Právnická fakulta Masarykovy univerzity Obor Právo Ústav práva a technologií
Diplomová práce
Národní kybernetická bezpečnost ČR jako právní problém Robert Kotzian
2013/2014
Prohlašuji, že jsem diplomovou práci na téma Národní kybernetická bezpečnost ČR jako právní problém zpracoval sám. Veškeré prameny a zdroje informací, které jsem použil k sepsání této práce, byly citovány v poznámkách pod čarou a jsou uvedeny v seznamu použitých pramenů a literatury.
1
Děkuji tímto vedoucímu práce doc. JUDr. Radimu Polčákovi, Ph.D. za cenné rady a připomínky při zpracování této práce.
2
Seznam použitých zkratek AČR
Armáda České republiky
BezpČR
Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. 300/2000 Sb.
BIS
Bezpečnostní informační služba
BTS
Base Transceiver Station
CCD COE
Cooperative Cyber Defence Centre of Excellence
CDMB
Cyber Defence Management Board
CIRC
Computer Incident Response Capability
CERT
Computer Emergency Response Team
CSIRT
Computer Security Incident Response Team
ČNB
Česká národní banka
ČR
Česká republika
DDoS
Distributed Denial-of-Service
EC3
Evropské centrum pro boj proti kyberkriminalitě
EU
Evropská unie
ICT
Information and Communication Technology, informační a komunikační technologie
IP adresa
Internet Protocol adresa
ISP
Internet Service Provider, poskytovatel služby sítě internet
KII
Kritická informační infrastruktura
KrizZ
Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů
NATO
North Atlantic Treaty Organization, Severoatlantická aliance
NBÚ
Národní bezpečnostní úřad
NCI
NATO Communications and Information Agency
NCIRC
NATO Computer Incident Response Capability
NCKB
Národní centrum kybernetické bezpečnosti
NCW
Network Centric Warfare
NKritKI
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
NSVÚB
Návrh směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v EU 3
NZKB
Návrh zákona o kybernetické bezpečnosti
OzbrS
Zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů
RMA
Revolution in Military Affairs
RKB
Rada pro kybernetickou bezpečnost
URI
Uniform Resource Identifier
UtajInf
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů
ÚZSI
Úřad pro zahraniční styky a informace
VyhlNZKB
Návrh prováděcí vyhlášky k návrhu zákona o kybernetické bezpečnosti
VZ
Vojenské zpravodajství
Wi-Fi
Systém bezdrátové informační sítě
ZajObr
Zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů
ZEK
Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů
ZNSIS
Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů
ZprSl
Zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů
4
Abstrakt a klíčová slova Pojem informační společnost je vyjádřením pouze kvantitativní změny. Podstata role informace v životě zůstává nezměněna. Subjekt je v kyberprostoru přítomen vždy pouze ad hoc a vždy prostřednictvím virtuální identity. Navržená struktura kybernetické bezpečnostní události má dvě úrovně objektivní stránky a subjektivní stránku. Aktivní a proporcionální přístup státu ke kybernetické bezpečnosti je nutný. České právo se konec konců v dílčích otázkách právní regulace kybernetického prostoru již zhostilo. Pro soudobé bezpečnostní hrozby a konflikty je typická zásadní role informačních a komunikačních technologií. To determinuje i roli kybernetické bezpečnosti. Veřejný statek bezpečnosti státu může být v prostředí kybernetického prostoru v kolizi s právem na informační sebeurčení, právem vlastnickým a právem na spravedlivý proces. Kybernetický útok může být za určitých podmínek kvalifikován jako použití síly podle mezinárodního práva veřejného. Klíčovým legislativním nástrojem zajišťování národní kybernetické bezpečnosti má být návrh zákona o kybernetické bezpečnosti. U právního institutu evidence kybernetických bezpečnostních incidentů lze shledat částečnou disproporcionalitu. Osobní působnost návrhu ve stavu kybernetického nebezpečí je vhodné zúžit. Evropská komise navrhla směrnici obdobného zaměření. Řada obsažených institutů je ovšem disproporcionální. Klíčová slova: kybernetický prostor, kybernetická bezpečnost, kybernetická bezpečnostní událost, zákon o kybernetické bezpečnosti, hybridní hrozba, proporcionalita A notion of information society expresses solely quantitative change. The merits of role of information in our life remain unchanged. In cyberspace a person can be present only ad hoc and by means of a virtual identity. A suggested structure of cybernetic security event comprises two levels of an objective aspect and a subjective aspect. An active and proportional attitude of a state towards cybernetic security is necessary. All in all Czech law has been already performing legal regulation of cybernetic space in particular issues. What is distinctive for contemporary security threats and conflicts is significant role of information and telecommunication technologies. That determines also the role of cybernetic security. State security as a public good can collide with right for informational self-determination, ownership right and right to a fair trial. According to international public law a cybernetic attack can be under certain circumstances qualified as use of force. Key legal instrument of national cybernetic security is a proposal to law on cybernetic security. As regards legal institution of cybernetic security incidents filing partial disproportionality can be found. It is also desirable to narrow personal scope of the pro5
posal for the case of cybernetic emergency state. European Commission proposed a directive of analogic set. Nonetheless many legal institutions of this proposal are disproportional. Keywords: cybernetic space, cybernetic security, cybernetic security event, law on cybernetic security, hybrid threats, proportionality
6
Obsah 1
2
Úvod ............................................................................................................................ 9 1.1
Terminologická poznámka .................................................................................... 9
1.2
Návrh zákona o kybernetické bezpečnosti .......................................................... 10
1.3
Člověk a informace.............................................................................................. 11
Kybernetický prostor ................................................................................................. 15 2.1
Kybernetický systém ........................................................................................... 15
2.2
Kybernetický prostor ........................................................................................... 16
2.2.1
3
4
Virtuální identita ........................................................................................... 30
2.3
Kybernetická bezpečnostní událost ..................................................................... 32
2.4
Kritická infrastruktura ......................................................................................... 38
2.5
Právo v kybernetickém prostoru .......................................................................... 41
Kybernetická bezpečnost .......................................................................................... 53 3.1
Národní bezpečnost obecně ................................................................................. 53
3.2
Charakter soudobých hrozeb ............................................................................... 54
3.3
Národní bezpečnost České republiky .................................................................. 58
3.4
Kybernetická bezpečnost ..................................................................................... 63
3.5
Právo a bezpečnost v kyberprostoru .................................................................... 73
Institucionální a právní zajištění kybernetické bezpečnosti ...................................... 91 4.1
Institucionální a právní zajištění kybernetické bezpečnosti ČR .......................... 91
4.1.1
Národní bezpečnostní úřad ........................................................................... 93
4.1.2
Rada pro kybernetickou bezpečnost ............................................................. 98
4.1.3
Armáda ČR ................................................................................................... 98
4.1.4
Zpravodajské služby ................................................................................... 100
4.1.5
Národní CERT ............................................................................................ 101
4.2
Institucionální a právní zajištění kybernetické bezpečnosti EU ........................ 101 7
5
4.3
Institucionální a právní zajištění kybernetické bezpečnosti NATO .................. 105
4.4
Proporcionalita vybraných aspektů navrhované právní úpravy ........................ 106
4.5
Závěrečné poznámky k navrhované úpravě a úvahy de lege ferenda ............... 113
Závěr ....................................................................................................................... 116 5.1
6
7
Otázky k dalšímu řešení .................................................................................... 117
Seznam použitých pramenů a literatury .................................................................. 119 6.1
Literatura ........................................................................................................... 119
6.2
Právní předpisy, legislativní návrhy a soudní rozhodnutí ................................. 127
6.3
Ostatní prameny................................................................................................. 131
Zadání práce ............................................................................................................ 137
8
1 Úvod Kybernetická bezpečnost je pojem, který se s postupující digitalizací naší společnosti stává stále aktuálnějším. Digitalizace usnadňuje a zrychluje mnohé procesy, ale vede také k růstu složitosti systémů informační sítě, kterou je především internet. Odvrácenou stranou digitalizace je odpovídající měrou se zvyšující zranitelnost dotčených systémů a v míře, která odpovídá rozsahu, jakým tyto systémy zasahují naše životy, také zranitelnost naše. Otázka kybernetické bezpečnosti je proto vysoce aktuální a to rovněž pro komplikace, které z podstaty věci provázejí její faktické zajišťování. Digitalizací společnosti rozumíme zvyšování míry využívání číslicových informačních a komunikačních technologií (dále jen ICT) členy společnosti. Po exkurzu do vztahu člověka a informace v dnešním světě se práce věnuje vymezení základních pojmů, jejichž porozumění je předpokladem pro systematické uvažování nad právními aspekty kybernetické bezpečnosti. V kap. 2 je proto navržena konceptualizace kybernetického prostoru a kybernetické bezpečnostní události. Následuje výklad k působení práva v kybernetickém prostoru a je vyložen pojem kritické infrastruktury a jeho právní úpravy. V kap. 3 je vymezen pojem národní bezpečnosti a popsán charakter soudobých bezpečnostních hrozeb. Obsah národní bezpečnosti je následně konkretizován v podmínkách ČR a jejích bezpečnostních dokumentů strategické povahy. Na uvedené navazuje definice kybernetické bezpečnosti včetně vyjádření k národní strategii kybernetické bezpečnosti. Kap. 3 je zakončena exkurzem do souvislostí práva a bezpečnosti v kybernetickém prostoru. Kap. 4 je věnována institucionálnímu a právnímu zajištění kybernetické bezpečnosti ČR. Nejprve jsou popsány základní národní instituce působící v oblasti kybernetické bezpečnosti včetně příslušné právní úpravy. Navazuje popis institucionálního a právního zajištění kybernetické bezpečnosti na úrovni EU a NATO. Následně jsou z hlediska proporcionality vyhodnoceny vybrané aspekty klíčového českého legislativního návrhu v oblasti kybernetické bezpečnosti (návrh zákona o kybernetické bezpečnosti). Stručný komentář je věnován také proporcionalitě návrhu směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v EU. Nakonec jsou učiněny závěrečné poznámky včetně několika návrhů de lege ferenda.
1.1 Terminologická poznámka Budeme-li hovořit o informační síti, budeme mít na mysli jakoukoliv faktickou síť, ve které probíhá datová komunikace. Informační síť je systém systémů vzájemně propoje9
ných informačními vazbami, tj. vazbami umožňujícími přenos informací. Internet je jednou, byť zcela dominující, konkrétní realizací informační sítě. Jinými široce užívanými a relevantními informačními sítěmi jsou například infrastruktura (nevirtuálních) operátorů mobilních hlasových a datových služeb, digitalizovaná část infrastruktury pozemních telefonních operátorů, podnikové sítě aj. Právní řád zná pojem síť elektronických komunikací1, který je legální definicí informační sítě. V dalším textu shrneme všechny druhy informační sítě pod jeden pojem kybernetického prostoru, i když tento pojem tím nebude vyčerpán. V textech pojednávajících o kybernetické bezpečnosti je zvykem zkracovat sousloví obsahující přívlastek „kybernetický“ do jednoho slova s předponou „kyber“. Této jazykové zkratky se na řadě míst dopouští i text této práce.
1.2 Návrh zákona o kybernetické bezpečnosti V práci budeme pracovat s návrhem zákona o kybernetické bezpečnosti (dále jen NZKB)2. V době finalizace textu této práce byl NZKB schválen Vládou ČR (usnesení č. 2 ze dne 2. 1. 2014), projednán v 1. čtení v Poslanecké sněmovně Parlamentu ČR (6. schůze dne 14. 2. 2014) a přikázán k projednání sněmovním výborům a to Výboru pro obranu, Rozpočtovému výboru, Výboru pro bezpečnost a Ústavněprávnímu výboru3. Před odesláním návrhu do Poslanecké sněmovny Parlamentu ČR provedla Vláda ČR na základě požadavků své Legislativní rady v návrhu zpracovaném Národním bezpečnostním úřadem (dále jen NBÚ) menší úpravy4. Rozpočtový výbor na své schůzi 26. 2. 2014 rozhodl o přerušení projednávání NZKB a stanovil termín pro předkládání pozměňovacích návrhů na 30. 4. 20145. Výbor pro bezpečnost na své schůzi 26. 2. 2014 rozhodl o přerušení pro-
1
Srov. § 2 písm. h) zákona o elektronických komunikacích. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 9. 2013]. 2 Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 6. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888 3 Srov. stav projednávání sněmovního tisku 81, vládního návrhu zákona o kybernetické bezpečnosti. Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 23. 2. 2014]. Dostupné z: http://www.psp.cz/sqw/historie.sqw?o=7&t=81 4 Mimo jiné byla vypuštěna definice kybernetické bezpečnosti. Srov. PETERKA, Jiří. S jakým přijetím se ve sněmovně setkal zákon o kybernetické bezpečnosti? LUPA.cz [online]. Lupa.cz, publikováno 17. 2. 2014 [cit. 3. 3. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/navrh-zakona-o-kybernetickebezpecnosti-prosel-prvnim-ctenim/ 5 Srov. usnesení Rozpočtového výboru Poslanecké sněmovny Parlamentu ČR č. 48 ze dne 26. 2. 2014. Poslanecká sněmovna Parlamentu ČR: Rozpočtový výbor [online]. Poslanecká sněmovna Parlamentu ČR [cit. 28. 2. 2014]. Dostupné z: http://www.psp.cz/sqw/text/text2.sqw?idd=92973
10
jednávání NZKB a stanovil termín pro předkládání pozměňovacích návrhů na 28. 3. 20146. Shodný postup zvolil i Výbor pro obranu7. Dále uvedené odkazy na ustanovení NZKB platí pro znění, které je součástí příslušného sněmovního tisku8. NBÚ k připomínkovému řízení zveřejnil návrh prováděcí vyhlášky k NZKB9 (dále jen VyhlNZKB). Vyhláška má dle svého § 1 upravovat obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah jejich zavedení, typy a kategorie kybernetických bezpečnostních incidentů, náležitosti a způsob hlášení kybernetického bezpečnostního incidentu, náležitosti oznámení o provedení reaktivního opatření a jeho výsledku a vzor oznamování kontaktních údajů a jeho formu.
1.3 Člověk a informace Vzájemná výměna informací je nutnou podmínkou existence mezilidských vztahů. Bez komunikace by nebylo možné vůbec hovořit o lidské společnosti. Živé organismy, na rozdíl od neživých věcí, jsou nadány schopností informaci zpracovávat a zcela nově vytvářet10. To jim umožňuje čelit entropii, která podle neúprosného druhého termodynamického zákona, není-li odstraňována, neustále roste. Lidský rozum jakožto původce člověkem vytvářených informací označují někteří ekonomové11 za jediný skutečně nevyčerpatelný (přírodní) zdroj. Informace jím vytvářené (ve spojení s vůlí) jsou konec konců podstatou veškerého hospodářského rozvoje. Jinými slovy, informace v podobě inovací jsou
6
Srov. usnesení Výboru pro bezpečnost Poslanecké sněmovny Parlamentu ČR č. 21 ze dne 26. 2. 2014. Poslanecká sněmovna Parlamentu ČR: Výbor pro bezpečnost [online]. Poslanecká sněmovna Parlamentu ČR [cit. 15. 3. 2014]. Dostupné z: http://www.psp.cz/sqw/text/orig2.sqw?idd=93159 7 Srov. usnesení Výboru pro obranu Poslanecké sněmovny Parlamentu ČR č. 16 ze dne 5. 3. 2014. Poslanecká sněmovna Parlamentu ČR: Výbor pro obranu [online]. Poslanecká sněmovna Parlamentu ČR [cit. 24. 3. 2014]. Dostupné z: http://www.psp.cz/sqw/text/orig2.sqw?idd=97284 8 Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 6. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888 9 Srov. návrh vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Národní centrum kybernetické bezpečnosti: Informační servis [online]. Národní bezpečnostní úřad, publikováno 21. 2. 2014 [cit. 1. 3. 2014]. Dostupné z: http://www.govcert.cz/cs/informacniservis/akce-a-udalosti/nbu-vypracoval-navrh-vyhlasky-o-kyberneticke-bezpecnosti/ 10 Srov. POLČÁK, Radim. Internet a proměny práva. 1. vyd. Praha: Auditorium, 2012, 388 s. ISBN 97880-87284-22-3. S. 21. 11 V roce 1981 přišel s touto teorií americký ekonom Julian L. Simon v knize The Ultimate Resource, do češtiny přeložené pod názvem Největší bohatství. Srov. LOUŽEK, Marek. Krásná budoucnost světa. Cepin.cz [online]. Centrum pro ekonomiku a politiku, publikováno 5. 3. 2007 [cit. 12. 9. 2013]. Dostupné z: http://cepin.cz/cze/clanek.php?ID=735
11
původcem bohatství. Informace a jejich komunikace jsou proto naprostými fundamenty života samotného, jsou podmínkou jeho existence a rozvoje. Právě tento význam informací a komunikace pro člověka a společnost determinuje míru, jakou ICT tím, že rapidně usnadňují právě komunikaci a zpracovávání informací, ovlivňují naše životy. Pojem informace má mnoho definic. Nejprve však rozlišme tři důležité pojmy – data, informace a znalost. Kdykoliv lze na nějakém hmotném nosiči nějakým senzorickým systémem rozpoznat nějaké vzájemně oddělené znaky či útvary, lze hovořit o datech. Pro naše účely postačí, pokud budeme jako data označovat jakékoliv, i náhodné, uspořádání symbolů nějaké abecedy. Pokud jsou data zapsána takovou symbolikou, že je dokáže určitý systém akceptovat jako vstup (syntaktická relevance), kterému je současně (tentýž systém) schopen přiřadit určitý význam (sémantická relevance) a případně jej i uložit a zpracovat, lze tato data, ovšem pouze z hlediska daného systému, považovat za informaci. Pokud je tato informace navíc vyhodnocena kladně, resp. pokud má pro daný systém organizující, a nikoli chaotizující, efekt, pak lze hovořit o znalosti. Opět ovšem pouze z hlediska daného systému. Vidíme tedy, že pojmy informace a znalost jsou v uvedeném smyslu relativní, neboť je nutno je vždy posuzovat z hlediska zkoumaného systému.12 Teorie informace definuje informaci jako statistickou pravděpodobnost určitého znaku na vstupu nějakého systému. V teorii informace je tak informace posuzována spíše z kvantitativního hlediska jakožto míra, kterou určitá posloupnost znaků snižuje entropii daného systému.13 Informaci budeme chápat jako data syntakticky a sémanticky relevantní pro alespoň jeden systém, který je připojen k informační síti. Sémiotika přisuzuje informaci ještě pragmatickou relevanci, tj. užitečnost informace pro daný systém. Samozřejmou podmínkou přítomnosti informace v informační síti je, že je nesena signálem, který je z fyzikálního hlediska schopen přetrvání nebo pohybu v informační síti anebo který je akceptovatelný připojeným senzorickým systémem v případě, že informace přichází z vnějšku informační sítě.14 Z hlediska vlivu na konkrétní systém může mít konkrétní informace různý dopad. Informace může vést ke zvýšení organizovanosti systému, ale také k jejímu snížení, tj. k 12
Srov. ŠLAPÁK, Ondřej. Data, informace, znalosti. E-LOGOS [online]. Vysoká škola ekonomická, 2003 [cit. 14. 9. 2013]. ISSN 1211-0442. Dostupné z: http://nb.vse.cz/kfil/elogos/miscellany/slapa103.pdf 13 Srov. VAJDA, Igor. Civilizační přínos teorie informace. Akademický bulletin [online]. Akademie věd ČR, publikováno 25. 6. 2008 [cit. 14. 9. 2013]. ISSN 1210-9525. Dostupné z: http://abicko.avcr.cz/archiv/1999/4/obsah/civilizacni-prinos-teorie-informace.html 14 Srov. OŠMERA, Pavel. Informační systémy. Vysoké učení technické v Brně [online]. [cit. 14. 9. 2013]. Dostupné z: http://www.zam.fme.vutbr.cz/~Osmera/
12
jeho chaotizaci. Předmětem našeho zájmu je člověk, resp. společnost, a tudíž i otázka, kdy má informace na člověka a společnost organizující efekt. Na tuto otázku nelze jednoznačně odpovědět, neboť pokud jde o jednotlivce, je to otázka výrazně subjektivní a pokud jde o společnost, je navíc ještě politická. Zůstaňme proto u intuitivního poznatku, že informace lze na organizující a chaotizující rozlišovat. Pojem organizující informace lze vysvětlit také jako informace s kladným dopadem na jednotlivce či společnost, informace, která zvyšuje schopnost jednotlivce či společnosti snižovat míru entropie, či která je individuálně anebo společensky prospěšná. S postupující digitalizací společnosti roste rovněž její složitost a množství informací, které jedinec musí zpracovávat a vytvářet. Množství informace, kterému musí každý z nás denně čelit, dalece přesahuje míru potřebnou pro sebeorganizaci, tj. vlastní přežití a rozvoj. Informace musíme nejen přijímat a zpracovávat, ale také třídit a vybírat z nich ty, které pro nás mají organizující efekt. Náročnost tohoto procesu se s postupující digitalizací společnosti zvyšuje. Každodenně jsme vystaveni takovému množství informací, že lze bez obav hovořit o informačním přetlaku. Oddělit zrno od plev, organizující informace od balastních a chaotizujících, je nutnou součástí našich životů. Internet se všemi jeho aplikacemi (sociální sítě, blogy, ...) umožňuje komunikaci dobrého, ale i zlého. Můžeme se díky němu například seznamovat s činností orgánů veřejné správy nesrovnatelně snadněji, rychleji a lépe, než by to bylo bez něj. V tomto smyslu nezpochybnitelně přispívá k rozvoji demokratických hodnot. Velké množství informací o činnosti orgánů veřejné správy je na internetu automaticky anebo dokonce ex lege publikováno. Součástí veřejné debaty jsou průběžně návrhy na další rozšiřování spektra informací a dokumentů, které mají být ex lege publikovány, v poslední době jsou to uzavřené smlouvy, proplacené faktury a další. To vše ve strojově čitelné podobě. V principu lze těžko co namítat vůči dalšímu otevírání veřejné správy. Přesto však až budoucnost ukáže, zda jde ve všech případech skutečně o zcela pozitivní návrhy, jak se skoro každému zdá, anebo i ony mají své odvrácené strany. Stejně dobře jako má využívání internetu potenciál snižovat transakční náklady a tím přispívat k prospěchu jednotlivce i společnosti, má potenciál zvyšovat zranitelnost jednotlivce i společnosti. Může jít o neopatrné zacházení s informacemi o sobě a osobách blízkých, o zvyšující se závislost systémů kritické infrastruktury na komunikaci prostřednictvím systémů, které jsou součástí internetu apod. V každém případě je zřejmé, že i internet je mincí o dvou stranách, byť ne stejně velkých. Jako se kvůli existenci dopravních nehod nepřestává jezdit motorovými 13
vozidly, nepřestane používání internetu kvůli existenci kybernetických deliktů. Negativní dopady digitalizace společnosti však nelze pomíjet. ICT nezměnily roli informace a její komunikace ve společnosti. Změnily se, byť v řadě případů radikálně, pouze způsoby jejího získávání, zpracování a komunikace. Znamená-li pojem informační společnost, že běžný člověk čelí v každém okamžiku velkému množství informace, že je nucen velké množství informace zpracovávat, třídit, ukládat a komunikovat, pak je tento pojem coby charakteristika soudobé společnosti možný. Nicméně jde o popis změny kvantitativní, nikoliv kvalitativní. Jako vyjádření kvalitativní změny je třeba odmítnout i pojem znalostní ekonomika, neboť informace v podobě inovace byla hnacím motorem hospodářského rozvoje vždy, jen v nesrovnatelně menší míře. Komunikace informace odedávna probíhala ve skutečném, fyzickém, světě. Odedávna se však datují snahy člověka limity ústního předávání informace překonávat. Od psané korespondence, kouřových, ohňových a jiných signálů, přes telegraf a telefon, dospěla lidská společnost až k celosvětové soustavě informačních a telekomunikačních sítí. V další kapitole tuto soustavu společně s dalšími systémy nazveme kybernetický prostor, který je vedle známých možností fyzického světa další, čím dál významnější, komunikační platformou.
14
2 Kybernetický prostor Přestože je kybernetický prostor spíše literární pojem, budeme jej dále používat a pokusíme se o jeho definici. Jak ukážeme, je kybernetický prostor15 z hlediska uživatele heterogenní prostředí, jehož vlastnosti se mění s mírou abstrakce od jeho technologické podstaty. Najít sjednocující pojem je obtížné, i když obsahu pojmu kybernetického prostoru není těžké intuitivně porozumět. Nevadí proto, pokud používáme tento lehce poetický, literárně založený pojem. Koneckonců je běžně používán pojem kybernetické bezpečnosti16, kybernetické hrozby apod., o anglicky psané odborné literatuře ani nemluvě.
2.1 Kybernetický systém Stavebním prvkem kybernetického prostoru jsou kybernetické systémy. Systém lze obecně definovat jako soustavu prvků natolik navzájem úzce svázaných, že dohromady vystupují jako jeden celek. Abychom mohli vymezit kybernetický systém, nebo též kybersystém, je třeba nejprve stanovit, jaké prvky do něj budou náležet. Ačkoliv kybernetika je disciplínou se zájmem o tok informací v jakémkoliv systému bez ohledu na jeho fyzikální podstatu, budeme mít pod pojmem kybersystém na mysli systém, jehož prvky jsou technické systémy schopné přijmout na svých vstupech data a které na svých výstupech data produkují. Přitom definičním znakem vazby mezi prvky kybersystému je schopnost přenášet data na signálech fyzikálně i fakticky akceptovatelných těmito prvky. K zahrnutí prvku do kybersystému bude postačovat potencialita jeho vazby s ostatními prvky, neboť skutečnost, že daný prvek není aktuálně datově propojen s ostatními prvky, neznamená, že se tak nestane (např. ad hoc přenos dat přes rozhraní Bluetooth17, vyspělé systémy neoprávněného získávání obsahu analýzou tzv. kompromitujícího vyzařování apod.). Pokud jde o ryze softwarové kybersystémy, budou jeho prvky v závislosti na úrovni dekompozice instrukce zvoleného jazyka nebo procedury zapsané ve zvoleném jazyce. Vazby budou tvořeny exekutivním pořádkem implicitně zakódovaným v procesoru (resp. interpretu) provádějícím danou posloupnost instrukcí, resp. procedur. V obou případech se souhrn vnějších projevů kybersystému nazývá jeho chováním.
15 16
Možná by byl lepší pojem „počítačové prostředí“, případně jiný. I klíčový legislativní návrh používá přívlastek „kybernetický“ – návrh zákona o kybernetické bezpečnos-
ti. 17
Bluetooth je standard pro bezdrátovou datovou komunikaci zaměřený na spojení dvou zařízení. Srov. Bluetooth Smart Technology: Powering the Internet of Things. Bluetooth Special Interest Group: Bluetooth Smart [online]. Bluetooth Special Interest Group [cit. 3. 9. 2013]. Dostupné z: http://www.bluetooth.com/Pages/Bluetooth-Smart.aspx
15
Prvky kybersystému, neuvažujeme-li úroveň jednotlivých polovodičových komponent, mají své podsystémy, ty opět své podsystémy atd. Nemá valný význam se v definici kybersystému zabývat úrovní dekompozice jeho prvků, kterou je vždy potřeba pragmaticky přizpůsobit povaze zkoumaného problému. Kybernetické systémy mohou být jak čistě technologické (hardwarové), tak i ryze programové (softwarové). V řadě případů půjde o kombinaci hardware a software.
2.2 Kybernetický prostor V literatuře lze najít celou řadu definicí kyberprostoru. Jako vůbec první tento pojem použil William Gibson, považovaný za zakladatele literárního žánru kyberpunk, a to ve své povídce Jak vypálit Chrome (Burning Chrome) z roku 198218. Tentýž autor o dva roky později definoval kyberprostor v románu Neuromancer jako sdílenou halucinaci: Sdílená halucinace každý den pociťovaná miliardami oprávněných operátorů všech národů, dětmi, které se učí základům matematiky... Grafická reprezentace dat abstrahovaných z bank všech počítačů lidského systému. Nedomyslitelná komplexnost. Linie světla seřazené v neprostoru mysli, shluky a souhvězdí dat. Jako světla města ustupující...19
Často citovaným textem v pojednáních o kyberprostoru je Deklarace nezávislosti z pera hudebníka Johna Perry Barlowa20. Barlow v tomto textu chápal kyberprostor jako zcela novou dimenzi oproštěnou od veřejné moci skutečného světa, jako sídlo jakési vyšší inteligence (nazývá ji „Mysl“), jako volný prostor pro cestování napříč jurisdikcemi, prostor pro vznik humánnějšího a spravedlivějšího světa. Za všechny utopické vize kyberprostoru uvedeme (úplné) znění právě Barlowovy Deklarace nezávislosti: „Vy, vlády všech průmyslových světů, Vy unavení obři z masa a oceli. Já, přicházející z Kyberprostoru, nového sídla Mysli, Vás v zájmu budoucnosti vyzývám: Nechte nás být! Nejste mezi námi vítáni. Nemáte žádnou moc nad místy, kde přebýváme. Nemáme vládu ani po žádné netoužíme. Mluvím k Vám tedy z pozice autority ne větší, než jakou má sama Svoboda. Vyhlašuji, ze globální společenství, jež budujeme, nezávisí na tyranii a zákazech, kterými jste nás svázali. Nemáte morální právo nás řídit a nemáte ani nástroje, kterých bychom se museli bát. Moc vlád je odvozena ze souhlasu těch, kterým vládnou. Náš souhlas jste však nežádali a nikdy jej neobdržíte. Nechceme Vás. Neznáte nás, jako neznáte náš svět. Kyberprostor leží mimo hranice Vašeho poznání. Nemyslete si, že jej můžete tvořit a dotvářet, jako by se jednalo o nějakou další Vaši veřejnou zakázku. Nemůžete. Vznikl přirozeným vývojem a roste dík našemu společnému úsilí. Dovoláváte se problémů okolo nás a říkáte, že je potřeba je řešit. Používáte je k ospravedlnění svých výpadů vůči nám. Mnoho z nich však neexistuje. Když se objeví skutečný konflikt nebo jiná
18
Srov. GOJNÁ, Markéta. Virtuální světy matrix, Metaverzum, Second Life [online]. Brno, 2009 [cit. 3. 9. 2013]. Bakalářská práce. Masarykova univerzita, Filosofická fakulta. Dostupné z: http://is.muni.cz/th/217784/ff_b/Bakalarka_Virtualni_svety.pdf 19 Citováno dle GOJNÁ, op. cit. 20 Srov. POLČÁK, 2012, op. cit. s. 95.
16
špatnost, poznáme to a vypořádáme se s nimi vlastními prostředky. Máme novou společenskou smlouvu. Takové vládnutí se nezakládá na podmínkách Vašeho světa, ale toho našeho a náš svět je jiný. Pojmy Vašeho práva jako vlastnictví, vyjadřování, subjektivita, pohyb nebo okolnosti, se na nás nevztahují. Všechny jsou založeny na hmotné podstatě a zde žádná hmotná podstata není. Nemáme těla a na rozdíl od Vás se řád mezi námi nevytváří prostřednictvím násilí. Věříme v nastolení pořádku díky etice, osvícenému individualismu a smyslu pro všeobecné blaho. Můžeme se volně přemísťovat mezi Vašimi jurisdikcemi a tak jediné pravidlo, které skutečně ustavuje naše společenství, je zlaté pravidlo morálky. Na tomto základě chceme řešit všechny problémy a nepřijímáme způsoby, které se nám snažíte vnutit. Vaše rostoucí nepřátelské a koloniální snahy nás staví to stejné role, jakou měli i v minulosti ti, kteří toužili po svobodě, sebeurčení a kteří se rozhodli odmítnout formální autority. Nedáváte nám jinou možnost než vyhlásit naše virtuální identity nezávislými na Vaší vládě i přes to, že naše těla jí i nadále podléhají. Naše myšlenky však nikdo omezovat nebude, neboť je rozprostřeme po celé planetě. Založíme v kyberprostoru novou civilizaci Mysli. Snad bude humánnější a spravedlivější než svět, který Vaše vlády doposud vytvořily.“21
Deklarace dobře ilustruje raný, poetický pohled na kybernetický prostor jakožto doménu pro nové formy bytí a útěku od reality. Vedle takových vzletných popisů se většinou setkáváme s praktickými a spíše technicky orientovanými definicemi, jejichž společným znakem je snaha o stručný a vyčerpávající popis technické podstaty kyberprostoru a jeho funkcionalit. Podle filozofa Pierra Lévyho je praktickou realizací kyberprostoru síť internet jakožto komunikační prostor zpřístupněný dík vzájemnému propojení počítačů a jejich pamětí22. Podle jiných definic je kyberprostor:
komutovaná síť pro provoz informační výměny, dále charakterizovaná různými úrovněmi přístupu, navigace, informačních aktivit a umocnění skutečnosti (augmentation)23;
digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací24;
sociální aréna, do níž vstupují všichni sociální aktéři, kteří používají ke své vzájemné sociální interakci pokročilé informační technologie25;
21
Srov. POLČÁK, Radim. Právo a evropská informační společnost. 1. vyd. Brno: Masarykova Univerzita, 2009. 202 s. ISBN 978-80-210-4885-0. S. 36. 22 Srov. LÉVY, Pierre. Cyberculture. Minneapolis: University of Minnesota Press, 2001, s. 74. Citováno dle POLČÁK, 2012, op. cit., s. 72. 23 Srov. FOLSOM, Thomas C. Defining Cyberspace (Finding Real Virtue in the Place of Virtual Reality). Tulane Journal of Technology and Intellectual Property. 2007, vol. 9, s. 75. ISSN 1533-3531. 24 Viz § 2 písm. a) NZKB. Stejnou definici podává Výkladový slovník kybernetické bezpečnosti. JIRÁSEK, Petr, NOVÁK, Luděk, POŽÁR, Josef. Výkladový slovník kybernetické bezpečnosti. 2. vyd. Praha: Policejní akademie ČR a Česká pobočka AFCEA, 2013, 200 s. ISBN 978-80-7251-397-0. 25 Srov. HAKKEN, David. Cyborg@cyberspace?: An Ethnographer Looks to the Future. New York: Routledge, 1999. 264 s. ISBN 978-0415915589. Citováno dle SCHMIDT, Richard. Memy a normativita kyberprostoru [online]. Brno, 2012 [cit. 28. 9. 2013]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/257432/pravf_m/Kyberprostor_diplomka.pdf
17
[…] technologicky mediovaný prostor sociální interakce26;
doména charakterizovaná používáním elektroniky a elektromagnetického spektra pro uchovávání, změny a vzájemnou výměnu dat prostřednictvím k síti připojených systémů a související fyzické infrastruktury27. V dalším textu budeme odlišovat dva pojmy – skutečnost (nebo též „fyzický svět“)
a kyberprostor. Skutečností budeme rozumět objektivní, fyzikální, realitu takovou, jak ji každodenně zakoušíme. Skutečnost je svět přírodních, fyzikálních zákonů. Kyberprostor bude to, co zakoušíme prostřednictvím vstupně-výstupních podsystémů vzájemně propojených digitálních zařízení. Kyberprostor bude to, co je za rozhraním těchto zařízení. Jednou z podstatných otázek je, zda kyberprostor je doménou existující v nezávislém postavení na skutečnosti anebo je podmnožinou skutečnosti. Je zřejmé, že přinejmenším z praktického hlediska je kyberprostor skutečností podmíněn28 a proto je i doménou podřízenou skutečnosti. Kyberprostor není žádným novým transcendentnem, ale nesmírně rozsáhlou soustavou informačních obsahů obvodů, paměťových buněk a komunikačních linek, jejichž stavy jsou nám prezentovány prostřednictvím výstupních zařízení. Vše přísně kauzální, s plně popsatelnými fyzikálními vlastnostmi. O tom, zda mnohost prvků kyberprostoru a jejich propojenost z nich tvoří nový svět mimo přírodní zákony, lze vést dlouhé debaty. Nicméně již z fatální závislosti na přírodních zákonech a něčem tak prostém, jako je permanentní dodávka elektrické energie, lze potvrdit, že kyberprostor je podřízen skutečnosti. Kyberprostor můžeme nahlížet zevnitř a zvnějšku. Kyberprostor zevnitř je vlastním (kybernetickým) prostorem se specifickými charakteristikami. Vnější aspekty kyberprostoru jsou jeho hmotnou podstatou – elektronické systémy, které jsou nosičem kyberprostoru. T. C. Folsom vnější aspekt odmítá (v dalším textu jej definujeme jako technologickou vrstvu kyberprostoru) podřazovat pod pojem kyberprostoru, když tvrdí, že v kyberprostoru se subjekt vyskytuje pouze, pokud podniká určité specifické aktivity anebo vstupuje do určitých specifických vztahů29. T. C. Folsom rozlišuje mezi aktivitami a vzta-
26
Srov. POLČÁK, Radim, ŠKOP, Martin, MACEK, Jakub. Normativní systémy v kyberprostoru. 1. vyd. Brno: Masarykova univerzita, 2005, 102 s. ISBN 80-210-3779-2. S. 9. 27 Srov. The National Military Strategy for Cyberspace Operations. Secretary of Defense: The Office of the Secretary of Defense and Joint Staff [online]. Secretary of Defense, 2006 [cit. 28. 9. 2013]. Dostupné z: http://www.dod.mil/pubs/foi/joint_staff/jointStaff_jointOperations/07-F-2105doc1.pdf 28 Bez ve skutečnosti, jakožto fyzikální realitě, objektivně existujících technologií by jednoduše nebyl možný. 29 Srov. FOLSOM, op. cit.
