V Česku se sepisuje nový zákon o kybernetické bezpečnosti. A je nanejvýš aktuální. Minulý týden kdosi napadl servery několika tuzemských médií, vyhledávače Seznam.cz, poté banky a také mobilní operátory. Pokaždé šlo o zahlcení obrovským množstvím dotazů, na které servery nestíhaly odpovídat a padaly.

Zejména útok na banky zneklidnil bezpečnostní složky státu. A v novém zákonu, který má začít platit v roce 2015, by se měla posílit role Národního bezpečnostního úřadu.

Při útocích na banky by NBÚ mohl premiérovi navrhnout vyhlásit stav nebezpečí a jeho programátoři by převzali pravomoci, které má dnes jen policie. Poskytovatelům internetu by pak pod hrozbou pokut mohli nařídit, aby problémy ve své síti vyřešili. I za cenu odpojení napadených počítačů.

V současnosti přitom podobné pokyny může vydávat jen policie. Ta by však podle odborníků, kteří se na přípravě zákona podílejí, nemusela rozsáhlý kybernetický útok zvládnout.

„Mluvíme tady o krizi, kdy je potřeba najednou vyhodnocovat informace z různých sítí a vmžiku koordinovat akce ve spojení s firmami. Na něco podobného není policie připravena,“ říká právník Radim Polčák z brněnské Masarykovy univerzity.

"Škody způsobené útoky minulých dní, byť půjdou do milionů nebo desítek milionů, jsou zanedbatelné v porovnání s tím, co by mohlo následovat při nějakém útoku mířeném na vitální funkcionality státu. Tyto systémy naštěstí představují pro útočníka složitější oříšek," řekl mimo jiné v online rozhovoru se čtenáři IHNED.cz.

 


Co kdyby firmy neposlechly a problémy by neodstranily? Jaké by byly pokuty? Je v Česku dostatek odborníků schopných se s kybernetickými hrozbami vypořádat? Pomůže chystaný zákon o kyberbezpečnosti podobným útokům předcházet? Ptali jste se Radima Polčáka, právníka, který se specializuje na kybernetické hrozby.

 

