brmlab

Berte to jako plan jak to stihnout tak, aby nebylo pozde.

. nodsort 2

nos

14.7.2017 zacaly dvoumesicni parlamentni prazdniny. Zaskodit muzou jeste tesne pred volbami.

• legislativni proces lze sledovat zde ⇒ Sněmovní tisk 931, Novela z. o Vojenském zpravodajství (psp.cz)
  • stream z Parlamentu https://www.psp.cz/sqw/hp.sqw?k=28
    • zajimavosti z 1. cteni v Parlamentu:
      • Stropnicky (predkladatel): “Konkrétně se jedná o cíl týkající se aktivního odvracení a potlačení kybernetických útoků prostřednictvím Národního centra kybernetických sil zřízeného v rámci Vojenského zpravodajství.”
      • puvodne mel byt garancnim vyborem jen vybor pro obranu, Korte (vybor pro bezpecnost) se aktivne prihlasil s navrhem aby jeho vybor pro bezpecnost taktez projednal a to mu bylo schvaleno. zdroj
    • “Projednávání tisku bylo navrženo na pořad 54. schůze (od 10. ledna 2017), odlozeno a 57.schůze.” )
    • Zakon zavadejici Organ nezavisle kontroly se do Sbirky zakonu se dostal s ucinnosti od 1.1.2018.
• To je ale material
  • Jednání vlády, 5.10.2016 - Usnesení č.870 k Návrhu zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a některé další zákonyhttps://apps.odok.cz/djv-agenda?date=2016-10-05
  • Stálá komise pro kontrolu činnosti Vojenského zpravodajství - Členové
  • Výbor pro obranu
  • Výbor pro bezpečnost

• VZ, Kdo jsme
• VZ, Vyrocni zprava 2014

§ 98a

“Právnická nebo podnikající fyzická osoba .. je povinna.. zřídit a zabezpečit ve vhodných bodech své sítě rozhraní pro připojení technických prostředků kybernetické obrany.”

“Osoba .. i jiné osoby podílející se na plnění povinnosti.. jsou povinny zachovávat mlčenlivost o připojení technických prostředků kybernetické obrany.. a s tím souvisejících skutečnostech.”

Nejintezivnejsimi podporovateli jsou dle materialu z pripominkoveho rizeni NBU a MVCR.