18
hy, které, přestože probíhají částečně nebo zcela v kyberprostoru, se ve své podstatě vůbec nebo jen nepatrně liší od srovnatelných aktivit ve skutečnosti, a mezi aktivitami a vztahy, které jsou významně odlišné a svůj předobraz ve skutečnosti nemají30. Pouze ty druhé vyžadují odlišný právní přístup a jen v jejich případě lze podle T. C. Folsoma hovořit o přítomnosti v kyberprostoru. Kyberprostor (nahlížen zevnitř, jeho vnitřní stránka) není hmotný, je souhrnem dat (a jejich interpretací) uložených v paměťových buňkách zúčastněných elektronických zařízení a protékajících komunikačními linkami. Jeho podstatou je tedy obrovský, avšak přísně uspořádaný, komplex dat, z nichž část interpretují procesory jako instrukce a uvádějí tak tato data „v pohyb“ a činí kyberprostor dynamickým prostředím. Logickým celkům takto zpracovávaných instrukcí říkáme programy, které mohou sloužit i k procesování instrukcí (příkazů) nějakého programovacího jazyka vyšší úrovně. Takových úrovní může být v podstatě nekonečně mnoho. Jiné struktury dat slouží programům jako vstupy, jiné struktury jim slouží jako stavové prostory a jiné jsou jejich výstupy31. Kyberprostor lze vnímat na mnoha úrovních. Úrovní vnímání kyberprostoru budeme rozumět míru abstrakce od technické podstaty kyberprostoru, kterou je úroveň instrukcí strojového kódu procesoru daného stroje32. Čím dále jsme od strojového kódu, čím větší je abstrakce od něj, tedy čím vyšší formu mají řídicí povely, tím vyšší je úroveň vnímání kyberprostoru. Například dítě hrající na tabletu obrázkovou hru je tím přítomno v kyberprostoru a jeho vnímání kyberprostoru je na výrazně vyšší úrovni, než je vnímání kyberprostoru programátorem síťových aplikací, který se do něj noří v prostředí linuxové konzoly. Úrovně vnímání se mění jednak podle míry, v jaké je uživatel nucen přizpůsobovat své běžné komunikační postupy (např. hlasová komunikace v přirozeném jazyce versus klávesnicí zadávané formalizované instrukce) technickým vlastnostem vstupněvýstupních zařízení a jednak podle komplexity povelů a výstupů. Přestože v kyberprostoru neexistují rozměry33 tak, jak je známe ze skutečnosti, z fyzického světa (nahoru-dolů, dopředu-dozadu, doleva-doprava), není to prostor bez struktury. Na různých úrovních lze identifikovat různá jeho členění – připojená zařízení
30
Tamtéž. Tyto kategorie se přitom mohou prolínat. 32 Pojem stroj používáme jak pro označení hardwarového systému, tak i pro označení softwarového systému (programu), který je schopen v případě přídělu strojového času samostatně zpracovávat povely. Konkrétní význam je třeba vždy určit z kontextu. 33 Srov. SCHMIDT, op. cit. 31
19
podle IP34 adresy, webovské stránky podle URI35, jednotlivé BTS36 mobilní telefonní sítě apod. Vzdálenost takových jednotek lze v závislosti na zvoleném členění měřit různě, např. v počtu datových spojů, které je od sebe vzájemně dělí. Vzdálenosti se tedy mohou průběžně měnit například s topologií informační sítě. Jiným měřítkem vzdálenosti může být počet hypertextových odkazů, které je nutno zvolit, abychom se v síti WWW dostali z místa A do místa B. Od určité úrovně vnímání se však kyberprostor jeví jako spojité prostředí zcela prosté rozměrů a zůstává pouze čas37. Kyberprostor je do značné míry abstrakcí od geografické struktury skutečnosti. Zachytit a vymezit v kyberprostoru určité (správní) území a tak určit například jurisdikci je komplikované. Jde o jev delokalizace společenských vztahů v kyberprostoru38. Struktura kyberprostoru je tedy relativní pojem. Granularita kyberprostoru je také relativní a mění se od nuly, tj. spojitého prostoru, až po nejpodrobnější možné členění. Nebude-li dále uvedeno jinak, budeme-li hovořit o kyberprostoru, budeme mít na mysli jeho vnitřní stránku, neboť vnější stránka, tj. v zásadě to, co rozumíme pod anglicismem „hardware“, je pouze nositelem a z právního hlediska není tolik podstatná39. Kde nastane daný
Vůle
Projev vůle Faktický následek Právní následek
Skutečnost
Vždy
Vždy
Vždy
Někdy
Kyberprostor
-
-
Většinou
Většinou
jev?
Tab. 1. Tabulka popisuje, kde nastane daný jev, je-li subjekt úkonu přítomen v kyberprostoru a koná-li s úmyslem vyvolání následku v kyberprostoru. Člověk projevuje vůli vždy ve skutečném světě, ať už následky projevu vůle nastanou jen ve skutečném světě anebo se projevují i ve světě virtuálním. Pokud se jednání
34
IP adresa je číslo, které v prostředí internetu (kyberprostoru) jednoznačně identifikuje síťové rozhraní kybersystému. Dnes nejrozšířenější verze IP adresy je IPv4, která je 32 bitová. Nastupující IPv6 je 128 bitové číslo. 35 URI (Uniform Resource Identifier) je textový řetězec sloužící k jednoznačné lokalizaci a identifikaci datového objektu v prostředí kyberprostoru. Jeho podmnožinou je URL (Uniform Resource Locator) známý jako „webová adresa“. Stručně řečeno URI je to, co píšeme do řádku pro adresu stránek ve webovém prohlížeči. URI je definován standardem RFC 3986. Internet Standard RFC 3986. Internet Engineering Task Force [online]. Internet Engineering Task Force, 2005 [cit. 5. 10. 2013]. Dostupné z: http://tools.ietf.org/html/rfc3986. 36 BTS (Base Transceiver Station) je základnová stanice sítě mobilních komunikací. 37 Srov. SCHMIDT, op. cit. 38 Srov. POLČÁK, 2009, op. cit., s. 55. 39 Což ovšem neznamená, že fungování kyberprostoru nelze narušit „fyzickým“ útokem na jeho technologickou podstatu (např. zničením určitého datového centra).
20
subjektu projevilo i v kyberprostoru40, pak řekneme, že subjekt, v daný okamžik a pro daný případ, byl přítomen v kyberprostoru. Jiný projev vůle téhož subjektu v tentýž okamžik anebo okamžik velmi blízký, který však neměl (přinejmenším faktické) následky v kyberprostoru, nelze nazvat přítomností v kyberprostoru. Jiné pojetí představil T. C. Folsom (viz výše). Tab. 1 mapuje posloupnost jevů při realizaci lidských volních aktů, kdy subjekt jedná s úmyslem vyvolat následek v kyberprostoru. Faktický následek jednání nastane vždy ve skutečnosti a většinou i v kyberprostoru. Otázka přítomnosti subjektu v kyberprostoru je otázkou faktické existence projevů jeho jednání v kyberprostoru40. Jedna osoba tedy může být přítomna buď pouze ve skutečnosti anebo současně ve skutečnosti a v kyberprostoru. Výhradní přítomnost v kyberprostoru je vyloučena41. Nicméně, z hlediska případných úvah nad některými právními úkony, jejichž právní následky nastávají v kyberprostoru, lze připustit potřebnou míru abstrakce a přijmout, že pro daný případ byl subjekt přítomen pouze v kyberprostoru (např. kontraktační úkony při nákupu v elektronickém obchodě). Jednající osoba nikdy není v kyberprostoru přítomna fyzicky, koneckonců kyberprostor sám je bez hmotné podstaty. Přistupuje do něj prostřednictvím virtuálních identit, kterými se otevřeně nebo utajeně v kyberprostoru reprezentuje (viz kap. 2.2.1). O virtuálních identitách jsou v příslušných programových systémech vedeny různé záznamy v závislosti na druhu autentizace, často jsou zaznamenávány následky úkonů v kyberprostoru, faktických a někdy i právních. Úkony se projevují změnami datových struktur, změnami v záznamech v různých databázích, pomocných souborech apod. Hovoříme o digitální stopě, která je obrazem reprezentace a minulého chování subjektu v kyberprostoru. Digitální stopa je tak souhrn všech uvedených záznamů o aktivitách subjektu a všech jeho virtuálních identit. Z právního hlediska je podstatné, jaká část osobní dispoziční sféry subjektu práva je ovlivňována tím, že tento subjekt ve výše popsaném smyslu vstoupí do kyberprostoru. Jestliže vlastní kyberprostor je sférou, ve které se odehrává informační, a pouze informační, výměna se všemi souvisejícími jevy (ukládání, zpracování informací apod.), pak se můžeme omezit na ta práva, jejichž obsahem je
40
Budeme mít za to, že jednání se projevuje v kyberprostoru tehdy, pokud je příčinnou jakékoliv změny stavu komunikačních linek nebo uložených dat a to včetně stavových prostorů programů. 41 K otázce disciplíny Artificial Life a subjektivity případných ryze virtuálních entit uveďme, že právní relevance jejich chování je nulová a pokud je nenulová, pak konečnou příčinnou jejich chování je projev vůle subjektu práva. Pokud jsou příčiny jednání takové entity natolik zastřeny komplexitou prostředí kyberprostoru, že určit subjekty stojící na začátku příčinných řetězců je zhola nemožné, pak jde o „přírodní“ jev, což ale nestaví tuto entitu do pozice subjektu práva.
21
ochrana informací přijímaných, nesených nebo vytvářených subjektem práva (právo s informacemi zacházet, právo některé informace získávat apod.). Souhrnně hovoříme o informačních právech a sféra, která je těmito právy chráněna, je soukromá informační sféra. Právo určovat rozsah soukromé informační sféry v tom či onom případě je právem na informační sebeurčení (dále viz kap. 3.5). Část soukromé informační sféry sdílíme v kyberprostoru vědomě, část je v kyberprostoru zanesena bez našeho přičinění. Zatímco tedy digitální stopu lze považovat za faktickou stránku přítomnosti subjektu práva v kyberprostoru, jeho právní jednání s důsledky v kyberprostoru a přesah jeho osobní informační sféry do kyberprostoru můžeme považovat za právní stránku přítomnosti subjektu v kyberprostoru. Barlow ve své Deklaraci nezávislosti mj. prohlašuje: Pojmy Vašeho práva jako vlastnictví, vyjadřování, subjektivita, pohyb nebo okolnosti, se na nás nevztahují. Všechny jsou založeny na hmotné podstatě a zde žádná hmotná podstata není… …Založíme v kyberprostoru novou civilizaci Mysli. Snad bude humánnější a spravedlivější než svět, který Vaše vlády doposud vytvořily.
Skutečnost, fyzikální realita tvoří uzavřený systém. O překonání hranic tohoto uzavřeného systému skutečnosti po tisíciletí usilují mystikové a mágové všech druhů. Existuje nějaký svět, nějaké prostředí mimo skutečnost? Je lidské vědomí, mysl či duše schopna existence nejen ve vazbě na hmotný substrát lidského mozku, ale i nezávisle na něm? Pokud ano, za jakých podmínek je schopna se odpoutat od fyzického těla a existovat nejen ve skutečnosti, ale i v onom dalším, skutečnost přesahujícím světě – v transcendentnu? V některých náboženských systémech se předpokládá, že lidská duše nejen, že za určitých podmínek tělo opouští, ale také, že se s tělem nerodí, ale existovala v určité podobě již předtím. Jakou formu má Barlowova Mysl a v jakém smyslu se subjekt stává její součástí? Opouští v nějakém smyslu naše vědomí skutečnost, když se noří do kyberprostoru? Stává se v nějakém smyslu jeho součástí?42 Připomeňme, že základním, kybernetickým, znakem života je schopnost entity samostatně a samovolně tvořit informaci a tím dosahovat nezvyšování entropie. Digitální stopa sama o sobě takovou schopností nedisponuje (disponuje jí pouze ve spojení se „svým“ subjektem). Vzhledem k sobě samé jí ani disponovat nepotřebuje, neboť je sou-
42
Poznamenejme na tomto místě, že mlčky předpokládáme platnost konceptu korespondenčního (resp. i koherenčního, pokud axiomatický systém byl stanoven při akceptaci korespondenčního pojetí) pojetí pravdy, kdy pravda je shoda výpovědi jazykového objektu se skutečností. Je-li toto pojetí pravdy zpochybněno, což je typické pro postmodernistické chápání skutečnosti, pak nelze nic objektivního o skutečnosti tvrdit, neboť nejen kyberprostor, ale i skutečnost jsou halucinacemi.
22
hrnem binárních údajů, které jsou neměnné a čas ani další vlivy nezmění jejich hodnoty. Entropii podléhá43 paměťové médium, na kterém je informace uložena, nikoli informace sama. Ani (softwarové) kybersystémy studované v rámci disciplíny Artificial Life samy o sobě nepodléhají entropii. Jsou sice schopny tvořit nové informace, avšak výhradně v rámci plně deterministických procesů, jakkoli jsou komplexní. Tyto nové informace jsou již od počátku skryty v jejich kódu a jejich novost je tedy relativní. Skutečný subjekt projevující se v kyberprostoru prostřednictvím svého (homomorfního) obrazu (digitální stopy) disponuje svobodnou vůlí rozhodnout se a informaci bez příčiny vytvořit či nevytvořit ke svému vlastnímu prospěchu i neprospěchu. Žádná entita v rámci konceptu Artificial Life, nebo obdobného, existující pouze v kyberprostoru, ani digitální stopa, takovou schopností nedisponují a nemohou disponovat. Přitom digitální stopa je jediným kandidátem na odhmotněnou mysl vstupující do kyberprostoru. Žádné odhmotnění se však nekoná, svým vstupem do kyberprostoru pouze informujeme příslušné kybersystémy, že jsme „uvnitř“ a měníme svou digitální stopu. Zda bude potřeba tyto závěry přehodnotit v souvislosti s příchodem kvantových počítačů nebo jiných pokročilých technologií, je otázkou budoucích úvah. Můžeme shrnout, že jedinec se součástí kyberprostoru stává pouze v sociálním slova smyslu. Užívání kyberprostoru vede v praxi ke zvyšování intenzity sociálních interakcí a zavádění jejich nových forem (včetně sebeprezentace). Fenoménem posledních let jsou tzv. společenské (sociální) sítě (Facebook, Twitter, Google+ aj.). Svým principem vedou ke komplexnímu provazování informačních toků mezi subjekty vytvářením různě koncipovaných virtuálních uskupení, jejichž členové sdílejí různá sdělení, která dynamicky doplňují diskusními příspěvky. Patrně právě tento aspekt kyberprostoru inspiroval Barlowa při formulaci jeho Deklarace nezávislosti. Barlow ji formuloval jako politický manifest adorující volnost informační výměny v kyberprostoru. Nicméně ten se postupem času stal i „suchopárným“ pracovním nástrojem pro podnikatelské subjekty, orgány veřejné správy a další subjekty. Nástrojem, který má pro tyto účely hlavní smysl v radikálním snížení transakčních nákladů, ale také ve schopnosti zpřístupňovat velké objemy dat a v možnosti provádět nad nimi sofistikované operace. O jakkoli vnímanou touhu po svobodě či spravedlnosti nejde. Jde o efektivitu jinak běžné činnosti. Účast na Barlowově Mysli je tak zúžena spíše na volné, nezávazné, nikoli produktivně zaměřené, potulování
43
Případnou chybu programátora, která může způsobovat pseudonahodilé změny, nelze považovat za působení entropie.
23
kyberprostorem a jeho využívání k volnočasovým (tento typ užívání kyberprostoru rozeznává i T. C. Folsom a to jako „leisure-driven purpose“44) a politickým45 aktivitám. Lze předpokládat, že z Barlowova pohledu je takovým účastníkem Mysli téměř každý, ať o to usiluje nebo nikoliv, protože (nyní zúžíme pojem kyberprostoru) internet čas od času každého svede k bezcílnému potulování oceány informací. Typickým subprostorem pro „potulování“ jsou například již řečené sociální sítě. I když i ty jsou z hlediska některých subjektů (jejich provozovatelů, případně objednatelů reklamy aj.) pouhým pracovním nástrojem. Otázkou však je, zda každý toto potulování nahlíží jako něco převážně kladného, žádoucího a zejména zda každý, byl-li by tázán, by chtěl být součástí poněkud poetické „civilizace Mysli“. Patrně nikoliv. Vstupování do kyberprostoru výhradně za účelem pracovním anebo výhradně za účelem brouzdání je méně časté. Jde spíše o dva aspekty důvodů, pro které do kyberprostoru přicházíme, i když v daném konkrétním případě jeden převažuje. Podstatný poznatek je, že neplatí, že každý vstup do kyberprostoru automaticky znamená účast na nějaké nové formě sociálního života nebo vplynutí do „Mysli“. I kdyby tedy byla představa kyberprostoru jakožto nové životní sféry zbavené pout „pozemských“ normativních systémů pravdivá, je vstup do ní nejen otázkou faktického připojení, ale i chtění se jí zúčastňovat a účelu, za kterým je v konkrétním případě kyberprostor využit. Myšlenka, a nepochybně v tomto má Barlow zástupy souputníků, že potíže v právní regulaci kyberprostoru jsou důvodem k ustoupení od jeho regulace a nastolení (v rámci kyberprostoru) jiných fundamentálních pravidel společenského soužití mimo kontrolu orgánů demokratických států, je politickou myšlenkou samou o sobě. I tato myšlenka je součástí standardního politického diskurzu demokratického státu, od jehož institucí, konec konců, pochází i pozitivní právní úprava. Lze si patrně představit, že absolutní neregulace kyberprostoru bude legální výsledek politického rozhodnutí normotvorného orgánu autority nadané potřebnou legitimitou. Nelze si však představit, že takový stav bude existovat navzdory vůli příslušné autority, resp., že bude zapovězeno začleňovat otázky jeho legality a legitimity do běžného politického diskursu demokratického právního státu nebo nad-státního uskupení. Postdemokratický trik spočívající v odkazu na nepolitický
44
Srov. FOLSOM, op. cit. Nepochybně je otázkou výkladu, jaké aktivity jsou politické a jaké nepolitické. Z hlediska autora práce jsou politické aktivity všechny, které buď usilují o podíl na veřejné moci anebo usilují o prosazení jakékoli myšlenky s ambicí na změnu, byť i dílčí, společenského života. Nejsou to tedy pouze politické strany a hnutí, ale i nejrůznější neziskové organizace a dokonce i katedry či ústavy vysokých škol. 45
24
charakter kyberprostoru nemůže obstát, protože i pouhé tvrzení o nepolitičnosti čehokoliv je politickým tvrzením. Je-li něco politikem, pak je to v dosahu právní regulace. Zda tuto možnost právo, resp. právotvůrce, využije nebo nikoliv a v jakém rozsahu, případně, zda ponechá část iniciativy nestátním subjektům, je druhá otázka. Pokud z Barlowova provolání přece jen něco pro další účely dovodíme, pak to bude především poznatek o obtížnosti dosáhnout potřebné úrovně efektivity práva v kyberprostoru46 (viz kap. 2.5). Přesto, že do kyberprostoru pouze nahlížíme a zprostředkovaně zasahujeme prostřednictvím stále se zdokonalujících vstupně-výstupních zařízení a virtuálních identit a nejsme ve fyzikálním slova smyslu jeho součástí, prožíváme jeho prostřednictvím nové a specifické formy sociálního života a zvyšujeme svou schopnost čelit entropii ve skutečném životě. U některých aplikací dokonce můžeme hovořit o rozšířené skutečnosti (augmented reality), kdy například obraz skutečnosti snímaný kamerou mobilního zařízení je v reálném čase doplňován o různé informace o snímaném výseku skutečnosti (typicky komerční informace, jaká provozovna se kde ve snímaném výseku nachází apod.). Kyberprostor a skutečnost vzájemně prorůstají – kamerové systémy snímající veřejná prostranství i systémy, které vytěžují takto pořízená data, běžně využívají komunikační infrastrukturu přímo či nepřímo propojenou s veřejně přístupnou informační sítí – internetem. Data z některých kamer jsou volně dostupná prostřednictvím WWW rozhraní. Systémy pro inteligentní řízení budov (zabezpečení, řízení otopných systémů, monitorování celé řady veličin apod.) umožňují vzdálenou správu prostřednictvím veřejně přístupné informační sítě. Našli bychom jistě další příklady. Přestože jsou tyto systémy zabezpečeny, vytvářejí další zranitelnosti vůči kybernetickým útokům. I tyto systémy jsou součástí kyberprostoru. Vstupní body do kyberprostoru již nejsou omezeny pouze na zásuvky ve zdi a kabelové rozvody. Do kyberprostoru vstupujeme čím dál častěji a téměř na každém kroku. Pokrytí signálem sítí Wi-Fi47 je dostupné ve velkém množství provozoven, v dopravních prostředcích, v budovách akademických institucí, mobilní datové služby jsou součástí většiny telefonních přístrojů. O pokrytí signálem satelitního připojení nemluvě. Společnost Google Inc. v červnu 2013 spustila pilotní část projektu Loon48, kdy jsou do stratosféry vypouštěny balóny nesoucí zařízení umožňující pozemním zařízením
46
Srov. POLČÁK, 2012, op. cit., s. 101. Wi-Fi je standard pro bezdrátovou datovou komunikaci. Srov. Wi-Fi Alliance [online]. Wi-Fi Alliance [cit. 2. 12. 2013]. Dostupné z: http://www.wi-fi.org/ 48 Srov. Balloon – Powered Internet for Everyone. Google: Project Loon [online]. Google Inc. [cit. 2. 12. 2013]. Dostupné z: http://www.google.com/loon/ 47
25
připojení k informační síti. Cílem projektu je připojení odlehlých oblastí po celém světě. K informační síti připojené interaktivní televizory pomalu zaplavují domácnosti. Zajímavým fenoménem, který patrně bude znamenat ještě nejedno překvapení, je technologie Google Glass společnosti Google Inc. Jde o malý počítač v podobě brýlí vybavený displejem produkujícím obraz těsně před okem, kamerou, taktilním senzorem, mikrofonem a zařízením pro reprodukci zvuku. Google Glass jsou schopny připojení k informační síti prostřednictvím rozhraní Wi-Fi a Bluetooth49. V roce 2012 byly Google Glass představeny veřejnosti, nyní jsou v testovacím provozu50 a plné uvedení na trh se předpokládá v roce 201451. Již nyní vyvolává perspektiva jejich masového rozšíření mnoho etických i právních otázek z oblasti ochrany soukromí, duševního vlastnictví aj.52 Kyberprostor zkrátka už není pouze někde tam, za obrazovkou a klávesnicí. Je kolem nás a je stále integrálnější součástí každodenního života. Jakkoliv tím není prolamována zřetelná hranice mezi ním a skutečností, můžeme konstatovat, že jde o hranici sice zřejmou, ale křivolakou, procházející napříč řadou aspektů běžného života. Subjekt si tak ani nemusí být vědom, že je v daném případě přítomen v kyberprostoru, případně, že celá nebo jen část spuštěné transakce proběhla v kyberprostoru. V právní praxi to znamená, že je třeba posuzovat nejen to, zda se nějaký jev odehrál v kyberprostoru, ale také míru, ve které se kyberprostoru týká. Je-li souvislost zkoumaného jevu s kyberprostorem pouze marginální, není zásadně důvod k úvahám o odlišném přístupu53. Účast na civilizaci Mysli je tedy společenský, spíše než technický, koncept. Nejde o objektivní stav věci, ale o subjektivní kategorii – součástí Barlowovy civilizace Mysli je pouze ten, kdo se tak rozhodne či spíše „kdo to tak pociťuje“. Pro stanovisko, že nedostatek svobody ve skutečnosti má být kompenzován neregulovanými komunikačními aktivi-
49
Srov. POLESNÝ, David. Google Glass na vlastní oko: výlet do budoucnosti. Živě [online]. Mladá fronta, publikováno 19. 6. 2013 [cit. 1. 12. 2013]. Dostupné z: http://www.zive.cz/clanky/google-glass-na-vlastnioko-vylet-do-budoucnosti/sc-3-a-169367/default.aspx 50 Testování se podle blogu VentureBeat účastní rovněž newyorská policie v USA. Například strážníci Městské policie Brno nosí kameru připevněnou na služebním stejnokroji, aby v případě zásahu pořídili videozáznam pro pozdější doložení průběhu zásahu. REILLY, Richard B. New York Police Department is beta-testing Google Glass. VentureBeat [online]. VentureBeat, publikováno 5. 2. 2014 [cit. 1. 3. 2014]. Dostupné z: http://venturebeat.com/2014/02/05/nypd-google-glass/ 51 Srov. EHRENKRANZ, Melanie. Google Glass Release Date: Consumer Launch Expected Later In 2014 Following Device's Stylish Revamp. International Digital Times [online]. IBT Media, publikováno 31. 1. 2014 [cit. 3. 2. 2014]. Dostupné z: http://www.idigitaltimes.com/articles/21720/20140131/google-glassrelease-date-consumer-launch-2014.htm 52 Srov. MEISTER, Gabriel, HAN, Benjamin. Peering Into the Future: Google Glass and the Law. Socially Aware Blog [online]. Morrison & Foerster, publikováno 9. 9. 2013 [cit. 3. 2. 2014]. Dostupné z: http://www.sociallyawareblog.com/2013/09/09/peering-into-the-future-google-glass-and-the-law/ 53 Srov. FOLSOM, op. cit.
26
tami v nesvázaném kyberprostoru, lze mít pochopení, ale nelze jej považovat za objektivně platnou normu. Naopak, jde o důležitou politickou otázku. Spíše než opojení z nové svobody a nevázané spravedlnosti je na místě například obava z dlouhodobé, více či méně systematické a jen slabě kontrolované kumulace dat o privátních životech. Racionálnější se jeví být pragmatický přístup ke kyberprostoru, který v jeho rámci respektuje, ale i omezuje, svobodu informační výměny obdobně jako ve skutečnosti. Tedy přístup, kdy není činěn rozdíl mezi svobodou jednání bez ohledu na sféru (skutečnost či kyberprostor), ve které se odehrává. V kap. 1.3 jsme uvedli, že informační společnost vyjadřuje změnu toliko kvantitativní. Zvyšování výpočetního výkonu počítačů, zvětšování jejich paměťové kapacity, zvyšování rozlišení grafických jednotek, všeobecná miniaturizace aj. jsou změnami, které přestože jsou rovněž pouze kvantitativní, znamenaly průběžně zásadní proměny. Od vzájemně izolovaných textových konzolí až k dotykově ovládanému grafickému uživatelskému rozhraní počítačů propojených do sítě sítí. Obdobně technologie kyberprostoru mění tempo, styl, obsah i kvanta mezilidské komunikace. Během své přítomnosti v kyberprostoru často produkujeme informace, které bychom jinak netvořili, vyjadřujeme se k věcem, ke kterým bychom se jinak nevyjadřovali. K formulování závěrů v případě řady myšlenkových procesů je k dispozici nebývalý komplex informací. Vstupní informace pro rozhodování lze v reálném čase efektivně vyhledávat pomocí sofistikovaných vyhledávacích systémů (vyhledávačů). Sociální interakce odehrávající se v kyberprostoru jsou svým rozsahem a charakterem vůči dřívější skutečnosti nové. Veřejná prezentace informací, myšlenek, textů probíhá okamžitě, za velmi nízkých nákladů a je okamžitě téměř bez omezení dostupná všem ostatním s přístupem do kyberprostoru. Diskutovat lze téměř kdykoliv, s kýmkoliv a nad jakýmkoliv problémem. Skoro se zdá, že Barlowovská idea globální Mysli se může alespoň částečně naplňovat. Nicméně jednak platí výše uvedené a jednak tak široký komplex informací s sebou nese nutnost vypořádávat se s problémem informačního balastu a z množství informací oddělit to podstatné, což zvyšuje nároky na počáteční organizovanost subjektu. Nedisponuje-li subjekt dostatečným množstvím informace akumulované v podobě své (dostatečně vysoké) počáteční organizovanosti, nemůže se s obsáhlým komplexem informací dostatečně dobře vypořádávat a sklouzává ke klipovitému vnímání a povrchnosti. Samotné množství informací, ani samotné provázání subjektů v kyberprostoru nevede k vyšší kvalitě, resp. k dostatečné hloubce poznání. Subjekty musí být schopny kvanta informačních komplexů konzumovat, 27
třídit a zpracovávat tak, aby výsledkem byla jejich rostoucí vnitřní organizovanost. Je tak otázkou, zda nutnou podmínkou účasti na nové („barlowovské“) formě informačního žití, která by přinášela novou kvalitu sociální existence subjektu, není vybavenost dostatečným počátečním informačním základem. Pokud ano, pak je třeba se ptát, zda lze takový informační základ, poskytující subjektu potřebnou (počáteční) varietu, načerpat pobýváním v kyberprostoru anebo je spíše věcí „klasických“ výchovných a edukačních procesů. Mnohem více platí to druhé. Na tomto místě lze navrhnout první možnou definici kyberprostoru: Kyberprostor je specifické prostředí nesené technologiemi informačních sítí, které prorůstá každodenní realitu a které cestou informační výměny umožňuje, usnadňuje a zintenzivňuje sociální interakce a rozšiřuje naše vnímání skutečnosti.
Kyberprostor je fenomén, který je zkoumán z mnoha hledisek. Jeho definice je vždy podřízena účelu, za kterým je v tom či onom případě zkoumán. Naším cílem je navrhnout koncepci, která bude vhodná pro právnické úvahy. Navržená koncepce musí umožnit zabývat se nepominutelnou vnější stránkou kyberprostoru, tj. jeho hmotnou podstatou, současně však chováním subjektů práva, jejichž zpřítomnění v kyberprostoru má již uvedená specifika. Navrhované pojetí je složeno ze tří vrstev – technologické, sociální a kulturní (viz obr. 1). Na počítačových a komunikačních technologiích, na hmotné bázi kyberprostoru, běží aplikace, které společně s uloženými daty vytvářejí vlastní kyberprostor54. Ústřední roli v právu hrají jeho subjekty, tj. fyzické osoby a jimi vytvářené právnické osoby, případně další uskupení. Virtuální identity subjektů jsou nedílnou součástí kyberprostoru. Třetím východiskem je poznatek, že moderní technologie do určité míry podněcují vznik nových způsobů chování, byť v některých případech jde pouze o „zrychlení“ života, o důsledky radikálního snížení transakčních nákladů. Právo jako živoucí systém sui generis nemá měnit svou podstatu, ale mělo by reflektovat změny v životě a to včetně těch, které jsou vyvolány masovým rozšířením ICT. Proto se doplnění kulturní vrstvy jeví jako, alespoň potenciálně, užitečné i pro právnické účely. Technologická vrstva představuje vše, co běžně nazýváme hardware a software, tedy veškeré technické systémy, které se jakkoliv účastní sběru, ukládání, zpracování, komunikace a prezentace dat (to například zahrnuje i telefonní systémy, jejich infrastrukturu včetně koncových zařízení, zejména tzv. chytrých telefonů). Podle T. C. Folsoma je inter-
54
Srov. SCHMIDT, op. cit.
28
net branou do kyberprostoru a obdobnou roli sehrávají telefonní systémy55. Do technologické vrstvy zahrneme i veškeré technické systémy, jejichž chování je možné ovlivňovat prostřednictvím výše uvedených systémů (průmyslové systémy, systémy tzv. inteligentních budov apod.). Není nutné, aby systém byl zapojen do jakékoliv sítě. Přenos dat z offline systémů je pouze obtížnější a těžkopádnější, ale nikoli nemožný a neprobíhající. Existuje nejméně pět známých technologií56, jak získat data na dálku i z off-line systémů57. Za součást technologické vrstvy budeme považovat i nezapnuté systémy, které od zapnutého stavu dělí projev vůle ve skutečném světě. Jsou to nezapojené datové nosiče a další systémy bez zdroje elektrické energie, tj. vypnuté systémy, k jejichž zapnutí nemůže dojít automaticky.
Kulturní vrstva
Kyberprostor Kyberkulturní vzorce chování
Sociální vrstva
Sociální aktéři - subjekty Virtuální identity Data a jejich reprezentace, aplikace a jejich stavové prostory, služby informačních sítí aj. Zapnuté technologické systémy (počítače, telefony, periferie, infrastrukturní systémy, systémy dálkově řízené prostřednictvím informační sítě aj.)
Vypnuté systémy, nezapojené datové nosiče
Technologická vrstva
Objektivní realita, tj. skutečnost
Obr. 1. Třívrstvé pojetí kyberprostoru. Protažení vrstvy „Sociální aktéři – subjekty“ naznačuje, že každý subjekt je současně součástí skutečnosti a současně, ad hoc, vstupuje do kyberprostoru.
55
Srov. FOLSOM, op. cit. Srov. GIBBS, Wayt W. Jak ukrást data bez připojení k síti. Scientific American: české vydání [online]. 2010, č. 1 [cit. 10. 10. 2013]. ISSN 1213-7723. Dostupné z: http://www.sciam.cz/files/vydani/SA_01_2010/leden_2010_jak_ukrast_data_web.pdf 57 Autor práce se měl osobně možnost seznámit s rekonstrukcí obrazu na monitoru počítače na základě analýzy slabých radiových vln vysílaných elektronikou monitoru. Jednalo se relativně vzdálený, pasivní systém získávání dat bez nutnosti jakéhokoli připojení sledujícího i sledovaného systému. 56
29
Nad technologickou vrstvu klademe vrstvu sociální, která reprezentuje sociální aktéry vstupující do kyberprostoru. Záměrně byl použit pojem sociální aktér, abychom vyjádřili rozdíl od pojmu subjekt. Zatímco subjekt je vždy buď fyzická, nebo právnická osoba, tj. entita, které právo přiznává právní subjektivitu, sociálním aktérem mohou být i různé neformální skupiny (například skupiny hackerů). Fakticky však vždy koná konkrétní osoba zastoupená virtuální identitou (viz kap. 2.2.1). Mezi technologickou vrstvu a vrstvu sociálních aktérů tedy vsuňme ještě vrstvu virtuálních identit. Počet virtuálních identit kteréhokoliv sociálního aktéra není omezen. Vrstvu sociálních aktérů a virtuálních identit budeme souhrnně nazývat sociální vrstvou kyberprostoru. Nad sociální vrstvu stavíme ještě vrstvu kulturní, která je z hlediska právnického pravděpodobně irelevantní. Nicméně je faktem, že v kyberprostoru přijímáme způsoby jednání a komunikace, které buď neexistovaly před masovým rozšířením ICT anebo je přijmeme vždy se vstupem do kyberprostoru a s odchodem z něj tyto způsoby zase na čas opouštíme. Jako příklad uveďme chování na tzv. sociálních sítích (například ve službě Facebook), kdy řada jednotlivců informuje jen přibližně definovatelný okruh uživatelů o řadě soukromých událostí, často poměrně banálních, publikuje fotografie svých blízkých a vyjadřuje se k lecčemus, co zveřejňují druzí. Stěží bychom hledali příklad takového jednání v životě mimo kyberprostor. Tyto způsoby jednání a komunikace nazvěme kyberkulturní vzorce chování. Nyní, abychom shrnuli výklad, můžeme formulovat druhou možnou definici kyberprostoru tak, že rozšíříme definici z Výkladového slovníku kybernetické bezpečnosti58: Kyberprostor je digitální prostředí se specifickými vzorci chování umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, službami a sítěmi elektronických komunikací, a dalšími připojenými i nepřipojenými digitálními systémy, do kterého zastoupeny virtuálními identitami ad hoc vstupují subjekty skutečného světa. 59
2.2.1 Virtuální identita Navrhneme třídění virtuálních identit a to ze dvou hledisek. Jednak podle způsobu zajištění autenticity a jednak podle vztahu identity k jejímu skutečnému uživateli. Prvním hlediskem míníme způsob, jakým je ověřována autenticita uživatele:
58
Srov. JIRÁSEK, Petr, NOVÁK, Luděk, POŽÁR, Josef. Výkladový slovník kybernetické bezpečnosti. 2. vyd. Praha: Policejní akademie ČR a Česká pobočka AFCEA, 2013, 200 s. ISBN 978-80-7251-397-0. 59 Citovaná definice je součástí NZKB. Najdeme ji v ustanovení § 2 písm. a) NZKB.
30
Absolutní identita – v kyberprostoru neexistuje; existuje pouze ve skutečnosti u fyzických osob, kdy fyzická osoba je jakožto hmotný objekt nezpochybnitelně sama sebou;
Relativní identita – v kyberprostoru jediný typ identity, kdy pravost (autenticita) identity je ověřována vůči nějakému identitnímu systému (např. registr uživatelů datových schránek, seznam uživatelů dané internetové služby apod.); to, zda se jedná o verifikovanou (např. služba PayPal60) a třeba i státem aprobovanou databázi (např. systém datových schránek v ČR61), nebo jde o soukromou neverifikovanou databázi (např. webové e-mailové služby, které umožňují založení anonymních účtů) není z hlediska principu podstatné;
Volatilní identita – nahodile užívaná identita, která není žádným způsobem ověřována vůči jakékoliv databázi (např. anonymní ad hoc „nickname“ ve veřejném chatovacím systému). Podle prvního hlediska je tedy každá identita v kyberprostoru buď relativní vůči ně-
jakému identitnímu systému anebo je volatilní. Virtuální identita Pravá
Formální stránka
Materiální stránka
Identifikátor
Reprezentace sebe sama
Identifikátor shodný s identifikátorem jiné, Falešná
existující virtuální identity nebo budící přesvědčení, že jde o pravou virtuální identitu jiného skutečného subjektu
Vyvolání přesvědčení, že identita reprezentuje jiný, skutečný subjekt Splnění formálních požadavků
Smyšlená
Identifikátor
určitého systému a současné zakrytí skutečné identity
Nulitní
Nemá
Nemá
Tab. 2. Druhy virtuálních identit podle jejich skutečných uživatelů.
