkového systému zajišťování obrany státu. Kybernetická obrana bude přímou součástí obrany státu, přičemž jejím specifikem, vyjádřené ve stručné definici, je její realizace výhradně v kybernetickém prostoru. Ve všem ostatním pro ni planí totéž co pro ostatní druhy obrany. V § 2 nově vkládaném odstavci 2 bude řečeno, co se rozumí pod pojmem kybernetická obrana. Kybernetická obrana neslouží k řešení standartních kybernetických bezpečnostních incidentů v působnosti NBÚ ani kybernetické kriminality v působnosti PČR.

Kybernetickou obranou se rozumí obrana státu v kybernetickém prostoru Kybernetická obrana Kybernetickou obranou se rozumí obrana státu v kybernetickém prostoru Obrana státu je souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením Obrana státu je definována v § 2 zákona č. 222/1999 Sb., o zajišťování obrany České republiky, jako souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením. Obrana státu zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému. Ačkoli novela zákona o zajišťování obrany je v pořadí navrhovaných novel až druhá, v celém nově vytvářeném systému právní úpravy kybernetické obrany je první. Doplňuje totiž kybernetickou obranu do celkového systému zajišťování obrany státu. Kybernetická obrana bude přímou součástí obrany státu, přičemž jejím specifikem, vyjádřené ve stručné definici, je její realizace výhradně v kybernetickém prostoru. Ve všem ostatním pro ni planí totéž co pro ostatní druhy obrany. V § 2 nově vkládaném odstavci 2 bude řečeno, co se rozumí pod pojmem kybernetická obrana. Kybernetická obrana neslouží k řešení standartních kybernetických bezpečnostních incidentů v působnosti NBÚ ani kybernetické kriminality v působnosti PČR.

Kybernetická obrana bude přímou součástí účinného systému obrany státu Plán kybernetické obrany státu bude zásadním dokumentem pro zajišťování kybernetické obrany Obrana státu zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému. Po novele bude tento účinný systém obrany státu výslovně zahrnovat také kybernetickou obranu. V § 2 odst. 8 (nově 9) je definováno plánování obrany státu. Plány obrany státu tvoří obranné plánování, plánování operací, mobilizační plánování a plánování připravenosti obranného systému státu. I zde se výslovně doplňuje plánování kybernetické obrany státu jako součást plánování obrany státu.

Kybernetická obrana VZ Kinetická obrana AČR Obrana státu Obrana státu má tradiční složku, tj. kinetickou obranu, prováděnou ozbrojenými silami. Nyní se k ní přidává složka kybernetické obrany, jejíž cíl je stejný jako obrany kinetické, tj. zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením, avšak zcela odlišnými prostředky. Průnik obou množin nastává pouze v některých případech, např. zničení kybernetického zařízení kinetickými prostředky, nebo zničení kinetického zařízení (zbraňového systému) kybernetickými prostředky.

Za přípravu a zajišťování obrany státu odpovídá vláda. Kybernetická obrana Za přípravu a zajišťování obrany státu odpovídá vláda. Vláda bude přímo schvalovat plán kybernetické obrany státu Tímto plánem bude dán základní rámec pro veškeré činnosti při přípravě a zajišťování kybernetické obrany státu Za přípravu a zajišťování obrany státu odpovídá vláda (§4). Vláda k zajišťování obrany státu v míru řídí plánování obrany státu, stanoví obsahovou náplň jednotlivých plánů obrany státu a časové etapy pro jejich zpracování a schvaluje plán kybernetické obrany státu a jeho změny. (§ 5 odst. 1 písm. d). Plán kybernetické obrany bude postihovat i takové otázky, jako součinnost jednotlivých státních orgánů s VZ při zajišťování KO a součinnost VZ a AČR. Samozřejmě i pro kybernetickou obranu platí veškerá ustanovení vztahující se k obraně státu obecně, tj. též veškerá oprávnění, které vláda má v § 5 svěřena k zajišťování této obrany.