• NBU je nazoru ze VZ bude tech pravomoci mit malo. “Považujeme stanovenou sankci za porušení povinnosti mlčenlivosti za relativně nízkou.” (NBU, 4502/2016-NBÚ/80)
• “Navrhovaná novela zákona sice nemá umožnit Vojenskému zpravodajství zasáhnout do základních práv a svobod a soukromé sféry osob ve větší míře, než doposud, nicméně vzhledem k vymezení technických prostředků kybernetické obrany a obecně technickému řešení navrhovaných opatření se tak může stát.” (NBU, 4502/2016-NBÚ/80)
• VNITRO: “V tomto kontextu nelze ani opomenout již existující kompetenci ozbrojených sil rušit provoz elektronických komunikací podle § 42b zákona o ozbrojených silách České republiky, což potvrzuje, že se s působením ozbrojených sil v této oblasti počítá. Považujeme za vhodné poukázat rovněž na zahraniční řešení institucionálního zabezpečení kybernetické obrany [např. ve Spojených státech amerických, Velké Británii či v Nizozemsku jsou US Cyber Command, Joint Force Cyber Group, respektive Defensie Cyber Commando součástí ozbrojených sil a působí vedle (vojenských) zpravodajských a bezpečnostních služeb, byť v těsné součinnosti s nimi, včetně případných personálních unií]. Jsme si vědomi znění úkolu C.9.01. obsaženého v usnesení vlády ze dne 25. května 2015 č. 382, nicméně se domníváme, že by předkladatel měl minimálně zvážit, zda by nebylo vhodnější problematiku kybernetické obrany svěřit, respektive ponechat plně v působnosti ozbrojených sil, potažmo Armádě České republiky, zatímco Vojenské zpravodajství by plnilo v této oblasti úkoly související s jeho dosavadní působností.” (Č.j. MV-67990-7/LG-2016)
  • “K těmto účelům může mimo jiných prostředků nasazovat odposlechy, tajné kamery či využívat sledování osob. O sledování ale musí rozhodnout na základě žádosti šéfa tajné služby ministr obrany a použití zpravodajské techniky nakonec musí povolit předseda senátu Vrchního soudu v Praze. Na rozdíl od policistů ale už nad prací zpravodajců dále nedohlíží státní žalobce.” (CT)
• VNITRO: Z návrhu lze usuzovat, že by tak bylo možné monitorovat veškeré sítě a služby elektronických komunikací prakticky neustále, bez blíže stanovených podmínek (existující riziko ohrožení státu, typ monitorovaných dat), bez rozlišení pro využití těchto prostředků např. za válečného stavu, bez jakýchkoliv zákonných omezení a kontroly, s tím, že tímto způsobem bude získávána i řada dat a údajů bez příslušné povolovací procedury a následné kontroly (např. provozní a lokalizační údaje). Stejně by mohl návrh směřovat k monitoringu dat se schvalovací procedurou vlády pro každý jednotlivý případ. Z návrhu rovněž není zcela jasné, jakým způsobem bude v rámci kybernetické obrany nakládáno se zjištěnými informacemi (např. jejich uchovávání, případně i sdílení např. pro orgány činné v trestním řízení, půjde-li např. o podezření ze spáchání trestného činu), a zda je v rámci vyhodnocování dat zahrnuta také aktivní obrana a jaká. (Č.j. MV-67990-7/LG-2016)
• VNITRO: “Je nutné, aby Vojenské zpravodajství mělo i kompetence k aktivnímu zásahu do cizích systémů a sítí,” (Č.j. MV-67990-7/LG-2016)
• Vnitro: “Považujeme za nezbytné vyjasnit okruh adresátů povinnosti podle § 98a odst. 1. Zatímco stávající § 98 hovoří o podnikateli, nyní navrhované ustanovení cílí (vedle právnické osoby) na fyzickou osobu bez dalšího upřesnění. To má z hlediska koordinační úlohy Ministerstva vnitra podle § 12 odst. 2 kompetenčního zákona konsekvence především v oblasti správního trestání, neboť je třeba rozlišit delikt podnikající a nepodnikající fyzické osoby.” (Č.j. MV-67990-7/LG-2016)
• “Časová prodleva v komunikaci Vojenského zpravodajství s ministrem obrany a následně vládou tak může být poměrně značná. Podotýkáme, že v kyberprostoru se může změnit situace a objevit nová hrozba v řádu minut či vteřin. Domníváme se, že pro případ vzniku takové situace by měla být nastavena pravidla umožňující provést obranný zásah neprodleně.” (NKU)