60
Viz elektronický platební systém PayPal. Srov. PayPal [online]. PayPal Inc. [cit. 7. 10. 2013]. Dostupné z: https://www.paypal.com/cz/webapps/mpp/home 61 Viz Informační systém datových schránek. Datové schránky [online]. Česká pošta, s.p. [cit. 7. 10. 2013]. Dostupné z: http://www.datoveschranky.info/
31
Druhé hledisko třídění rozlišuje vztah ke skutečnému uživateli virtuální identity. Za tím účelem budeme u virtuální identity rozlišovat její formální a materiální stránku. Formální stránkou virtuální identity bude její jméno či identifikátor, tj. posloupnost znaků určité abecedy akceptované příslušnou aplikací či službou informační sítě. Materiální stránku bude představovat úmysl skutečného subjektu, který danou virtuální identitu do kyberprostoru zavedl62. Nulitní virtuální identita je pojem pro situaci, kdy v daném systému není vyžadována žádná identifikace, ani autentizace. Virtuální identity v kyberprostoru jsou relativní nejen vůči určité databázi identit, ale i vůči jednotlivým aplikacím či službám informační sítě a to i tehdy, pokud jsou z hlediska způsobu zajištění autenticity volatilní. Přitom relativita vůči identitnímu systému a vůči aplikaci nejsou totožné pojmy (řada aplikací například akceptuje identitu získanou pro soustavu aplikací Google Apps). Subjekt při vstupování do kyberprostoru často použije více virtuálních identit – identifikace a autentizace pro poskytovatele připojení, přihlášení ke schránce elektronické pošty apod.
2.3 Kybernetická bezpečnostní událost Kybernetická událost je jakákoliv změna dat uložených v kybersystému, včetně stavového prostoru aplikace, či provedení instrukce strojového kódu, skupiny instrukcí, či jakékoliv procedury na libovolné úrovni programování. Kybernetickou událostí je rovněž jakákoliv změna stavu komunikačních linek, které jsou součástí kyberprostoru. Lakonicky řečeno, kybernetickou událostí je jakákoliv (softwarová) změna v kybersystému. Kybernetické události mohou nastávat pouze v rámci technologické vrstvy kyberprostoru. Ke každé kybernetické události lze jako její příčinu přiřadit alespoň jednu další kybernetickou událost nebo alespoň jeden úkon skutečného subjektu (reprezentovaného virtuální identitou). Kybernetický prostor je tedy přísně kauzální. To znamená, že konečnou příčinou každé kybernetické události je úkon alespoň jednoho skutečného subjektu. Speciálním případem kybernetické události je kybernetická bezpečnostní událost. § 7 odst. 1 NZKB ji definuje jako událost, která může způsobit narušení bezpečnosti informací (kap. 3.4) v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. V případě kybernetické bezpečnostní události tedy postačí potencialita narušení. V § 7 odst. 2 NZKB je zaveden pojem kybernetického bezpečnostního inci-
62
Nikoliv tedy úmysl toho, koho by daná virtuální identita měla reprezentovat nebo koho se jeví, že reprezentuje.
32
dentu, kterým je kybernetická bezpečnostní událost, která již narušení fakticky způsobila. Ne každá kybernetická bezpečnostní událost je nutně kybernetickým bezpečnostním incidentem, neboť každý systém má určitou odolnost vůči útokům a k narušení bezpečnosti informací, služeb a sítí dochází až po překročení určité hranice intenzity útoku. Ovšem, každý kybernetický bezpečnostní incident je současně kybernetická bezpečnostní událost. Kybernetické bezpečnostní události lze pro účel jejich popisu, statistického vyhodnocování a vzájemné komunikace bezpečnostních týmů63 dělit podle určitých hledisek. Jeden z hlavních přínosů zařazování kybernetických bezpečnostních událostí, resp. incidentů, do systému kategorií je možnost sledovat vývojové trendy64. Existující taxonomie dělí kybernetické bezpečnostní incidenty namísto pouze kybernetických bezpečnostních událostí. Vzhledem k povaze rozdílu mezi těmito dvěma pojmy, jsou taxonomie použitelné pro ně oba. Legální dělení by mělo být upraveno v §§ 30 a 31 VyhlNZKB, kdy se navrhuje dělit kybernetické bezpečnostní incidenty podle tří hledisek:
podle příčiny (§ 30 odst. 1 VyhlNZKB): o způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb, o způsobený škodlivým softwarem nebo kódem, o způsobený kompromitací technických opatření, o způsobený porušením organizačních opatření;
podle dopadů (§ 30 odst. 2 VyhlNZKB): o způsobující narušení důvěrnosti primárních aktiv, o způsobující narušení integrity primárních aktiv, o způsobující narušení dostupnosti primárních aktiv, o způsobující kombinaci narušení důvěrnosti, integrity a dostupnosti primárních aktiv;
podle následků (§ 31 VyhlNZKB): o kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo informačních aktiv,
63
Srov. Good Practice Guide for Incident Management. Agentura Evropské unie pro bezpečnost sítí a informací: Support for CERTs / CSIRTs [online]. Agentura Evropské unie pro bezpečnost sítí a informací, 2010 [cit. 15. 3. 2014]. Dostupné z: http://www.enisa.europa.eu/activities/cert/support/incidentmanagement/files/good-practice-guide-for-incident-management/at_download/fullReport 64 Tamtéž.
33
o kategorie II – závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo informačních aktiv, o kategorie I – méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo informačních aktiv. Řada evropských CSIRT/CERT týmů (viz dále v kap. 4.1) používá taxonomii kybernetických bezpečnostních událostí, resp. incidentů, kterou doporučuje agentura ENISA (viz kap. 4.2)65. Kybernetické bezpečnostní události, resp. incidenty, mají být podle této taxonomie zařazeny do jedné z osmi kategorií66:
protiprávní obsah (spam, dětská pornografie apod.),
zlovolný kód67 (virus, červ apod.),
shromažďování informací,
pokus o nežádoucí průnik,
nežádoucí průnik,
narušování dostupnosti (DDoS68 kybernetické útoky, sabotáž apod.)
informační bezpečnost (neoprávněný přístup k informacím, neoprávněné změny informací),
podvod (neoprávněné použití aktiv, porušování autorských práv apod.).
Účelem uvedených taxonomií kybernetických bezpečnostních událostí, resp. incidentů, je podpora procesů jejich řešení. Naším cílem však je taková konceptualizace kybernetické bezpečnostní události, která je vhodná pro právnické účely. Pokud jde o strukturu kybernetické bezpečnostní události, budeme rozlišovat její objektivní stránku (úroveň technologické vrstvy) a subjektivní stránku (úroveň sociální vrstvy kyberprostoru). Z objektivního hlediska je kybernetická bezpečnostní událost komplexem elementárních
65
Tamtéž. Tamtéž. 67 Jde o překlad anglického výrazu malware. 68 Zkratka znamená Distributed Denial-of-Service neboli distribuované znepřístupnění služby. Útok v praxi znamená buď zahlcení cílového kybersystému nadměrným množstvím jinak neškodných požadavků anebo totéž za současného zneužití nějaké bezpečnostní chyby cílového kybersystému. Srov. VALÁŠEK, Michal. DDoS útoky: Primitivní zločin, který se dá pořídit na objednávku za několik tisíc korun. IHNED.cz [online]. Economia, publikováno 6. 3. 2013 [cit. 8. 10. 2013]. ISSN 1213-7693. Dostupné z: http://tech.ihned.cz/c159451640-ddos-utoky-vysvetleni 66
34
typů rozlišitelných podle toho, zda směřují k datům, procedurám nebo komunikačním linkám:
Data: předmětem útoku jsou data v datových úložištích, včetně operačních pamětí a stavových prostorů kybersystému; dotčené kybernetické bezpečnostní události: o Změna dat – modifikace stávajících dat, zápis nových dat a smazání dat (přepsání dat nebo jejich označení jako smazaných); o Čtení dat – neoprávněné získání dat;
Procedury: předmětem útoku jsou procedury, což jsou data interpretovaná jakožto instrukce či příkazy: o Spuštění již zavedené procedury, včetně zahlcení stroje nadměrnou četností požadavků (DDoS útoky); o Vnucení procedury (například počítačový virus) a
současně její (okamžité) spuštění,
umožnění jejího budoucího spuštění bez úkonu uživatele (v reakci na nějakou kybernetickou událost),
bez jejího spuštění s možností spuštění uživatelem kybersystému, kdy:
uživatel ví, že spouští nějakou proceduru a současně ví, že tato procedura je cizí, ale neví, že je škodlivá,
uživatel neví, že spouští cizí proceduru, tj. ví, že spouští proceduru, ale neví, že je cizí (tj. ani neví, že je škodlivá),
uživatel vůbec neví, že daným úkonem spouští jakoukoliv proceduru;
zamezení spuštění již zavedené procedury;
Komunikace – data v komunikačních kanálech: o Odposlech komunikace – získání obsahu komunikace; o Změna komunikace – úprava datového toku beze změny kvantity dat a bez dopadu na některé kontrolní mechanismy korektnosti obsahu komunikace; o Vnucení komunikace – vnucené zvýšení objemu přenášených dat, včetně zahlcení komunikačního kanálu; o Zamezení komunikace. K výše uvedenému členění elementárních typů objektivní stránky kybernetické
bezpečnostní události doplníme její členění použitelné pro skutkové podstaty případných 35
právních norem. Jde o úroveň, která již nepopisuje jednotlivé elementární technické kroky, ale lidským vnímáním dobře uchopitelné komplexy jevů v kyberprostoru. Jen příkladmo a bez nároku na systematiku uveďme:
prolomení ochranného systému (získání a zveřejnění přístupových údajů) nějaké chráněné zóny,
neoprávněné zveřejnění osobních údajů,
hanobení osob, poškozování pověsti,
krádež hodnot (částky elektronických peněz69, virtuální měny apod.). Neméně důležitá je subjektivní stránka kybernetické bezpečnostní události vyjadřu-
jící motivaci či úmysl rušitele. Dvě z objektivního hlediska srovnatelné kybernetické bezpečnostní události mohou být vedeny zcela rozdílnými úmysly, což může mít vliv na její právní a kompetenční kvalifikaci. Ze subjektivního hlediska navrhneme následující třídění podle motivace či hlavního úmyslu rušitele:
podpora bojové činnosti,
kriminální motivy,
destabilizace společnosti (terorismus, šíření desinformací),
politická propaganda,
zpravodajská činnost (neoprávněné získávání obsahu). Navrhovaná struktura kybernetické bezpečnostní události je shrnuta na obr. 2. Zá-
kladem pro tuto konceptualizaci kybernetické bezpečnostní události je objektivní poznatek o kauzalitě kyberprostoru a úkonu subjektu práva jakožto prvotní příčiny každé kybernetické události. Takový úkon vždy kauzálně vyvolá objektivní změny stavů dotčených kybersystémů, tj. způsobí nastoupení objektivní stránky kybernetické bezpečnostní události. Dvě úrovně objektivní stránky vyjadřují právní (úroveň skutkových podstat) a technologickou (úroveň elementárních, technických kroků) relevanci kybernetické bezpečnostní události. Z hlediska navržené konceptualizace kybernetické bezpečnostní události se definice uvedená v § 7 odst. 1 NZKB pohybuje mezi dvěma navrhovanými úrovněmi objektivní stránky. Zatímco ohrožení bezpečnosti informací a komunikačních linek mohou způsobit již elementární typy událostí, ohrožení bezpečnosti služeb (čehož důsledkem však může být opět ohrožení bezpečnosti informací) bude spíše způsobeno souhrnem
69
Srov. § 4 zákona o platebním styku. Zákon č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013].
36
více kybernetických bezpečnostních událostí (tím je zařaditelné do druhé úrovně objektivní stránky). Pojetí kybernetické bezpečnostní události podle NZKB nezohledňuje subjektivní stránku. Rozlišení právní úpravy podle subjektivní stránky je implicitně rozprostřeno v různých právních předpisech vymezením působnosti jednotlivých státních orgánů na úseku kybernetické bezpečnosti (viz kap. 4.1). Právní úprava úrovně skutkových podstat je uvedena především v trestním zákoníku70, ale aplikovány mohou být rovněž soukromoprávní předpisy (například právní instituty ochrany osobnosti nebo náhrady škody). Zvláštní skutkové podstaty ryze kybernetických trestných činů jsou upraveny ve směrnici č. 2013/40/EU71 (viz kap. 4.2). Jednotná, zastřešující právní úprava však neexistuje. Neexistuje nicméně ani v případě obecné bezpečnosti.
Subjektivní stránka Objektivní stránka - úroveň skutkových podstat právních norem Objektivní stránka - úroveň elementárních (technických) kroků
Obr. 2. Navrhovaná struktura kybernetické bezpečnostní události. Dosud jsme popsali pouze takové kybernetické bezpečnostní události, které jsou softwarového charakteru. Nicméně kyberprostor mohou zasáhnout i fyzické útoky na technologická zařízení informační a telekomunikační infrastruktury, ale i útoky vedené pomocí technologií výkonových mikrovlnných generátorů nebo generátorů elektromagnetických pulzů. Tyto „off-line“ útoky budeme považovat za zvláštní případy kybernetické bezpečnostní události, což se projeví v její objektivní stránce. V těchto případech se však zásadně neprojevují komplikace spojené s platností a vymáháním práva v kyberprostoru, zejména delokalizace společenských vztahů. Z právního hlediska jsou tak víceméně řeši-
70
Srov. zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 3. 2014]. 71 Srov. směrnice Evropského parlamentu a Rady č. 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 7. 3. 2014]. Dostupné z: http://new.eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:32013L0040&rid=1
37
telné standardními právními instituty hmotného světa. V dalším textu se jimi proto nebudeme zabývat, případně pouze okrajově.
2.4 Kritická infrastruktura Pojem kritické infrastruktury je v pojednáních o kybernetické bezpečnosti často skloňován, neboť je potenciálním objektem (nejen) kybernetického útoku (viz kap. 3.4). Pojem kritická infrastruktura je definován v zákoně o krizovém řízení (dále jen KrizZ)72. Právní řád rozlišuje (národní) kritickou infrastrukturu a evropskou kritickou infrastrukturu. Pokud jde o definici samotného pojmu infrastruktura, můžeme říci, že jde o v prostoru rozprostřený systém navzájem propojených nebo úzce souvisejících prvků (zejm. stavebních a technických), jehož úkolem je poskytovat určité služby nebo pro výkon určitých činností vytvářet podmínky. Výkladový slovník kybernetické bezpečnosti73 definuje kritickou infrastrukturu z hlediska dopadů jejího narušení: Systémy a služby, jejichž nefunkčnost nebo špatná funkčnost by měla závažný dopad na bezpečnost státu, jeho ekonomiku, veřejnou správu a v důsledku na zabezpečení základních životních potřeb obyvatelstva.
Čl. 2 písm. a) směrnice č. 2008/114/ES74 obsahuje legální definici kritické infrastruktury transponovanou do § 2 písm. g) KrizZ. Podle tohoto ustanovení se kritickou infrastrukturou rozumí: …prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.
Evropská kritická infrastruktura je pak podle čl. 2 písm. b) směrnice EU č. 2008/114/ES taková kritická infrastruktura, jejíž narušení by mělo závažný dopad nejméně pro dva členské státy EU. Podle § 4 písm. d) KrizZ stanoví Vláda ČR kritéria pro určení prvku kritické infrastruktury. To se stalo nařízením vlády č. 432/2010 Sb.75 (dále jen NKritKI). Podle § 4 písm. e) KrizZ pak Vláda ČR na základě návrhu Ministerstva vnitra ČR rozhoduje o konkrétních prvcích kritické infrastruktury, a to pro organizační složky státu. Poslední usne-
72
Srov. zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013]. 73 Srov. JIRÁSEK, NOVÁK, POŽÁR, op. cit. 74 Srov. směrnice Rady (EU) č. 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 8. 10. 2013]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:CS:PDF 75 Srov. nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013].
38
sení tohoto druhu schválila Vláda ČR 14. 12. 201176. Usnesením ze dne 4. 9. 201377 seznam prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu, Vláda ČR aktualizovala. Systémy, které nejsou provozovány organizačními složkami státu, mohou jako prvky kritické infrastruktury určit ministerstva a jiné ústřední správní úřady formou opatření obecné povahy a to na základě § 9 odst. 3 písm. c) KrizZ. Subjektem kritické infrastruktury je podle § 2 písm. k) KrizZ provozovatel prvku kritické infrastruktury. Každému subjektu kritické infrastruktury vznikají povinnosti stanovené §§ 29a až 29c KrizZ. Je to zejména povinnost vypracovat Plán krizové připravenosti subjektu kritické infrastruktury a umožnit kontrolu jeho dodržování, povinnost informovat orgán státní správy o změnách v kritické infrastruktuře a určit styčného bezpečnostního zaměstnance a jeho určení oznámit orgánu státní správy. Náležitosti a způsob zpracování plánu krizové připravenosti subjektu kritické infrastruktury upravují § 29b KrizZ a §§ 17a a 18 nařízení vlády č. 462/2000 Sb.78. NKritKI upravuje průřezové, obecné, kritérium (§ 1 NKritKI) a odvětvová kritéria (příloha č. 1 NKritKI) pro určení prvků kritické infrastruktury (bez ohledu na provozovatele). Průřezové kritérium se skládá z dílčích podmínek, přičemž kritérium je splněno, jeli splněna alespoň jedna z nich: narušení daného prvku by způsobilo více než 250 mrtvých, nebo více než 2500 hospitalizovaných po dobu delší než 24 hodin, nebo by mělo ekonomický dopad s mezní hodnotou hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu anebo by způsobilo rozsáhlé omezení nezbytných služeb (případně jinak závažně zasáhlo do života) pro více než 125 tisíc osob. Systém je považován za kritickou infrastrukturu, jestliže ona sama nebo její prvky splňují definiční ustanovení § 2 písm. i) a g) KrizZ. Systém tedy musí splnit průřezové kritérium, alespoň jedno odvětvové kritérium a současně musí platit, že jeho narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo na 76
Srov. usnesení vlády č. 934 ze dne 14. 12. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 8. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2&p_p_state=normal&p_ p_mode=view&p_p_resource_id=downloadAttachment&p_p_cacheability=cacheLevelPage&p_p_col_id=c olumn-2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BV2T9O 77 Srov. usnesení vlády č. 681 ze dne 4. 9. 2013. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2013 [cit. 8. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2&p_p_state=normal&p_ p_mode=view&p_p_resource_id=downloadAttachment&p_p_cacheability=cacheLevelPage&p_p_col_id=c olumn-2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=PJUA9BAHW369 78 Srov. nařízení vlády č. 462/2000 Sb., k provedení § 27 odst. 8 a § 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013].
39
ekonomiku státu.79 Příloha č. 1 NKritKI (odvětvová kritéria) je směsí obecných a konkrétních kritérií. Najdeme zde například obecné kritérium „síť elektronických komunikací“, ale i konkrétní kritérium prvků zajišťujících provoz národní domény ccTLD .cz. Bylo by vhodné rozšířit průřezové kritérium o další dílčí kritérium, které by reflektovalo masivní prorůstání veřejné správy kyberprostorem. Narušení kybersystémů podmiňujících fungování klíčových agend státní moci nemusí splňovat kvantitativní parametr uvedený v třetím dílčím průřezovém kritériu, avšak důsledky mohou být vážné (úniky strategických dat, vážný pokles důvěry veřejnosti v orgány veřejné moci, dopady do realizace základních práv nebo právní postavení osob apod.). Zatímco například kybersystémy provozované Správou základních registrů třetí dílčí průřezové kritérium splňují, například kybersystémy80 justice patrně nikoliv. Možné nové odvětvové kritérium by mělo zahrnovat kybersystémy provozované složkami veřejné moci, jejichž narušení může vést k ohrožení výkonu základních práv a svobod osob (bod IX přílohy č. 1 NKritKI je sice věnován veřejné správě, je však poměrně úzce zaměřen). NZKB k pojmu kritická infrastruktura v § 2 písm. b) přidává speciální pojem kritické informační infrastruktury (dále též KII), kterou definuje jako prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti. KII tedy musí současně být kritickou infrastrukturou podle KrizZ a musí splňovat odvětvová kritéria v bodě VI přílohy č. 1 NKritKI81. NZKB alespoň částečně řeší výše uvedený problém tím, že vedle kritické infrastruktury a KII vytváří další kategorii zvláště chráněných systémů a to sice kategorii významného informačního systému (§ 2 písm. d) NZKB). Tím má být informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou, ale u kterého narušení bezpečnosti informací může ohrozit nebo výrazně omezit výkon činnosti veřejné správy. Infrastrukturní systémy s sebou vždy na jedné straně přinášely rozvoj společnosti, ale na straně druhé zvýšení její zranitelnosti. Dříve tento jev nebyl tak patrný, protože
79
Srov. ROSINOVÁ, Marika. Aktuální stav určení prvků kritické infrastruktury v České republice. Časopis 112 [online]. 2012, roč. XI, č. 10 [cit. 17. 10. 2013]. ISSN 1213-7057. Dostupné z: http://www.hzscr.cz/clanek/informacni-servis-casopis-112-2012-casopis-112-rocnik-xi-cislo-102012.aspx?q=Y2hudW09NQ%3D%3D 80 Pokud jde o odvětvová kritéria, patrně lze velkou část kybersystémů podřadit pod datové centrum (bod VI.F.b přílohy č. 1 NKritKI) anebo síť elektronických komunikací (bod VI.F.c přílohy č. 1 NKritKI). 81 Předpokládá se, že bod VI přílohy č. 1 NKritKI bude doplněn o další oblast (další písmeno) kybernetické bezpečnosti. Srov. důvodová zpráva k NZKB. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Publikováno 28. 6. 2013 [cit. 17. 10. 2013]. Dostupné z: http://www.govcert.cz/download/nodeid-1855/
40
infrastrukturních systémů odpovídajícího rozsahu bylo méně, případně byly jiné povahy, a případný útočník ve válkách minulých generací je po obsazení dobytého území zpravidla potřeboval také. Dřívější infrastrukturní systémy nebylo možné výrazně zasáhnout z jednoho místa, jedním souborem útoků. Zranitelnost společnosti v důsledku napadení infrastrukturního systému nebyla proto v dřívějších dobách tak výrazná. V dnešní společnosti jsou však infrastrukturní systémy více propojeny, často přinejmenším teoreticky dosažitelné z veřejně přístupných sítí a pokrývají dříve nemyslitelné spektrum služeb. Nárůst zranitelnosti je patrný. Nicméně jde spíše o kvantitativní posun, než o kvalitativní. Systémová odlišnost proti dřívějšku82 však spočívá v tom, že v takto propojené a informatizované společnosti lze útok proti infrastrukturním systémům vést v podstatě z jakéhokoliv místa planety, potenciálně anonymně a s relativně nízkými náklady.
2.5 Právo v kybernetickém prostoru Četnost vstupování, ať už vědomého nebo nevědomého, většiny osob do kyberprostoru je rok od roku vyšší. Prorůstání kyberprostoru a skutečnosti je stále komplexnější. Rezignace státu na regulaci kyberprostoru nemůže být za těchto okolností legitimní východisko z praktických potíží s uplatňováním práva v této doméně. Stát konec konců překročil Rubikon právní regulace kyberprostoru tím, že sám sebe, územní samosprávné celky a vybrané subjekty soukromého práva učinil, pokud jde o určité činnosti (např. povinnost vybraných právnických osob mít datovou schránku podle zákona č. 300/2008 Sb.83), závislými na infrastruktuře kyberprostoru. Tím stát na sebe současně převzal povinnost chránit přinejmenším nerušený výkon práv a povinností s tím spojených. Nutným předpokladem výkonu této povinnosti je kyberprostor ve funkčním a pokojném stavu, jinými slovy bezpečný kyberprostor. Některé agendy státu, například Centrální registr vozidel, jsou závislé na fungování „veřejného“, „obecného“ internetu84. Veřejná dostupnost kyberprostoru je jeho podstatným znakem85. Tato vlastnost je v naprosté většině případů dokonce důvodem, ať už přímým anebo nepřímým, proč do kyberprostoru vstupují subjekty práva. A
82
Období, které označujeme slovem dříve, nijak nespecifikujeme, neboť je z kontextu dostatečně zřejmé, že jde o doby, kdy počítačové sítě buď vůbec neexistovaly, nebo existovaly pouze někde a pouze lokálně, anebo kdy v celostátním měřítku rozsáhlá počítačová síť (dnes internet) byla dostupná nejvýše z několika málo elitních institucí. 83 Srov. zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 10. 2013]. 84 Obce s rozšířenou působností, které vykonávají agendu evidence vozidel, se k centrálním serverům připojují prostřednictvím „obecného“ internetu. 85 Kyberprostorem by nepochybně byla i jakákoliv privátní informační síť s omezeným, nepočetným, okruhem uživatelů a izolovaná od všech okolních sítí. Takový kyberprostor nicméně není předmětem této práce.
41
contrario, bez této vlastnosti by kyberprostor nebyl tím, čím je. Kyberprostor se tak sám vybízí k tomu, aby v něm probíhaly, v tom či onom rozsahu, celospolečenské interakce subjektů práva. Tím se však současně vybízí k tomu, aby byl regulován právem. Některé kyberprostorové interakce lze přirovnat k setkání mezi čtyřma očima v soukromém obydlí, jiné můžeme přirovnat k setkání kolektivu v soukromém klubu, některé k návštěvě restaurace či dokonce veřejného prostranství apod. Stát do takových interakcí odehrávajících se ve skutečnosti svou právotvornou činností v přiměřené míře běžně vstupuje. Není mnoho důvodů domnívat se, že by tomu v kyberprostoru mělo být jinak. Otázkou pak není, zda má stát právo v kyberprostoru prosazovat. Otázkou je v jaké míře a jak, tedy jakou metodu právní regulace zvolit. Nepominutelným
a
v určitém
smyslu
základním
regulátorem
chování
v kyberprostoru jsou tzv. definiční normy, pojem, který v souvislosti s kyberprostorem zavedl L. Lessig86. Podstatným znakem definičních norem kyberprostoru je kauzalita, protože kauzálně determinují chování jednotlivých složek kyberprostoru 87. Souhrn definičních norem kyberprostoru L. Lessig nazývá jeho kódem. Definičními normami jsou tak v praxi nejrůznější pravidla, zákonitosti, chování v kyberprostoru zakódovaná hardwarově i softwarově88 na různých úrovních. Od konstrukce samotné technologické podstaty kyberprostoru, přes firmware síťových aktivních prvků až po kauzálně působící89 pravidla chování v různých aplikacích. Takovými pravidly jsou například různé identifikační a autentizační podmínky vstupu do různých úrovní či míst v kyberprostoru. Kód však neovlivňuje pouze to, kde a za jakých podmínek se v kyberprostoru můžeme pohybovat, ale také to, jaké informace o našich aktivitách jsou ukládány, uchovávány a následně využívány. Obchodní modely společností provozujících vyhledávač Google nebo sociální síť Facebook jsou přímo postaveny na zužitkovávání údajů o chování uživatelů. Lessigův kód se tak dotýká i ústavních hodnot. Je významným regulatorním faktorem, který se v kyberprostoru uplatňuje. V určitém smyslu jsou jeho analogií ve skutečnosti přírodní zákony. Zatímco tedy důsledkem regulace právními normami jsou právní povinnosti, je důsledkem regulace kódem kauzální nutnost90. Právo buď v podobě hrozby sank-
86
Srov. POLČÁK, 2012, op. cit., s. 188. Tamtéž. 88 Chceme-li bychom být důslední, musíme připustit i hardwarově zakódované definiční normy. 89 Kauzalita těchto pravidel je nicméně relativní například vzhledem k rozsahu uživatelských oprávnění v daném kybersystému. Jestliže určité pravidlo tohoto druhu vyjadřuje pro běžného uživatele kauzální nevyhnutelnost, pro správce kybersystému to tak být nemusí. 90 Srov. POLČÁK, 2009, op. cit., s. 147. 87
42
ce od protiprávního jednání odrazuje anebo protiprávní jednání nastoupením právní odpovědnosti zpětně sankcionuje. Nicméně právo protiprávní jednání znemožňuje pouze právně, ale nikoliv fakticky. Kdežto definiční normy kyberprostoru, Lessigův kód, určité chování fakticky znemožňují. Nedochází tedy k sankci ex post, protože k porušení pravidla vůbec nemůže dojít. Jedno z libertariánských úsloví říká, že každý má právo vybrat si svou cestu do pekel. Faktický výkon takto pojmenované svobody právo umožňuje, byť některé její výkony následně trestá. Kód je zásadně odlišný v tom, že výběr cesty třebas i do pekel vůbec neumožní. Jedinou možností je danou službu či funkcionalitu vůbec nepoužít. V kyberprostoru působí rovněž regulátory, které podobně jako definiční normy pocházejí od poskytovatelů služeb informační společnosti91 (dále jen ISP), ale liší se od nich tím, že faktické porušení dovolují. Jsou to různá pravidla a kodexy chování na některých místech kyberprostoru, zejména v sociálních sítích a na diskusních fórech. Při porušení nastupuje sankce udělená provozovatelem služby, kterou je zpravidla odstranění následků porušení, například smazání nedovoleného diskusního příspěvku. Prostředí sociální sítě Facebook je místem v kyberprostoru, které kypí mnohovrstevnatou, neustálou interakcí velkého množství uživatelů. Provozovatel sítě Facebook nicméně dle svých vlastních pravidel omezuje svobodu vyjadřování v tomto prostředí92. Zatímco tedy definiční normy, Lessigův kód kyberprostoru, jsou pravidly vyjadřujícími kauzalitu, tato pravidla a kodexy chování vyjadřují normativitu. Tím jsou bližší právu. Základní koncepce internetu, dominantní součásti kyberprostoru, vznikala v 70. letech 20. století ve vědecké komunitě USA. Podle J. A. Lewise93 tehdejší architekti internetu do něj vtiskli vizi vyrůstající z atmosféry a politického smýšlení 60. let téhož století – vizi samo-organizující se anti-hierarchické společnosti bez autorit a vlády. J. A. Lewis uvádí, že klíčové postavy s vlivem na podobu internetu byly tehdejší vysokoškolští radikálové, kteří pak významně ovlivňovali bouřlivý rozmach internetu v 90. letech během Clintonovy administrativy94 v USA. Představa samo-organizujícího se internetu byla dle
91
Možnou legální definici tohoto pojmu najdeme v § 2 zákona č. 480/2004 Sb. Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 12. 2013]. 92 Srov. RŮŽIČKA, Jan. Na internet unikla příručka, podle které se cenzuruje Facebook. IHNED.cz [online]. Economia, publikováno 28. 2. 2012 [cit. 10. 12. 2013]. ISSN 1213-7693. Dostupné z: http://tech.ihned.cz/c1-54872630-na-internet-unikla-prirucka-podle-ktere-se-cenzuruje-facebook 93 Srov. LEWIS, James A. Sovereignty and the Role of Government in Cyberspace. Brown journal of world affairs [online databáze HeinOnline]. 2010, Spring/Summer, vol. 16, s. 55. ISSN 1080-0786. 94 Autor konkrétně zmiňuje Iru C. Magazinera, který byl hlavou poradců prezidenta USA W. J. Clintona pro otázky internetu.
43
J. A. Lewise možná v době, kdy internet byl doménou omezené skupiny osob, které spojoval zájem na jeho bezvadném fungování. V době, kdy je základem světové infrastruktury, je jeho schopnost samo-organizace zcela nedostačující. J. A. Lewis poznamenává, že těžiště rozvoje internetu se přesouvá z USA do východních zemí s odlišnými postoji k individuální svobodě a dalším západním hodnotám. Tyto země se začaly významně podílet na jeho utváření. Pozice těch, kdo vyrábějí hardware a píšou firmware (tedy spolutvůrců definičních norem) je silná. Je otázkou, jak sílící vliv zemí s odlišnými politickými a právními kulturami na definiční normy vtělené do řady síťových aktivních prvků ovlivní budoucnost kyberprostoru.95 R. A. Clarke uvádí případ96, kdy čínská společnost vyráběla kopie routerů americké společnosti Cisco (jednoho z největších světových dodavatelů síťových aktivních prvků) a za příznivých cenových podmínek je prodávala mj. i státním institucím USA. Až po třech letech na tento problém upozornila služba FBI97 s tím, že firmware routerů obsahoval „zadní vrátka“, která umožňovala dálkově narušit funkci dané sítě a oslabit bezpečnostní opatření. Padělané Cisco routery byly tehdy zakoupeny i armádou USA. Nutnost aktivního přístupu ke kybernetické bezpečnosti při dodržení zásady proporcionality ze strany státu je zřejmá. D. G. Post komentujíce L. Lessiga uvádí, že chování lidské společnosti v kyberprostoru řídí komplex čtyř regulátorů – právo, trh, společenské normy a Lessigův kód98. Každý z těchto vzájemně provázaných regulátorů upravuje chování subjektů regulace odlišně. Chování subjektů je pak výslednicí těchto regulátorů.99 Vliv kódu lze přirovnat například k uspořádání dopravní sítě města. Vedení jednotlivých komunikací upravuje možnosti pohybu motorovými vozidly, určuje, kam se automobilem lze dostat a kam nikoliv. Rozvržení vozovek je analogií Lessigova kódu. D. G. Post se shoduje s L. Lessigem, že kód ovlivňuje naše možnosti chování v kyberprostoru a jeho vliv na výkon řady práv může být srovnatelný s vlivem právní regulace. Nesouhlas však D. G. Post vyjadřuje k L. Lessigem navrhované metodě regulace, kterou má být ovlivňování kódu veřejno-
95
Srov. LEWIS, op. cit. Srov. CLARKE, Richard A., KNAKE, Robert K. Cyber war. 1 ed. New York: HarperCollins Publishers, 2010, 306 s. ISBN 978-0-06-196224-0. S. 55. 97 Srov. KRIGSMAN, Michael. FBI: Counterfeit Cisco routers risk "IT subversion". ZDNet.com [online]. CBS Interactive, publikováno 12. 5. 2008 [cit. 11. 12. 2013]. Dostupné z: http://www.zdnet.com/blog/projectfailures/fbi-counterfeit-cisco-routers-risk-it-subversion/740 98 Srov. POST, David G. What Larry Doesn't Get: Code, Law, and Liberty in Cyberspace. David G. Post: Research & Writings [online]. Beasley School of Law, TEMPLE University, 2000 [cit. 12. 12. 2013]. Dostupné z: http://www.temple.edu/lawschool/dpost/code.html 99 Tamtéž. 96
44
právním regulátorem100, tj. právem, případně správními akty. L. Lessig101 totiž předpokládá, že idea svobody, jakkoliv je kyberprostoru přisuzována, v něm nakonec může být ohrožena. Kyberprostor je ohrožen komerčními zájmy, které z něj mohou udělat, a dle L. Lessiga také nakonec udělají, dokonalý nástroj kontroly. Regulatorní aktivity státu, případně mezinárodní organizace, tak pro L. Lessiga nejsou ohrožením svobody v kyberprostoru, ale naopak její jedinou možnou garancí. D. G. Post souhlasí s popsaným vlivem kódu na realizaci základních práv a svobod v kyberprostoru, oponuje však metodě jejich garance. Tvrdí, že pro zajištění ochrany základních hodnot (či práv a svobod) nepotřebujeme jeden „plán“ – jeden konkrétní regulatorní rámec – ale nekonečné množství „plánů“, které si vzájemně konkurují a návštěvníci kyberprostoru si mezi nimi mohou co možná nejvolněji vybírat. Pokud ne svoboda, pak jistě bezpečnost kyberprostoru je v praxi a v přiměřené době myslitelná pouze regulatorním zasahováním legitimní autority. V podmínkách západní společnosti je takovým zasahováním působení právního normativního systému, který nicméně může vědomě přenechat část normativního působení na ISP a jimi vytvářených definičních normách. Právo však musí být primární. S právní regulací kyberprostoru je spojeno několik koncepčních problémů – jednak hodnotový problém vztahu právní regulace kyberprostoru k hodnotám euroatlantické společnosti a pak praktické problémy, kterými jsou důsledky již zmíněné bezrozměrnosti kyberprostoru, fakt, že fyzická infrastruktura kyberprostoru je až na výjimky102 v soukromých rukou a fakt obtížnosti dokazování při řešení sporů. Nejdůležitější rozdíl mezi společenskými vztahy ve skutečnosti a v kyberprostoru spočívá v oddělení obsahu kyberprostoru od fyzické infrastruktury103. Fyzické umístění ani vzdálenost aktérů daného vztahu nejsou v kyberprostoru relevantní. Pravidla pro vzájemnou komunikaci určuje pouze její zvolená forma104. Tento jev, který nazýváme delokalizace společenských vztahů v kyberprostoru105, s sebou přináší především problém určení jurisdikce nad daným vztahem, neboť tradiční koncept místní působnosti práva
100
D. G. Post však, komentujíce Lessigovy argumenty, hovoří o blíže neurčeném globálním kolektivním tělese. 101 Citováno dle POST, 2000, op. cit. 102 Avšak i v případech, kdy jsou prvky infrastruktury kyberprostoru v rukou státu nebo veřejnoprávní korporace, vystupují stát nebo veřejnoprávní korporace jakožto soukromoprávní subjekty. 103 Srov. POLČÁK, 2009, op. cit., s. 55. 104 Tamtéž. 105 Tamtéž.