Ministerstvo obrany Ministerstvo obrany je ústředním orgánem státní správy zejména pro zabezpečování obrany České republiky Kybernetická obrana tedy spadá již nyní do působnosti MO Ministerstvo obrany jako orgán pro zabezpečování obrany řídí Vojenské zpravodajství Svěření KO Vojenskému zpravodajství je v souladu se současným právním stavem a je zárověň logické Ministerstvo obrany je ústředním orgánem státní správy zejména pro zabezpečování obrany České republiky (§ 16 odst. 1 písm. a) zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky). Ministerstvo obrany jako orgán pro zabezpečování obrany mj. řídí Vojenské zpravodajství, navrhuje potřebná opatření k zajištění obrany státu vládě České republiky, Radě obrany České republiky (nyní BRS) a prezidentu České republiky, koordinuje činnost ústředních orgánů, správních orgánů a orgánů samosprávy a právnických osob důležitých pro obranu státu při přípravě k obraně. Kybernetická obrana, byť je nedílnou součástí systému zabezpečování obrany státu, je od tradičné ozbrojené obrany natolik odlišná, že neexistuje žádný rozumný důvod trvat na tom, aby byla zajišťována ozbrojenými silami. Ačkoli i svěření KO ozbrojeným silám by nešlo z právního ani praktického hlediska nic vytknout, ani svěření KO jinému státnímu orgánu nelze označit za chybné či neobvyklé. KO má spíše než vojenský „bojový” charakter povahu informačně-zpravodajskou, působnost zpravodajských služeb v této oblasti se tedy sama nabízí. A bude-li KO zajišťovat VZ, tedy zpravodajská služba v působnosti Ministerstva obrany, lze snadno zajisit účelné využívání jeho schopností v KO ve prospěch obrany státu jako celku, včetně podpory ozbrojených sil při plnění jejich úkolů při obraně státu. Zvyšování schopností VZ v rámci kybernetického prostoru může mít pro zajišťování obrany ČR i další vedlejší efekty, např. získávání informací důležitých pro obranu, jichž je kybernetický prostor nenahraditelným zdrojem.

Zpravodajské služby ČR V současné době je jejich úkol čistě informační VZ je součástí Ministerstva obrany Novelou zákona o Vojenském zpravodajství bude zajišťování kybernetické obrany svěřeno Vojenskému zpravodajství, jako doplněk a podpora tradiční role ozbrojených sil § 5 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, stanovuje působnost jednotlivých zpravodajských služeb. Nová působnost VZ bude doplněna do § 1 zákona č. 289/2005 Sb., o Vojenském zpravodajství.

To neznamená, že půjde o jediný způsob zajišťování KO Technické prostředky Vojenské zpravodajství je oprávněno při plnění úkolů spojených se zajišťováním kybernetické obrany využívat technické prostředky kybernetické obrany Technické prostředky kybernetické obrany jsou věcné technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku To neznamená, že půjde o jediný způsob zajišťování KO Zákon č. 289/2005 Sb., o Vojenském zpravodajství, po novele stanoví, že Vojenské zpravodajství může při zajišťování kybernetické obrany využívat technické prostředky kybernetické obrany, kterými jsou věcné technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky; Vojenské zpravodajství při zajišťování kybernetické obrany společně s technickými prostředky kybernetické obrany k dosažení shodného účelu využívá také související postupy a opatření. Jde o doplnění nového oprávnění Vojenského zpravodajství, které souvisí právě s jeho novým úkolem zajišťovat kybernetickou obranu České republiky. Oprávnění používat tyto prostředky bude odpovídat povinnost provozovatelů sítí a služeb elektronických komunikací poskytnout při jejich nasazení součinnost. Zákon o VZ bude výslovně mluvit pouze o použití (věcných) technických prostředků, technické prostředky jsou totiž jediné prostředky KO, které budou mít potenciál zasáhnout do základních práv a svobod osob a k jejichž použití bude nutná součinnost osob soukromého práva. Ostatní prostředky KO, např. již zmiňovaná aktivní, či preemtivní obrana, tím samozřejmě nejsou vyloučeny. Konkrétní pravidla pro takové další činnosti, a samotné jejich umožnění a případný schvalovací a kontrolní mechanismus, však z taktických důvodů nejsou uváděna v zákoně, stejně jako taková pravidla neobsahuje zákon pro klasickou kinetickou obranu, nýbrž je bude stanovovat vláda v již zmíněném plánu kybernetické obrany státu, který bude mít charakter utajované informace.

Může jít o předběžné schválení i ad hoc schválení Technické prostředky Návrh umístění technických prostředků kybernetické obrany a jejich použití předkládá ministr obrany ke schválení vládě na základě návrhu ředitele Vojenského zpravodajství Může jít o předběžné schválení i ad hoc schválení Vláda usnesením stanoví, co a kam umístit a kdy a jak to použít Může ale rovněž v konkrétním případě rozhodnout, co a jak použít, přičemž nasazení bude již schváleno dřívějším usnesením Z důvodu kontroly nasazování a používání technických prostředků KO se navrhuje, aby o jejich umístění a použití rozhodovala vláda. Je samozřejmé, že obvykle nebude možné každé jednotlivé nasazení a použití ponechávat na rozhodnutí vládě, a to zejména z časového hlediska. Základním způsobem rozhodování vlády tedy bude schválení materiálu, který vládě předloží ministr obrany na návrh ředitele Vojenského zpravodajství, a ve kterém bude popsáno, jaké technické prostředky má VZ v úmyslu nasadit, do jakých sítí a služeb, jaké jsou schopnosti těchto prostředků a za jakých podmínek bude VZ oprávněno těchto schopností využívat. Tento dokument se v čase zcela jistě bude vyvíjet, aby vždy postihoval aktuální situaci panující v oblasti kybernetického prostoru. Stejně jako u plánu kybernetické obrany státu i u tohoto dokumentu se předpokládá jeho utajení. Není nicméně vyloučeno, aby ve specifických případech, kdy např. obecné usnesení nebude poskytovat řešení dané situace, mohl být vládě předložen k rozhodnutí konkrétní problém, kdy bude nutné nasadit nebo nějakým způsobem použít technický prostředek.