Online rozhovor

Online rozhovor byl ukončen. Již nelze položit nový dotaz.
stanik
Dobry den.Pokud je tak snadne stat se hackerem,neměl by byt vice trestně odpovědnějšim ten kdo IT sitě spravuje a zřizuje.Myslite si,že by si dnešni absolventi MatFyzu byli v krizovem stavu poradit s logaritmickym pravitkem a matematickofyzikalnimi tabulkami.Nemusi jit ani o napadeni hackery ale i přirodnimi katastrofami tipu Tunguszky meteorit.Děkuji
Dobrý den, díky za otázku. Máte pravdu v tom, že správce je často tím jediným, kdo je schopen s takovým problémem něco efektivně dělat. Založit přímo jeho odpovědnost za to, co za užití jeho služby udělá útočník, by ale nebylo úplné fér. Myslím, že je ale na místě požadovat po správcích významějších systémů jejich náležité zabezpečení (samozřejmě na rozumné úrovni a s rozumnými náklady). Dnešní absolventy matfyzu nijak dokonale neznám (spíš se stýkám s těmi staršími, kteří mají, jak pevně věřím, pravítka pořád ještě doma připravená v pohotovosti), ale obávám se, že v případě výskytu skutečného problému, o kterém píšete, jsme na ICT už do té míry závislí, že by nás sebelepší logaritmující matermatik asi nezachránil...
Radim Polčák
Karel
Dobrý den pane Polčáku. Většina útoků je prosté zahlcení serveru větším množstvím dotazů než jsou schopni zvládnou a spadnou. Jediné čeho tato skupina lidí dosáhne že napadené stránky budou nedostupné. Je takové jednání vůbec trestně postižitelné dle stavajících zákonů? Nemluvím o skutečných hackerech kteří jsou schopni proniknout do cizího PC a odcizit data připadně ta data změnit nebo smazat. DDos útok zvládne každý běžný uživatel PC. Nedávno mě ještě pobavil článek o Unicreditbank kde měl administrátor heslo Banka123 :-)
Dobrý den, díky za otázku. Je pravda, že v našem trestním zákoníku žádná zvláštní skutková podstata pro tento typ útoku není. To ale neznamená, že jej nelze postihnout, protože útok zpravidla sleduje nějaký účel a má nějaké škodlivé následky. Pokud tedy např. útokem vyřadím z provozu komerční prezentaci, lze použít skutkovou podstatu trestného činu nekalé soutěže. Problém ale vždy je najít útočníka - tady se pak liší práce policie od práce bezpečnostních složek (těm nejde o nalezení a odstíhání útočníka, ale o reakci na útok a zmírnění následků). Policie má tedy v tomto případě vždy velmi obtížnou práci. Co se týče administrátora banky, o kterém píšete, tak, pokud je to pravda, považoval bych to jednoznačně za profesní selhání a dokázal bych si představit pracovněprávní následky.
Radim Polčák
Zdenek
Dobrý den, existuje v ČR vůbec nějaký systém, který je schopen odolat cílenému útoku ? Myslím tím systémy státní správy a banky.
Dobrý den, chráněné systémy u nás samozřejmě fungují - je pak otázkou nákladů a náležité pozornosti, jaké intenzitě útoku je takový systém schopný odolat. Tyto systémy provozuje veřejný i soukromý sektor. Problém spíš vidím v tom, že problematika bezpečnosti není uspokojivě řešena u běžných aplikací, tj. že se o bezpečnostní rizika nestaráme, pokud k tomu nemáme nějaký pádný důvod - jen málokteré ministerstvo má tedy například chráněny své prezentační weby před útoky typu XSS.
Radim Polčák
Zdenek
nezdá se mi,že by někdo jen tak útočil, že ho to jen baví,tak se chci zeptat co za tím je děkuji
Dobrý den, to je dobrá otázka, ale odpověď na ni zná asi jen útočník. Každopádně ten aktuální útok nevypadá na nějakou nevinnou hru (vypadá to, že útočník musel do útoku i něco investovat a asi by to nedělal jen tak pro zábavu)
Radim Polčák
Aleš Špidla
Dobrý den. Pokud hovoříme o kybernetických válkách, neměli bychom pominout úlohu armády. Řada zemí má nebo buduje jednotky kybernetického boje, jejichž síla se nepoměřuje tunami železa ani násobkem rychlosti zvuku. S potenciálem, který v tomto oboru Česká republika má, bychom možná mohli mít takovouto jednotku na stejné úrovni, jako je třeba naše protichemická jednotka. Co si o tom myslíte? Děkuji
To je jednoznačně pravda. Armáda má v systému kybernetické bezpečnosti stejně nezastupitelnou roli jako policie, NBÚ nebo vojenská a civilní rozvědka a kontrarozvědka. Každopádně patříme díky špičkovým univerzitám mezi státy s vynikajícím odborným potenciálem v oboru kybernetické bezpečnosti a je problém, že jej nedostatečně využíváme. Dokázal bych si, jak píšete, představit, že o naše armádní experty na kybernetickou bezpečnost může být přinejmenším stejný zájem jako o chemiky nebo zdravotníky.