45
není v kyberprostoru použitelný106. Nad způsobem řešení problému delokalizace vztahů se vedou rozsáhlé odborné debaty. Jako reprezentace těchto debat se uvádí názorový střet J. Goldsmithe a D. G. Posta. J. Goldsmith tvrdí, že komunikace v kyberprostoru je, pokud jde o problém určení rozhodného práva a jurisdikce, funkčně identická s komunikací ve skutečnosti (jen probíhá jinými prostředky) a rovněž, že pro řešení problému lze použít metody mezinárodního práva soukromého používané pro analogické případy ze skutečnosti107. J. Goldsmith má za to, že je nesporné, že každý stát má právo regulovat lokální efekty mezinárodních aktivit108. D. G. Post naproti tomu tvrdí, že skutečnost a kyberprostor nejsou zcela funkčně identické, resp. že míra této identity záleží na aspektu problému, kterým se zrovna zabýváme109. S ohledem na delokalizaci vztahů v kyberprostoru, kdy se každý jev projevuje v podstatě ve všech jurisdikcích současně, vede postup metodami mezinárodního práva soukromého k založení odpovědnosti každého subjektu v příliš mnoha jurisdikcích současně, což D. G. Post nepovažuje za rozumné. S příchodem kyberprostoru se z tohoto občasného jevu stala pravidelnost. Svět (kyberprostor), kde jsou všichni aktéři se všemi jejich transakcemi vždy podřízeni pravidlům, k nimž nikdy nedávali souhlas, není funkčně identický skutečnosti. Proto je dle D. G. Posta nutné koncipovat jiný, nový přístup, který však Post již dále nespecifikuje.110 Tvrdí-li D. G. Post, že stav, kdy každý stát má oprávnění regulovat lokální projevy (mezinárodních) aktivit probíhajících v kyberprostoru, není v pořádku, současně říká, že je potřeba nějaký nadstátní pramen práva s celosvětovou působností, který by přímo nebo kolizně reguloval kyberprostorové aktivity. Celosvětová působnost takového pramene práva je však naprostou nezbytností, protože jinak s ohledem na univerzální charakter kyberprostoru ztrácí význam. Vytvoření takového pramene práva je spíše iluzorní a spíše se budeme setkávat s regionálními úpravami dotvářenými judikaturou. Tím se vracíme k metodám mezinárodního práva soukromého a závěrům J. Goldsmithe. T. C. Folsom navrhuje při řešení právních problémů rozlišovat metodu podle míry, v jaké je daný společenský vztah specifický tím, že se celý nebo částečně odehrál v kyberprostoru111. Ke stanovení této míry T.
106
Tamtéž. GOLDSMITH, Jack L. Against cyberanarchy [online]. University of Chicago, 1998 [cit. 22. 11. 2013]. Dostupné z: http://cyber.law.harvard.edu/property00/jurisdiction/cyberanarchy.html 108 Tamtéž. 109 POST, David G. Against "Against Cyberanarchy". Social Science Research Network [online]. Beasley School of Law, TEMPLE University, 2002 [cit. 22. 11. 2013]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=334581 110 Srov. POST, 2002, op. cit. 111 Srov. FOLSOM, op. cit. 107
46
C. Folsom navrhuje dvě hlediska – místo a povahu daného jevu112. Tam, kde z hlediska místa a povahy daného jevu je vliv specifických vlastností kyberprostoru žádný nebo jen minimální, je dle autora vhodné aplikovat stávající právo beze změn a v těchto případech se tedy autor staví na stranu J. Goldsmithe. Avšak v případech, kdy vliv specifických vlastností kyberprostoru přesáhne určitou míru (jako příklad T. C. Folsom uvádí služby poskytované vyhledávačem), je vhodné zamyslet se nad jiným (autorem však blíže nepopsaným) přístupem. V takových případech se tedy kloní spíše na stranu D. G. Posta. Například v souvislosti s již zmíněnou nastupující technologií Google Glass, která rozhraničení skutečnosti a kyberprostoru určitě nebude zjednodušovat, a myšlenkami na univerzální světové právo kyberprostoru113 však k myšlence T. C. Folsoma poznamenejme následující. Univerzální světové právo kyberprostoru by na jedné straně do určité míry odstranilo neurčitost danou delokalizací společenských vztahů, tedy neurčitost v určení jurisdikce a právního řádu, ale na druhé straně povede k nastolení nové neurčitosti ohledně toho, zda a do jaké míry se daný jev kyberprostoru týkal (resp. do jaké míry byl fakt, že se daný jev odehrál zčásti nebo zcela právě v kyberprostoru, podstatný z hlediska právního posouzení věci) a tedy, kdy je a kdy není dána působnost tohoto „lex cyberspace“. Tato nová neurčitost nemusí být o nic menší komplikací, než je ta první. Světové univerzální právo pro kyberprostor tedy nemusí znamenat méně neurčitosti. Princip právní jistoty proto lépe naplňuje, pokud budeme i nadále stavět na tradičních právních institutech graduálně rozvíjených „běžným“ legislativním vývojem a judikaturou. Vyjednání a ratifikace takového světového pramene práva jsou samy o sobě velmi náročné a zdlouhavé procesy. Je rovněž otázkou, zda by pomyslný světový právotvůrce vůbec byl schopen v přijatelných časových proporcích reagovat na rychlý technologický vývoj (toho je sotva schopen národní právotvůrce).114 Jestliže stát právně zasahuje do kyberprostoru, jehož technologickou podstatu tvoří soukromá informační infrastruktura, znamená to zasahování do výkonu vlastnického prá-
112
Místem jevu („place of use“) není místo v geografickém slova smyslu, ale to, zda a v jaké míře se jev odehrál ve skutečnosti, nebo v kyberprostoru. Povaha jevu („nature of use“) je poměrně široké kritérium zohledňující specifičnost uživatelů, účel a způsob používání kyberprostoru apod. 113 Nejen D. G. Post, ale například také následující. Srov. SCHMIDT, Nikola. První kroky ke vzniku mezinárodního kybernetického bezpečnostního režimu. Natoaktual.cz [online]. Praha, Informační centrum o NATO, 2013 [cit. 16. 11. 2013]. Dostupné z: http://www.natoaktual.cz/prvni-kroky-ke-vznikumezinarodniho-kybernetickeho-bezpecnostniho-rezimu-1b7/na_analyzy.aspx?c=A130902_094044_na_analyzy_m02 114 Srov. SAXBY, Stephen. The roles of government in national/international Internet administration. In: AKDENIZ, Yaman, WALKER, Clive, WALL, David (eds.) The Internet, Law and Society. Harlow: Pearson Education Limited, 2000, s. 3. Citováno dle POLČÁK, 2012, op. cit., s. 77.
47
va vlastníků prvků této infrastruktury. V úvodu této kapitoly je zmíněna skutečnost, že stát „v tichosti“ „obsazuje“ kyberprostor. Tím v jistém smyslu dochází k posunu kyberprostoru na pomezí veřejnoprávnosti a soukromoprávnosti. Právní řád ČR například zná právní institut veřejného prostranství definovaný § 34 zákona o obcích115, který je svým způsobem analogický řešenému problému. Veřejným prostranstvím jsou všechna náměstí, ulice, tržiště, chodníky, veřejná zeleň, parky a další prostory přístupné každému bez omezení, tedy sloužící obecnému užívání, a to bez ohledu na vlastnictví k tomuto prostoru116. Veřejné prostranství je tedy i soukromý pozemek, včetně případné soukromé stavby komunikace117, který splňuje uvedené zákonné znaky a to bez ohledu na vůli jeho vlastníka. Výkon vlastnického práva k takovému pozemku podléhá omezením, resp. veřejnoprávní regulaci118, které jiné soukromé pozemky, resp. komunikační stavby, nepodléhají. Tento stav potvrdil rovněž Ústavní soud ČR, když judikoval: Za veřejné prostranství lze tedy považovat každý prostor, který je přístupný všem bez omezení, slouží obecnému užívání a je jako veřejné prostranství určen v obecně závazné vyhlášce obce… …Definici veřejného prostranství obsaženou v § 34 zákona o obcích nelze podle názoru Ústavního soudu považovat za příliš širokou… …Prostor splňující zákonné znaky veřejného prostranství je veřejným prostranstvím ex lege. Vyjmutí prostor vlastněných soukromými subjekty a splňujících zákonné znaky veřejného prostranství z veřejnoprávního režimu veřejného prostranství by vedlo k podstatnému ztížení či znemožnění právní regulace společenských vztahů, na nichž má obec jako veřejnoprávní korporace veřejný zájem… …Řada aspektů této veřejnoprávní regulace ostatně vlastníka nijak nezatěžuje, ale naopak mu jeho právní postavení jako vlastníka takovéhoto pozemku zlepšuje.119
Kyberprostor je rovněž soukromě vlastněným prostorem, ve kterém se však víceméně volně pohybuje veřejnost včetně státu a veřejnoprávních korporací. Zaměníme-li si v uvedené argumentaci Ústavního soudu ČR obec za stát, pak lze konstatovat, že obdobný druh zasahování ve veřejném zájmu do výkonu vlastnického práva ve specifických případech české právo zná. Problém tedy netkví v zasahování státu do výkonu vlastnické-
115
Srov. zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 15. 10. 2013]. 116 Srov. § 34 zákona o obcích. 117 Splňuje-li tato stavba znaky samostatné věci v právním smyslu. 118 Právní institut veřejného prostranství nepochybně zdaleka není jediným případem, kdy stát veřejnoprávně zasahuje do výkonu vlastnického práva. Je to však právní institut, jehož povaha dovoluje uvedenou úvahu. Tedy, že v určitých případech je ústavně konformní veřejnoprávní regulací „obsadit“ soukromý majetek, který slouží k volnému pohybování jednotlivců. Záleží pak především na proporcionalitě veřejnoprávního zasahování. 119 Srov. nález Ústavního soudu ČR ze dne 22. 3. 2005, sp. zn. Pl. ÚS 21/02. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2005 [cit. 15. 10. 2013]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-21-02
48
ho práva ISP120, ale v jeho proporcionalitě, kterou je třeba vyhodnocovat individuálně podle účelu a povahy zásahu. Nějaká forma vlivu na ISP je fakticky jedinou možností práva, jak se v kyberprostoru efektivně prosadit. Na uživatele ukryté za virtuální identitou stát dosáhne mnohem obtížněji. Schopnost autority kontrolovat dodržování povinností je nezbytnou podmínkou efektivní právní regulace. S platností právních norem je spojen i požadavek na vynutitelnost121. Tento materiální znak právní normy znamená, že norma musí obsahovat sankci a být i fakticky vynutitelná státní mocí. R. Polčák dovozuje, že podle H. Kelsena dokonce nemůže být právní norma neobsahující sankci, resp. objektivně neumožňující své uplatnění, ani formálně platná122. Složitost aktivit probíhajících na technologiích ISP, jejich rychlost a proměnlivost jsou natolik vysoké, že bez určité abstrakce od technologické podstaty kybersystémů a tím ani bez spolupráce s ISP nelze regulatorní zásah v řadě případů efektivně provést. Proveditelné a kontrolovatelné je nařizování povinného chování kybersystému (například odkazem na nějaký standard), stanovení odpovědnosti ISP za obsah aj. Je-li třeba při soudním nebo správním řízení provést důkaz o určitém ději nebo stavu obsahu kyberprostoru, je nositel důkazního břemene v nelehké situaci. Zachycení stavu obsahu je zpravidla možné pomocí notářského zápisu, který je jedním ze způsobů zajištění důkazu123 podle § 78a občanského soudního řádu124. Zachycení neopakujícího se a navenek neprojevujícího se skutkového děje v kyberprostoru je možné pouze na základě interních záznamů daného kybersystému, tzv. logů, kdy navíc nastupují další otázky jejich vypovídacích schopností a věrohodnosti. V podstatě každý údaj kyberprostoru lze dodatečně změnit nebo smazat a je jen otázkou znalostí a oprávnění, zda po takové dodatečné změně zůstanou nějaké stopy. Aktivně legitimované subjekty v soukromoprávních sporech se mohou ocitnout ve slepé uličce, už pokud jde o označení osob, z jejichž strany tvrdí zásah do svých práv. Často je známa pouze virtuální identita, u níž nelze ani určit,
120
Zejména vlastníků technologických zařízení (serverů, aktivních síťových prvků aj.). Srov. KNAPP, Viktor. Teorie práva. 1. vyd. Praha: C.H.Beck, 1995, 247 s. ISBN 80-7179-028-1. S. 152. 122 Srov. KELSEN, Hans. Všeobecná teorie norem. Brno: Masarykova univerzita, 2000, 470 s. ISBN 80210-2325-2. S. 147. Citováno dle POLČÁK, 2012, op. cit., s. 106. 123 Srov. MATĚJKOVÁ, Adéla. Kdy je nutné a kdy vhodné navštívit notáře. IHNED.cz [online]. Economia, publikováno 19. 12. 2008 [cit. 12. 3. 2014]. ISSN 1213-7693. Dostupné z: http://pravniradce.ihned.cz/c131790040-kdy-je-nutne-a-kdy-vhodne-navstivit-notare 124 Srov. zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 3. 2014]. 121
49
zda je pravá, falešná či smyšlená (kap. 2.2.1). Soukromoprávní subjekt nedisponuje právními prostředky, pomocí kterých by zjistil skutečný subjekt, jenž za virtuální identitou stojí.125 Je proto na místě otázka, zda by stát neměl soukromoprávním subjektům umožnit označit žalovanou stranu pouze identifikací virtuální identity. Pokud by se tvrzení žalobce ukázala jako důvodná, mohl by soud nařídit státu zjištění skutečné osoby, která virtuální identitu zavedla. Napětí mezi takovým požadavkem a právem na ochranu soukromí je zřejmé. Zjištěná osoba by se následně stala žalovanou stranou a řízení by pokračovalo tak, aby nebylo porušeno právo na spravedlivý proces ani jedné strany. Příkladem již dnes existující právní regulace, jejímž účelem je bezpečné fungování konkrétních služeb informační společnosti, může být právní úprava instituce elektronických peněz v zákoně o platebním styku126, dále konkretizovaná v příslušné prováděcí vyhlášce127. K činnosti instituce elektronických peněz uděluje podle § 46 odst. 1 uvedeného zákona povolení Česká národní banka (dále jen ČNB). Ze znění § 6 odst. 3 písm. c) bod 6 uvedené vyhlášky, jakož i z dalších jejích ustanovení, je patrné, že ČNB při řízení o vydání povolení zkoumá bezpečnostní zásady pro informační systém. Vyhláška ukládá řídicímu orgánu instituce povinnosti strategické povahy vůči jejímu informačnímu systému, který je z povahy věci součástí kyberprostoru (v dříve popsaném smyslu, kap. 2.1). Za účelem zabezpečení obezřetné činnosti instituce elektronických peněz128, tedy v podstatě z bezpečnostních důvodů, je právní úpravou zamezeno volnému vstupu (bez povolení ČNB nebo jiného správního orgánu) vydavatelů elektronických peněz na trh a jsou regulovány vybrané manažerské a technické parametry souvisejícího informačního (kybernetického) systému. Na tomto příkladu je patrné, že je-li dán dostatečně intenzivní veřejný zájem na bezpečném fungování nějakého kybersystému, pak stát si již dnes pod sankcí neudělení nebo odebrání povolení k činnosti vynucuje určité jeho vlastnosti.
125
Srov. POLČÁK, 2012, op. cit., s. 362. Srov. zákon č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 16. 10. 2013]. 127 Srov. vyhláška č. 141/2011 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 16. 10. 2013]. 128 Právní úprava instituce elektronických peněz v zákoně o platebním styku je implementací směrnice EU č. 2009/110, o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností. Srov. směrnice Evropského parlamentu a Rady č. 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností, o změně směrnic 2005/60/ES a 2006/48/ES a o zrušení směrnice 2000/46/ES. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 16. 10. 2013]. Dostupné z: http://new.eurlex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32009L0110&rid=1 126
50
Argumentace per analogiam je v právu ICT vhodnou metodou129. Vedle již uvedené analogie s veřejným prostranstvím můžeme uvést právní institut hotelové (přesněji evidenční) knihy, který najdeme v ustanovení § 3 odst. 4 zákona č. 565/1990 Sb., o místních poplatcích: Ubytovatel je povinen vést v písemné podobě evidenční knihu, do které zapisuje dobu ubytování, účel pobytu, jméno, příjmení, adresu místa trvalého pobytu nebo místa trvalého bydliště v zahraničí a číslo občanského průkazu nebo cestovního dokladu fyzické osoby, které ubytování poskytl. Zápisy do evidenční knihy musí být vedeny přehledně a srozumitelně. Tyto zápisy musí být uspořádány postupně z časového hlediska. Evidenční knihu ubytovatel uchovává po dobu 6 let od provedení posledního zápisu. Zpracování osobních údajů v evidenční knize se řídí zvláštním právním předpisem.
Hotel lze přirovnat k místu v kyberprostoru, přičemž údaje o jeho návštěvnících jsou analogické hotelové knize. Je-li legitimní takto evidovat, uchovávat a zpracovávat osobní údaje (tj. dokonce ne pouze údaje o virtuálních identitách uživatelů) o návštěvnících ubytovacích zařízení, může být legitimní, aby stát v odůvodněných případech měl k dispozici informace o uživatelích toho či onoho kybersystému. Přestože účelem hotelové knihy je vyměření místního poplatku, nepochybně by evidované údaje příležitostně dobře posloužily i orgánům činným v trestním řízení. Ve sporu Patel a Patel versus Město Los Angeles v USA soud konstatoval, že hoteloví hosté, jakmile poskytli své údaje do hotelové knihy, pozbyli ochranu poskytnutých údajů v rámci institutu „reasonable expectation of privacy“130. V jaké míře má právotvůrce stanovovat obecné právní povinnosti ISP dosahovat určitých standardů, případně vylučovat určitá chování uživatelů? V jaké míře má právotvůrce zasahovat do Lessigova kódu cestou ukládání povinností ISP? V jaké míře mají mít ISP, ať už mají „hardwarovou“ nebo „softwarovou“ povahu, povinnost uchovávat a poskytovat určité údaje? To jsou zásadní otázky, jejichž řešení je nad rámec této práce. Nicméně můžeme uzavřít, že právo se kyberprostoru nevyhýbá a nesmí vyhýbat a že optimální metodou regulace je (nad rámec jinak platné právní úpravy) kombinace proporcionálních právních povinností ISP a vztahů spolupráce mezi nimi a státem. Pouze o ISP, a nikoliv o návštěvnících kyberprostoru, hovoříme proto, že právní postavení uživatelů se tím, že vstupují do kyberprostoru, zásadně nemění – jsou ve stejném rozsahu nositeli týchž práv a povinností jako ve skutečnosti. V některých případech lze však připustit, že
129
Srov. POLČÁK, 2012, op. cit., s. 83. Citováno dle HARAŠTA, Jakub. 9th Circuit a soudní příkazy. Blog Ústavu práva a technologií Právnické fakulty Masarykovy univerzity [online]. Brno: Ústav práva a technologií Právnické fakulty Masarykovy univerzity, publikováno 6. 1. 2014 [cit. 15. 1. 2014]. Dostupné z: http://ict-law.blogspot.cz/2014/01/9thcircuit-soudni-prikazy.html 130
51
vstupem do kyberprostoru vyslovují konkludentní souhlas s obsahovými změnami u některých práv. Je například zřejmé, že právo na ochranu soukromí je v kyberprostoru z podstaty věci, a přinejmenším fakticky, slabší. S ohledem globálnost a povahu kyberprostoru a s ohledem na již dříve popsaný fakt, že v kyberprostoru dochází k právně relevantním interakcím, je zřejmé, že k úspěšné právní regulaci je v řadě případů nutná mezinárodní spolupráce131. Vzhledem k jevu delokalizace společenských vztahů v kyberprostoru může nastat řada přeshraničních souvislostí, neboť, jak bylo připomenuto, v kyberprostoru geografické vzdálenosti v podstatě nemají význam. Protiprávní jednání může mít původ v zahraničí, předmětem sporu může být přeshraniční soukromoprávní vztah odehrávající se v kyberprostoru, subjekt protiprávního jednání může být identifikovatelný pouze za pomoci zahraničních ISP, tuzemské subjekty mohou využívat zahraničních ISP ke své protiprávní činnosti, aby zakryly svou identitu nebo aby znemožnily sankcionování svého jednání apod. Mezinárodního prvku si dotčení účastníci dokonce ani nemusejí být vědomi. Protože delokalizace je se svými důsledky neodmyslitelnou vlastností kyberprostoru, není bez mezinárodní spolupráce řada protiprávních jednání v kyberprostoru vůbec postižitelná. Mezinárodní spolupráce je tak důležitou podmínkou působnosti práva v kyberprostoru132.
131 132
Srov. POLČÁK, 2012, op. cit., s. 112. Srov. POLČÁK, 2012, op. cit., s. 113.
52
3 Kybernetická bezpečnost 3.1 Národní bezpečnost obecně Bezpečnost je v obecné rovině definována jako absence hrozeb. Jde však definici idealistickou. V praxi půjde nikoliv o absenci, ale o minimalizaci hrozeb pro objekt bezpečnosti a jeho zájmy133. Nicméně existence hrozeb sama o sobě ještě nemusí znamenat stav nikoli bezpečný. Důležité je, aby každá hrozba byla vyvažována odpovídajícími prostředky pro její odvracení, popřípadě úplnou eliminaci. Definici bezpečnosti proto rozšíříme tak, že bezpečnost je buď stav, kdy všechny hrozby jsou s ohledem na jejich závažnost dostatečně malé anebo stav, kdy ta či ona hrozba sice není dostatečně malá, ale je k dispozici prostředek, který ji odvrací nebo snižuje tak, že se v mezích okolností stává přijatelnou. Hrozba je zdrojem rizika pro bezpečnostní zájmy objektu bezpečnosti. Realizací hrozby dochází buď k faktickému poškození bezpečnostních zájmů, resp. jejich objektů, nebo k útoku a jím vyvolané obraně, tj. ke střetu. Ve stavu bezpečnosti mohou osoby realizovat svá základní práva a svobody. Ve stavu nikoli bezpečném se prostor pro realizaci základních práv a svobod zužuje. To je dáno jednak objektivním důsledkem stavu nebezpečí a jednak tím, že stát v míře přiměřené povaze a rozsahu nebezpečí pragmaticky ustupuje od jejich ochrany134. Z právního hlediska tedy můžeme bezpečnost popsat jako stav, kdy v důsledku bezpečnostních hrozeb nedochází k nepřiměřenému omezování základních práv a svobod. Bezpečnost může být podle jednotlivých sfér života členěna na sektory - politická bezpečnost, ekonomická bezpečnost, environmentální bezpečnost, kybernetická bezpečnost apod. Podle zaměření členíme bezpečnost na vnitřní, tj. vnitrostátní, a vnější. Podle objektu členíme bezpečnost na světovou, regionální, národní, ale i na bezpečnost kolektivní (např. kolektiv členských zemí NATO). Národní bezpečnost je definována ve vztahu k politickému národu, tedy de facto ke státu. Jde o pojem relativní, neboť je třeba jej chápat ve vztahu k hodnotám, jejichž
133
Srov. Česká bezpečnostní terminologie. Výklad základních pojmů. Vojenská akademie v Brně: Ústav strategických studií [online]. Vojenská akademie v Brně, 2002 [cit. 4. 11.2013]. Dostupné z: http://www.defenceandstrategy.eu/filemanager/files/file.php?file=16048 134 Srov. čl. 15 Úmluvy o ochraně lidských práv a základních svobod. Viz sdělení federálního ministerstva zahraničních věcí č. 209/1992 Sb., Úmluva o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 3. 2014].
53
ochranu stát zahrnuje mezi své bezpečnostní zájmy. Typickými bezpečnostními zájmy státu jsou ochrana jeho svrchovanosti, územní celistvosti apod. Ve vztahu k bezpečnostním zájmům lze bezpečnost státu popsat jako stav, kdy tyto zájmy nejsou vážně ohroženy nebo je jejich ohrožení adekvátními bezpečnostními prostředky vyvažováno. Žádný stát se neobejde bez mezinárodní spolupráce a proto je třeba obsah národní bezpečnosti odvozovat také od národní bezpečnosti spojenců daného státu135, případně mezinárodní organizace nebo nadstátního celku, kterého se daný stát účastní.
3.2 Charakter soudobých hrozeb Jakýkoliv jev, který má potenciál poškodit chráněné hodnoty, chráněný zájem, je (bezpečnostní) hrozbou. Riziko vyjadřuje možnost, že v důsledku určité hrozby mohou vzniknout škodlivé následky. Pravděpodobnost, s jakou škodlivé následky v důsledku hrozby nastanou, je míra rizika136. Hrozby se v konkrétních případech realizují nastoupením škodlivého následku, který může mít podobu porušení bezpečnostních zájmů anebo úmyslného útoku na některý z bezpečnostních zájmů. Útok vyvolává obrannou reakci napadeného objektu a dochází k boji, střetu či konfliktu (tyto pojmy budeme dále užívat jako synonyma, byť pojem boj nás může zavádět ke konkrétnějšímu pojetí jakožto střetu s konvenčními bojovými prostředky). Reakcí na hrozbu však může být i preventivní nebo preemptivní útok (souhrnně anticipatorní útok), jakožto forma obrany. Preemptivní útok je reakce na bezprostřední hrozbu, kdy už jiné prostředky neposkytují možnost jejího odvrácení. Preemptivní útok reaguje na již započatou bojovou činnost protivníka anebo na její bezprostředně hrozící zahájení. Objekt útoku tak již nevolí mezi vznikem konfliktu anebo ponecháním stavu bez konfliktu, ale mezi tím, zda udeří první on nebo útočník. Preventivní útok slouží k odvrácení potenciální hrozby, která není bezprostřední a je pouze více či méně pravděpodobná.137 Zejména hrozby teroristického útoku a útoku s použitím zbraní hromadného ničení jsou charakteristické svým utajením, možností skry-
135
Srov. Česká bezpečnostní terminologie. Výklad základních pojmů. Vojenská akademie v Brně: Ústav strategických studií [online]. Vojenská akademie v Brně, 2002 [cit. 4. 11.2013]. Dostupné z: http://www.defenceandstrategy.eu/filemanager/files/file.php?file=16048 136 Srov. Terminologický slovník pojmů z oblasti krizového řízení a plánování obrany státu. Ministerstvo vnitra ČR: Odbor bezpečnostní politiky [online]. Praha: Ministerstvo vnitra ČR, 2009 [cit. 16. 10. 2013]. Dostupné z: http://www.mvcr.cz/soubor/terminologicky-slovnik-offline-verze.aspx 137 Srov. GRAY, Colin S. The Implications of Preemptive and Preventive War Doctrines: A Reconsideration [online]. United States Army War College: Strategic Studies Institute, 2007 [cit. 17. 10. 2013]. ISBN 158487-298-5. Dostupné z: http://www.strategicstudiesinstitute.army.mil/pdffiles/pub789.pdf
54
tého plánování a rychlostí provedení138. Takové hrozby lze pak považovat za bezprostřední i přesto, že není jisté, zda, kdy a kde bude útok proveden139. V těchto specifických případech nelze proto spravedlivost vedení anticipatorní války posuzovat stejně jako u hrozeb vedení války konvenčními prostředky. Z hlediska tématu práce je relevantní pojem asymetrického střetu, který je definován jako boj teoreticky slabší strany se silnější stranou. Asymetrický konflikt je střet silného, který očekává úspěšný rychlý úder s technologickou převahou proti slabému a technologicky zaostalému protivníkovi140. Taktika a jednání slabšího (spíše rozvratná) však je v asymetrickém střetu odlišná od strategie silného (spíše silová). Nejde pouze o rozdíly v taktice, ale také v povaze protivníků, oblastech a formách boje a cílech jednání. V asymetrickém konfliktu proti sobě často stojí stát a nestátní subjekt, nezřídka neformální povahy. Cílem jednání, zejména u v konvenčním smyslu slabší strany, nemusí být zničení bojových prostředků protivníka, ale podlomení jeho síly, obejití, vyhnutí se jeho silným stránkám a využití jeho slabých míst a zranitelností141. Jak se totiž v řadě soudobých konfliktů projevuje, nemusí síla jedné ze stran konfliktu znamenat vysokou pravděpodobnost jejího vítězství. Pojmu asymetrický boj odpovídá pojem asymetrická hrozba, kterou jsou např. teroristické útoky, ale i vedení informační války relativně malými a neformálními skupinami hackerů. Asymetrické formy boje nemají pouze vojenský charakter, ale může jít o cílené narušování národního hospodářství nebo finančního systému, vyvolávání závažných škod na životním prostředí, napadání energetické infrastruktury, psychologické formy boje, kybernetické útoky na základní státní infrastrukturu apod. Na počátku 90. let 20. století se začalo diskutovat o konceptu války čtvrté generace
142
. Tento koncept, který má v příslušné vědecké obci své podporovatele i oponenty143,
138
Srov. DUŘPEKTOVÁ, Eva. Americká zahraniční politika administrativy George W. Bushe a koncept spravedlivé války [online]. Brno, 2011 [cit. 17. 10. 2013]. Rigorózní práce. Masarykova univerzita, Fakulta sociálních studií. Dostupné z: http://is.muni.cz/th/134680/fss_m/durpektova-diplomova-prace.pdf 139 Srov. DUŘPEKTOVÁ, op. cit. 140 Srov. BUZA, Jozef. Zkušenosti z asymetrických konfliktů. DOKTRÍNY [online]. Vyškov: Velitelství výcviku – Vojenská akademie, roč. 2009, č. 2 [cit. 7. 9. 2013]. Dostupné z: http://doctrine.vavyskov.cz/_casopis/2_09_C2.html 141 Srov. KRÁSNÝ, Antonín. Pohledy na asymetrii v operacích. Obrana a strategie [online]. Roč. 2003, č. 2 [cit. 7. 9. 2013]. ISSN 1802-7199. Dostupné z: http://www.defenceandstrategy.eu/redakce/tisk.php?lanG=cs&clanek=20150&slozka=17481&xsekce=2013 4& 142 Srov. HAMMES, Thomas X. Válka čtvrté generace se rozvíjí, válka páté generace vzniká. Vojenské rozhledy [online]. 2008, roč. 17, č. 1 [cit. 7. 9. 2013]. ISSN 1210-3292. Dostupné z: http://www.mocr.army.cz/scripts/file.php?id=84019&down=yes 143 Srov. KUBEŠA, Milan, SPIŠÁK, Jan. Hybridní hrozby a vývoj nové operační koncepce NATO. Obrana a strategie [online]. Roč. 2011, č. 2 [cit. 11. 9. 2013]. ISSN 1802-7199. Dostupné z:
55
zapadá do rámce čtyř konceptů moderního válčení144. Systém generací moderního válčení není jediným konceptem usilujícím o zachycení charakteru současného válčení. Širší pojem je koncept Revolution in Military Affairs (dále jen RMA)145, který je však spíše pojmenováním obecného jevu, kdy čas od času dochází k relativně zásadním proměnám v přípravě a vedení boje v důsledku rozvoje vojenských technologií, zejména elektronických a informačních systémů146. Dalším významným konceptem je Network Centric Warfare (dále jen NCW)147, který je v současné době praxí v armádě USA. Základem konceptu NCW je schopnost geograficky rozptýlených bojových entit synergicky kooperovat, vzájemně se varovat a sdílet informace o bojové situaci148. Předpokladem funkčnosti tohoto konceptu je využívání vyspělých ICT149. Nyní více rozvedeme koncept generací moderního válčení. První generace moderního válčení začala již v roce 1648 uzavřením Vestfálského míru, kterým byla ukončena třicetiletá válka. Trvala až do americké občanské války. První generace byla charakterizována tím, že strany boje byly výhradně státy a bojiště mělo oboustranně dodržovaný řád. Oboustranně se proti sobě postupovalo v přísně předepsaných formacích, byla to taktika řadu a zástupu („line-and-column tactics“150). Nicméně od poloviny 19. století začal řád bojiště postupně oslabovat a na to bylo třeba reagovat. Bylo třeba se vyrovnávat s novými technologiemi v podobě zlepšujících se palných zbraní, jako byl např. kulomet. Nadcházející období druhé generace moderních válek se orientovalo na masivní palebnou sílu s cílem maximálně oslabit protivníka. Výsledkem byla vyhlazovací válka. Palebné a další bojové prostředky byly centrálně řízeny jako orchestr s důrazem na maximální disciplínu. Moderní válčení třetí generace se zrodilo v I. světové válce. Bylo vyvinuto tehhttp://www.defenceandstrategy.eu/cs/aktualni-cislo-2-2011/clanky/hybridni-hrozby-a-vyvoj-nove-operacnikoncepce-nato.html 144 Srov. LIND, William S. Understanding Fourth Generation War. Military Review [online]. United States Army Combined Arms Center Fort Leavenworth, Kansas, 2004, č. September-October [cit. 14. 10. 2014]. ISSN 0026-4148. Dostupné z: http://cgsc.contentdm.oclc.org/utils/getfile/collection/p124201coll1/id/178/filename/179.pdf 145 Srov. HARRINGTON, Jeremy. Has a Non-State Armed Group Conducted a Revolution in Military Affairs? A Case Study of al Qaeda [online]. Medford, USA, 2005 [cit. 7. 9. 2013]. Master of Arts in Law and Diplomacy Thesis. Tufts university, The Fletcher School. Dostupné z: http://fletcher.tufts.edu/Maritime/~/media/Fletcher/Microsites/Maritime/pdfs/harrington.ashx 146 Srov. BASTL, Martin. Kybernetický terorismus: studie nekonvenčních forem boje v kontextu soudobého válečnictví [online]. Brno, 2007 [cit. 10. 9. 2013]. Disertační práce. Masarykova univerzita, Fakulta sociálních studií. Dostupné z: http://is.muni.cz/th/7170/fss_d/kyber_t.pdf 147 Srov. BASTL, op. cit. 148 Srov. ALBERTS, David S., GARSTKA, John J., STEIN, Frederick P. Network Centric Warfare [online]. 2. vyd. Washington: Office of the Secretary of Defense, 2000 [cit. 11. 9. 2013]. ISBN 1-57906-019-6. S. 91. Dostupné z: http://www.dodccrp.org/files/Alberts_NCW.pdf 149 Srov. ALBERTS, GARSTKA, STEIN, op. cit., s. 90. 150 Srov. LIND, op. cit.
56
dejší německou armádou a je široce známo pod pojmem Blitzkrieg. Není založeno primárně na palebné síle a vyhlazování živé síly protivníka, ale na mechanizovaných prostředcích151 a rychlosti útoku, momentu překvapení a útočení zezadu152. Postupně se proměňovala i vojenská kultura. Bylo nutné se orientovat na vnější svět, zohledňovat charakteristiky protivníka, sledovat cíl a ne jako dosud vnitřní řád a disciplínu 153. Čtvrtá, prozatím poslední, generace moderního válčení je nejradikálnější změnou od doby Vestfálského míru. Podle tohoto konceptu stát poprvé fakticky přichází o monopol na válku. Proti konvenčním armádám již nestojí konvenční armády druhých států, ale velmi často decentralizované nestátní subjekty154. Agresoři útočí na myšlení rozhodovacích činitelů, tj. čelných představitelů státu. Klíčovým prvkem války čtvrté generace je informace155. Cílem agresora je podlomení důvěry v politické vedení státu, případně podlomení legitimity samotného státu156. Rozvratná propaganda, informační válka, je vedena na všech myslitelných polích - politickém, hospodářském, sociálním i vojenském. Boj může být veden řadou nepočetných skupin bez jednotné organizace, propojených pouze společnou ideologií nebo nenávistí. To, co vidíme na vývoji konceptů válčení, je narůstající chaotizace hrozeb, což nutně znamená potřebu vysoké informační vybavenosti na straně ohrožovaného objektu, tj. státu. Se změnami způsobu válčení se rozostřují hranice mezi válkou a mírem, mezi bojovníky a civilisty157 a mezi účastníky války a řádícími zločineckými skupinami158. Dnešní povstalci, coby skuteční nebo potenciální agresoři ve válce čtvrté generace, stále více využívají informačních sítí k propagandě a rekrutaci nových bojovníků. Namísto masové propagandy dokáží využívat sofistikované komunikační nástroje a aplikace k cíleným náborům159. Tento poznatek předznamenává další rozměr kybernetické bezpečnosti. Informace a komunikace se tak stávají stále relevantnějším faktorem v zajišťování bezpečnosti. Vedle toho se objevují nové fenomény s potenciálem ovlivnit způsoby válčení, které pravděpodobně vyvolají potřebu formulovat koncept další, již páté, generace válčení160. Pravděpodobně to budou biotechnologie (biologické zbraně), robotika, nanotechnologie 151
Srov. HAMMES, op. cit. Srov. LIND, op. cit. 153 Tamtéž. 154 Tamtéž. 155 Srov. HAMMES, op. cit. 156 Srov. KUBEŠA, SPIŠÁK, op. cit. 157 Tamtéž. 158 Srov. HAMMES, op. cit. 159 Tamtéž. 160 Tamtéž. 152
57
apod. Mění se způsob utváření komunit či identit, kdy lidé mění svou oddanost od států k věcem, kauzám či myšlenkám, což je proces urychlovaný masovým používáním internetu161. To komplikuje predikovatelnost hrozeb a jejich včasné zachycení. Všechny koncepty usilující o zachycení dynamických proměn v charakteru bezpečnostních hrozeb a konfliktů mají společného jmenovatele v zásadní roli ICT. Lze shrnout, že hrozby, kterým čelíme ve válkách čtvrté generace, jsou asymetrické, komplexní, obtížně uchopitelné, přesahující do různých sfér společenského života a nemusí být ani zřejmé, kdo je jejich původcem a jakou má motivaci. Používá se pro ně označení hybridní hrozby162. Jak je naznačeno výše, jsou hrozba kybernetických útoků a masová či cílená propaganda v kybernetickém prostoru nepominutelnou součástí hybridních hrozeb. Proto je kybernetická bezpečnost státu, jakožto cíle vedení válek čtvrté generace a především hlavního garanta základních hodnot, nanejvýš důležitým tématem.