Jejich cílem není zjišťování obsahu komunikace Technické prostředky Technické prostředky budou sloužit k monitoringu a analýze provozu sítí a služeb Jejich cílem není zjišťování obsahu komunikace Není vyloučeno, že technické prostředky budou svým technickým řešením umožňovat i přístup k obsahu Dva způsoby – necílený monitoring a cílené sledování Cílené sledování zásadně v režimu zpravodajské techniky Necílené na základě usnesení vlády Technické prostředky budou sloužit k monitoringu a analýze provozu sítí a služeb, tedy k signalizování anomálií, jež nasvědčují kybernetickému útoku. Cílem používání technických prostředků není zjišťování obsahu komunikace, nicméně pochopitelně není vyloučeno, že technické prostředky budou svým technickým řešením umožňovat i přístup k obsahu. O takové možnosti bude informována vláda při schvalování nasazení a použití těchto prostředků. V úvahu v zásadě přicházejí dva způsoby přístupu k obsahu komunikace– necílené sledování a cílené sledování. Cílené sledování znamená cílené zaměření na komunikaci konkrétního uživatele, takové použití bude zásadně v režimu zpravodajské techniky, tedy s povolením soudu. Nijak podstatně se tento režim neliší od současné právní úpravy odposlechu telefonního provozu, neboť i nyní mají policie a zpravodajské služby oprávnění požadovat rozhraní pro připojení vlastního zařízení pro odposlech a záznam zpráv, a jen prostřednictvím kontrolních mechanismů lze zajistit, že toto zařízení není používáno v jiných případech, než jsou povoleny. Necílený monitoring může být takový monitoring, kdy není znám ani sledován konkrétní objekt, ale komunikace je sledována obecně se zaměřením na určité jevy, např. klíčová slova nebo určitý způsob komunikace. Takové sledování pak musí pochopitelně probíhat nepřetržitě, a jako takové nemůže v praxi být povolováno soudem či jiným orgánem. Takové sledování by tedy případně bylo prováděno na základě usnesení vlády k nasazení a použití technických prostředků. Vláda jej nicméně stejně tak může zakázat, případně vázat na splnění daných podmínek. Je nicméně třeba poznamenat, že pro zajišťování kybernetické obrany nemá sledování obsahu komunikace žádný zvláštní význam a tedy nelze předpokládat, že by za tímto účelem bylo prováděno.

Plán kybernetické obrany státu Kontrola KO Plán kybernetické obrany státu Rozhodnutí o umístění technických prostředků Ad hoc vládní kontrola na používání technických prostředků Poslanecká kontrola prostřednictvím příslušného orgánu Komise pro kontrolu VZ Podle § 12 zákona o zpravodajských službách služby kontroluje především vláda. V oblasti KO bude kontrola probíhat několika způsoby. Jednak budou Vojenskému zpravodajství nastaveny jasné mantinely při zajišťování KO prostřednictvím plánu kybernetické obrany státu. Ve specifické oblasti KO, kterou je používání technických prostředků, bude navíc jednoznačně vládou rozhodnuto, co a kam smí Vojenské zpravodajství nasadit a kdy a jak to smí použít. Vláda může dodržování nastavených pravidel kontrolovat nařízením ad hoc kontroly u VZ, kontrolou vykonanou na podnět (provozovatel sítí a služeb e. komunikací, média, občan), prostřednictvím výroční zprávy o činnosti VZ, případně i uložením zvláštní informační povinnosti VZ v oblasti KO. Poslanecká sněmovna je o činnosti zpravodajských služeb informována vládou prostřednictvím svého příslušného orgánu pro zpravodajské služby (§ 14 zákona o zpravodajských službách). Komise pro kontrolu VZ může po řediteli VZ požadovat předložení písemných zadání úkolů uložených vládou, tedy i usnesení o nasazení technických prostředků, a dále vnitřní předpisy VZ, tedy i ty, jimiž se bude řídit útvar zajišťující KO.

Závěr Dotazy? Děkuji za pozornost