Radim Polčák
Aleš Špidla
Ještě jedno dobrý den. Na konci roku jedna americká banka čelila DDoS útoku. Jejich IT odborníci řešili tento útok a nevšimli si, že jeho úlohou je odvrátit pozornost od vážnějšího útoku, kterým přišli klienti banky o peníze. Mohlo by v našem případě jít o něco podobného? Děkuji
Díky za otázku - odpovědět na ni by asi spíš dokázal odborník na bezpečnost (já jsem jen právník). Osobně mi přijde skutečně zajímavé, že útok cílí na veřejně exponovaná místa. Nejde tedy evidentně o způsobení nějakých rozsáhlých škod ale spíše o přilákání veřejné pozornosti. Útočník může pak třeba sledovat reakci, hodnotit mediální odezvu nebo, jak píšete, třeba odvádět pozornost od nějakého závažnějšího problému.
Radim Polčák
Aleš Špidla
Dobrý den. V roce 2015 bude v Německu chybět min 50% odborníků na kybernetickou bezpečnost, podobná převaha poptávky nad nabídkou je indikována v USA a zcela určitě i v jiných zemích. To samozřejmě zvedá cenu takovýchto odborníků na trhu práce. Myslíte si, že náš stát bude schopen zaplatit kvalitní odborníky na kybernetickou bezpečnost pro svá pracoviště? Děkuji
Tohle je opravdu velký problém a je to na delší diskusi. Nás stát nemá na jednu stranu problém vyhazovat stamiliony na externích zakázkách za úplné ptákoviny, na druhou stranu vyvolává veřejný odpor, pokud si špičkový státní zaměstnanec vydělá šestimístnou sumu. U nás na univerzitě se snažíme na zvýšenou poptávkou reagovat nabídkou specializovaného studia, které má právě takové špičkové experty generovat - bohužel ale nejsme schopní řešit způsob, kterým je stát bude motivovat k tomu, aby šli pracovat do veřejného sektoru :-(
Radim Polčák
Stanislav
Je DOS útok postihnutelný podle současných zákonů? Nedochází k prolomení žádného zabezpečení, zasílají se pouze velké množství požadavků na stránky, což si můžeme představit, jako když přijdu na poštu a vezmu si 30 lístečků na odbavení. Je možné případně určit hranici počtu dotazů? Děkuji za odpověd
V tomto případě není rozhodující forma, kterou je útok proveden, ale záměr útočníka, tj. poškodit cizí systém nebo omezit jeho provoz. Dovolil bych si to přirovnat k tomu, že rukama si taky může každý mávat, jak chce, ale pokud je účelem takového mávání vyrazit někomu zuby, není to v pořádku morálně ani právně.
Radim Polčák
Miloš
Dobrý den, zatím není jasné, odkud útok přišel, ani z jakého důvodu. Zajímalo by mě, do jaké míry by bylo podle vás možné připustit, že útok byl pouze podnětem pro otevření diskuze kyberprostorové bezpečnosti u nás, nebo dokonce součástí marketingu nějakých kyberprostorových bezpečnostních agentur? Nejsem zastáncem konspiračních teorií, ale v tomto případě se i tato možnost nabízí. Děkuji
Dobrý den, možné to samozřejmě je a nota bene za situace, kdy organizace takového útoku může, pokud nedojde k odhalení, vyjít levněji než reklamní kampaň, se to nezdá být jako nesmyslný nápad. V tomto případě je ale útok koordinovaný a zasahuje koordinovaně různé veřejně exponované sektory informační společnosti - na reklamní akci mi to tedy osobně přijde trochu moc sofistikované (podle mě by pozornost médií přilákala i mnohem jednodušší a levnější akce).
Radim Polčák
Martin
DoS útok na weby je celkem vzato prkotina, která je mediálně vděčná, ale vpodstatě neškodí. Jak by se ale s dlouhodobým (>1 den) DoS útokem vyrovnaly -datové schránky -czechpointy -centrální registry (idyž tady asi probíhá DoS permanantně dle stávající funkce registrů vozidel, řidičů a úřadů práce) To jsou služby, na kterých dnes visí státní správa. To ještě mají být e-recepty a další se jistě chystá, protože byznys je byznys a ze státního krev neteče.
Dobrý den, máte úplnou pravdu, že současné škody, byť půjdou do milionů nebo desítek milionů, jsou zanedbatelné v porovnání s tím, co by mohlo následovat při nějakém útoku mířeném na vitální funkcionality státu. Systémy, o kterých píšete, ale představují pro útočníka složitější oříšek, neboť jsou zabezpečeny - nejsem schopen kvalifikovaně posoudit jejich úroveň zabezpečení, ale každopádně si myslím, že součástí specifikace těchto systémů by při jejich tvorbě měla být i standardní rezistence vůči útokům a zabezpečení v reálném čase. Za problém také považuji to, že některé z těchto systémů jsou provozovány mimo přímou kontrolu státu externími firmami - to je ale téma samo o sobě...