3.3 Národní bezpečnost České republiky Základním dokumentem vymezujícím pojem národní bezpečnost České republiky je Bezpečnostní strategie ČR z roku 2011163, která navazuje na ústavní pořádek ČR. Z ústavního pořádku jsou to zejména Ústava ČR164, Listina základních práv a svobod (dále jen LZPS)165 a ústavní zákon o bezpečnosti ČR (dále jen BezpČR)166. Úprava národní bezpečnosti navazuje na mezinárodní závazky ČR a na legislativu EU. Bezpečnostní strategie ČR je vládním usnesením167, které není obecně závazným předpisem, a jako takové je závazné pro Vládu ČR, členy Vlády ČR a subjekty podřízené Vládě ČR. Bezpečnostní strategie ČR stanoví bezpečnostní zájmy ČR, na základě analýzy
161
Tamtéž. Srov. KUBEŠA, SPIŠÁK, op. cit. 163 Srov. Bezpečnostní strategie České republiky. Ministerstvo zahraničí ČR: Bezpečnostní politika [online]. Ministerstvo zahraničí ČR, publikováno 9. 9. 2011 [cit. 5. 10. 2013]. Dostupné z: http://www.mzv.cz/file/699914/Bezpecnostni_strategie_CR_2011.pdf 164 Srov. ústavní zákon č. 1/1993 Sb., Ústava České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 165 Srov. ústavní zákon č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky, ve znění ústavního zákona č. 162/1998 Sb. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 166 Srov. ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. 300/2000 Sb. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 167 Srov. usnesení vlády č. 665 ze dne 8. 9. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 5. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2&p_p_state=normal&p_ p_mode=view&p_p_resource_id=downloadAttachment&p_p_cacheability=cacheLevelPage&p_p_col_id=c olumn-2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BUF3Y4 162
58
bezpečnostního prostředí formuluje charakteristiky bezpečnostní situace a identifikuje specifické hrozby, dále stanoví postupy a přístupy k zajišťování národní bezpečnosti a konečně popisuje institucionální zajištění národní bezpečnosti – bezpečnostní systém. Popsanou strukturu Bezpečnostní strategie ČR ilustruje schéma na obr. 3.
Bezpečnostní strategie ČR Východiska
Bezpečnostní zájmy
Bezpečnostní prostředí
Bezpečnostní systém
Strategie prosazování bezpečnostních zájmů
Obr. 3 Struktura Bezpečnostní strategie ČR. Bezpečnostní zájmy ČR jsou v Bezpečnostní strategii ČR rozčleněny do tří kategorií:
životní zájmy – tyto bezpečnostní zájmy lze označit za základní,
strategické zájmy – tyto zájmy jsou vůči životním bezpečnostním zájmům ČR v podpůrném postavení,
další významné zájmy. Jako životní zájmy identifikuje Bezpečnostní strategie ČR zájem na:
zajištění svrchované existence ČR,
zajištění územní celistvosti ČR,
zajištění politické nezávislosti ČR,
zachování všech náležitostí demokratického právního státu,
zachování ochrany lidských práv a základních svobod obyvatel ČR. Ze strategických a dalších významných zájmů vyberme:
zajištění vnitřní bezpečnosti a ochrany obyvatelstva,
zajištění energetické, surovinové a potravinové bezpečnosti ČR,
ochrana životního prostředí.
59
Vedle Bezpečnostní strategie ČR je, pokud jde o přímé formulování (bezpečnostních) zájmů státu, potřeba nahlédnout do čl. 1 BezpČR, který stanoví, že základními povinnostmi státu je:
zajištění svrchovanosti ČR,
zajištění územní celistvosti ČR,
ochrana demokratických základů ČR,
ochrana životů, zdraví a majetkových hodnot. Je patrné, že BezpČR tvoří společně s tzv. materiálním jádrem Ústavy ČR a LZPS
legislativní základ formulace bezpečnostních zájmů v Bezpečnostní strategii ČR.
Bezpečnost ČR v dokumentech strategické povahy Bezpečnostní strategie ČR Strategie pro oblast kybernetické bezpečnosti ČR
Strategie ČR pro boj proti terorismu
Obranná strategie ČR
Strategická koncepce NATO Politika NATO pro kybernetickou obranu
Směrnice NATO pro boj s terorismem
Evropská bezpečnostní strategie Strategie vnitřní bezpečnosti EU
Strategie EU pro kybernetickou bezpečnost
Protiteroristická strategie EU
Obr. 4 Přehled dokumentů strategické povahy relevantních z hlediska bezpečnosti ČR se zaměřením na kybernetickou bezpečnost. Bezpečnostní strategie ČR identifikuje na základě analýzy bezpečnostního prostředí bezpečnostní hrozby pro ČR. Mezi devíti okruhy hrozeb figuruje i hrozba kybernetických útoků. Z popisu bezpečnostního prostředí vyplývá potvrzení relevantnosti konceptu hybridních hrozeb. Bezpečnostní strategie ČR konstatuje pokles významu států jakožto držitelů monopolu na použití síly. Konstatuje rovněž, že posilování role nestátních aktérů umožňuje také integrace ICT a zvyšující se význam ochrany kritické infrastruktury. Zařazení hrozby kybernetických útoků mezi identifikované hrozby je odůvodněno zvyšující se
60
zranitelností státu a jeho občanů vůči kybernetickým útokům v důsledku jejich rostoucí závislosti na ICT. Subjekty bezpečnostního systému jsou prezident ČR, Bezpečnostní rada státu a její pracovní orgány, ústřední správní úřady, krajské a obecní úřady, ozbrojené síly, ozbrojené bezpečnostní sbory, zpravodajské služby, záchranné sbory, záchranné služby a havarijní služby. S výjimkou prezidenta ČR, částečně Bezpečnostní rady státu, která je zřízena čl. 9 BezpČR, a s výjimkou krajských a obecních úřadů při výkonu samostatné působnosti jde o subjekty podřízené Vládě ČR a tedy o subjekty, pro které je Bezpečnostní strategie ČR závazná. Pokud jde o strategii prosazování bezpečnostních zájmů, Bezpečnostní strategie ČR jednak uvádí jako jedno z východisek princip nedělitelnosti bezpečnosti168 a jednak nutnost širokého přístupu k bezpečnosti kombinujícího nevojenské a vojenské nástroje. Bezpečnostní strategie ČR se hlásí k členství v NATO jakožto ke klíčové záruce národní bezpečnosti a současně konstatuje aktivitu při zapojování ČR do Společné zahraniční a bezpečnostní politiky a Společné bezpečnostní a obranné politiky EU a při budování systému kooperativní bezpečnosti EU. Hlavním nástrojem obranné politiky jsou podle strategie ozbrojené síly s rozhodující rolí Armády ČR, resp. Vojenského zpravodajství. Armáda a vojenská zpravodajská služba jsou ultimátní institucionalizované záruky životních zájmů státu a konstatování jejich výsadní pozice v bezpečnostním systému je proto na místě. Obranná strategie ČR je rezortní strategický dokument pro Armádu ČR, který vychází jak z Bezpečnostní strategie ČR, tak i z dále uvedené Strategické koncepce NATO169 a Evropské bezpečnostní strategie170. Obranná strategie ČR, kromě toho, že vyzdvihuje účast ČR na kolektivní obraně dané naším členstvím v NATO a EU, potvrzuje, že budoucí hrozby budou převážně nevojenské a asymetrické, přičemž bude docházet k prolínání vnitřní a vnější bezpečnosti.
168
Nedělitelnost bezpečnosti neznamená v tomto případě nedistributivnost práva na bezpečnost, ale konstatování, že bezpečnost ČR nelze oddělovat od bezpečnosti přinejmenším v euroatlantické oblasti. 169 Srov. Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation. North Atlantic Treaty Organization: NATO A-Z [online]. North Atlantic Treaty Organization [cit. 20. 10. 2013]. Dostupné z: http://www.nato.int/nato_static/assets/pdf/pdf_publications/20120214_strategic-concept-2010-eng.pdf 170 Srov. Evropská bezpečnostní strategie. Rada Evropské unie: Dokumenty [online]. Rada Evropské unie [cit. 20. 10. 2013]. Dostupné z: https://www.consilium.europa.eu/uedocs/cms_data/librairie/PDF/QC7809568CSC.pdf
61
Klíčovou zárukou bezpečnosti ČR je členství v NATO. Základním dokumentem NATO je Washingtonská smlouva171, která jako hlavní princip spolupráce členských zemí stanovuje kolektivní obranu, spolupráci a výpomoc. Nejpodstatnější ustanovení je čl. 5, který říká, že ozbrojený útok proti jedné nebo více z členských zemí NATO v Evropě nebo Severní Americe bude považován za útok proti všem. Základní strategický dokument NATO je její Strategická koncepce. Za nejdůležitější úkol aliance označuje tento dokument obranu území členských zemí a jejich obyvatelstvo před útoky podle čl. 5 Washingtonské smlouvy. Za základní strategický přístup označuje koncepce odstrašování vhodně zvoleným mixem nukleárních a konvenčních kapacit. Ačkoliv koncepce výslovně nehovoří o popsaných posunech bezpečnostního paradigmatu, lze z více míst dovodit konstatování vlivu moderních technologií na povahu a závažnost soudobých hrozeb. Mezi své činnosti potřebné pro odstrašení a obranu NATO zahrnuje i zajištění kybernetické bezpečnosti. Základním bezpečnostně-strategickým dokumentem EU je Evropská bezpečnostní strategie, která mezi hlavními hrozbami uvádí terorismus, šíření zbraní hromadného ničení včetně biologických zbraní a raketových technologií, oslabování států, organizovanou trestnou činnost a privatizaci síly. Z koncentrace těchto hrozeb Evropská bezpečnostní strategie vyvozuje riziko „velmi radikální hrozby“. Současně strategie konstatuje při popisu bezpečnostního prostředí existenci znaků hybridních hrozeb a uvádí, že první obranná linie se často bude nacházet mimo území členských zemí EU. Na Evropskou bezpečnostní strategii navazuje Strategie vnitřní bezpečnosti EU, která však je spíše všeobjímajícím politickým dokumentem než dokumentem strukturovaně postupujícím od analýzy bezpečnostního prostředí, přes identifikaci hrozeb až po přístupy k jejich odvracení. Jak v případě ČR, tak i NATO a EU zmiňme v této kapitole ještě protiteroristické strategické dokumenty. Kybernetické bezpečnosti se nejvíce věnuje Strategie ČR pro boj proti terorismu, která konstatuje zranitelnost systémů kritické infrastruktury a usnadňující vliv ICT na přípravu a páchání teroristických činů. Současně tento strategický dokument připouští provedení teroristického útoku uvnitř kybernetického prostoru. Směrnice NATO pro boj s terorismem, stejně jako Protiteroristická strategie EU, konstatuje již vícekrát zmíněná rizika plynoucí z široké dostupnosti ICT. Protiteroristická strategie EU dále
171
Srov. Washingtonská smlouva. Natoaktual.cz [online]. Praha, Informační centrum o NATO [cit. 20. 10. 2013]. Dostupné z: http://www.natoaktual.cz/na_zpravy.aspx?y=na_summit/washingtonskasmlouva.htm
62
identifikuje potřebu snižovat zranitelnost systémů kritické infrastruktury vůči fyzickým i kybernetickým útokům. Jak je patrné, všechny dokumenty strategické povahy, které jsou relevantní z hlediska národní bezpečnosti ČR, se výslovně či nepřímo shodují v tom, že současné a budoucí hrozící konflikty budou naplňovat charakteristiky hybridních hrozeb. Shodují se na vlivu široce dostupných ICT na závažnost hrozeb a tím i na nutnosti zajišťování kybernetické bezpečnosti.
3.4 Kybernetická bezpečnost S postupující informatizací společnosti se stala vysoce aktuální bezpečnost informací, kterou Výkladový slovník kybernetické bezpečnosti172 definuje jako zajištění ochrany (důvěrnosti), integrity a dostupnosti informací (obdobnou definici obsahuje § 2 písm. c) NZKB). Jako příklad jiné definice informační bezpečnosti uveďme: Ochrana informací a informačních systémů před neoprávněným přístupem, použitím, vyzrazením, narušením, změnou nebo zničením, a to s cílem zajištění důvěrnosti, celistvosti a dostupnosti.173
V podstatě všechny definice informační bezpečnosti jsou variací na koncept známý pod zkratkou CIA, která však v tomto případě neoznačuje známou zpravodajskou agenturu USA, ale anglická slova Confidentiality, Integrity a Availability174, tedy hodnoty důvěrnosti (ochrana informací před neoprávněným přístupem, tj. stanovení, kdo a za jakých podmínek má k dané informaci přístup), celistvosti či integrity (ochrana informace před neoprávněnou změnou nebo smazáním, někdy též zajištění možnosti vrácení změny, která sice byla provedena oprávněnou osobou, ale ukázala se jako nesprávná) a dostupnosti (zajištění trvalé, spolehlivé a bezpečné dostupnosti informace oprávněným osobám). Obdobně je pojata bezpečnost informací v široce uznávaném standardu pro management informačních systémů ITIL175. Používání pojmů informační bezpečnost a kybernetická bezpečnost znamená často zmatení a terminologický problém. Informační bezpečnost se vztahuje k zajištění kon-
172
Srov. JIRÁSEK, NOVÁK, POŽÁR, op. cit. Srov. Australian Government Information Security Manual. Australian Government: Department of Defence [online]. Kingston, Commonwealth of Australia, 2012 [cit. 10. 11. 2013]. Dostupné z: http://www.asd.gov.au/publications/Information_Security_Manual_2012_Principles.pdf?&updatedNov12 174 Srov. SUMMERS, Alex, TICKNER, Chris. Introduction to Security Analysis [online]. London: Imperial College [cit. 10. 11. 2013]. Dostupné z: http://www.doc.ic.ac.uk/~ajs300/security/CIA.htm 175 Srov. KRÁL, David. Informační bezpečnost podniku [online]. Brno, 2010 [cit. 10. 11. 2013]. Dizertační práce. Vysoké učení technické v Brně, Fakulta podnikatelská. Dostupné z: https://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=24617 173
63
krétních informací uložených v konkrétním kybernetickém systému. Naproti tomu kybernetická bezpečnost, v tom smyslu, jak ji chápeme v této práci, musí vedle toho postihovat všechny skutkové stavy, které zakládají protiprávnost anebo hrozí jejím založením a to pro všechny kybernetické systémy propojené v kyberprostoru. Jiné řešení této terminologické nejasnosti může být rozdělení podle subjektu bezpečnosti, kdy subjektem informační bezpečnosti je provozovatel konkrétního kybernetického systému (případně jejich skupiny), avšak subjektem kybernetické bezpečnosti je stát. Podle některých autorů je pojem informační bezpečnosti naopak širší, než je pojem kybernetické bezpečnosti s odůvodněním, že informační bezpečnost se nezabývá pouze bezpečnostní v kybernetických systémech, ale i mimo ně (např. zabezpečení tištěných informací apod.)176. Pokud se omezíme na kyberprostor a v něm uchovávané a zpracovávané informace, pak zatímco účelem informační
bezpečnosti
je
ochrana
určitým
způsobem
vymezených
informací
v technologickém slova smyslu177, je účelem kybernetické bezpečnosti ochrana kyberprostoru v celé jeho komplexitě178. Kybernetická bezpečnost směřuje k obecné ochraně kyberprostoru, ne pouze k ochraně (tj. důvěrnosti, celistvosti a dostupnosti) dat uložených v kybernetických systémech. Výkladový slovník kybernetické bezpečnosti definuje kybernetickou bezpečnost takto179: Souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru.
Přijmeme-li tedy omezení na doménu kyberprostoru, pak můžeme uvedené druhy bezpečnosti hierarchizovat tak, že kybernetická bezpečnost je extenzí informační bezpečnosti a speciálním případem obecné bezpečnosti (viz obr. 5). Obecnou bezpečnost rozdělujeme vnitřní a vnější, resp. vnitrostátní a zahraniční. Zatímco cílem vnitřní bezpečnosti je zajištění mírového a svobodného soužití obyvatel státu, jejich ochrana od destabilizujících hrozeb pocházejících zevnitř státu, je cílem vnější bezpečnosti ochrana státu před hrozbami, jejichž zdroj se nachází mimo státní území. Protože v kyberprostoru nelze jednoznačně narýsovat státní hranice, je ve stejné míře
176
Srov. HARAŠTA, Jakub. Právní aspekty kybernetické bezpečnosti ČR [online]. Brno, 2013 [cit. 10. 11. 2013]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/323070/pravf_m/323070_DP_tvoxgarp.pdf 177 Přičemž podmínkou sine qua non této bezpečnosti je samozřejmě i bezpečnost souvisejících kybernetických systémů. 178 U skutkových podstat některých kybernetických deliktů nemusí dojít k nedůvěryhodnosti, ani necelistvosti, ani nedostupnosti dat a přesto mohou být naplněny. 179 Srov. JIRÁSEK, NOVÁK, POŽÁR, op. cit.
64
problematické rozlišovat vnitřní a vnější kybernetickou bezpečnost. Budeme proto hovořit jednoduše o kybernetické bezpečnosti. Obecná bezpečnost Kybernetická bezpečnost
Informační bezpečnost
Obr. 5 Vzájemný vztah relevantních druhů bezpečnosti. Kybernetické systémy jsou integrovány téměř do všech bojových prostředků ozbrojených sil, do řady infrastrukturních systémů a je na nich založeno fungování většiny agend veřejné správy. Na rozdíl od útoku konvenčními bojovými prostředky je kybernetický útok možno vést vzdáleně prostřednictvím informační sítě, za relativně nízkých nákladů, potenciálně anonymně, bez rizika ztráty živé síly a bez majetkových dopadů na straně útočníka. Navíc útok konvenčními bojovými prostředky by znamenal regulérní válku, ať už standardní (invaze) nebo guerillové povahy. Přestože škody způsobené kybernetickými útoky zpravidla (alespoň prozatím) nejsou závažné a většinou spočívají pouze v dočasné nedostupnosti některých spíše méně podstatných služeb, platí pro ně pět shora uvedených výhod. Jsou tedy dostupné pro velké množství státních, formálních i neformálních subjektů. Proto jsou i přes obecně relativně malou škodlivost atraktivním prostředkem a lze očekávat, že jako takové budou stále častěji využívány. Na druhé straně patrně dosud vůbec neznáme dopady masivních kybernetických útoků vedených státy v případné mezistátní válce180. Lze očekávat, že i při tradičních střetech stát versus stát budou kybernetické útoky předcházet anebo doprovázet střety konvenčními prostředky181. Protože může být obtížné odlišit od sebe mírový stav, který provázejí ojedinělé incidenty,
180 181
Srov. CLARKE, KNAKE, op. cit., s. 64. Srov. CLARKE, KNAKE, op. cit.
65
a akty války182, může snadno dojít k podcenění situace. Proto se mění pohled na legitimitu anticipatorního útoku, neboť děje v kyberprostoru probíhají velmi rychle. Útočník může současně s útokem odstranit naše „logické bomby“183 předtím implementované do jeho kybersystémů, může jinak zabezpečit své zranitelnosti anebo své zranitelné potenciální cíle jednoduše na čas odpojit od sítě184. Kyberprostor se jako pátý přidává ke čtyřem válečným doménám: země, voda, vzduch a vesmír. Typologie kybernetických
Zamýšlený důsledek kybernetického útoku ve spole-
útoků z hlediska motivace a
čenské rovině:
zamýšlených důsledků Motivy kybernetického úto-
Přímé zlepšení
Majetkový pro-
Rozvrat vůle
ku:
vlastní pozice
spěch
protivníka
Podpora bojové činnosti
Ano
Ano
Kriminální motivy
Ano
Destabilizace společnosti (te-
Ano
rorismus, šíření desinformací) Politická propaganda
Ano
Zpravodajská činnost (neo-
Ano
právněné získávání obsahu) Tab. 3. Dvě hlediska pro třídění kybernetických útoků ve vzájemné souvislosti. Kybernetickým útokem budeme rozumět soubor kybernetických bezpečnostních incidentů (viz kap. 2.3) vedených jednotným záměrem a vedených jedním subjektem, více subjekty koordinovaně anebo více subjekty podřízenými jednomu řídicímu centru. Kybernetické útoky je možné třídit podle více kritérií, z nichž některá jsme již zmínili:
podle motivů, tj. podle subjektivní stránky kybernetických bezpečnostních událostí (viz kap. 2.3);
z hlediska zamýšlených důsledků ve společenské rovině – zde budeme rozlišovat, co je (faktickým) cílem kybernetického útoku;
182
Právě rozmazané hranice dělící mír a válku, politické jednání a bezpečnostní hrozby, realizaci práva na azyl a imigraci zakládající svou intenzitou bezpečnostní rizika apod. jsou typické problémy bezpečnostního vyhodnocování soudobé situace. 183 Logická bomba je program, posloupnost instrukcí, který je implementován do kybersystému a bude spuštěn nějakou kybernetickou událostí. Je to tedy v podstatě počítačový virus s tím, že není spuštěn okamžitě po zavedení do kybersystému. 184 Srov. CLARKE, KNAKE, op. cit., s. 45.
66
podle technické podstaty kybernetických bezpečnostních incidentů;
podle příčiny a závažnosti dělí kybernetické bezpečnostní incidenty §§ 30 a 31 VyhlNZKB185;
z hlediska původce útoku186: o teroristická skupina, o národní stát, o hackerská skupina, o hledači napětí („thrill seekers“). Členění kybernetických útoků podle motivace zmiňuje také estonská strategie ky-
bernetické bezpečnosti, která uvádí tři kategorie motivů kybernetických útoků: kybernetická kriminalita, kybernetický terorismus a kybernetické válčení187. Jako další možná kritéria třídění kybernetických útoků uvádí tento pramen hledisko použitých metod útoku a hledisko povahy způsobené škody. Dokumentem strategické povahy, jehož předmětem je kybernetická bezpečnost, je Strategie pro oblast kybernetické bezpečnosti České republiky na období 2012-2015188 (dále jen Strategie pro oblast kybernetické bezpečnosti ČR). Připomeňme, že Bezpečnostní strategie ČR (viz kap. 3.3) nejprve vymezuje východiska jakožto objektivní důvody zajišťování bezpečnosti, bezpečnostní zájmy státu jakožto subjektivní důvody zajišťování bezpečnosti, dále popisuje bezpečnostní prostředí, aby nakonec uvedla strategické kroky, které mají vést k prosazování bezpečnostních zájmů v bezpečnostní prostředí. Strategie pro oblast kybernetické bezpečnosti ČR, která by měla být vůči Bezpečnostní strategii ČR speciálním dokumentem, je skromnější. Pokud jde o objektivní důvody pro zajišťování bezpečnosti, tedy východiska, konstatuje pouze, že vliv ICT na společnost a hospodářství roste a že růst tohoto vlivu znamená také růst zranitelnosti společnosti kyberne-
185
Srov. návrh vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Národní centrum kybernetické bezpečnosti: Informační servis [online]. Národní bezpečnostní úřad, publikováno 21. 2. 2014 [cit. 2. 3. 2014]. Dostupné z: http://www.govcert.cz/cs/informacniservis/akce-a-udalosti/nbu-vypracoval-navrh-vyhlasky-o-kyberneticke-bezpecnosti/ 186 Srov. BASTL, op. cit. 187 Srov. Cyber Security Strategy. European Union Agency for Network and Information Security: National Cyber Security Strategies in the World [online]. Estonia, Ministry of Defence, 2008 [cit. 20. 12. 2013]. Dostupné z: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategiesncsss/Estonia_Cyber_security_Strategy.pdf 188 Srov. Strategie pro oblast kybernetické bezpečnosti České republiky na období 2012-2015. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Brno, 2012 [cit. 20. 12. 2013]. Dostupné z: http://www.govcert.cz/download/nodeid-727/
67
tickými útoky. Subjektivní důvody, proč stát vlastně chce zajišťovat kybernetickou bezpečnost a proč tedy potřebuje odpovídající strategický dokument, Strategie pro oblast kybernetické bezpečnosti ČR vynechává. Proto se dále pokusíme o formulaci těchto subjektivních důvodů v podobě návrhu kybernetických bezpečnostních zájmů. Strategie pro oblast kybernetické bezpečnosti ČR stanovuje své základní principy a následně formuluje strategické cíle a opatření. Struktura principů kybernetické bezpečnosti a strategických cílů není zcela pravidelná. Principy by měly být základní metodiky pro naplňování cílů kybernetické bezpečnosti. Nicméně např. princip, který říká, že se ČR bude podílet a podporovat úsilí EU a NATO v oblasti kybernetické bezpečnosti, je spíše konkrétním opatřením, které by bylo možné podřadit pod strategický cíl mezinárodní spolupráce. Principem by v této oblasti mohla být např. obecná zásada mezinárodní spolupráce s relevantními subjekty z důvodu globálního charakteru kyberprostoru. Stejně tak je opatřením, spíše než základním principem, normativně stanovený institucionální rámec resortní spolupráce. Jako zvláštní strategický cíl je uvedena podpůrná činnost Národního centra kybernetické bezpečnosti v oblasti boje s kriminalitou v kyberprostoru, když všechny ostatní, neméně důležité, aktivity této instituce jsou uvedeny v jiném strategickém cíli. Kybernetickou bezpečnost Strategie pro oblast kybernetické bezpečnosti ČR explicitně nedefinuje. Přesto můžeme definici dovodit z druhé věty kapitoly II.: Úroveň kybernetické bezpečnosti je souhrnem všech opatření, jak národních tak mezinárodních, přijatých k ochraně dostupnosti informací komunikačních technologií a integrity, autenticity a důvěrnosti dat v kybernetickém prostoru.189
Strategie kybernetické bezpečnosti jiných států zpravidla obsahují systematičtěji rozlišené cíle jednotlivých úrovní řízení kybernetické bezpečnosti. Pro ilustraci uvedeme v následující tabulce přehled cílů nejvyšší úrovně řízení z vybraných strategií kybernetické bezpečnosti. Obdobný výchozí bod v podobě formulace vize, ambicí nebo kybernetických bezpečnostních zájmů české strategii kybernetické bezpečnosti chybí. Země Velká Británie
Cíle kybernetické bezpečnosti na nejvyšší úrovni řízení
Velká Británie potlačuje kybernetickou kriminalitu a je jedním z nejvíce bezpečných míst na světě pro podnikání v kyberprostoru
Velká Británie bude odolnější vůči kybernetickým útokům
189
Srov. Strategie pro oblast kybernetické bezpečnosti České republiky na období 2012-2015. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Brno, 2012 [cit. 20. 12. 2013]. Dostupné z: http://www.govcert.cz/download/nodeid-727/
68
a bude lépe schopna hájit své zájmy v kyberprostoru
Velká Británie bude mít vytvořený otevřený a stabilní kyberprostor plný života, který může britská veřejnost bezpečně užívat a který podporuje otevřenou společnost
Velká Británie má dostatek znalostí, dovedností a pravomoci k naplnění všech svých cílů v oblasti kybernetické bezpečnosti
Nizozemí
Ambice Nizozemí190 v oblasti kybernetické bezpečnosti:
Nizozemská společnost ví, jak bezpečně a optimálně využívat výhody digitalizace
Nizozemské podnikatelské subjekty a výzkumná komunita jsou pionýry v oblasti „security by design“ a „privacy by design“191
Nizozemí je společně se svými partnery na mezinárodním poli součástí progresivní koalice, která usiluje o ochranu základních práv a hodnot v digitální doméně
Strategické cíle:
Nizozemí je odolné vůči kybernetickým útokům a v digitální doméně chrání své životní zájmy
Nizozemí se úspěšně potýká s kybernetickou kriminalitou
Nizozemí investuje do bezpečných produktů a služeb v oblasti informačních a komunikačních technologií, které slouží k ochraně soukromí
Nizozemí se podílí na budování koalice svobody, bezpečnosti a míru v digitální doméně
Nizozemí disponuje dostatečnou úrovní znalostí a dovedností v oblasti kybernetické bezpečnosti a investuje do informačních a komunikačních technologií, aby dosáhlo svých cílů v této oblasti
190
Nizozemská strategie dokonce rozeznává i úroveň ambicí, naplňovanou prostřednictvím strategických cílů. 191 „Security by design“, resp. „privacy by design“ jsou přístupy k vývoji kybernetických systémů, kdy již ve fázi jejich návrhu se počítá s potřebou informační bezpečnosti, resp. ochranou soukromí.
69
Finsko
Finsko je schopno zabezpečit své životní funkce proti kybernetickým hrozbám ve všech možných situacích
Občané, úřady i podnikatelské subjekty mohou efektivně využívat jak bezpečný kyberprostor, tak i možnosti vyplývající z opatření v oblasti kybernetické bezpečnosti; to vše v národním i mezinárodním měřítku
Do roku 2016 se Finsko stane světovým lídrem v připravenosti na kybernetické hrozby a ve schopnosti řešení následků kybernetických hrozeb
Tab. 4. Cíle nejvyšší úrovně řízení z vybraných strategií kybernetické bezpečnosti. Rada ministrů EU přivítala na svém zasedání dne 21. 6. 2013 Strategii kybernetické bezpečnosti EU192 předloženou dne 7. 2. 2013 společně Generálním ředitelstvím Evropské komise pro komunikační sítě, obsah a technologie (DG CONNECT) a Vysokou představitelkou EU pro zahraniční věci a bezpečnostní politiku. Strategie formuluje pět strategických priorit:
dosáhnout vysoké odolnosti proti kybernetickým bezpečnostním incidentům – prostředkem k dosažení cíle má být posilování spolupráce napříč EU, spolupráce veřejného a soukromého sektoru, prosazování bezpečnostních standardů apod.;
radikálně snížit kybernetickou kriminalitu;
zpracovat politiku kybernetické obrany a rozvinout schopnosti v rámci Společné bezpečnostní a obranné politiky;
rozvinout průmyslové a technologické prostředky kybernetické bezpečnosti – cílem je zajistit, aby prvky používané v systémech kritických služeb, v systémech kritické infrastruktury a v mobilních zařízeních byly důvěryhodné, bezpečné a garantovaly ochranu osobních údajů;
zavést soudržnou mezinárodní politiku pro kyberprostor a prosazovat základní hodnoty EU. Strategie kybernetické bezpečnosti vybraných států (tab. 4) i EU jsou směsí bezú-
čelných politických provolání (například budování koalice svobody, bezpečnosti a míru),
192
Srov. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace. Evropská komise: Digital Agenda for Europe [online]. Evropská komise, 2013 [cit. 21. 2. 2014]. Dostupné z: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1667
70
cílů směřujících ke zvýšení odolnosti vůči kybernetickým útokům, ale i ambicí pobízet podnikatelský sektor v oblasti ICT k produkci s určitými vlastnostmi. Mezi strategickými cíli kybernetické bezpečnosti najdeme také podporu základních hodnot a podporu vzdělávání uživatelů kyberprostoru s cílem zlepšit související uživatelské návyky. Nicméně postačujícím cílem kybernetické bezpečnosti je bezpečné, spolehlivé a svobodné fungování kyberprostoru. Zatímco bezpečnost kyberprostoru je přinejmenším zčásti parketou státu, spolehlivost a svoboda (otevřenost) jsou nejlépe zajištěny tak, že stát se co nejvíce zdržuje regulace kyberprostoru (jsou však i jiné názory, viz kap. 2.5). Zařazení ochrany svobody a obdobných základních hodnot mezi strategické cíle kybernetické bezpečnosti má především význam deklarace nutnosti minimalizovat zasahování prostředků kybernetické bezpečnosti do těchto hodnot. Navrhneme kybernetické bezpečnostní zájmy na národní úrovni193, které by měly být chtěnými a vybranými účely směřování legislativních i faktických opatření přijímaných v rámci kybernetické bezpečnosti. Mohou být také vodítkem k formulaci strategických cílů kybernetické bezpečnosti. Nad strategickými cíli kybernetické bezpečnosti státu by mohla stát vize bezpečného, spolehlivého a svobodného kyberprostoru. Ačkoliv na více místech popisujeme problematický vztah struktury kyberprostoru a státního území, budeme hovořit o kybernetických bezpečnostních zájmech státu (ČR) a národní kybernetické bezpečnosti. Navrhněme tedy následující kybernetické bezpečnostní zájmy státu:
Ve značném rozsahu nejsou nedostupné, vážně narušené ani vážně ohrožené funkcionality podmiňující obvyklé využívání kyberprostoru.
Není ohroženo ani narušeno řádné fungování prvků kritické informační infrastruktury státu194 ani významných informačních systémů podmiňujících činnost složek významně se podílejících na zajišťování veřejné správy a bezpečnosti státu.
Z hlediska bezpečnostních zájmů státu kritický obsah uložený v kyberprostoru nebyl neoprávněně získán, ani není vážně ohroženo jeho zabezpečení.
V kyberprostoru nedochází k masovému šíření obsahu vážně ohrožujícího právem chráněné zájmy ani základy demokratického právního státu.
Kyberprostor není ve značném rozsahu zneužíván k páchání trestné činnosti.
193
Nad ně by bylo vhodné ještě postavit vize státu v oblasti kybernetické bezpečnosti. Pojem definuje § 2 písm. c) NZKB jako prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy (dle KrizZ) v oblasti kybernetické bezpečnosti. 194
71
Kybernetickou bezpečnost státu budeme chápat jako stav, kdy shora uvedené kybernetické bezpečnostní zájmy státu jsou naplněny. Takto definovaná kybernetická bezpečnost je pro právnické potřeby vhodnější než vymezení souhrnem technologických účelů kybernetických bezpečnostních opatření (jak to činí Strategie pro oblast kybernetické bezpečnosti ČR), neboť může podpůrně sloužit jako podklad při teleologickém výkladu právních norem na úseku kybernetické bezpečnosti. Nepřímým ohrožením kybernetických bezpečnostních zájmů mohou v některých speciálních případech být i informační práva založená právními předpisy. Některé právní předpisy zaručují členům některých veřejnoprávních korporací a právnických osob informační práva, která mohou vést k předání informací specifické povahy, jejichž neoprávněné užití může ohrozit bezpečnost daného kybersystému. Takovými citlivými informacemi jsou například autentizační údaje ke kybersystémům, struktura informační sítě organizace, typy síťových aktivních prvků, způsoby zabezpečení datových center apod. Jde zejména o následující předpisy či ustanovení:
zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů195 – dle § 11 odst. 1 písm. a) tohoto zákona může povinný subjekt omezit poskytnutí informace, pokud se vztahuje výlučně k jeho vnitřním pokynům. Vnitřní pokyn lze patrně podřadit pod pojem bezpečnostního opatření dle § 4 odst. 1 NZKB196. Podstatné však je, aby šlo o skutečně interní opatření, které, vyjma zajištění bezpečnosti dotčených kybersystémů, nebude mít žádný vliv navenek, mimo povinný subjekt197. Poskytnutím informace by současně povinnému subjektu neměla vzniknout újma, např. v podobě nepřiměřeně zvýšeného kybernetického bezpečnostního rizika.
§ 82 písm. c) zákona č. 128/2000 Sb., o obcích, ve znění pozdějších předpisů – podle tohoto ustanovení má člen zastupitelstva obce má při výkonu své funkce právo požadovat od zaměstnanců obce zařazených do obecního úřadu, jakož i od zaměstnanců právnických osob, které obec založila nebo zřídila, informace ve věcech, které souvisejí s výkonem jejich funkce. Vyloučení citlivých informací
195
Srov. zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014]. 196 Zveřejnění podle zákona č. 106/1999 Sb. patrně bude podléhat pouze prostý fakt zavedení daného bezpečnostního opatření, nikoliv však již konkrétní parametry a technologické souvislosti opatření. 197 Poznatek byl získán na základě ústní konzultace.
72
z dosahu tohoto informačního práva lze postavit na podmínce souvislosti požadované informace s výkonem funkce zastupitele.
§ 34 odst. 1 písm. c) zákona č. 129/2000 Sb., o krajích, ve znění pozdějších předpisů198 – v tomto případě je problém identický s předchozím případem.
§ 447 odst. 1 zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů199 – podle tohoto ustanovení je dozorčí rada společnosti oprávněna nahlížet do všech dokladů a záznamů týkajících se činnosti společnosti. Výkon tohoto oprávnění však dozorčí rada provádí výhradně jako kolektivní orgán. Pouze v případě neschopnosti dozorčí rady plnit tuto funkci, má kontrolní oprávnění i její člen. Informační právo, které je z tohoto ustanovení dovoditelné, je limitováno jinými obecnými právními instituty zákona o obchodních korporacích. V tomto případě je tak zvýšení kybernetického bezpečnostního rizika minimální, přesto ne nulové. Ve všech uvedených případech bude muset povinný subjekt vážit rizika spojená
s poskytnutím informace dotýkající se jeho kybernetických systémů s informačními právy oprávněných osob. Na jedné straně nelze ohrozit bezpečnost kybersystémů, na druhé straně nelze zcela odpírat jakékoliv informace o konfiguraci systémů, jejich zabezpečení apod. Jinými slovy, nesmí být znemožněn účel daného informačního práva, kterým je v prvním uvedeném případě veřejná kontrola institucí, v druhém a třetím případě výkon demokratické kontroly veřejnoprávních korporací a ve čtvrtém případě výkon kontroly hospodaření a vedení obchodní společnosti, která konec konců může být založena také veřejnoprávní korporací nebo státem za účelem výkonu některých činností svěřených veřejnoprávní korporaci či státu.
