Včera vyšel na Lupě článek, zabývající se chystaným zákonem o kybernetické bezpečnosti. Ten má na starosti Národní bezpečnostní úřad a měl by nás chránit před kybernetickými hrozbami. Tento jeho cíl je, jak už to tak bývá, velmi diskutabilní a mnozí v něm vidí pouze další byrokracii bez užitku. Podle České pirátské strany obsahuje dokonce mnohá nepravdivá tvrzení (posuďte sami - [link]).
Již 18. března se objevila na stránkách NBÚ aktualita, která reagovala na média, která komentovala uniklou verzi tohoto zákona ([link]). Jak uvádějí, jednalo se jen o pracovní verzi, pocházející již z ledna tohoto roku. Plné znění bude k dispozici 15. dubna na stránkách nbu.cz. Přesto se z této neúplné verze dá získat přehled, který se snaží shrnout právě pan Pospíchal (působící ve společnosti Dial Telecom) na Lupě.
Autor v úvodu píše jeho hlavní problémy s připravovaným zákonem: „... jsem přesvědčen, že k ochraně kyberprostoru neudělili voliči státu mandát a že infrastruktura, kterou se stát pokouší chránit, je ve svrchované míře soukromá.“ Dále vyjadřuje nespokojenost s tím, že detaily povinností, plynoucích z tohoto zákona neobsahuje tento návrh, ale tzv. prováděcí předpisy (které zásadním způsobem ovlivní výsledné znění zákona). Ten sám neurčuje, kdo tyto předpisy vydá, je tedy možné že prováděcí právní předpisy dodá vládě sám NBÚ - znamenalo by to, že může sám do určité míry rozhodovat o svých budoucích pravomocech. Navíc se zde ani NBÚ výslovně nespecifikuje, vše je zabaleno pouze pod slovem „úřad“. Nabízí se otázka, zda by návrh nemohl být sepsány srozumitelněji. Příkladem budiž definice pojmu kritická infrastruktura: „... je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti.“
Článek je rozsáhlejší, vezmu to tedy zkratkovitě:
- poukazuje se zde na fakt, že ten tzv. úřad bude mít pravděpodobně problém zaplatit zkušené odborníky, kteří by nám dali zapomenout na vyložené průsery typu MPSV, registr vozidel či S-kartou
- osoba, se kterou úřad jedná bude muset pod hrozbou pokut plnit příkazy (prakticky např. přerušit určitou linku) i v případě, že by šla situace vyřešit jinak, či by oné povinné osobě hrozila tímto odpojením velká ztráta (např. další pokuty od předplatitelů služeb)
- jako obvykle je tento návrh zákona velmi vágní, proto tolik záleží na roli onoho záhadného úřadu, který určí, co znamená „ událost způsobující narušení bezpečnosti informací“ atp.
- je pravděpodobné, že nejenom, že zákon situaci v kybernetickém prostoru nezlepší, ale velmi pravděpodobně ji i zhorší (jak je dokládáno na praktickém příkladu - rozdíl mezi řešením DDoS útoku bez tohoto zákona a s ním)
V závěru článku autor porovnává motivace funkčnosti webových služeb - provozovatelům jde jasně o peníze a proto dělají co můžou, v návrhu nedefinovaný úřad by však žádnou přímou motivaci ke spokojenosti zákazníků neměl.
Také si zde pohrává s myšlenkou komu by nedávné masivní DDoS útoky mohli prospět? Celkem „konspiračně“ se nabízí, že by to mohli být právě lidé okolo tohoto zákona. To rezolutně odmítl velmi uznávaný (po právu) odborník na vše kolem sítí Jiří Peterka a označil to za naivní představu ([link]). Vidina zajímavého byznysu pro stát (tzn. velmi stabilní, není problém s placením,...) je však v tomto oboru, který se jistě bude dále jen rozšiřovat, velmi zajímavá. To už by možná za najmutí pár černých klobouků stálo, nemyslíte? :-) |