• Upozorňujeme, že návrh usnesení vlády obsažený v předkládaném materiálu se týká novely zákona č. 219/1999 Sb., o ozbrojených silách České republiky, a nikoli novely zákona č. 289/2005 Sb., o Vojenském zpravodajství. (NKU)
• “ÚOOÚ požaduje návrh doplnit a rozšířit o ustanovení zakotvující dozor nad zpracováním osobních údajů zpravodajskými službami České republiky. Tato připomínka je zásadní.” (UOOU)
  • Oduvodneni: “Po dvou letech je do meziresortního připomínkového řízení opět předkládán návrh zákona, kterým je zakládán plošný přístup jedné zpravodajské služby k osobním údajům. Návrhem zákona je rozšiřován primární přístup k provozním a lokalizačním údajům vznikajícím z provozu sítí a služeb elektronických komunikací v oblasti, která je explicitně vyňata z dozorové působnosti ÚOOÚ. Již dříve - naposledy při posuzování návrhu zákona, kterým se mění zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, a zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, v roce 2014 - ÚOOÚ sdělil, že takové oprávnění považuje při splnění některých podmínek za možné a v souladu s platnou úpravou ochrany osobních údajů navrhl doplnění návrhu zákona o zpravodajských službách České republiky. I tehdy ÚOOÚ uvedl, že potřeba stálého a kompetentního dozoru nad zpracováním osobních údajů je dána již jen tím, že zpravodajským službám je umožněno zpracování osobních údajů o mimořádně velkém počtu lidí, přičemž tyto údaje jsou primárně zpracovávány k jiným účelům a není v možnostech dotčených subjektů údajů druhotnému zpracování předcházet nebo mu bránit. Rovněž možnost subjektu údajů naplnit smysluplně svá práva je za stávající právní úpravy vyloučena. Stav, kdy nad zpracováním osobních údajů zpravodajskými službami České republiky není dostatečný dozor a kontrola je omezena na řídící, přetrvává.” (UOOU-05446/16-3)
  • “Doporučujeme sjednotit termíny nabytí účinnosti předložené novely. V předkládací zprávě se předpokládá nabytí účinnosti zákona v roce 2016. V Závěrečné zprávě RIA je uveden termín 01.2017.” (MF-17 095/2016/1902-2)
• Ministerstvo spravedlnosti: “Podle důvodové zprávy k předloženému návrhu zákona „není účelem technických prostředků kybernetické obrany zjišťovat obsah datového provozu konkrétních uživatelů“. Konstatujeme, že právě uvedenému záměru předkladatele neodpovídá definice prostředků kybernetické obrany, obsažená ve shora uvedeném ustanovení, podle níž se prostředky kybernetické obrany rozumí jakékoliv prostředky, „které umožňují monitorování a analýzu provozu sítí a služeb elektronických komunikací“. Jelikož omezení v charakteru jednotlivých prostředků a způsobů jejich užívání neplyne ani z jiných ustanovení návrhu zákona, požadujeme v § 16a explicitně stanovit, že se pro účely tohoto zákona prostředky kybernetické ochrany rozumí pouze takové prostředky, jejich užití neumožňuje zjišťovat obsah komunikace a zasahovat do tajemství dopravovaných zpráv. Tato připomínka je zásadní ” (MSP-344/2016-LO-SP/4)
• “Upozorňujeme, že působnost Vojenského zpravodajství v oblasti kybernetické obrany lze s ohledem na definici zpravodajské činnosti uvedené v § 2 zákona o zpravodajských službách dovodit již ze stávajícího znění § 5 odst. 3 písm. c) zákona o zpravodajských službách, podle něhož Vojenské zpravodajství obecně „zabezpečuje informace o záměrech a činnostech namířených proti zabezpečování obrany České republiky“. S ohledem na právě citované ustanovení nepovažujeme za nezbytné nově zakotvovat působnost Vojenského zpravodajství při zajišťování kybernetické obrany, pročež doporučujeme zvážit nutnost navržené změny zákona o zpravodajských službách.” (MSP-344/2016-LO-SP/4)