3.5 Právo a bezpečnost v kyberprostoru Kyberprostor, jeho vnitřní aspekt (kap. 2.2), je prostředím, ve kterém se vše odehrává prostřednictvím dat a datových toků, které jsou z hlediska uživatelů (viz kap. 1.3) informacemi a informačními toky. Jak jsme ukázali, není to prostředí, ve kterém se osoby manifestují fyzicky, ale pouze nehmotně, v podobě informací nesených vhodnými signály nebo v podobě informací uložených v paměťových buňkách nejrůznějších druhů (digitální
198
Srov. zákon č. 129/2000 Sb., o krajích (krajské zřízení), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014]. 199 Srov. zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014].
73
stopa, viz kap. 2.2). Vzájemné konflikty práv a právem chráněných zájmů se v kyberprostoru odehrávají výhradně prostřednictvím informací. Z celého spektra práv, jejichž nositeli dnes subjekty práva jsou, tak můžeme vybrat ta, jejichž účelem je ochrana informací nesených nebo vytvářených subjektem práva, svoboda s informacemi zacházet (komunikovat je, uchovávat, zpracovávat a znehodnotit) a rovněž právo informace získávat (shromažďovat, ukládat, mít přístup k zákonem vymezeným informacím vytvářeným veřejnou správou). Veškerá taková práva nazýváme informačními právy. Subjekty některých z nich jsou i stát a veřejnoprávní korporace. Nelze však tvrdit, že kybernetickou událostí nemůže být zasaženo neinformační právo, například právo na život200. Ovšem pokud jde o protiprávní jednání a protiprávní stavy, které zcela nebo zčásti nastávají v kyberprostoru anebo v něm zcela nebo zčásti mají příčinu, pak zajištění jejich prevence anebo řešení jejich následků v kyberprostoru znamená téměř vždy střet s informačními právy201. Konečnou příčinnou (viz kap. 2.3) každé protiprávnosti odehrávající se v kyberprostoru anebo kauzálně podmíněné alespoň jednou kybernetickou událostí je vždy alespoň jeden úkon alespoň jednoho skutečného subjektu, který se jako každý jiný subjekt v kyberprostoru projevuje zadáváním dat, jejich změnami, spouštěním procesů apod., tedy operacemi s informacemi (tj. zase kybernetickou událostí). Identifikace tohoto subjektu a realizace opatření směřujících k zamezení pokračování v protiprávním jednání, nejsou možné jinak než zásahem do soukromé informační sféry subjektů práv, protože právě a pouze sdílením části soukromé informační sféry se každý subjekt právně ocitá v kyberprostoru (fakticky prostřednictvím digitální stopy; viz kap. 2.2). Bez ohledu na rozlišování mezi skutečností a kyberprostorem 202, můžeme informační práva rozdělit podle jejich subjektů na informační práva jednotlivců, korporátní informační práva a informační práva státu. Informační práva obecně rozlišujeme na pasivní a aktivní. Pasivním informačním právem jednotlivce je právo na ochranu před neoprávněným zásahem do soukromé informační sféry nalézající svou praktickou realizaci v právních institutech, jejichž účelem je ochrana osobních údajů, ochrana osobnosti apod. Aktivními informačními právy jednotlivce jsou práva informace získávat, uchovávat, zpracovávat a komunikovat. Ke korporátním informačním právům patří především právo
200
Dotčeno může být například právo na život subjektu napojeného na lékařské přístroje, které jsou přes další systémy spojeny s kyberprostorem. Stejně tak může být dotčeno narušením řídicích systémů železnice, výbuchy, úniky závadných látek z průmyslových provozů apod. 201 Srov. POLČÁK, 2012, op. cit., s. 350. 202 Neboť informační práva nejsou něco, co je podmíněno kyberprostorem.
74
na ochranu obchodního tajemství. Informační práva státu jsou především právo získávat, uchovávat, zpracovávat informace nezbytné pro výkon státní správy (včetně zajišťování bezpečnosti) a rovněž právo utajovat vybrané informace důležité pro zajištění důležitých zájmů státu. Informační práva státu mají akcesorickým charakter, má tedy smysl o nich hovořit vždy pouze ve vazbě na určitou agendu, resp. na určitý účel 203. Přitom tento účel musí být legitimní a rozsah daného oprávnění státu musí být tomuto účelu přiměřený. To znamená, že účelem informačních práv státu musí být přiměřená ochrana jiných práv nebo právem chráněných zájmů. Právo osob na informační sebeurčení204 je právo vlastním rozhodováním určovat rozsah soukromé informační sféry, tedy jakou její část, komu, kdy a za jakých podmínek osoba zpřístupní, jaké informace a kdy do soukromé informační sféry zahrne. S právem na informační sebeurčení jsou pak spojeny povinnosti státu chránit soukromou informační sféru před neoprávněnými zásahy, chránit svobodu projevu, ale i svobodu bádání a vzdělávání, garantovat poskytování zákonem vymezených informací veřejné správy apod.205 Právo na informační sebeurčení je tedy komplexem práv a jim odpovídajících povinností. Osobní svoboda, svoboda projevu, právo na soukromí aj. konstruují individuální oprávnění konkrétním subjektům, a proto je nazýváme distributivními právy. Veřejné statky naproti tomu nejsou mezi jednotlivce dělitelné a práva k jejich ochraně, jako např. právo na bezpečnost a tedy i kybernetickou bezpečnost, proto nazýváme nedistributivní.206 Veřejný statek je směřován k jednotlivci, ale není individuálně ochraňován.207 Akcesorické informační právo státu přistupuje nejen k ochraně individualizovaných, distributivních práv jednotlivců, ale také k ochraně nedistributivních veřejných statků. Distributivní právo chráněné přistupujícím informačním právem státu nemusí být jen informační. Může to být jakékoliv právo, které je ohrožováno anebo porušováno z příčiny tkvící v kyberprostoru208.
203
Srov. POLČÁK, 2012, op. cit., s. 360. Srov. POLČÁK, 2012, op. cit., s. 324. 205 Srov. POLČÁK, 2012, op. cit., s. 327. 206 Srov. POLČÁK, 2012, op. cit., s. 304. 207 Srov. HARAŠTA, 2013, op. cit. 208 Pokud bychom měli být úplně důslední, pak nemusíme ani hovořit o kyberprostoru. Informačním právem státu je i právo státu za určitých okolností provést domovní prohlídku za účelem zjištění určitých informací. Přitom důvodem může být podezření z porušení některého neinformačního práva. Obecně lze tedy konstatovat, že jakákoliv informační práva státu jsou akcesorická k účelu chránit určitá distributivní práva. Role kyberprostoru je k platnosti této souvislosti irelevantní. 204
75
Pojem informačního sebeurčení poprvé použil německý ústavní soud, když posuzoval ústavnost právní úpravy sběru a uchovávání údajů pro sčítání lidu209. Na německý ústavní soud myšlenkově navázal Ústavní soud ČR, když posuzoval ústavnost § 97 odst. 3 a 4 zákona o elektronických komunikacích210 (dále jen ZEK; tzv. kauza „data retention“211). Ústavní soud ČR tomu uvedl212: Primární funkcí práva na respekt k soukromému životu je zajistit prostor pro rozvoj a seberealizaci individuální osobnosti. Vedle tradičního vymezení soukromí v jeho prostorové dimenzi (ochrana obydlí v širším slova smyslu) a v souvislosti s autonomní existencí a veřejnou mocí nerušenou tvorbou sociálních vztahů (v manželství, v rodině, ve společnosti), právo na respekt k soukromému životu zahrnuje i garanci sebeurčení ve smyslu zásadního rozhodování jednotlivce o sobě samém. Jinými slovy, právo na soukromí garantuje rovněž právo jednotlivce rozhodnout podle vlastního uvážení, zda, popř. v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům. Svou povahou i významem tak právo na informační sebeurčení spadá mezi základní lidská práva a svobody, neboť spolu se svobodou osobní, svobodou v prostorové dimenzi (domovní), svobodou komunikační a zajisté i dalšími ústavně garantovanými základními právy dotváří osobnostní sféru jedince, jehož individuální integritu jako zcela nezbytnou podmínku důstojné existence jedince a rozvoje lidského života vůbec je nutno respektovat a důsledně chránit…
Právo na informační sebeurčení je tedy kompilátem existujících základních práv a svobod a sdílí tak jejich povahu. Osobní údaje, informace o chování osob v kyberprostoru a jiné údaje vypovídající o osobách jsou v různých kombinacích a za různými účely průběžně shromažďovány a ukládány v různých databázích soukromoprávních i veřejnoprávních subjektů a to zpravidla bez vědomí dotčených osob. Vedle samotného sběru a využívání dat je podstatným problémem také nemožnost osob do řady takových databází nahlížet a s uloženými daty disponovat213. S tím souvisí otázka specifického informačního práva být zapomenut. Vlastností každého nosiče informace je určitá její trvanlivost. U fyzických nosičů sdílí informace osud média. U tištěných (a obdobně u elektronických) masových sdělovacích prostředků je tomu stejně, nicméně počet vydání tiskoviny a přístup k její archivaci
209
Srov. ŠOŠOLÍKOVÁ, Hana. Ochrana osobních údajů online a „právo být zapomenut“ [online]. Brno, 2013 [cit. 17. 2. 2014]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/335905/pravf_m/Sosolikova_Hana_DP_FINAL.pdf 210 Srov. zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 17. 2. 2014]. 211 Srov. MYŠKA, Matěj. Právní aspekty uchovávání provozních a lokalizačních údajů [online]. Brno, 2012 [cit. 17. 2. 2014]. Rigorózní práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/102870/pravf_r/RP_Myska.pdf 212 Srov. nález Ústavního soudu ČR ze dne 22. 3. 2011, sp. zn. Pl. ÚS 24/10. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2005 [cit. 17. 2. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-24-10_1 213 Srov. KOKEŠ, Marian. Několik poznatků k problematice konkrétních konfliktů mezi právem na informační sebeurčení a ochranou národní bezpečnosti v tzv. době internetové. In: ŠIMÍČEK, Vojtěch (ed.). Právo na soukromí. Brno: Masarykova univerzita, 2011, s. 119-143. ISBN 978-80-210-5449-3.
76
veřejnoprávními institucemi zvyšuje i trvanlivost informace. Internet a obecněji kyberprostor však zásadně mění situaci v tom, že jsou prakticky odstraněny technické a institucionální překážky šíření a přijímání informací214. Právo být zapomenut je myšlenkovou konstrukcí právního institutu, který by upravoval nárok subjektu informace vůči ISP, aby tato informace byla smazána nebo jinak znehodnocena a aby se zdržel jejího dalšího rozšiřování215. Ve své obecné podobě je právo být zapomenut obsahem návrhu nového nařízení EU o ochraně osobních údajů216. Generální advokát v případu Google versus González, který je pod sp. zn. C-131/12 veden u Soudního dvora Evropské unie, N. Jääskinen dovozuje217, že právo být zapomenut by v případě služby vyhledávače218 vedlo k obětování takových práv, jako je svoboda projevu a právo na informace. Znovu připomeňme, že veřejný charakter kyberprostoru je široce známou skutečností a je spíše nedostatkem obecného vzdělání, že důsledky této vlastnosti kyberprostoru jeho uživatelé často nedoceňují219. Právo být zapomenut tedy zásadně nelze považovat za součást komplexního práva na informační sebeurčení. Součástí práva na informační sebeurčení však může být například tehdy, jde-li o informace lživé a bez souhlasu dotčené osoby jako takové úmyslně šířené. Až s masovým rozšířením ICT byla akcentována otázka práva státu na sdělení identifikačních a autentizačních údajů (souhrnně „přístupové údaje“; v praxi jde nejčastěji o přihlašovací jméno a heslo) ke kybersystémům nebo šifrovaným datům, případně otázka práva státu na poskytnutí dešifrovaného obsahu. Přístupové údaje jsou nepochybně součástí osobní informační sféry. Otázkou je, v jakém poměru je případné právo státu donu-
214
Srov. JÄÄSKINEN, Niilo. Stanovisko generálního advokáta ve věci C-131/12 ze dne 25. 6. 2013. Soudní dvůr Evropské unie [online]. Soudní dvůr Evropské unie, 2013 [cit. 17. 2. 2014]. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&pageIndex=0&doclang=CS&mo de=lst&dir=&occ=first&part=1&cid=115516 215 Srov. ŠOŠOLÍKOVÁ, op. cit. 216 Podle čl. 17 tohoto legislativního návrhu má subjekt namítaných údajů za dále uvedených podmínek zásadně právo požadovat od správce kybersystému jejich výmaz a zdržení se jejich dalšího šíření, a to zejména pokud jde o osobní údaje, které subjekt zpřístupnil v dětském věku. Srov. návrh nařízení Evropského parlamentu a Rady ze dne 25. 1. 2012 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) COM(2012)11. In: PreLex [právní informační systém]. Úřad pro úřední tisky Evropské unie [cit. 17. 2. 2014]. Dostupné z: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:CS:PDF 217 Srov. JÄÄSKINEN, op. cit. 218 Pokud jde o vlastní poskytovatele informace, v dané kauze vydavatel španělského deníku, připomněl N. Jääskinen kauzu Times Newspapers Ltd v. Spojené království vedenou u Evropského soudu pro lidská práva pod sp. zn. 3002/03 a 23676/03, kdy soud uvedl, že internetové archivy (novin) do značné míry přispívají k zachování a zpřístupnění zpráv a informací a představují důležitý pramen pro vzdělávání a historický výzkum. 219 Zejména v případech, kdy dobrovolně zveřejňují informace ze svého soukromého života na sociálních sítích, fotografie a údaje ke svým dětem apod.
77
covat osoby k poskytnutí přístupových údajů nebo dešifrovaného obsahu k zásadě nemo tenetur se ipsum accusare220, která je obsahem pátého dodatku k ústavě USA221. V trestní kauze USA versus Fricosu222 rozhodoval soudce R. Blackburn (Denver, stát Colorado, USA), zda obžalovaná Ramona C. Fricosu bude povinna předat žalobci dešifrovanou kopii souborů ze svého počítače. Soudce R. Blackburn s odvoláním na předchozí případy shrnul, že pod ochranou pátého dodatku může být jak informace sama, tak i její vytvoření. Pod ústavní ochranou tedy může být jak šifrovaný obsah, tak i samotný akt dešifrování. Vytvoření informace, resp. dešifrování, totiž současně tuto informaci existenčně potvrzuje a autentizuje. Jinými slovy, jestliže někdo je schopen dešifrovat šifrovaný obsah, je podle judikatury amerických soudů i samotný fakt jeho schopnosti tak učinit důkazem, který je pod ochranou ústavního práva vyhnout se v trestních věcech sebeobvinění. V dané kauze však bylo i bez dešifrování dostatečně dobře prokázáno, že předmětná šifrovaná data i počítač, ve kterém byla uložena, náleží obžalované a o jejím vztahu k datům a počítači nebylo pochyb. Akt dešifrování tedy nemohl vnést do případu nic nového a státní zástupce navíc souhlasil, že autentizaci dešifrovaného obsahu nebude z aktu dešifrování dovozovat. Tím bylo podle soudce R. Blackburna vyloučeno, aby dešifrováním inkriminovaného obsahu došlo k porušení práva garantovaného pátým dodatkem ústavy USA. Vlastní data spadala pod rozsah již dříve vydaného příkazu k domovní prohlídce (předmětný počítač byl nalezen při domovní prohlídce v obydlí obžalované). Soudce R. Blackburn tedy uzavřel, že lze obžalované uložit povinnost poskytnout dešifrovaná data (nikoliv přístupové údaje) pro účely probíhajícího trestního řízení a to přesto, že tato data budou následně využita proti ní. Otázka práva státu na přístupové údaje nebo dešifrovaný obsah, které souvisí se zajišťováním (nejen kybernetické) bezpečnosti, se tedy dotýká práva osob na informační sebeurčení. R. Polčák popisuje dva základní problémy kybernetické bezpečnosti. 223 Prvním základním problémem je podle R. Polčáka fakt, že soukromoprávní subjekty mohou, na
220
Srov. MUSIL, Jan. Zákaz donucování k sebeobviňování (nemo tenetur se ipsum accusare). Ministerstvo vnitra ČR [online]. Praha, 2009 [cit. 17. 2. 2014]. Dostupné z: http://www.mvcr.cz/clanek/4-2009-zakazdonucovani-k-sebeobvinovani-nemo-tenetur-se-ipsum-accusare.aspx 221 V českém ústavním pořádku je tento zákaz upraven čl. 37 odst. 1 LZPS. 222 Srov. soudní příkaz okresního soudu Colorado, USA ze dne 23. 1. 2012, sp. zn. 10-cr-00509-REB-02, dokument 247. Okresní soud Colorado, USA [online]. Electronic Frontier Foundation [cit. 17. 2. 2014]. Dostupné z: https://www.eff.org/files/filenode/Fricosu%20Order.pdf 223 Srov. POLČÁK, 2012, op. cit., s. 345-352.
78
rozdíl od veřejnoprávních224, jednat praeter legem. Mají-li orgány veřejné moci příliš konkrétně stanovenou pravomoc, hrozí jejich impotence vůči bezpečnostním hrozbám. Jeli jejich pravomoc naopak upravena příliš široce, hrozí libovůle při uplatňování státní moci a tím její zneužívání. Problémem je, že vývoj v oblasti ICT je natolik dynamický, že dostatečně přesné reakce právotvůrce v přiměřených časových proporcích nejsou reálné. Proto je řešením hybridní model právní regulace postavený také na spolupráci státu a definičních autorit, veřejných i soukromých225. Formy spolupráce mohou být různé – soukromoprávní smlouvy o spolupráci, veřejnoprávní smlouvy (např. smlouva podle § 19 NZKB; viz kap. 4.1.5), grantové nástroje, veřejné zakázky, povinná certifikace soukromoprávních subjektů (např. instituce elektronických peněz; viz kap. 2.5) apod.226 Druhým základním problémem kybernetické bezpečnosti je podle R. Polčáka skutečnost, že bezpečnostní opatření obvykle vedou k zásahu do distributivních práv jednotlivce. R. Polčák v této souvislosti poznamenává, že je to právě právo na informační sebeurčení, do kterého je při budování systémů pro zajištění kybernetické bezpečnosti potřeba zasahovat227. Ingerence veřejné moci do výkonu práva na informační sebeurčení v kyberprostoru může nastat za účelem zajišťování bezpečnosti, nejen kybernetické, výkonu práv druhých (například uložení povinnosti odstranit ze stránek pomlouvačný obsah) a z hlediska některých autorů228 rovněž za účelem, možná paradoxně, zajištění svobody vyjadřování. Jak již bylo připomenuto, ISP, definiční autority, jsou soukromoprávní subjekty. Jakýkoliv subjekt, byť by byl veřejnoprávní (nečiní-li tak za účelem mocenského zasahování), vstupuje do kyberprostoru jako soukromoprávní subjekt a jako takový nedisponuje nárokem vůči soukromoprávním ISP, aby mu garantovaly nerušení výkonu jeho práv třetími osobami, ledaže by takové garance byly součástí obsahu jejich vzájemného smluvního ujednání. Proto pokud jde o ochranu práva na informační sebeurčení, lze popsat pouze dvě základní paradigmata – buď aktivní mocenské působení státu vůči ISP za účelem povinné garance práva na informační sebeurčení v rámci jimi provozovaných kybersystémů anebo naopak strategii maximálního možného zdržování se regulace ISP za účelem jejich maximální možné konkurence.229 První možnost je s výjimkou vybraných služeb veřejnoprávního
224
Ty jsou svázány ustanovením čl. 2 odst. 3 Ústavy ČR, které říká, že státní moc lze uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon. 225 Srov. POLČÁK, 2012, op. cit., s. 349. 226 Srov. POLČÁK, 2012, op. cit., s. 348. 227 Srov. POLČÁK, 2012, op. cit., s. 352. 228 Srov. POST, 2000, op. cit. 229 Tamtéž.
79
charakteru obtížně představitelná, druhá možnost se v průběhu času, alespoň prozatím, osvědčila. Nicméně subjekt vstupující do kyberprostoru disponuje nárokem nebýt rušen v přiměřeném výkonu svých práv druhými subjekty. Když k tomuto nároku přidáme veřejný zájem státu na fungování některých služeb informační společnosti a potřebu ochrany nedistributivních veřejných statků, můžeme konstatovat potřebu ochrany nedistributivního práva na bezpečnost230 včetně kybernetické bezpečnosti. Z toho plyne povinnost státu zajišťovat výkon tohoto práva. Tím pádem připouštíme i proporcionální zasahování státu do práva na informační sebeurčení osob. Bezpečnostní
opatření
uplatňovaná
státní
mocí
v kyberprostoru
můžeme
z faktického hlediska rozdělit do pěti okruhů – řízení obsahu (stát mocenským působením dosahuje omezené nebo úplné nedosažitelnosti obsahu části kyberprostoru), získávání obsahu (stát za účelem ochrany nedistributivního veřejného statku skrytě nebo otevřeně sbírá informace z kyberprostoru nebo povinnost takto činit ukládá subjektům práva), bezpečnostní standardizace (stát stanovuje vymezenému okruhu osob dosahovat při provozování služeb informační společnosti určitých bezpečnostních parametrů), úprava právního postavení ISP (kdy stát těmto subjektům například stanovuje rozsah jejich odpovědnosti za jimi kontrolovatelný obsah), odvetné kroky (kdy stát sám je svým úmyslným jednáním příčinou kybernetických bezpečnostních incidentů dopadajících na nějak vymezené kybersystémy).231 Některá z uvedených bezpečnostních opatření jsou orientována spíše na individuální potírání kriminality, a jako taková stojí spíše mimo rámec této práce, některá jsou zaměřena více na bezpečnost státu. Navrženou taxonomii můžeme rozepsat takto:
Řízení obsahu: o Filtrování – selektivní blokování obsahu pro určitou část kyberprostoru; prováděné státem přímo ovládanou institucí nebo prostřednictvím ISP na základě povinnosti uložené státním orgánem;
230
Smyslem zajišťování národní kybernetické bezpečnosti pochopitelně není individualizovaná ochrana jednotlivců před jednotlivými zásahy do jejich práva na informační sebeurčení, ale nastavení regulatorního rámce, jehož účelem bude mimo jiné i minimalizace zásahů do práva na informační sebeurčení v důsledku narušování bezpečnosti kyberprostoru jako celku. 231 Srov. LA RUE, Frank. Report of the Special Rapporteur on key trends and challenges to the right of all individuals to seek, receive and impart information and ideas of all kinds through the Internet. Freedom of Opinion and Expression – Annual reports [online]. Organizace spojených národů: Úřad vysokého komisaře OSN pro lidská práva, publikováno 16. 5. 2011 [cit. 19. 2. 2014]. Dostupné z: http://daccessods.un.org/access.nsf/Get?Open&DS=A/HRC/17/27&Lang=E
80
o Blokování – úplné zamezení částem kyberprostoru v jejich propojení s ostatním kyberprostorem; provedené státem přímo ovládanou institucí nebo prostřednictvím ISP na základě povinnosti uložené státním orgánem;
Získávání obsahu: o Preventivní i následný sběr informací o bezpečnostní situaci a dalších údajů; o Preventivní povinné uchovávání a sdělování vymezených informací; o Reaktivní povinné sdělování vymezených informací;
Bezpečnostní standardizace: o Certifikace některých ISP státním orgánem spojená s povinností dodržovat určité podmínky dané právními předpisy anebo uložené tímto státním orgánem a průběžná kontrola jejich dodržování; o Povinná aplikace preventivních bezpečnostních opatření specifikovaných právními předpisy;
Právní postavení ISP: o Stanovení odpovědnosti ISP za obsah jimi provozované části kyberprostoru; o Povinnost aplikovat státem uložená ad hoc bezpečnostní opatření;
Odvetné kroky vůči zdrojům kybernetických incidentů. U těch bezpečnostních opatření, která znamenají nezanedbatelný zásah do práva in-
formační sebeurčení, je podstatná otázka jejich proporcionality. Bezpečnostním opatřením, které naopak do práva na informační sebeurčení nezasahuje, nebo je intenzita zásahu zanedbatelná, patrně bude například povinná aplikace technologicky neutrálních bezpečnostních opatření (§ 4 a násl. NZKB). Nicméně například povinnost hlásit fakt, že se z kybernetické bezpečnostní události stal kybernetický bezpečnostní incident (§ 8 NZKB), již zásahem232 do práva na informační sebeurčení být může, protože je výpovědí o odolnosti daného kybersystému233. Právo na informační sebeurčení není jediným právem, které může být bezpečnostním opatřením zasaženo. Je to také právo vlastnické, je-
232
Byť v daném případě bezpochyby účelným. Obdobné kybersystémy provozované konkurencí mohou téže kybernetické bezpečnostní události odolat, v důsledku čehož se z ní nestal kybernetický bezpečnostní incident. Může tak dojít k odhalení nižší odolnosti kybersystému provozovaného daným subjektem, což může znamenat jeho konkurenční nevýhodu na trhu. 233
81
hož výkon je například povinnou aplikací bezpečnostních opatření podle § 4 a násl. NZKB dotčen. Filtrování obsahu je přirozeně ve významném konfliktu s právem na informační sebeurčení. Přesto mohou i v demokratickém právním státě existovat výjimky, například dětská pornografie, nicméně za podmínky dostatečně jednoznačné (nikoliv vágní) právní úpravy a účinných záruk proti zneužití státní moci234. Je-li účelem filtrování obsahu jakožto bezpečnostního opatření zamezit komunikaci určitého obsahu, je to technicky účinná metoda a jako taková je schopna dosáhnout svého účelu. Alternativou vůči státem organizovanému filtrování obsahu jsou soukromoprávní prostředky ochrany, například softwarové filtrační nástroje (určené rodičům, školským zařízením apod.). Jsou-li takové prostředky dobře dostupné, cenově přiměřené a dostatečně účinné, je nutnost jinak legitimního filtrování závadného obsahu organizovaného státní mocí nižší a hůře obhajitelná235. Jinými slovy, nutnou, nikoliv však postačující, podmínkou proporcionality filtrování obsahu je technická obtížnost nebo nedostupnost prostředků k dosažení daného účelu individuálně soukromoprávní cestou. Odpovědnost ISP je v členských zemích EU harmonizována směrnicí č. 2000/31/ES236, která je v českém právním řádu implementována v zákoně o některých službách informační společnosti237 (dále jen ZNSIS). ISP jsou podle druhu poskytované služby rozděleni do tří kategorií – poskytovatelé služby typu mere conduit, kteří zajišťují pouze přenos informací (§ 3 ZNSIS), poskytovatelé služby typu caching, kteří zajišťují automatické meziukládání přenášených informací (§ 4 ZNSIS), a poskytovatelé služby typu hosting, kteří ukládají obsah informací poskytovaných uživatelem (§ 5 ZNSIS). ISP poskytující službu typu mere conduit za přenášený obsah zásadně nenese žádnou odpovědnost, ledaže přenos sám iniciuje, sám zvolí uživatele přenášené informace, přenášenou informaci pozmění nebo ji sám vytvoří. ISP poskytující službu typu caching nese odpovědnost za ukládaný obsah, pouze pokud nedodržuje standardní podmínky provozování
234
Srov. LA RUE, op. cit. Tamtéž. 236 Srov. směrnice Evropského parlamentu a Rady (EU) č. 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu („směrnice o elektronickém obchodu“). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 20. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:25:32000L0031:CS:PDF 237 Srov. zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 15. 10. 2013]. 235
82
takové služby (dle § 4 ZNSIS). ISP poskytující službu typu hosting nese odpovědnost za obsah ukládaných informací jen, jestliže vzhledem k předmětu své činnosti a okolnostem a povaze případu mohl vědět, že obsah ukládaných informací nebo jednání uživatele jsou protiprávní, nebo dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných informací nebo o protiprávním jednání uživatele a neprodleně neučinil veškeré kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění takovýchto informací (§ 5 ZNSIS). Takto by mohl poskytovatel služby typu hosting nést odpovědnost za vědomé trpění svého uživatele aktivně se podílejícího na DDoS útoku. J. Grill uvádí některé praktické zkušenosti s ustanovením § 5 ZNSIS238. F. La Rue upozorňuje, že stanovení odpovědnosti ISP poskytujících službu typu hosting podle směrnice č. 2000/31/ES (zkráceně tento způsob řízení obsahu pojmenovává „notice-and-takedown“) nutí ISP k vyvažování mezi tržně-soutěžními zájmy a ochranou sebe sama a vede spíše k akcentování ochrany vlastního postavení a tedy přílišnému podléhání stížnostem na protiprávnost obsahu.239 Jako příklad dobré praxe v tomto směru dává chilskou právní úpravu, kdy k odstranění obsahu může dojít pouze na základě soudního příkazu.240 V roce 2007 začal v Turecku platit zákon č. 5651, na jehož základě turecký telekomunikační úřad (Telecommunications Communication Presidency) zajišťuje výkon selektivního blokování obsahu kyberprostoru. Podle zprávy Organizace pro bezpečnost a spolupráci v Evropě241 bylo během prvních cca 18 měsíců účinnosti zákona zablokováno přibližně 3700 webových prezentací, a to na základě příkazu trestního soudu (jakýkoliv obsah), republikového žalobce (jakýkoliv obsah) nebo tureckého telekomunikačního úřadu (pouze obsah uložený na serverech mimo Turecko). Podle čl. 5 zákona č. 5651 nemají ISP (obdobnou úpravu obsahuje § 6 ZNSIS) povinnost monitorovat obsah uloženého obsahu. Nicméně podle čl. 5 odst. 2 zákona č. 5651 musí ISP na základě příslušného příkazu odstranit protiprávní obsah242 podle čl. 8, který stanoví, že přístup k obsahu musí být blokován, jestliže je dostatečné podezření243, že předmětným obsahem byl spáchán některý
238
Srov. GRILL, Josef. Hosting. Nátlak. Podlehnout či nepodlehnout? [online]. WEDOS Internet, a.s., publikováno 18. 11. 2013 [cit. 20. 2. 2014]. Dostupné z: http://datacentrum.wedos.com/a/338/hostingnatlak-podlehnout-ci-nepodlehnout.html 239 Srov. LA RUE, op. cit. 240 Tamtéž. 241 Srov. AKDENIZ, Yaman. Report of the OSCE Representative on Freedom of the Media on Turkey and Internet Censorship [online]. Organizace pro bezpečnost a spolupráci v Evropě, publikováno 18. 1. 2010 [cit. 20. 2. 2014]. Dostupné z: http://www.osce.org/fom/51828 242 Nestane-li se tak, může odpovědný představitel ISP čelit trestnímu stíhání. AKDENIZ, op. cit. 243 Y. Akdeniz upozorňuje na skutečnost, že obsah pojmu „dostatečné podezření“ není v zákoně č. 5651 vyjasněn. Srov. AKDENIZ, op. cit.
83
z vyjmenovaných trestných činů244 (návod k sebevraždě, zneužívání dětí, prostituce, zločiny proti Atatürkovi aj.245). Blokování, tedy úplné odpojení konkrétních kybersystémů nebo ucelené části kyberprostoru od jejich okolí, tedy úplné zablokování komunikace, je extrémním zásahem do práva na informační sebeurčení dotčených osob246. R. Polčák vyvozuje, že přes všechny výhrady je blokování použitelné, ovšem za předpokladu proporcionality – jakožto ultimae rationis, v minimálním nutném rozsahu, jen po nezbytně nutnou dobu a za podmínky adresnosti blokování vůči kybersystému (nikoliv vůči konkrétním osobám)247. Pokud se například určitý kybersystém podílí, třeba i bez vědomí jeho vlastníka, na distribuovaném kybernetickém útoku (DDoS), může být podle R. Polčáka použití blokování na místě (za předpokladu splnění podmínek proporcionality)248. V roce 2011 osm zemí podepsalo kontroverzní mezinárodní smlouvu známou jako ACTA249, která měla nastavit nové mezinárodní právní standardy v oblasti ochrany duševního vlastnictví. Před dokončením textu návrhu ACTA z něj byla odstraněna právní úprava blokování osob v některých případech porušování povinností založených smlouvou250. V roce 2009 začal ve Francii platit zákon známý pod zkratkou HADOPI251 a byla vytvořena stejnojmenná instituce, jejímž hlavním úkolem je ochrana před porušováním práv z duševního vlastnictví252. Hlavním nástrojem HADOPI je procedura „graduated-response“, jejímž výsledkem až do roku 2013 mohlo být i rozhodnutí o úplném odpojení uživatele na určitou dobu253. Porušování práv z duševního vlastnictví však netvoří z hlediska národní bezpečnosti relevantní problém. Tím může být například masivní kybernetický útok na prvky kritické infrastruktury, kybersystémy bezpečnostních složek aj. V takových případech a za podmínky proporcio244
Srov. AKDENIZ, op. cit. Srov. Information about the regulations of the content of the Internet. The Presidency of Telecommunication: Frequently Asked Questions [online]. The Presidency of Telecommunication [cit. 20. 2. 2014]. Dostupné z: http://www.tib.gov.tr/en/en-menu-47information_about_the_regulations_of_the_content_of_the_internet.html# 246 Srov. POLČÁK, 2012, op. cit., s. 352. 247 Srov. POLČÁK, 2012, op. cit., s. 354. 248 Srov. POLČÁK, 2012, op. cit., s. 353. 249 Srov. ACTA - Obchodní dohoda proti padělatelství - seznamte se s fakty. Evropská komise: Zastoupení v České republice [online]. Evropská komise, publikováno 8. 2. 2012 [cit. 20. 2. 2014]. Dostupné z: http://ec.europa.eu/ceskarepublika/news/120208acta_cs.htm 250 Srov. LA RUE, op. cit. 251 Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet. 252 Srov. Overview and missions. Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [online]. Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [cit. 21. 2. 2014]. Dostupné z: http://www.hadopi.fr/en/high-authority/high-authority-overview-and-missions 253 Srov. DATOO, Siraj. News Technology Piracy France drops controversial 'Hadopi law' after spending millions. theguardian.com [online]. Guardian News and Media, publikováno 9. 7. 2013 [cit. 21. 2. 2014]. Dostupné z: http://www.theguardian.com/technology/2013/jul/09/france-hadopi-law-anti-piracy 245
84
nality může být blokování právně přijatelným řešením a fakticky jediným možným efektivním řešením. Možný obsah podmínky proporcionality je uveden výše. Mimo okruh povinných osob vymezených v § 3 NZKB je zajištění kybernetické bezpečnosti výhradně věcí jednotlivých ISP. Připomeňme, že internet, jakožto dominantní část kyberprostoru, je v podstatě v soukromých rukou. Z hlediska řešeného tématu je zajímavou inciativou z poslední doby projekt Bezpečná VLAN254, jehož nositelem je sdružení NIX.CZ, z.s.p.o. (dále jen NIX.CZ)255. Projekt byl spuštěn 3. 2. 2014 a prozatím se ho účastní šest společností256. Smyslem projektu Bezpečná VLAN je poskytovat mezi jeho účastníky tzv. spojení poslední šance (last resort) pro případ, že se infrastruktura některého z nich stane cílem kybernetického útoku.257 Vstup do projektu Bezpečná VLAN je relativně komplikovaná procedura a je vázán na splnění řady podmínek z oblasti kybernetické bezpečnosti258. Zájemci o členství v projektu musí například nepřetržitě provozovat dohledové středisko, používat filtrování zdrojových adres, mít zavedeny vnitřní procesy pro řešení kybernetických bezpečnostních incidentů apod. Jedním z povinných bezpečnostních nástrojů je rovněž RTBH filtering259, jehož smyslem je blokování komunikačního provozu při DDoS kybernetických útocích. Povinnosti, k jejichž plnění sdružení NIX.CZ v rámci projektu Bezpečná VLAN zavazuje jeho účastníky, jsou v některých ohledech rozsáhlejší než povinnosti vyplývající z NZKB. Vzhledem k tomu, že peeringové260 centrum NIX.CZ je středobodem českého kyberprostoru261, mohou mít tato pravidla nepřímý dopad na široký okruh ISP a uživatelů kyberprostoru. Pokud jde o
254
Srov. SPĚŠNÝ, Jan. Ochrana před DDOS útoky. Computer. Roč. 2014, č. 4, s. 136-137. ISSN 12148790. 255 NIX.CZ má právní formu zájmového sdružení právnických osob. Sdružuje ISP v ČR za účelem vzájemného propojení jejich informačních sítí. Tím je de facto umožněno fungování kyberprostoru. Srov. NIX.CZ [online]. NIX.CZ, z.s.p.o. [cit. 14. 3. 2014]. Dostupné z: http://www.nix.cz 256 Srov. KRČMÁŘ, Petr. Šest organizací se v NIX.CZ spojilo do Bezpečné VLAN. ROOT.CZ [online]. Root.cz, publikováno 3. 2. 2014 [cit. 14. 3. 2014]. ISSN 1212-8309. Dostupné z: http://www.root.cz/clanky/sest-organizaci-se-v-nix-cz-spojilo-do-bezpecne-vlan/ 257 Srov. SPĚŠNÝ, op. cit. 258 Viz Pravidla Bezpečná VLAN ver 1.0 cz. NIX.CZ: Důležité dokumenty [online]. NIX.CZ [cit. 14. 3. 2014]. Dostupné z: http://www.nix.cz/cs/file/PRAVIDLA_BEZP_VLAN_V1.0CZ 259 Remotely Triggered Black Hole Filtering – jde o technologii umožňující blokovat nežádoucí komunikaci ještě předtím, než vstoupí do chráněné informační sítě. Srov. Remotely Triggered Black Hole Filtering – Destination based and source based. Cisco Systems [online]. Cisco Systems, Inc. [cit. 14. 3. 2014]. Dostupné z: http://www.cisco.com/c/dam/en/us/products/collateral/security/ios-network-foundation-protectionnfp/prod_white_paper0900aecd80313fac.pdf 260 Peering je vzájemné propojení dvou technologicky rovnocenných informačních sítí za účelem vzájemné datové výměny. 261 Vedle peeringového centra NIX.CZ je od roku 2013 spuštěno i konkurenční peeringové centrum. Srov. VYLEŤAL, Martin. NIX.CZ má novou konkurenci, majitel SuperHostingu spustil peeringové centrum. LUPA.cz [online]. Lupa.cz, publikováno 2. 9. 2013 [cit. 14. 2. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/nix-cz-ma-novou-konkurenci-majitel-superhostingu-spustil-peeringove-centrum/
85
členy NIX.CZ zúčastněné na projektu Bezpečná VLAN262 a jimi spravované kybersystémy, je kybernetická bezpečnost zajišťovaná z jejich vlastní iniciativy nepochybně na vysoké úrovni. Obdobně je na tom řada dalších ISP. Účelem tohoto způsobu zajišťování kybernetické bezpečnosti je především ochrana vlastních obchodních zájmů, které se realizují soukromoprávními vztahy. Nicméně účelem národní kybernetické bezpečnosti je ochrana veřejných dober, zájmů státu. Jestliže fungování určitých částí kyberprostoru podmiňuje schopnost státu zabezpečovat své zájmy, vstupuje stát prostřednictvím veřejnoprávní regulace do kyberprostoru. Nezbytnou součástí praktického zajišťování bezpečnosti je sběr a vyhodnocování informací o bezpečnostním prostředí. Je přirozené, že v řadě případů jsou relevantní informace získatelné pouze zpravodajskými postupy, které většinou znamenají zásah do práva na informační sebeurčení. Zvláště pravomoci zpravodajských služeb jsou v tomto ohledu relativně široké (viz kap. 4.1.4). Ani v případě takových postupů nelze vynechat požadavky na proporcionalitu a zákonem stanovenou proceduru. Pro úplnost dodejme, že shromažďování a vyhodnocování informací z kyberprostoru může být nezbytnou součástí i při odhalování kriminality. Právní instituty, které jsou v alespoň potenciální kolizi (nikoliv nutně neústavní) s právem na informační sebeurčení, jsou například informátor podle § 73 zákona o Policii ČR263, krycí prostředky podle § 74 téhož zákona, domovní prohlídka podle §§ 82 a 83 trestního řádu264, manipulace s poštovními zásilkami podle §§ 86 až 87c téhož zákona a nelze vynechat ani institut odposlechu a záznamu telekomunikačního provozu podle §§ 88 a 88a téhož zákona. Zajímavým právním problémem jsou právní aspekty užívání tzv. honeypotů, což jsou sice běžné kybersystémy (servery) zapojené v kyberprostoru, ovšem se specifickým účelem. Honeypot je aktivní prvek zapojený v informační síti, jehož účelem je být napaden a kompromitován kybernetickými bezpečnostními incidenty. Aby honeypot byl atraktivní pro útočníky (hackery), jde zpravidla o systém, který vykazuje známé zranitelnosti.265 Účelem honeypotů je tedy přitahovat hackerské a obdobné aktivity, díky tomu sbírat údaje o kybernetických útocích a usnadnit
262
Prozatím jde o šest subjektů: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR. Srov. KRČMÁŘ, op. cit. 263 Srov. zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 21. 2. 2014]. 264 Srov. zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 21. 2. 2014]. 265 Srov. SCHAUFENBUEL, Bradley J. The Legality of Honeypots. ISSA Journal [online]. Information Systems Security Association, 2008 [cit. 27. 2. 2014]. Dostupné z: http://www.jdsupra.com/post/fileServer.aspx?fName=cba3901d-d1b2-4da4-9ff2-ba88e3ddfe2f.pdf
86
prevenci, ale také represi v oblasti kybernetické bezpečnosti. Právní režim honeypotu se bude měnit v závislosti na jeho provozovateli (soukromoprávní subjekt, veřejnoprávní subjekt, orgán činný v trestním řízení) a v závislosti na účelu jeho provozování266. Účelem honeypotu může být sběr a vyhodnocování bezpečnostních informací s cílem získání poznatků umožňujících zvýšení úrovně kybernetické bezpečnosti, ale také identifikace původce opakujících se kybernetických bezpečnostních incidentů. Využívání honeypotů státním orgánem zejména v trestním řízení je v potenciální kolizi s právem na informační sebeurčení a právem na spravedlivý proces. Je-li nicméně honeypot veřejnoprávní institucí využíván výhradně pro získávání anonymizovaných poznatků o bezpečnostním prostředí, lze střet s právem na spravedlivý proces vyloučit. Kybernetické bezpečnostní incidenty, resp. útoky mohou mít právní relevanci i v rámci mezinárodního práva veřejného. V roce 2010 běloruská společnost VirusBlokAda objevila267 virus Stuxnet, který byl velkým překvapením. Šlo o malware typu červ (worm) vyznačující se tím, že se sám šířil prostřednictvím chyb v operačním systému Windows268. Přitom jeho cílem nebyly koncové stanice běžných uživatelů, ale průmyslové řídicí systémy (tzv. Programmable Logic Controllers, jejichž výrobcem byla v tomto případě německá společnost Siemens AG) a především průmyslová zařízení jimi řízená269. Těmito zařízeními byly podle jedné z interpretací kauzy Stuxnet centrifugy pro obohacování uranu v íránském jaderném středisku ve městě Natanz270. Ovšem o tom, do jaké míry Stuxnet skutečně ovlivnil chod jaderného střediska (před objevením viru se ve středisku nápadně zvýšila poruchovost centrifug, nicméně existují i jiná vysvětlení), se vedou spory271. Podstatné na případu viru Stuxnet je, že byl zaměřen na průmyslová zařízení
266
Srov. RADCLIFFE, Jerome. CyberLaw 101: A primer on US laws related to honeypot deployments. SANS Institute [online]. Swansea: SANS Institute, 2007 [cit. 27. 2. 2014]. Dostupné z: http://www.sans.org/reading-room/whitepapers/legal/cyberlaw-101-primer-laws-related-honeypotdeployments-1746 267 Srov. BRŮCHA, Filip. Je Stuxnet nejlepším virem současnosti? Computerworld [online]. Praha: IDG, publikováno 18. 9. 2010 [cit. 24. 2. 2014]. Dostupné z: http://computerworld.cz/securityworld/je-stuxnetnejlepsim-virem-soucasnosti-7720 268 Srov. KUSHNER, David. The Real Story of Stuxnet. IEEE Spectrum [online]. IEEE, publikováno 26. 2. 2013 [cit. 24. 2. 2014]. Dostupné z: http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet 269 Srov. DE FALCO, Marco. Stuxnet Facts Report. A Technical and Strategic Analysis. NATO CCD COE Portal [online]. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence, publikováno 14. 6. 2012 [cit. 24. 2. 2014]. Dostupné z: https://portal.ccdcoe.org/documents/10361/29785/Stuxnet+Facts+Report.+A+Technical+and+Strategic+An alysis.pdf 270 Tamtéž. 271 Tamtéž.
