V minulých dnech proběhlo připomínkování věcného návrhu zákona o kybernetické bezpečnosti. Co je předmětem věcného záměru tohoto zákona? Podle předkladatelů z Národního bezpečnostního úřadu jde především o efektivní ochranu českého kyberprostoru vůči jakýmkoli rizikovým aktivitám, které by mohly ohrozit funkčnost a chod činností, které na webu probíhají.
A protože v síti se dnes odehrává naprostá většina pro život společnosti klíčových aktivit, zdá se, že legislativní uchopení problému ochrany tohoto prostředí je na místě. Ostatně nějaký způsob ochrany webu a prevence proti jeho narušitelům a kyberteroristům funguje v řadě vyspělých zemí a existují také mezinárodní programy týkající se kybernetické bezpečnosti, jejichž je naše země účastníkem. Otázka tedy je, jaký je návrh budoucího zákona o kybernetické bezpečnosti a čemu přesně má či naopak nedokáže sloužit.
Návrh nejprve vyjmenovává možnosti, jak se k otázce ochrany kyberprostoru postavit. Začíná nulovou variantou, tedy stavem, který víceméně platí dnes. Za bezpečnost svých aktivit na síti odpovídá každý sám, neexistuje žádná institucionální regulace vybavená pravomocí ukládat sankce a tresty za případná pochybení či útoky na kyberprostor. A výčet končí opačným extrémem, tedy scénářem absolutní státní regulace, kdy – zjednodušeně řečeno – všechna webová data projdou kontrolním sítem, za něž by odpovídal stát. To by ale znamenalo nástup informační totality. Z návrhu neplyne, že právě to by dělalo předkladatelům vrásky. Je spíše trápí logistická a hlavně finanční náročnost tak důkladného cenzurování sítě.
Proto se uspokojuje s o něco méně drakonickou variantou, nazvanou Varianta řešení kybernetické bezpečnosti za účasti soukromoprávních subjektů. I ta je ovšem postavena na předpokladu obecnosti. Zahrnuje nejrůznější informační systémy, sítě a služby elektronických komunikací, které dohromady tvoří český kyberprostor a jejichž bezpečnost implikuje stav kybernetické bezpečnosti státu. Současně je tato varianta postavena na předpokladu, že podstatná část kybernetické informační infrastruktury státu má soukromoprávní vlastníky, správce nebo provozovatele. Služby informační společnosti značné společenské a ekonomické důležitosti, ať už je jejich uživatelem stát nebo soukromý sektor, tedy jsou z podstatné části poskytovány soukromoprávními subjekty.
Bezpečnost českého kyberprostoru má pro tyto soukromoprávní subjekty značný ekonomický význam, neboť jen fungující síť jim může generovat náležitý ekonomický efekt. Tyto soukromoprávní subjekty tedy aktivně investují do zabezpečení vlastní infrastruktury. Tyto soukromoprávní subjekty tak mají být novým zákonem zatíženy o povinnost dozorovat kyberprostor a jeho bezpečnost podle pravidel stanovených zákonem – a hlavně orgánem, který má pro to vzniknout. Doslova se zde praví: "Povinnostní charakter právní regulace včetně sankcí pak má zajistit dodržení stejné úrovně bezpečnostních standardů v rámci kritické informační a komunikační infrastruktury."
Jak tomu rozumět? Inu, zrodil se nápad na vytvoření dalšího státního úřadu, jehož efektivita vzhledem k uvažovaným rizikům je pochybná. Pokud totiž zde panuje obava z kyberterorismu, pak tomuto aktu webové zločinnosti žádný takový úřad sám o sobě nezabrání. Přitom náklady potřebné na vybudování a provoz Národního centra kybernetické bezpečnosti jsou předpokládány ve výši 51,5 mil. Kč v roce 2012, v dalších letech pak tato částka ročně přesáhne 60 mil. Kč.
Jenže vláda má už dnes dostatek pravomocí i prostředků vytvořit dobrou koncepci kybernetického zabezpečení své infrastruktury. Zanalyzovat svou informační infrastrukturu, vytipovat kritická místa propojení s internetem, definovat na ně bezpečnostní požadavky, nastavit role, rozdělit pravomoci a zodpovědnost a uplatnit havarijní plány pro nouzové situace je standardním úkolem každého podniku. Problém je spíše v tom, že česká vláda to buď neumí, nebo nechce dělat.
A tak se opakuje důvěrně známý scénář: nejprve vznikne nový úřad za desítky milionů ročně. Ten shromáždí kompetence, např. možnost regulování (kontrolu) celých částí sítě, či vyhlašování "stavu kybernetického nebezpečí". A teprve potom se začne vymýšlet, co takový stav kybernetického nebezpečí vlastně bude znamenat a k čemu bude dobrý. A to nemluvíme o rizicích, které samotná existence regulačních nástrojů spolu s tak vysokou koncentrací pravomocí v rukou nečitelných úředníků automaticky přináší. Z návrhu totiž mimo jiné nepřímo vyplývá, že úřad by mohl mít možnost odpojovat takzvaně "nebezpečné" .cz domény.
Bizarní na návrhu je to, že ve svůj prospěch uvádí argumenty, které mluví logicky spíše proti němu. "Varianta spolupráce se soukromoprávními subjekty je založena na předpokladu, že tyto subjekty jsou technicky i právně nejlépe kompetentní řešit kybernetické bezpečnostní incidenty v rámci vlastní infrastruktury. To jim umožňuje detailní znalost příslušných systémů, jejich přímá technická kontrola a rovněž právní vztahy, jejichž jsou tyto systémy objektem. Informační a komunikační systémy jsou totiž buďto přímo ve vlastnictví příslušného subjektu nebo má nad nimi příslušný subjekt jiný typ právní či faktické kontroly." A teď se ptejme, k čemu jinému, než k posílení úředního dozoru nad našimi životy má tento zákon vlastně sloužit.
Vysíláno na ČRo 6, publikováno na www.rozhlas.cz/cro6