• MZV navrhuje, aby tzv. Tallinský manuál nebyl označen jako „základ“ pro konkrétní akce a opatření při výkonu kybernetické obrany, ale toliko jako „jeden z podkladů“. Důvodem je skutečnost, že není k dispozici analýza důsledků Tallinského manuálu. Tallinský manuál navíc vyjadřuje názory expertů, nikoliv nezbytně názory států na aplikaci mezinárodního humanitárního práva ve sféře kybernetického prostoru. Současně se proto navrhuje, aby v důvodové zprávě bylo výslovně uvedeno, jaká je právní povaha Tallinského manuálu, zda byl tento materiál analyzován pro potřebu navrhovaného zákona a, pokud ano, s jakými výsledky. (MZV Č.j.: 103014/2016-OPL)
• Vzhledem k tomu, že záměrem navrhovaného zákona je obrana proti kybernetickým útokům, MZV doporučuje vysvětlit, proč technické prostředky kybernetické obrany umožňují pouze monitorování a analýzu provozu sítí a služeb elektronických komunikací, jak je vymezeno v ust. § 16a návrhu zákona, a nezahrnují též samotné užití obranných aktivit. Z textu návrhu zákona i z důvodové zprávy vyplývá, že vojenské zpravodajství bude moci, na základě navrhovaného zákona, monitorovat a analyzovat kybernetický prostor, což je nezbytné pro včasnou identifikaci jevů nasvědčujících přípravě kybernetického útoku nebo již jeho průběhu, ale nikoli že nasadí prostředky k samotné obraně před kybernetickými útoky. Z důvodové zprávy není zřejmé, zda těmito prostředky mají být prostředky zpravodajské techniky, o nichž se v důvodové zprávě hovoří - v souvislosti se zaměřením na konkrétní osoby a jejich chování v kybernetickém prostoru, jež bude identifikováno pomocí technických prostředků kybernetické obrany uvedených v citovaném ustanovení návrhu zákona. Doporučuje se proto v důvodové zprávě též uvést, byť obecně, jakými dostatečně účinnými prostředky má být obrana proti kybernetickým útokům realizována. (MZV Č.j.: 103014/2016-OPL)
• “je však třeba vyjádřit určitou poznámku či pochybnost. Ta se týká chybějícího ustanovení, které by upravovalo provádění kontroly, jež by zajistila, že skutečně nedojde ke zneužití monitoringu kybernetického prostoru způsobem, který by byl v rozporu se stávající zákonnou úpravou, na níž předkladatel v důvodové zprávě též poukazuje. Jde totiž o tu část, v níž se zdůrazňuje, že navrhovaný zákon nemá umožnit Vojenskému zpravodajství zásah do základních práv a svobod a do soukromé sféry osob ve větší míře, než je tomu doposud. Přitom se poukazuje na nutnost povolení vydaného předsedou senátu Vrchního soudu v Praze v takových případech, kdy je třeba získat informace o konkrétní osobě (nebo o telefonním čísle či o jiném konkrétním objektu) nebo věci za předpokladu, že by odhalování nebo dokumentování činností bylo jiným způsobem neúčinné … atd. Je tedy otázkou, zda by v rámci připravované legislativní změny měla být možnost této kontroly přímo upravena v zákoně, nebo alespoň v rámci legislativního odkazu zmíněno, že tato kontrola bude upravena konkrétní podzákonnou normou v rámci Vojenského zpravodajství. Riziko případného zneužití prováděného monitoringu kybernetického prostoru by rozhodně nemělo být opomíjeno.” (Nejvyšší soud, Sleg 63/2016 (asi))

zdroj

• oblast bezpečnosti sítí a informací v Evropské unii je regulována směrnicí Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.
• UZSI: vyhrady k siri.
• Vyhláška č. 462/2013 Sb. o stanovení výše a způsobu úhrady efektivně vynaložených nákladů na odposlech a záznam zpráv, na uchovávání a poskytování provozních a lokalizačních údajů a na poskytování informací z databáze účastníků veřejně dostupné telefonní služby
• Svycarsko - Svycari si potvrdili v referendu drive prijaty zakon Federal Act on the Surveillance of Mail and Telecommunication Traffic (so-called BÜPF)
  • https://www.admin.ch/opc/de/federal-gazette/2013/2683.pdf
  • http://br-news.ch/swiss-parliament-adopts-revised-federal-act-on-the-surveillance-of-mail-and-telecommunication-traffic/
• NATO
  • NATO on Cyber defence - principals, governance, evolution
  • Podpurne materialy NUKIB k kyberneteicke bezpecnosti obecne.
• Rada EU, Reforma v oblasti kybernetické bezpečnosti v Evropě
• Nemecko (+US, UK, Dansko, Holandsko, Estonsko)