87
v bezpečnostně citlivých provozech272 a skutečně způsobil nebo alespoň měl skutečný potenciál způsobit vážné škody nikoliv pouze v kyberprostoru, ale přímo ve fyzickém světě273. Stuxnet se navíc šířil přes přenosná paměťová zařízení (USB flash disky), což mu umožňovalo efektivně napadat i systémy chráněné tím, že byly zcela a trvale odpojeny od internetu (napadení svých zařízení virem Stuxnet oznámila rovněž americká energetická společnost Chevron)274. Původce viru není znám. S ohledem na jeho vlastnosti a zaměření je však pravděpodobné, že byl vyvinut a použit za podpory nějakého státu275. Experti se dohadují, zda to bylo spojenectví USA a Izraele, Rusko, Čína nebo jiný stát276. Důležitou právní otázkou spojenou s kybernetickými útoky nejen tohoto druhu je otázka jejich mezinárodněprávního charakteru, zejména zda a kdy lze kybernetický útok považovat za použití síly zapovězené čl. 2 odst. 4 Charty OSN277. K. Ziolkowská uvádí, že pojem „síla“ v čl. 2 odst. 4 Charty OSN lze vykládat pouze jako ozbrojenou sílu278. Přestože neznamenají uvolnění jakékoliv kinetické energie, je jejich (biologických a chemických zbraní) použití považováno za použití „ozbrojené síly“ proto, že jejich účelem je způsobit smrt nebo zranění. Toto pojetí zaměřené ne na prostředek, ale na důsledek, dobře koresponduje s přístupem mezinárodního práva veřejného rovněž zaměřeného na důsledek. Většina vědců proto považuje zlovolné kybernetické aktivity za použití ozbrojené síly tehdy, jestliže jimi způsobené efekty jsou srovnatelné s důsledky mechanických (fyzických), biologických nebo chemických zbraní.279
A. C. Foltz uvádí, že k aplikaci zákazu použití síly lze přistoupit více způsoby. Vedle výše uvedeného, zaměřeného na srovnatelnost důsledků s fyzickým útokem, někteří vědci připouštějí, že i kybernetický útok, který se neprojevil ve fyzickém světě, ale například masivní ztrátou důležitých dat, může být zakázaným použitím síly. Klíčový je
272
Podle zjištění americké společnosti Symantec bylo v srpnu 2010 virem Stuxnet napadeno 62.867 počítačů v Íránu, 13.336 počítačů v Indonésii atd. Srov. RICHARDSON, John. Stuxnet as Cyberwarfare: Applying the Law of War to the Virtual Battlefield. Social Science Research Network [online]. JMR Portfolio Intelligence, 2011 [cit. 24. 2. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1892888 273 Srov. RICHARDSON, John. Stuxnet as Cyberwarfare: Applying the Law of War to the Virtual Battlefield. Social Science Research Network [online]. JMR Portfolio Intelligence, 2011 [cit. 24. 2. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1892888 274 Srov. KUSHNER, op. cit. 275 Tamtéž. 276 Srov. DE FALCO, op. cit. 277 Srov. vyhláška ministra zahraničních věcí č. 30/1947 Sb., o chartě Spojených národů a statutu Mezinárodního soudního dvora, sjednaných dne 26. června 1945 na konferenci Spojených národů o mezinárodní organisaci, konané v San Francisku, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 24. 2. 2014]. 278 Srov. ZIOLKOWSKI, Katharina. Stuxnet – Legal Considerations. NATO CCD COE Portal [online]. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence, publikováno 16. 1. 2012 [cit. 24. 2. 2014]. Dostupné z: https://portal.ccdcoe.org/documents/10361/29785/Stuxnet+-+Legal+Considerations.pdf 279 Tamtéž.
88
v takovém případě rozsah škod.280 M. N. Schmitt v oponentuře vůči K. Ziolkowské namítá, že ne každé použití síly spadající pod zákaz v čl. 2 odst. 4 Charty OSN musí být ozbrojené. M. N. Schmitt navrhuje kriteriální systém pro mezinárodněprávní kvalifikaci kybernetických útoků281, ale sám jej považuje pouze za pomůcku s tím, že k aplikaci čl. 2 odst. 4 Charty OSN na kybernetické útoky se nejprve bude muset na základě praxe států vyvinout mezinárodněprávní obyčej.282 Zákaz použití síly podle čl. 2 odst. 4 Charty OSN se v každém případě vztahuje pouze na jednání přičitatelná členským státům OSN. Proto vedle srovnatelnosti důsledků s důsledky fyzického útoku, nebo vedle jiných kritérií, je nutnou podmínkou aplikace zákazu použití síly podle Charty OSN přičitatelnost použití počítačového viru (malware) členskému státu OSN283. Pokud je použití malware přičitatelné nečlenskému státu OSN, platí zákaz použití síly ve stejné míře, ale nikoliv na základě čl. 2 odst. 4 Charty OSN, ale na základě mezinárodněprávního obyčeje stejného obsahu284. Pokud malware použil nestátní aktér, jde rovněž o protiprávní jednání, nejde však o porušení zákazu použití síly. I když použití malware nedosahuje intenzity porušení zákazu použití síly, neznamená to automaticky, že není protiprávní podle mezinárodního práva. Může jít o porušení zásady zákazu zasahování (intervence)285. Avšak i intervence je podle mezinárodního práva protiprávní pouze, pokud dosáhne určité intenzity, které nedosahuje například špionáž, neoprávněné získávání obsahu apod.286 Ze zákazu použití síly dle čl. 2 odst. 4 Charty OSN existují dvě výjimky, a to pokud by se jednalo o akt sebeobrany podle čl. 51 Charty OSN anebo o použití síly v souladu s čl. 42 Charty OSN287. K. Ziolkowská uzavírá, že s ohledem na diskutabilnost existence škod, které měl Stuxnet způsobit, nedosahovala jeho použitím způsobená protiprávnost intenzity nutné pro poru-
280
Srov. FOLTZ, Andrew C. Stuxnet, Schmitt Analysis, and the Cyber “Use-of-force“ Debate. Joint Force Quarterly [online]. Issue 67, 4th quarter, 2012 [cit. 25. 2. 2014]. ISSN 1070-0692. Dostupné z: http://www.dtic.mil/doctrine/jfq/jfq-67.pdf 281 Kriteriální systém se skládá ze sedmi kritérií: závažnost (severity), bezprostřednost (immediacy), přímost příčinného vztahu mezi kybernetickým útokem a jeho důsledky (directness), invazivnost (invasiveness), měřitelnost dopadů útoku (measurability), pravděpodobnost legitimace kybernetického útoku pro případ, že by proběhl jinými metodami (presumptive legitimacy) a přičitatelnost subjektu mezinárodního práva (responsibility). FOLTZ, op. cit. 282 Srov. SCHMITT, Michael N. The ‘Use of Force‘ in Cyberspace: A Reply to Dr Ziolkowski. NATO CCD COE [online]. Tallinn: NATO CCD COE, 2012 [cit. 24. 2. 2014]. Dostupné z: http://www.ccdcoe.org/publications/2012proceedings/5_4_Schmidt_ResponseToZiolkowski.pdf 283 Srov. SCHMITT, Michael N. ed. Tallinn Manual on the International Law Applicable to Cyber Warfare. NATO CCD COE [online]. Tallinn: NATO CCD COE, 2013 [cit. 24. 2. 2014]. Dostupné z: http://issuu.com/nato_ccd_coe/docs/tallinnmanual/1?e=0 284 Tamtéž. 285 Tamtéž. 286 Tamtéž. 287 Srov. SCHMITT, 2012, op. cit.
89
šení norem mezinárodního práva veřejného288. Bez ohledu na účel a „úspěšnost“ viru Stuxnet je zřejmé, že podobně zaměřené malware může v budoucnu způsobit závažné škody srovnatelné s fyzickým útokem. Použití takového malware by pak mohlo být právně kvalifikováno i jako porušení norem mezinárodního práva veřejného. Obdobným případem je kauza řídicích systémů japonské společnosti Yokogawa289. Experti ze společnosti Rapid7 oznámili, že ohroženo je téměř 7600 prvků kritické infrastruktury chemických, petrochemických a elektrárenských provozů po celém světě290. Objevené tři zranitelnosti mimo jiné umožňují vnucení a spuštění libovolné procedury. Smysl a účel nástrojů kybernetické bezpečnosti můžeme rozdělit do dvou větví. Jednak je smyslem a účelem nástrojů kybernetické bezpečnosti v národním měřítku ochrana nedistributivního práva na bezpečnost a jednak jím je ochrana kyberprostoru v pokojném a funkčním stavu. Druhá větev směřuje zejména k zajištění nerušeného výkonu distributivního práva na informační sebeurčení v prostředí kyberprostoru. Hodnoty, k jejichž ochraně směřují jednotlivé složky komplexního práva na informační sebeurčení, jsou soukromí, svoboda vyjadřování, shromažďování a uchovávání informací apod. Důsledkem realizace nedistributivního práva na kybernetickou bezpečnost jsou akcesorická informační práva státu, která vedle práva informační sebeurčení mohou kolidovat s vlastnickým právem a v některých případech i s právem na spravedlivý proces.
288
Srov. ZIOLKOWSKI, op. cit. Společnost Yokogawa existenci objevených zranitelností uznala. Srov. Yokogawa Security Advisory Report. Yokogawa: Security [online]. Yokogawa Electric Corporation, publikováno 7. 3. 2014 [cit. 25. 3. 2014]. Dostupné z: http://www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf 290 Srov. PAGANINI, Pierluigi. Nearly 7600 critical infrastructure vulnerable to bugs in Yokogawa App. Security Affairs [online]. Publikováno 16. 3. 2014 [cit. 25. 3. 2014]. Dostupné z: http://securityaffairs.co/wordpress/23085/security/7600-yokogawa-scada-application-vulnerable.html. Citováno dle Téměř 7 600 prvků kritické infrastruktury je zranitelné chybami v aplikaci Yokogawa. CSIRT.CZ: Aktuálně z bezpečnosti [online]. CZ.NIC, publikováno 16. 3. 2014 [cit. 25. 3. 2014]. Dostupné z: http://www.csirt.cz/news/security/ 289
90
4 Institucionální a právní zajištění kybernetické bezpečnosti 4.1 Institucionální a právní zajištění kybernetické bezpečnosti ČR Různými aspekty kybernetické bezpečnosti ČR se nepřímo či podpůrně zabývá více institucí, resp. organizací. V dalším textu se budeme zabývat pouze institucemi, resp. organizacemi s celostátní působností. Předmětem našeho zájmu nejsou subjekty, které se zabývají následky případných kybernetických bezpečnostních incidentů, ale ty, k jejichž činnosti patří nebo mají patřit aktivity směřující k zajištění kybernetické bezpečnosti. Většina aktivit v oblasti kybernetické bezpečnosti je prováděna preventivně s cílem předejít kybernetickým útokům. Jestliže však hrozba kybernetického útoku dostoupí určité míry anebo k němu dojde, jsou prováděna operativní opatření s cílem útok odrazit a minimalizovat způsobené škody. Průběžně nebo následně jsou řešeny následky kybernetického útoku, které jsou buď faktické nebo právní. Může být zahájeno trestní stíhání, uplatněna správní odpovědnost anebo může být soukromoprávní cestou vymáhána škoda. Na úseku kybernetické bezpečnosti mají působnost zejména následující instituce:
Národní bezpečnostní úřad (dále jen NBÚ), pracoviště Národní centrum kybernetické bezpečnosti (dále jen NCKB), vládní Computer Emergency Response Team (dále jen CERT),
Rada pro kybernetickou bezpečnost (dále jen RKB),
Armáda ČR (dále jen AČR),
Zpravodajské služby: o Bezpečnostní informační služba (dále jen BIS), o Úřad pro zahraniční styky a informace (dále jen ÚZSI), o Vojenské zpravodajství (dále jen VZ),
Orgány činné v trestním řízení,
CSIRT.CZ, tj. národní CERT291. Problematiku kybernetické bezpečnosti musí řešit prakticky každá větší organizace.
Tím spíše ji musí řešit větší ISP, státní orgány a stát. Organizace, k jejíž činnosti se váže
291
CSIRT.CZ nemá právní subjektivitu a je soukromoprávním subjektem. Jde o součást zájmového sdružení právnických osob CZ.NIC, z.s.p.o., která byla ustanovena na základě Memoranda o Computer security incident response team České republiky. Memorandum bylo uzavřeno dne 9. 12. 2010 mezi Ministerstvem vnitra ČR a CZ.NIC, z.s.p.o. S účinností od 1. 4. 2012 bylo toto memorandum nahrazeno obdobným memorandem mezi NBÚ a CZ.NIC, z.s.p.o.
91
zvýšené riziko kybernetického bezpečnostního incidentu, je nucena zahrnout do své organizační struktury útvar zabývající se kybernetickou bezpečností. Obsah činnosti takových útvarů je vždy komplexem aktivit směřujících k prevenci kybernetických bezpečnostních incidentů a odstraňování jejich následků. Význam pojmů CSIRT a CERT ač původně odlišný je dnes prakticky totožný292. CERT/CSIRT293 týmy, česky a volně řečeno bezpečnostní týmy, tak vedle státu mohou mít velké obchodní korporace, státní orgány, sdružení osob (národní CERT ČR) apod. Základní odlišností CERT/CSIRT týmu od běžného bezpečnostního týmu je v tom, že CERT/CSIRT spolupracuje s obdobnými týmy jiných subjektů a jeho postupy jsou formalizovány294. CERT/CSIRT týmy se za účelem spolupráce mezinárodně sdružují, což významně zvyšuje jejich schopnost dosáhnout až ke zdroji kybernetického bezpečnostního incidentu. V Evropě je takovým „profesním“ sdružením organizace Trusted Introducer Service295 se sídlem v Hamburku. Požadavky na CERT/CSIRT týmy jsou standardizovány standardem RFC 2350296. Podstatnou součástí NZKB je úprava působností vládního (součást NCKB, resp. NBÚ) a národního CERT (oficiální název je CSIRT.CZ a jde o součást sdružení CZ.NIC, z.s.p.o.297) a úprava vztahu vybraných subjektů k oběma CERT. Český tým CSIRT.CZ, tedy národní CERT, vznikl v roce 2008 a v organizaci Trusted Introducer Service má nyní status akreditovaného týmu298. V kap. 3.5 je navržena taxonomie bezpečnostních opatření v kyberprostoru z hlediska faktického. Z kompetenčního hlediska můžeme institucionální aktivity v oblasti zajišťování kybernetické bezpečnosti rozdělit následovně:
(legislativně) preventivní opatření,
aktivní protiopatření,
292
Srov. PETERKA, Martin. Role a počet bezpečnostních týmů rostou. Co o nich ale víme? LUPA.cz [online]. Internet Info, s.r.o., publikováno 13. 5. 2011 [cit. 4. 1. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/role-a-pocet-bezpecnostnich-tymu-rostou-co-o-nich-ale-vime/ 293 Tuto kombinací obou zkratek budeme používat na znak toho, že jsou dnes fakticky zaměnitelné. 294 Srov. PETERKA, Martin, op. cit. 295 Srov. Services for Security and Incident Response Teams. Trans-European Research and Education Networking Association: Trusted Introducer [online]. Trans-European Research and Education Networking Association [cit. 4. 1. 2014]. Dostupné z: http://www.trusted-introducer.org 296 Standardy RFC (Request For Comment) vydává a spravuje organizace IETF. Srov. Internet Engineering Task Force [online]. Internet Engineering Task Force [cit. 4. 1. 2014]. Dostupné z: http://www.ietf.org 297 NZKB samozřejmě nehovoří o konkrétním subjektu coby národním CERT. Tím se stane subjekt, se kterým NBÚ uzavře veřejnoprávní smlouvu podle § 19 NZKB. Lze nicméně předpokládat, že ke změně v osobě provozovatele národního CERT nedojde. 298 Srov. Team Database. Trans-European Research and Education Networking Association: Trusted Introducer [online]. Trans-European Research and Education Networking Association [cit. 4. 1. 2014]. Dostupné z: https://www.trusted-introducer.org/directory/country_A.html
92
koordinační aktivity dotčených institucí,
monitorování kybernetické bezpečnostní situace,
zajišťování obrany před kybernetickými útoky,
řešení právních následků kybernetických útoků nebo jejich závažné hrozby. Následující tabulka vymezené okruhy činností na úseku kybernetické bezpečnosti
přiřazuje nejvíce relevantním, výše uvedeným, institucím. Instituce
Preven-
Aktivní
Koordi-
Monitoro-
Zajišťo-
Řešení
tivní
protiopat-
nační ak-
vání situa-
vání ob-
práv.
opatření
ření
tivity
ce
rany
následků
NBÚ
Ano
Ano
RKB
Ano
Ano
Ano
Ano
Ano
AČR
Ano
Zpravodaj-
Ano
ské služby Orgány
Ano
činné v tr. řízení Národní
Ano
Ano
CERT Tab. 5. Okruhy činností na úseku kybernetické bezpečnosti a jednotlivé instituce. Vrcholným nositelem odpovědným za praktickou realizaci kybernetické bezpečnosti je Vláda ČR. Své úkoly na tomto poli zajišťuje prostřednictvím dále uvedených institucí.
4.1.1 Národní bezpečnostní úřad NBÚ je v oblasti kybernetické bezpečnosti klíčová instituce. Vláda ČR svým usnesením299 ustavila NBÚ gestorem problematiky kybernetické bezpečnosti a zároveň národ-
299
Srov. usnesení vlády č. 781 ze dne 19. 10. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 6. 1. 2014]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2&p_p_state=normal&p_ p_mode=view&p_p_resource_id=downloadAttachment&p_p_cacheability=cacheLevelPage&p_p_col_id=c olumn-2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BUKZ3E
93
ní autoritou pro tuto oblast. Týmž usnesením vláda schválila vznik NCKB se sídlem v Brně jakožto součásti NBÚ. Teprve NZKB300 má vybavit NBÚ, resp. NCKB, dále popsanými pravomocemi. Legislativně preventivní opatření v působnosti NBÚ jsou na obecné úrovni soustředěna v NZKB, najdeme je však také v jiných předpisech. Jejich podstatou je právní úprava směřující k minimalizaci pravděpodobnosti narušení kybernetické bezpečnosti. Například zákon o ochraně utajovaných informací301 (UtajInf), upravuje v § 34 a násl. povinnost certifikace informačních a komunikačních systémů, které nakládají s utajovanými skutečnostmi, v § 37 a násl. upravuje právní institut kryptografické ochrany utajovaných informací a v § 45 upravuje ochranu informací před jejich únikem kompromitujícím vyzařováním57. Úřadem vykonávajícím státní správu podle tohoto zákona je NBÚ. NZKB obsahuje obecnou úpravu s cílem zabezpečení ČR před kybernetickými bezpečnostními incidenty302. Smyslem a účelem NZKB je ochrana specifických informačních a komunikačních systémů před kybernetickými bezpečnostními incidenty303. Tyto informační a komunikační systémy jsou v NZKB vymezeny § 3 cestou určení okruhu orgánů a osob, kterým se v oblasti kybernetické bezpečnosti mají ukládat právní povinnosti (dále jen „povinné osoby“). Povinnými osobami jsou stručně řečeno správci systémů kritické informační infrastruktury (KII), správci významných informačních systémů304, správci významných sítí305 a poskytovatelé služeb elektronických komunikací ve smyslu ZEK. Součástí NCKB je vládní CERT, jehož působnost bude upravovat § 20 NZKB. Vládní CERT je partnerem povinným osobám spravujícím systémy KII anebo podstatné systémy orgánů veřejné moci (§ 3 písm. c) až e) NZKB). NZKB zavádí vedle vládního CERT instituci národního CERT (nyní CSIRT.CZ), který je partnerem povinným oso-
300
Další text pro zjednodušení svým jazykovým stylem předpokládá, že zákon o kybernetické bezpečnosti již platí a je účinný. 301 Srov. zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 6. 1. 2014]. 302 Srov. důvodová zpráva k NZKB. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Publikováno 28. 6. 2013 [cit. 6. 1. 2014]. Dostupné z: http://www.govcert.cz/download/nodeid1855/ 303 Tamtéž. 304 Tím je dle § 2 písm. d) NZKB takový informační systém, který není kritickou informační infrastrukturou a současně by narušení jeho bezpečnosti mohlo omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. 305 Tou je dle § 2 písm. g) NZKB síť, která buď zajišťuje přímé zahraniční spojení anebo přímé připojení ke kritické informační infrastruktuře.
94
bám, které jsou stručně řečeno buď poskytovateli služeb elektronických komunikací anebo správci významných sítí. Provozovatelem národního CERT se stane subjekt, který s NBÚ uzavře veřejnoprávní smlouvu podle § 19 NZKB. Vzhledem k tomu, že NZKB ještě není platný, je právním základem vládního CERT prozatím shora uvedené vládní usnesení. Národní CERT je provozován sdružením CZ.NIC na základě memoranda uzavřeného s NBÚ291. NZKB pracuje se dvěma mimořádnými bezpečnostními stavy – nouzový stav a stav kybernetického nebezpečí. Nouzový stav je upraven BezpČR. Podmínky vyhlášení nouzového stavu jsou upraveny zejména v čl. 2 odst. 1 BezpČR, kdy musí být bezprostředně ohrožena svrchovanost, územní celistvost anebo demokratické základy státu a to v jakémkoli rozsahu. Nouzový stav lze také vyhlásit, pokud je ve značném rozsahu ohrožen vnitřní pořádek, bezpečnost, životy, zdraví, majetkové hodnoty, životní prostředí anebo pokud je třeba plnit mezinárodní závazky o společné obraně. Stav kybernetického nebezpečí je speciální institut NZKB. § 21 odst. 1 NZKB jej definuje jako stav, kdy je ve značném rozsahu ohrožena bezpečnost informací, bezpečnost a integrita služeb a sítí elektronických komunikací a z příčiny tohoto ohrožení může dojít k ohrožení nebo porušení zájmu ČR tak, jak je definován v § 2 písm. b) UtajInf. Zájem státu je v § 2 písm. b) UtajInf definován obdobně jako jsou v čl. 2 odst. 1 BezpČR vymezeny podmínky pro vyhlášení nouzového stavu. UtajInf však neklade žádné další podmínky, jako je bezprostřednost hrozby nebo její značný rozsah. § 21 odst. 3 NZKB klade negativní podmínku vyhlášení stavu kybernetického nebezpečí, když stanoví, že tento stav nelze vyhlásit, pokud lze hrozbu odvrátit činností NBÚ dle NZKB. Zatímco nouzový stav vyhlašuje Vláda ČR, stav kybernetického nebezpečí vyhlašuje ředitel NBÚ. Stav kybernetického nebezpečí je tedy volnější formou než nouzový stav. Je jeho předstupněm (což plyne i z § 21 odst. 6 NZKB). Podstatnou změnou, kterou stav kybernetického nebezpečí přináší je pravomoc NBÚ ukládat reaktivní opatření dle § 13 NZKB rovněž povinným osobám dle § 3 písm. a) a b) NZKB, což jsou v naprosté většině případů soukromoprávní subjekty. Základní prevenční povinností podle NZKB je povinnost povinných osob uvedených v § 3 písm. c) až e) NZKB v nezbytném rozsahu zavést a provádět bezpečnostní opatření vymezená v taxativních výčtech v § 5 NZKB. Současně jsou tyto povinné osoby povinny vést bezpečnostní dokumentaci. Povinné osoby dle § 3 písm. b) až e) mají dle § 7 odst. 3 NZKB povinnost zjišťovat kybernetické bezpečnostní události. Podle § 8 NZKB jsou pak tyto povinné osoby povin95
ny hlásit kybernetické bezpečnostní incidenty buď národnímu (osoby dle § 3 písm. b) NZKB) nebo vládnímu CERT (ostatní osoby). NBÚ je pak dle § 9 NZKB povinen kybernetické bezpečnostní incidenty evidovat. Povinná osoba Bezpečnostní
Detekční a
Reaktivní
Ochranné
Hlášení kon-
opatření a
ohlašovací
opatření dle
opatření
taktních
bezpečnostní
povinnost
§ 13
dle § 14
údajů dle §
dokumentace
dle §§ 7 a 8
16
dle § 4 Poskytovatel služby elektronických komunikací
Ano za stavu -
-
kybernetického nebez-
306
Správce významné sítě307
Ano, hlásí -
národnímu CERT
Správce infor-
-
Ano
mačního sys-
Ano, hlásí
národnímu
pečí nebo za nouzového stavu Ano
Ano, hlásí
CERT -
Ano
NBÚ
Ano, hlásí NBÚ
tému KII308 Správce ko-
Ano
munikačního
Ano, hlásí
Ano
Ano
NBÚ
Ano, hlásí NBÚ
systému KII Správce významného in-
Ano
Ano, hlásí
Ano
NBÚ
Ano
Ano, hlásí NBÚ
formačního systému Tab. 6. Přehled povinností ukládaných NBÚ podle NZKB.
306
Poskytovatel služby elektronických komunikací může současně být správcem významné sítě, pak vstupuje do právního režimu správce významné sítě, nebo může současně být správcem komunikačního systému kritické informační infrastruktury a pak (i kdyby byl správcem významné sítě) vstupuje do právního režimu správce komunikačního systému informační infrastruktury. 307 Správce významné sítě může současně být správcem komunikačního systému kritické informační infrastruktury a pak vstupuje do právního režimu správce komunikačního systému informační infrastruktury. 308 Kritická informační infrastruktura.
96
Všechny povinné osoby jsou dle § 16 NZKB povinny nahlašovat národnímu, resp. vládnímu CERT své kontaktní údaje, a to jak obecné, tak i kontaktní údaje osoby zodpovědné za kybernetickou bezpečnost v dané instituci. V oblasti aktivního zajišťování kybernetické bezpečnosti má NBÚ, vedle svých kontrolních pravomocí, oprávnění provádět opatření dle § 11 a násl. NZKB, kterými jsou buď varování, reaktivní nebo ochranné opatření. Opatření mohou být provedena, pokud je identifikována kybernetická bezpečnostní hrozba nebo již nastal kybernetický bezpečnostní incident. Jestliže se NBÚ dozví o existenci kybernetické bezpečnostní hrozby, má povinnost vydat varování a to zveřejněním na WWW stránkách a přímým informováním povinných osob309. Podle § 13 může NBÚ uložit povinným osobám (některým až za stavu kybernetického nebezpečí) provést reaktivní opatření, kterým může uložit buď určitým způsobem řešit kybernetický bezpečnostní incident nebo provést určité zabezpečení předmětných kybersystémů. Reaktivní opatření může NBÚ vydat buď ve formě rozhodnutí, ukládá-li povinnost určitému okruhu adresátů, nebo ve formě opatření obecné povahy, ukládá-li povinnost blíže neurčenému okruhu orgánů a osob. Vzhledem k nutnosti reagovat rychle, obsahují §§ 13 až 15 speciální úpravu, která umožňuje zrychlený postup (rozhodnutí dle § 13 odst. 1 NZKB je ex lege prvním úkonem ve věci, nepřípustnost odkladného účinku rozkladu aj.). Podle § 13 odst. 4 NZKB jsou povinné osoby následně povinny informovat NBÚ o výsledku aplikace reaktivního opatření. Jestliže po provedení analýzy již proběhlého kybernetického bezpečnostního incidentu NBÚ sezná, že je třeba u dotčených kybersystémů osob dle § 3 písm. c) až e) NZKB zvýšit jejich zabezpečení, vydá dle § 14 odst. 1 NZKB ochranné opatření formou opatření obecné povahy. Ustanovení § 14 odst. 2 NZKB zdvojuje ustanovení odst. 1 a lze jej patrně považovat za jeho konkretizaci. NBÚ tedy ochranným opatřením stanoví způsob zvýšení ochrany dotčených kybersystémů a lhůtu k jeho provedení. Z hlediska povinných osob uvedených v § 3 písm. c) až e) tvoří jednotlivé právní instituty NZKB hierarchický systém. Ustanovení §§ 4 až 6 NZKB (bezpečnostní opatření) ukládají za účelem prevence310 trvalou a bezpodmínečnou povinnost zajistit určitý bezpečnostní standard dotčených kybersystémů. Jen v případě výskytu kybernetického bez-
309
Za tím účelem využije jejich kontaktní údaje, které eviduje na základě § 16 NZKB. Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 6. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888 310
97
pečnostního incidentu vzniká ohlašovací povinnost dle § 8 NZKB. Reaktivní opatření NBÚ vydá výhradně za účelem vymezeným v § 13 odst. 1 NZKB a to pouze pokud hrozí nebo se vyskytne incident a vydání reaktivního opatření se současně ukáže jako nezbytné (§ 11 odst. 1 NZKB). Ochranné opatření k NBÚ vydá výhradně za účelem vymezeným v § 14 odst. 1 NZKB a to pouze pokud se vyskytl incident, potřebu vydání ochranného opatření ukáže analýza a vydání ochranného opatření se současně ukáže jako nezbytné (§ 11 odst. 1 NZKB). Podle § 23 NZKB vykonává NBÚ kontrolu nad dodržováním povinností vyplývajících z NZKB a povinností uložených na základě NZKB. Jestliže NBÚ při kontrole zjistí nedostatky, uložení dotčenému subjektu povinnost je odstranit. Pokud však v důsledku zjištěných nedostatků bezprostředně hrozí kybernetický bezpečnostní incident, který má potenciál způsobit významné poškození nebo zničení kybersystému dle § 3 písm. c) až e), může NBÚ do doby odstranění nedostatků používání takového kybersystému nebo jeho části dokonce zakázat. Lze předpokládat, že a maiori ad minus může NBÚ uložit i omezení fungování daného kybersystému.
4.1.2 Rada pro kybernetickou bezpečnost Vláda ČR svým výše citovaným usnesením č. 781 ze dne 19. 10. 2011 zřídila i RKB, která je podle svého statutu koordinačním a poradním orgánem předsedy Vlády ČR pro oblast kybernetické bezpečnosti a podpůrným orgánem NBÚ. Mezi jejími aktivitami dominuje koordinační role.
4.1.3 Armáda ČR Základním úkolem ozbrojených sil, jejichž hlavní složkou je AČR311, je podle § 9 odst. 1 zákona o ozbrojených silách ČR312 (dále jen OzbrS), připravovat se k obraně státu a bránit jej proti vnějšímu napadení. AČR může být použita k dalším úkolům vyjmenovaným v taxativním výčtu dle § 14 odst. 1 OzbrS. Mezi tyto další úkoly patří dle písm. b) výpomoc Policii ČR a dle písm. d) ve spojení s § 18 OzbrS odstraňování jiného hrozícího
311
Vedle AČR jsou dalšími složkami ozbrojených sil dle § 3 odst. 2 OzbrS Vojenská kancelář prezidenta republiky a Hradní stráž. 312 Srov. zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 1. 2014].