Radim Polčák
Marek
Zamestnavaji firmy kvalitni lidi, ktere maji realne zkusenosti s utokmi anebo zamestnaji lidi kteri si o tom precetli v knihach a umi to vsechno jenom teoreticky?
Osobně mám zkušenost spíše s těmi prvními. Specialisty, se kterými mám možnost se stýkat a kteří pracují pro firmy nebo pro NBÚ, Policii nebo tajné služby, bych s klidem srovnal s tím nejlepším, co lze potkat v zahraničí. Pokud už firma nebo veřejná organizace tuto problematiku má zájem řešit, dokáže si zpravidla najít nebo případně vyškolit kvalitního experta. Problém spíš vidím v tom, že řada firem a veřejných organizací tento problém neřeší vůbec (tj. nemají ani toho, kdo by si o tom četl v knihách)
Radim Polčák
Titánius Ocelkuj
Technicky problém vyřešit jde. Konec konců to dokazuje přístup Seznamu, který si s tím na rozdíl od našich bulvárů poradil. Bohužel to stojí čas a peníze. Takže, se vás zeptám jaká je šance, že bude ISP, který poskytuje připojení koncovým uživatelům odpovědný za to co od něj teče a jaká je pravděpodobnost, že to nejdůležitější osoby v tomto průmyslu(právníci) vyřeší? Existuje vůbec taková mezinárodní smlouva?
Učinit ISP plně odpovědným zřejmě nepůjde a nebylo by to ani vhodné (viz odpověď výše), ale je vidět, že stačí mít určitou úroveň bezpečnostních opatření a řadu útoků pak lze řešit mnohem rychleji a efektivněji. Vedle toho, že zavážeme ISP k tomu, aby dodržovali základní bezpečnostní pravidla, považuji za nutné zavést též koordinaci obrany na národní úrovni - ve vzájemné spolupráci ISP a státu lze pak řešit i mnohem závažnější kybernetické hrozby. Mezinárodní iniciativy už se v tomto směru rýsují - aktivní je v tomto směru v poslední době i Komise EU. Jde hlavně o to získávat v reálném čase informace o bezpečnostní situaci z co největšího území, aby bylo možno na jednotlivé útoky reagovat co nejrychleji. Svou roli hraje i mezinárodní odpovědnost států - je jen otázkou času, kdy budou hnány k odpovědnosti státy, které kvůli nedostatečně zabezpečené vlastní informační infrastruktuře poskytují možnost přeshraničních útoků.
Radim Polčák
Aleš Špidla
Dobrý den. Vedle Internetu lidí se nám rozvíjí Internet zařízení, síťové technologie se dostávají do zdravotnických prostředků. Zde vznikají nová bezpečnostní rizika. Byl předveden útok na kardiostimulátor, kdy útočník na vzdálenost 20 metrů jej ovládal a simuloval vyslání smrtícího impulsu do srdce pacienta. Myslíte si, že bude nutná nějaká právní úprava bezpečnosti těchto zařízení. Děkuji
Dobrý den, je to skutečně tak. Specialistům z našeho univerzitního bezpečnostního týmu se třeba podařilo odhalit infekci počítačových periferií nebo zařízení používaných při správě budov. Sankce za takové jednání samozřejmě v právu jsou, ale fakticky bývají k ničemu, neboť se útočníka obvykle nepodaří odhalit - namísto policejní agendy tedy bohužel jde často spíše o agendu bezpečnostní. V tomto směru vidím skutečně jako jedinou možnost zavedení bezpečnostních standardů pro různá zařízení tvořící dohromady informační síť - podobně, jako kontrolujeme bezpečnost hraček nebo potravin, tedy bude nutno podle mého názoru kontrolovat i skryté hrozby v chytrých zařízeních připojených k síti.
Radim Polčák
radek
zdravim, nebylo by jednodussi, aby vlada vypsala tendr na dodavku antiviroveho softwaru pro obcany zdarma? Zni to sice divoce, ale v podstate by se tim do znacne miry eliminoval nastroj, kterym se utoci. Cely tenhle poprask je uplne na nic a nic nevyresi. Dokud bezni lide budou pouzivat neoperacni systemy od M$ tak bude stale cim utocit. Radek
Dobrý den, osobně se domnívám, že veřejná investice do ochranných nástrojů pro občany není vůbec divoký nápad. S minimálními investicemi (samozřejmě za předpokladu, že by si stát zorganizoval vývoj sám resp. že by zakázky nebyly "cinknuté") by se totiž podle mě podařilo dosáhnout ekonomicky zajímavého efektu úspor nákladů na řešení dopadů řady bezpečnostních incidentů. Stát by přitom nemusel přímo zásobovat občany antivirovým softwarem - postačila by např. podpora vývoje opensource bezpečnostních nástrojů nebo třeba i jen jednoduchá analytická a metodická činnost. Také se v tomto směru domnívám, že stát stále přehlíží to, že má přímo pod nosem špičkové odborníky (ať už jde u univerzity nebo o české firmy) - ti se pak paradoxně účastní podobných projektů v zahraničí.
Radim Polčák
Berliner
Dobrý den, co říkáte na současný vývoj okolo nové legislativy EU pro data protection? Měla by být více prospotřebitelská nebo souhlasíte s aktuálním vývojem, který je ovlivněn lobby amerických technologických společnosti? Myslím, že "right to be forgotten" by vyřešilo spoustu problémů a podle mě ani není na místě otázka, zda je to všechno technicky možné.
Dobrý den, osobně jsem spíš kritikem naší současné ochrany osobních údajů - jsem přesvědčen o tom, že nechrání to, co by měla, a naopak často spíše bezdůvodně otravuje život nesmyslnými požadavky. Návrh nařízení to pak řeší jen zčásti. Right to be forgotten je podle mě v zásadě dobrá myšlenka, jen si nejsem jistý, zda ji máme dobře vypřemýšlenou a také si nejsem jistý, zda nejde proti prosté lidské přirozenosti. Technická proveditelnost je samozřejmě rovněž faktor ke zvážení, ale to, co nyní v této souvislosti předvádí irské předsednictví EU, bych vnímal spíše jako ochranu domácích investic. Tohle celé je ale každopádně extrémně složitá otázka na hodně dlouhou diskusi...
Radim Polčák
Martin Horák
Vážený pane docente, je zřejmé, že kromě právních opatření je nutné kybernetické problémy řešit také v praxi. Absolutní obrana pravděpodobně možná není, ale určitý druh prevence a případné zmírňovaní důsledků kybernetických hrozeb by měly zajišťovat specializované týmy. Podle mých informací by toto měly v česku zajišťovat tři, různě specializované týmy a to CERC, CIRC a CSIRT. I přesto, že je zaměření každého týmu jiné, lze nějak souhrně hodnotit jejich dosavadní činnost? Co si o ní myslíte? Jaký je Váš názor na budoucí fungování těchto týmů? Děkuji za odpověď a přeji hezký den S pozdravem Martin Horák
Dobrý den, návrh zákona počítá s fungováním vládního a národního CERT (vládní by provozoval přímo NBÚ a národní by provozoval soukromoprávní subjekt) - tento model vychází z různých hledisek jako nejvhodnější, protože kombinuje výhody fungování soukromého a veřejného sektoru. Vládní CERT se v současné době technicky připravuje a úkoly národního CERT plní provizorně (a dlužno ocenit, že filantropicky) CZ.NIC, takže ten systém ještě zdaleka není vytvořen. Pokud ale vím, tak se na něm v mezirezortní spolupráci intenzivně pracuje a za prioritu to považuje i současná vláda. Zdůraznil bych ale, že agenda kybernetické bezpečnosti je mnohem širší a nezastupitelnou roli v ní mají i Policie ČR, ČTÚ nebo civilní a vojenská rozvědka a kontrarozvědka a každý typ orgánu v něm musí plnit svou specifickou funkci.
Radim Polčák
Kamil
Dobrý den, procházejí IT systémy státní správy bezpečnostním auditem(z hlediska možného úniku dat)?
Dobrý den, to bohužel dodnes závisí na iniciativě příslušných veřejnoprávních organizací - žádná standardní povinnost v tomto směru neexistuje. U významných veřejných informačních systémů by měl povinnost standardního zabezpečení řešit připravovaný zákon o kybernetické bezpečnosti.
Radim Polčák
Ondra
Dobrý den, jako právníka bych se Vás chtěl zeptat, jestli lze kyberútoky nějak efektivně řešit legislativou a jak jejich předcházení může pomoci chystaný zákon o kyberbezpečnosti? Myslím, že většina útoků je směřována ze zahraničí a stíhat a postihovat pachatele, který je např. v USA bude dost složité... A druhá otázka - jak při řešení podobných případů v zahraničí funguje spolupráce mezi orgány státní správy a soukromými subjekty?
Dobrý den, díky za otázku. Tady je potřeba oddělit agendu trestní (tj. agendu Policie) a bezpečnostní. Zákon o kybernetické bezpečnosti nebude řešit trestní odpovědnost ale, jak píšete, prevenci a obranu před útoky. Je to podobné jako s protipožární ochranou - hasičům jde o to, aby požáry nevznikaly a pokud už vzniknou, aby se co nejefektivněji uhasily, zatímco policii jde o zajištění stop a důkazů, o nalezení žháře a jeho odstíhání. Zákon o kybernetické bezpečnosti primárně řeší v tomto směru preveci a hašení.
Radim Polčák