98
nebezpečí. Pojem obrany státu je vymezen v § 2 zákona o zajišťování obrany ČR 313 (dále jen ZajObr). AČR tedy může být aktivní na poli kybernetické bezpečnosti tehdy, pokud je kybernetický bezpečnostní incident součástí ozbrojeného útoku na ČR vedeného ze zahraničí; právním základem je § 9 odst. 1 OzbrS. AČR může být na dobu nezbytně nutnou povolána k pomoci Policii ČR, je-li bez této pomoci ohrožen vnitřní pořádek nebo bezpečnost; právním základem je § 14 odst. 1 písm. b) OzbrS. V závažných situacích ohrožujících život, zdraví, značné majetkové hodnoty nebo životní prostředí, když příslušný správní úřad není vybaven potřebnou technikou k odvrácení kybernetické bezpečnostní hrozby a současně si AČR k jejímu odvrácení vyžádá oprávněná osoba (vedoucí správního úřadu aj.); právní základ je § 14 odst. 1 písm. d) ve spojení s § 18 OzbrS, V prvém případě (vnější hrozba) je AČR v oblasti kybernetické bezpečnosti aktivní z vlastního podnětu. Druhý případ se, alespoň prozatím, kybernetické bezpečnosti týká spíše hypoteticky. Třetí případ sice přímo neznamená průběžnou aktivitu AČR v oblasti kybernetické bezpečnosti, avšak nutnost připravenosti na takové úkoly znamená potřebu dostatečné úrovně vybavenosti technikou i znalostmi. Aktivity armády v oblasti kybernetické bezpečnosti jsou dnes již standardní součástí vojenského života314. Nejpodstatnější a nejtypičtější je samozřejmě aktivita AČR na poli obrany státu. Základní podmínkou pro uplatnění AČR však je původ bezpečnostní hrozby v zahraničí. Legislativa nevylučuje, aby původcem hrozby legitimující zákrok ozbrojených sil, byl i nestátní subjekt. S ohledem na delokalizaci společenských vztahů v kyberprostoru (viz kap. 2.5) však může být v přiměřeném čase nemožné určit, zda má kybernetická bezpečnostní hrozba původ v zahraničí. Připomeňme, že charakter hybridních hrozeb stírá hranici mezi individuálním, zločineckým, napadením kyberprostoru a aktem války (viz kap. 3.2). Vzniká pak otázka mezí, ve kterých se mohou ozbrojené síly pohybovat při aktivním odvracení kybernetických bezpečnostních hrozeb (kap. 3.5). Vedle chráněných hodnot (§ 2 odst. 1 ZajObr, § 9 odst. 1 OzbrS, § 18 OzbrS, čl. 2 odst, 1 BezpČR) musí AČR zajišťovat také vlastní akceschopnost, tedy zajišťovat existenci účinného systému obrany státu dle § 2 odst. 1 věty druhé ZajObr, zajišťovat plánování obrany státu dle § 2 odst. 8 ZajObr a provádět operační přípravu území dle § 2 odst. 313
Srov. zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 1. 2014]. 314 Srov. CLARKE, KNAKE, op. cit.
99
6 ZajObr. AČR je tedy povinna i v době míru své kybersystémy, resp. veškeré bojové a podpůrné prostředky využívající ICT, nejen zabezpečovat, ale i aktivně chránit tak, aby zajistila svou trvalou a plnou připravenost. Kybernetický útok může předcházet vnější napadení s cílem AČR předem oslabit. V závislosti na rozsahu, zaměřenosti a povaze kybernetického útoku na prostředky AČR může být nutné i legitimní, aby byla v rozsahu nezbytně nutném provedena protiakce a to i v době míru315. Armádní obdobou týmu CERT/CSIRT je Centrum CIRC (v rámci NATO spolupracuje s NCIRC; viz kap. 4.3) se sídlem v Brně316. Centrum CIRC provozuje Agentura komunikačních a informačních systémů AČR v rámci Sekce podpory Generálního štábu AČR317.
4.1.4 Zpravodajské služby V ČR působí tři zpravodajské služby – BIS, ÚZSI a VZ. Základním předpisem je zákon o zpravodajských službách ČR318 (dále jen ZprSl). Úkolem zpravodajských služeb je zabezpečování informací. Účelem jejich veškeré činnosti může dle §2 ZprSl být pouze získávání, shromažďování a vyhodnocování informací. Okruhy, ze kterých daná zpravodajská služba zabezpečuje informace, jsou uvedeny v § 5 ZprSl. Kyberprostor mezi nimi není ani nepřímo zmíněn, je však zřejmé, že mezi ně patří. VZ zabezpečuje dle § 5 odst. 3 ZprSl informace mající původ v zahraničí a týkající se obrany ČR. ÚZSI podle § 5 odst. 2 ZprSl zabezpečuje informace s původem v zahraničí, které se týkají bezpečnosti, zahraničně politických a ekonomických zájmů státu. Působnost BIS je převážně namířena dovnitř státu, ač to v § 5 odst. 1 ZprSl není výslovně řečeno. Dle § 5 odst. 1 písm. e) ZprSl zabezpečuje BIS rovněž informace týkající se organizovaného zločinu a terorismu. Zpravodajské služby mohou dle § 5 odst. 4 ZprSl plnit také další úkoly a to stanoví-li tak zvláštní zákon nebo mezinárodní smlouva.
315
Srov. SHIMEALL, Timothy, WILLIAMS, Phil, DUNLEVY, Casey. Countering cyber war. NATO review [online]. Brusel: Severoatlantická aliance, zima 2001/2002 [cit. 16. 2. 2014]. Dostupné z: http://www.nato.int/docu/review/2001/Combating-New-Security-Threats/Countering-cyberwar/EN/index.htm 316 Srov. STRATILÍK, Ondřej. Na kybernetickou válku se chystá i armáda. Lidovky.cz [online]. MAFRA, publikováno 27. 1. 2012 [cit. 17. 2. 2014]. ISSN 1213-1385. Dostupné z: http://www.lidovky.cz/nakybernetickou-valku-se-chysta-i-armada-fp8-/zpravy-domov.aspx?c=A120126_205525_ln_zahranici_rka 317 Srov. Agentura komunikačních a informačních systémů. Armáda České republiky: Generální štáb [online]. Armáda České republiky, publikováno 19. 12. 2013 [cit. 17. 2. 2014]. Dostupné z: http://www.acr.army.cz/struktura/generalni-stab/sekce-podpory/agentura-komunikacnich-a-informacnichsystemu-86854/ 318 Srov. zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 1. 2014].
100
Jak jsme již zmínili, jev delokalizace znesnadňuje rozlišení původu informace. Proto zvláště v oblasti kybernetické bezpečnosti se mohou působnosti jednotlivých zpravodajských služeb prolínat.
4.1.5 Národní CERT Pojem národního CERT již byl vymezen výše. Základní úkoly národního CERT jsou vyjmenovány v § 17 NZKB. Národní CERT jakožto partner povinných osob dle § 3 písm. a) a b) NZKB přijímá jejich kontaktní údaje a hlášení o kybernetických bezpečnostních incidentech, dále poskytuje těmto povinným osobám podporu, anonymizované údaje o kybernetických bezpečnostních incidentech poskytuje NBÚ aj. Podstatnou odlišností národního CERT od vládního CERT je jeho soukromoprávní charakter. To jednak usnadňuje komunikaci národního CERT s nejrůznějšími osobami (uvedenými v § 3 NZKB i ostatními), ale také jeho zapojení do mezinárodních sítí (zejména již zmíněná Trusted Introducer Service) a v neposlední řadě je tím umožněno rozšířit aktivity nad rámec výčtu v § 17 odst. 2 NZKB, což mimo jiné předpokládá i § 17 odst. 3 NZKB.319 Požadavky na provozovatele národního CERT jsou upraveny v § 18 NZKB. Provozovatelem národního CERT může dle § 18 odst. 1 NZKB být pouze právnická osoba, která splňuje požadavky stanovené § 18 odst. 2 NZKB a současně s ní NBÚ uzavřel veřejnoprávní smlouvu podle § 19 NZKB. Požadavky dle § 18 odst. 2 NZKB se týkají spolehlivosti, zkušenosti, schopností apod.
4.2 Institucionální a právní zajištění kybernetické bezpečnosti EU Institucí odpovědnou za kybernetickou bezpečnost v EU je Agentura Evropské unie pro bezpečnost sítí a informací (známá pod zkratkou ENISA)320 se sídlem v Heraklionu na Krétě. ENISA byla zřízena nařízením č. 460/2004321, které bylo zrušeno a nahrazeno
319
Srov. důvodová zpráva k NZKB. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Publikováno 28. 6. 2013 [cit. 21. 2. 2014]. Dostupné z: http://www.govcert.cz/download/nodeid1855/ 320 Srov. Agentura Evropské unie pro bezpečnost sítí a informací [online]. Dostupné z: http://www.enisa.europa.eu/ 321 Srov. nařízení Evropského parlamentu a Rady (ES) č. 460/2004 ze dne 10. března 2004 o zřízení Evropské agentury pro bezpečnost sítí a informací. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:01:05:32004R0460:CS:PDF
101
nařízením č. 526/2013322. ENISA poskytuje spolupráci, poradenství a analýzy při přípravě politik EU v oblasti kybernetické bezpečnosti, podporuje členské státy v jejich úsilí o zdokonalení prevence a dalších schopností v této oblasti, podporuje spolupráci mezi členskými státy a orgány a institucemi EU, plní roli CERT pro orgány a instituce EU, podporuje spolupráci veřejného a soukromého sektoru na poli kybernetické bezpečnosti atd. Na rozdíl od NBÚ (NCKB) v pojetí NZKB není ENISA vybavena pravomocí ukládat vymezeným osobám povinnosti. V legislativním procesu EU se nyní nachází návrh směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v EU (dále jen NSVÚB)323. Osobní působnost návrhu zahrnuje orgány veřejné správy a hospodářské subjekty ve smyslu čl. 3 odst. 8 NSVÚB, kterými jsou poskytovatelé služeb informační společnosti a provozovatelé kritické infrastruktury. Členské státy mají podle návrhu mít mimo jiné povinnost: a) přijmout národní strategii pro bezpečnost sítí a informací definovaného minimálního obsahu (čl. 5 NSVÚB); b) účastnit se sítě pro spolupráci, což má být platforma pro spolupráci mezi členskými státy EU při řešení kybernetických bezpečnostních incidentů a pro výměnu informací, a to včetně speciálního zabezpečeného systému pro sdílení informací (čl. 8 a 9 NSVÚB); c) zřídit vnitrostátní orgán odpovědný za bezpečnost sítí a informací (čl. 6 NSVÚB), d) udělit orgánu ad c) vůči povinným osobám pravomoci dle čl. 15 – například povinné poskytování informací nutných k posouzení bezpečnosti sítí a informací, povinné podrobení se bezpečnostnímu auditu, povinné provádění blíže nespecifikovaných pokynů (čl. 15 odst. 2 písm. a) až c) NSVÚB); e) zajistit, aby povinné osoby přijaly vhodná technická a organizační opatření k řízení bezpečnostních rizik, zejména opatření, která zabrání vzniku kybernetických bezpečnostních incidentů (nebo alespoň minimalizují jejich dopa-
322
Srov. nařízení Evropského parlamentu a Rady (EU) č. 526/2013 ze dne 21. května 2013 o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:165:0041:0058:CS:PDF 323 Srov. návrh směrnice Evropského parlamentu a Rady ze dne 7. 2. 2013 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii COM(2013)48. In: PreLex [právní informační systém]. Úřad pro úřední tisky Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0048:FIN:CS:PDF
102
dy) v jejich kybersystémech, které by poškodily jimi poskytované základní služby; členské státy budou muset vybavit orgán ad c) všemi potřebnými pravomocemi k vyšetřování případů porušení těchto povinností (čl. 15 odst. 1 NSVÚB). NSVÚB se svým účelem podobá NZKB, jde však nad jeho rámec. V případě, že NSVÚB bude schválen, bude ČR povinna jeho obsah implementovat do svého právního řádu. To patrně bude znamenat novelizaci NZKB a to buď ještě v podobě návrhu, nebo již jako schváleného zákona. Směrnice č. 2013/40/EU324 upravuje minimální pravidla týkající se vymezení trestných činů a sankcí ve vztahu k útokům na informační systémy (čl. 1). Jejím dalším cílem je posílit prevenci v oblasti kybernetické bezpečnosti a zlepšit spolupráci mezi justičními a jinými orgány (čl. 1). Členské státy jsou podle čl. 3 až 8 povinny do 4. 9. 2015 zavést do svých trestních předpisů nové úmyslné trestné činy (návod, pomoc, jiné formy účastenství a pokus u činů uvedených pod písm. b) a c) mají být rovněž trestné): a) neoprávněný přístup k informačním systémům – je-li tím současně porušeno bezpečnostní opatření, b) neoprávněné zasahování do informačních systémů – trestné má být neoprávněné závažné narušení nebo přerušení fungování informačního systému, c) neoprávněné zasahování do údajů – trestné má být neoprávněné vymazání, poškození, znehodnocení, pozměnění nebo potlačení počítačových údajů v informačním systému, d) neoprávněné sledování údajů – trestné má být neoprávněné sledování neveřejných přenosů počítačových údajů do, z nebo uvnitř informačního systému, e) výroba, prodej, opatření si k užití, dovoz distribuce a jiné formy zpřístupnění nástrojů použitých k páchání uvedených trestných činů – zpřístupnění má být zásadně trestné, jestliže je provedeno neoprávněně a se záměrem použít tyto nástroje pro účely spáchání některého z uvedených trestných činů.
324
Srov. směrnice Evropského parlamentu a Rady č. 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 22. 2. 2014]. Dostupné z: http://new.eurlex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32013L0040&rid=1
103
Pod skutkové podstaty, které jsou členské státy povinny zavést do svých trestních předpisů, bude podřaditelné například vytváření tzv. botnetů325. Požadavek neoprávněnosti a úmyslnosti činností, které mají být podle této směrnice povinně trestné, vylučuje trestnost penetračního testování nebo situace, kdy osoba přistupuje do informačního systému326, ale o neoprávněnosti přístupu neví. Čl. 12 směrnice upravuje soudní příslušnost, která má být ve vztahu k činům trestným podle této směrnice dána, jestliže čin byl zcela nebo částečně spáchán na území členského státu a to bez ohledu na umístění napadeného informačního systému. Je-li napadený informační systém umístěn na území členského státu, má být příslušnost jeho soudu dána bez ohledu na místo, odkud pachatel čin spáchal. Příslušnost soudu členského státu má být dána rovněž tehdy, jestliže čin spáchal jeho státní příslušník kdekoliv, kde je tento čin rovněž trestný327. Rada EU schválila na svém zasedání dne 7. a 8. 6. 2012 návrh Evropské komise328 na zřízení Evropského centra pro boj proti kyberkriminalitě (dále jen EC3) jakožto součásti Europolu. Přičleněním k Europolu od něj EC3 odvozuje svou pravomoc. Europol byl zřízen rozhodnutím Rady č. 2009/371/SVV329. EC3 má čtyři hlavní cíle: sloužit jako evropská základna pro informace o kyberkriminalitě, shromažďovat odborné poznatky o kyberkriminalitě, poskytovat členským státům podporu při jejím vyšetřování a vystupovat za unijní kolektiv odborníků, kteří se v donucovacích a soudních orgánech zabývají vyšetřováním kyberkriminality. EC3 se zaměřuje na trestné činy páchané organizovanými zločineckými skupinami, trestné činy působící závažnou újmu jejich obětem (např. pohlavní vykořisťování dětí na internetu) a trestné činy poškozující kritickou infrastrukturu a informační systémy.
325
Cílenými kybernetickými útoky dojde k napadení značného počtu počítačů škodlivým software a tím k umožnění jejich dálkového ovládání. Vlastníci ani uživatelé napadených počítačů o napadení nevědí. Botnet je název pro takto vytvořenou síť. Napadené počítače jsou v příhodnou dobu aktivovány bez vědomí jejich vlastníků či uživatelů s cílem spustit rozsáhlé kybernetické útoky. Bod č. 5 preambule směrnice č. 2013/40/EU. 326 Zde se odchylujeme od terminologie používané v této práci a používáme terminologii zavedenou popisovanou směrnicí. 327 Členské státy mohou příslušnost svých soudů dále extendovat. 328 Srov. sdělení Evropské komise č. COM(2012)140 ze dne 28. března 2012 „Řešení trestné činnosti v digitálním věku: zřízení Evropského centra pro boj proti kyberkriminalitě“. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 22. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0140:FIN:CS:PDF 329 Srov. rozhodnutí Rady č. 2009/371/SVV ze dne 6. dubna 2009 o zřízení Evropského policejního úřadu (Europol). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 23. 2. 2014]. Dostupné z: http://new.eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32009D0371&rid=2
104
4.3 Institucionální a právní zajištění kybernetické bezpečnosti NATO Prioritou NATO v oblasti kybernetické bezpečnosti je podle Politiky NATO pro oblast kybernetické obrany330 především ochrana kybernetických (ICT) systémů provozovaných NATO. Politika zdůrazňuje, že jakákoliv kolektivní obranná akce, tj. i obranná akce NATO v kyberprostoru, podléhá rozhodnutí Severoatlantické rady. Aliance podporuje členské země v jejich úsilí o budování systémů kybernetické bezpečnosti sdílením informací a organizováním kyberneticko-bezpečnostních cvičení za účelem rozvíjení odborné způsobilosti příslušných útvarů členských zemí331. Z hlediska kybernetické obrany a Severoatlantické aliance byl klíčový její Lisabonský summit, který v roce 2010 rozhodnul332, že do června 2011 bude připravena strategie aliance pro oblast kybernetické bezpečnosti a že kybernetická obrana bude postupně integrována do obranného plánování NATO. Po institucionální reformě NATO333 schválené Lisabonským summitem vznikla NATO Communications and Information Agency (dále jen NCI)334, jejíž složkou je NATO Computer Incident Response Capability (dále jen NCIRC)335. NCIRC je vojenskou obdobou CERT/CSIRT týmu. Součástí AČR je národní CIRC (kap. 4.1.3), který je národní partnerskou složkou NCIRC. Zatímco NCIRC je operačním nástrojem kybernetické obrany NATO, koordinační činnost napříč vojenskými a civilními složkami obranného systému aliance je svěřena NATO Cyber Defence Management Board (dále jen CDMB), což je těleso složené z odpovědných zástupců členských zemí NATO.336 NATO CDMB je součástí Divize pro nové bezpečnostní výzvy
330
Srov. Defending the networks: The NATO Policy on Cyber Defence. North Atlantic Treaty Organization [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/nato_static/assets/pdf/pdf_2011_09/20111004_110914-policy-cyberdefence.pdf 331 Srov. NATO and cyber defence. North Atlantic Treaty Organization: NATO A-Z [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/topics_78170.htm? 332 Srov. Lisbon Summit Declaration. North Atlantic Treaty Organization: Official texts [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/SID-B5234023CD9EE1A6/natolive/official_texts_68828.htm?selectedLocale=en 333 Srov. Zpráva o zahraniční politice České republiky. Ministerstvo zahraničí ČR: Výroční zprávy a dokumenty [online]. Ministerstvo zahraničí ČR, publikováno 26. 8. 2011 [cit. 24. 2. 2014]. Dostupné z: https://www.mzv.cz/file/691824/Zprava_o_zahranicni_politice_2010_.pdf 334 Srov. NATO Communications and Information Agency [online]. Severoatlantická organizace [cit. 24. 2. 2014]. Dostupné z: http://www.ncia.nato.int 335 Srov. NATO Computer Incident Response Capability [online]. Severoatlantická organizace [cit. 24. 2. 2014]. Dostupné z: http://www.ncirc.nato.int/ 336 Srov. NATO and cyber defence. North Atlantic Treaty Organization: NATO A-Z [online]. Severoatlantická organizace [cit. 24. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/topics_78170.htm?
105
(Emerging Security Challenges Division)337. Jako součást NCIRC je zřízen tým odborníků rychlé reakce (Rapid Reaction Team) pro případy kybernetických útoků národních proporcí, který je na žádost členského státu připraven poskytnout součinnost při řešení kybernetického útoku. O aktivaci Rapid Reaction Team rozhodne na žádost členského státu NATO CDMB.338 Vlastní aktivity NATO v oblasti kybernetické bezpečnosti, nezávislé na souhlasu Severoatlantické rady, jsou tedy zaměřeny výhradně interně v rámci NATO, resp. v rámci orgánů NATO a vojenských struktur členských zemí. V roce 2008 bylo založeno NATO Cooperative Cyber Defence Centre of Excellence (dále jen CCD COE) se sídlem v estonském Tallinnu. Cílem CCD COE je pořádáním vzdělávacích akcí, výzkumnými aktivitami a konzultační činností zlepšovat způsobilosti a spolupráci NATO a jejích členských zemí v oblasti kybernetické obrany.339
4.4 Proporcionalita vybraných aspektů navrhované právní úpravy Nezřídka se v právu stává, že je potřeba řešit kolizi dvou základních práv nebo veřejných statků. K řešení takových kolizí se v ústavním soudnictví používá princip proporcionality. Ústavní soud ČR poprvé vymezil princip proporcionality v případě posuzování ústavnosti institutu utajení osobních údajů svědků v trestním řízení340. V praxi je kolize základních práv nebo veřejných statků řešena při posuzování ústavnosti norem jednoduchého práva či při posuzování jiných konkrétních právních otázek ve vztahu k právní úpravě normami jednoduchého práva. Princip proporcionality je tříkrokovým algoritmem, kdy v každém kroku probíhá posouzení právní otázky z jiného hlediska. Prvním hlediskem je hledisko vhodnosti, kdy se posuzuje, zda norma jednoduchého práva naplňuje svůj účel, zda je tedy pro sledování daného účelu vhodným prostředkem. Pokud norma svého účelu nemůže dosáhnout, je projevem svévole a jako taková v rozporu s principem právního státu a
337
Srov. New NATO division to deal with Emerging Security Challenges. North Atlantic Treaty Organization: Newsroom [online]. Severoatlantická organizace, publikováno 4. 8. 2010 [cit. 24. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/news_65107.htm?selectedLocale=en 338 Srov. NATO Rapid Reaction Team to fight cyber attack. North Atlantic Treaty Organization: Newsroom [online]. Severoatlantická organizace, publikováno 13. 3. 2012 [cit. 24. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/news_85161.htm?selectedLocale=en 339 Srov. Mission and Vision. NATO Cooperative Cyber Defence Centre of Excellence [online]. [cit. 24. 2. 2014]. Dostupné z: http://www.ccdcoe.org/11.html 340 Srov. nález Ústavního soudu ČR ze dne 12. 10. 1994, sp. zn. Pl. ÚS 4/94. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 1994 [cit. 1. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-4-94
106
tedy neústavní.341 Nutným předpokladem hodnocení podle prvního hlediska je tedy zjištění účelu normy. Druhým kritériem je potřebnost, tedy zda lze zjištěného účelu dosáhnout alternativními normativními prostředky. Jestliže ano, pak ústavně konformní je ten, který znamená nejmenší zásah do ústavně chráněné hodnoty.342 I druhé hledisko pracuje s účelem posuzované normy. Třetím hlediskem je poměřování, proporcionalita v užším slova smyslu, kdy dochází k vlastnímu srovnávání, při kterém se Ústavní soud řídí příkazem k optimalizaci. Jestliže závěrem poměřování má být upřednostnění jednoho veřejného statku před druhým, jednoho základního práva před druhým, pak příkaz k optimalizaci znamená, že nutnou podmínkou takového upřednostnění je minimalizace zásahu do veřejného statku či základního práva, které v daném případě odsouváme na druhé místo.343 Poměřování je komplexní myšlenkový proces posuzovatele spočívající ve zvažování empirických, systémových, kontextových a hodnotových argumentů344. V kap. 3.5 je uvedeno, že veřejný statek bezpečnosti státu může být, pokud jde o kyberprostor, v kolizi s právem na informační sebeurčení, právem vlastnickým a v některých případech i s právem na spravedlivý proces. Dále se budeme zabývat proporcionalitou klíčového legislativního návrhu – NZKB – a proporcionalitou vybraných právních institutů v něm upravených. Rovněž se dotkneme otázky proporcionality NSVÚB (kap. 4.2). Pověřením NBÚ gestorem problematiky kybernetické bezpečnosti vytvořila Vláda ČR faktické a institucionální předpoklady k centrálnímu řízení kybernetické bezpečnosti vybraných subjektů, resp. kybernetických systémů. NZKB je pak logicky navazujícím krokem preferujícím jednotnost právní úpravy kybernetické bezpečnosti před její roztříštěností. Přitom s ohledem na, přinejmenším potenciální, kolizi navrhovaných právních institutů se základními právy a vzhledem k tomu, že státní moc lze uplatňovat výlučně na základě zákona a soukromoprávním subjektům lze ukládat povinnosti jen zákonem345 nebo na základě zákonného zmocnění, je nutná úprava právní síly nejméně zákona. Zajiš-
341
Srov. nález Ústavního soudu ČR ze dne 28. 1. 2004, sp. zn. Pl. ÚS 41/02. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2004 [cit. 1. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-41-02 342 Tamtéž. 343 Tamtéž. 344 Srov. nález Ústavního soudu ČR ze dne 12. 10. 1994, sp. zn. Pl. ÚS 4/94. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 1994 [cit. 1. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-4-94 345 Srov. důvodová zpráva k NZKB. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Publikováno 28. 6. 2013 [cit. 2. 3. 2014]. Dostupné z: http://www.govcert.cz/download/nodeid1855/
107
ťování kybernetické bezpečnosti tedy nelze ponechat na podzákonné úpravě nebo pouze na faktických úkonech správních orgánů. Stát, jak bylo uvedeno, navíc svou právotvorbou sám zvyšuje závislost osob na bezpečném fungování kyberprostoru. K zajišťování kybernetické bezpečnosti je tak povinován. Můžeme očekávat platnost NSVÚB, která členským státům nařídí zavést ještě širší právní úpravu. Smysl a účel NZKB najdeme v důvodové zprávě příslušného sněmovního tisku: Jejím (navrhované právní úpravy – pozn. aut.) smyslem a účelem je tedy zabezpečit prostředí tvořené informačními systémy a službami a sítěmi elektronických komunikací tak, aby nebyla v důsledku kybernetických bezpečnostních incidentů ohrožena jeho samotná existence či celková funkčnost, tj. aby byl chráněn veřejný zájem na fungování služeb informační společnosti. Ve svém důsledku tedy navrhovaná právní úprava sleduje cíl zabezpečení existence a funkčnosti informačních kanálů, jimiž člověk realizuje svá práva na informační sebeurčení. 346
Přestože to ukáže až praxe, lze se domnívat, že tento účel bude úpravou obsaženou v NZKB naplněn. Důvodová zpráva k NZKB uvádí, že návrh nepochybně povede ke zvýšení úrovně kybernetické bezpečnosti a že provedené studie nevedly ke zjištění alternativního řešení. K NZKB se v připomínkovém řízení vyjadřovala řada subjektů. Za všechny uveďme Českou pirátskou stranu. Odmítavé stanovisko České pirátské strany347 předkládá protinávrh, aby stát zajišťoval kybernetickou bezpečnost pouze pro neveřejnou část kyberprostoru a pro všechna její propojení s ostatními, veřejnými částmi kyberprostoru. Informační sítě nezbytné pro provoz státních agend by tedy měly být od zbývající, veřejné části kyberprostoru odděleny. To je nicméně požadavek, který není v současné době splnitelný a pravděpodobně ani v budoucnu nebude (viz kap. 2.5). Důvodová zpráva přirovnává navrhovanou právní úpravu k předpisům protipožárním ochrany v tom smyslu, že i jejich cílem je uložit povinnost vybraným subjektům dodržovat odpovídající preventivní pravidla a současně umožnit co nejúčinnější zažehnání případného ohrožení. Pokud jde o zásah vlastnického práva ISP, je podle důvodové zprávy menší intenzity, než právě například protipožární předpisy. NZKB má vytvořit systém opatření, která mají vedle prevence zajistit, že případný kybernetický bezpečnostní incident neohrozí celkové fungování informačních a komunikačních systémů nebo fungování kriticky důležitých společenských informačních funkcionalit. Jedním z principů NZKB je
346
Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 2. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888 347 Srov. Připomínky k návrhu zákona o kybernetické bezpečnosti. Česká pirátská strana: Komise pro kopírování a Internet [online]. Česká pirátská strana [cit. 15. 3. 2014]. Dostupné z: http://www.pirati.cz/kci/cons/cybs
108
princip technologické neutrality znamenající maximální možnou abstrakci od informačního obsahu a místo toho striktní zaměření na technologické aspekty. Druhým principem NZKB, který zmíníme, je princip ochrany informačního sebeurčení člověka348. Důvodová zpráva k NZKB uvádí, že navrhovaná úprava směřuje k ochraně informačního sebeurčení a projevuje se tak, že žádný z institutů nebude zneužitelný pro sledování uživatelů kyberprostoru. Proto důvodová zpráva při hodnocení proporcionality návrhu zasažení informačních práv dokonce vylučuje. Jak je citováno výše, účelem NZKB je zabezpečit prostředí kyberprostoru proti ohrožení jeho celkové funkčnosti. Jde tak o (navrhovanou) právní úpravu obecně sledující cíl minimálního nutného zasahování práv uživatelů i poskytovatelů služeb informační povinnosti ze strany státu i třetích osob. V obecné rovině můžeme uzavřít, že právní úprava navrhovaná v podobě NZKB je vhodná, potřebná a ve vztahu k dotčeným základním právům a svobodám není nadměrně invazivní. Pokud jde o osoby dle § 3 písm. a) a b) NZKB, které jsou zásadně osobami soukromého práva, je uložení povinností reaktivním nebo ochranným opatřením možné pouze za stavu kybernetického nebezpečí. Proporcionalitu právního institutu stavu kybernetického nebezpečí nebudeme vyhodnocovat samostatně, ale ve spojení s instituty reaktivního a ochranného opatření. Jako kladný rys samotného institutu stavu kybernetického nebezpečí lze uvést, že poměrně zřetelně odděluje situace, kdy je a kdy není možné zasahování do práv povinných osob dle § 3 písm. a) a b) NZKB. Do těchto práv tak na základě NZKB nemůže veřejná moc zasáhnout kdykoliv i kdyby mělo jít o zásah menší intenzity. Jsou-li instituty reaktivního a ochranného opatření obecně účelné (vhodné), pak rozšíření okruhu osob povinných aplikovat tato opatření znamená zvýšení úrovně kybernetické bezpečnosti. Povinné osoby dle § 3 písm. a) a b) NZKB mají většinou ze své vůle zavedeny vlastní systémy řízení kybernetické bezpečnosti349. Používání vlastních systémů řízení kybernetické bezpečnosti je nepochybně méně intenzivním zásahem do práv těchto povinných osob, než jakýkoliv veřejnoprávní zásah. Jsou-li nicméně ve velkém rozsahu ohroženy základní zájmy státu, nelze se spoléhat na vlastní nástroje povinné osoby. Pokud by vlastní systém řízení kybernetické bezpečnosti povinné osoby nebyl dostatečně funkční, je pochybné, zda bude vůbec schopna zpracovat reaktivní nebo ochranné opatře-
348
Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 2. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888. 349 I kdyby je zavedeny neměly, je to pro ně dosažitelný a snadno splnitelný úkol.
109
ní tak, aby výsledkem bylo zvýšení úrovně kybernetické bezpečnosti. Účelnost takového zásahu do práv povinných osob dle § 3 písm. a) a b) NZKB proto není zcela zřejmá, jsouli tyto povinné osoby vyňaty z povinnosti aplikovat alespoň ta nejdůležitější bezpečnostní opatření dle § 4 a násl. NZKB. Některá preventivní bezpečnostní opatření, ať už jsou zavedena z vlastní vůle subjektu nebo na základě právní povinnosti, totiž podmiňují schopnost subjektu přijmout, zpracovat a vyhodnotit opatření směřující k řešení kybernetického bezpečnostního incidentu. Již sama povinnost za určitých okolností efektivně reagovat na reaktivní opatření proto pravděpodobně povede i u povinných osob dle § 3 písm. a) a b) NZKB k zavedení preventivních bezpečnostních opatření na určité minimální úrovni. Přiměřenost zásahu do práv je bez znalosti prozatím neexistující praxe a obsahu reaktivních opatření obtížně vyhodnotitelná. Osoby dle § 3 písm. a) NZKB jsou poskytovatelé služby elektronických komunikací a subjekty zajišťující síť elektronických komunikací dle ZEK. Patří mezi ně také (soukromoprávní) poskytovatelé připojení koncových uživatelů do kyberprostoru (k internetu). § 3 písm. a) NZKB tedy zahrnuje i malé lokální poskytovatele připojení. Otázkou je, jak míra zajištění bezpečnosti jimi provozovaných subsítí souvisí s kybernetickou bezpečností státu. Jinými slovy, zda takto postavená osobní působnost NZKB je vhodná. Nahlíženo z pozice kteréhokoliv konkrétního poskytovatele, byla by odpověď patrně negativní. Nicméně při použití celospolečenského měřítka a při uvážení role informací v životě dnešní společnosti můžeme konstatovat alespoň teoretickou vhodnost § 3 písm. a) NZKB. Přesto lze pochybovat, zda by při skutečně masovém ohrožení kybernetické bezpečnosti, kdy by hrozilo zasažení, resp. by k zasažení již došlo, naprosté většiny osob uvedených v § 3 písm. a) NZKB, byl NBÚ vůbec schopen v dostatečně rychlém sledu vydávat a sdělovat reaktivní opatření taková, aby byla ve všech jednotlivých případech účinná. Vhodnost § 3 písm. a) NZKB je tedy sporná. Proporcionalitou jednotlivých právních institutů dle NZKB je třeba se zabývat především ve vztahu k povinným osobám soukromoprávní povahy. Z hlediska veřejnoprávních povinných osob lze totiž navrhovanou regulaci považovat za vnitřní opatření veřejné správy. Zřejmě nejvýraznějším zásahem do právního postavení povinných osob jsou instituty reaktivního a ochranného opatření dle §§ 13 až 15 NZKB. Mimo stav kybernetického nebezpečí (§ 21 NZKB) lze reaktivní a ochranné opatření uložit pouze správcům systému kritické informační infrastruktury a významného informačního systému (§ 2 písm. d) NZKB). Správcem je dle § 2 písm. e) a f) NZKB orgán nebo osoba, které určují účel systému a podmínky jeho provozování. Faktický provozovatel systému může být soukromo110
právní subjekt, avšak ten, kdo určuje účel systému a podmínky jeho provozování je zpravidla veřejnoprávní subjekt v roli zadavatele veřejné zakázky a následně smluvní strany. Nutným důsledkem platnosti zákona o kybernetické bezpečnosti bude úprava obsahu smluvních vztahů uzavřených správci kybersystémů s dodavateli služeb (agend), aby tak správci mohli dostát svým novým povinnostem dle NZKB, tj. například efektivně realizovat uložené reaktivní opatření. Stát tak připravovanou právní úpravou nepřímo ovlivní i soukromoprávní kontraktory povinných osob. Dotčeno takto může být pouze jejich právo na informační sebeurčení. Účelem reaktivního a ochranného opatření je zvýšení míry kybernetické, případně i obecné, bezpečnosti. Správci prvků kritické infrastruktury mohou být osoby soukromého práva. Prvotním krokem legitimujícím zásahy do jejich právního postavení bylo již ustanovení jimi spravovaného systému prvkem kritické infrastruktury (kap. 2.4). Nebylo-li proporcionální již ustanovení kybersystému prvkem kritické infrastruktury, pak nemohou být proporcionální ani zásahy do jejich práv opatřeními dle NZKB. Zásah z titulu kybernetické bezpečnosti je vhodný, pouze povede-li ke zvýšení míry kybernetické bezpečnosti. Potřebnost zásahu uložením povinnosti v rámci reaktivního nebo ochranného opatření dle NZKB nelze hodnotit obecně, ale vždy až podle konkrétního kybersystému, povahy ukládané povinnosti a povahy konkrétní hrozby nebo konkrétního kybernetického bezpečnostního incidentu. Totéž platí pro přiměřenost zásahu. I když reaktivní nebo ochranné opatření povede ke zvýšení kybernetické bezpečnosti, neznamená to, že může být libovolně silné. Síla uloženého opatření musí být nezbytně nutná, tedy přiměřená povaze a závažnosti kybernetického bezpečnostního incidentu. Jinak by nebyl splněn příkaz k optimalizaci. Opět můžeme jen obecně předpokládat, že právní instituty reaktivního a ochranného opatření jsou proporcionální. Avšak až praxe ukáže, do jaké míry byl tento předpoklad na místě. V kap. 3.5 je připomenuto, že povinnost hlášení kybernetického bezpečnostního incidentu podle § 8 NZKB může znamenat zásah do práva na informační sebeurčení. Podle § 9 NZKB jsou údaje o kybernetickém bezpečnostním incidentu evidovány, přičemž součástí evidovaných údajů je rovněž identifikace kybernetického systému, ve kterém se incident vyskytl. Do evidenčních údajů se tak mohou dostat i systémy provozované soukromoprávním subjektem na základě smlouvy s veřejnoprávním subjektem. Evidované údaje mohou být za účelem ochrany kyberprostoru a v nezbytném rozsahu poskytnuty dalším osobám (§ 9 odst. 4 NZKB). Podle § 9 odst. 3 NZKB poskytuje NBÚ údaje
111
z evidence orgánům veřejné moci, kterými mohou být i orgány činné v trestním řízení350. Vedle ohlašovací povinnosti tedy i evidenční činnost NBÚ dle § 9 NZKB zasahuje právo na informační sebeurčení. Částečná kompenzace dopadů obou institutů na právo na informační sebeurčení je povinnost mlčenlivosti upravená § 10 odst. 1 NZKB. Takto pojatá ohlašovací povinnost a evidenční činnost patrně přispějí k naplnění účelu NZKB. Problém proporcionality leží v § 9 odst. 1 NZKB v tom smyslu, že evidence incidentů není povinně anonymizována ani pro další poskytování evidovaných údajů. Pro účely mezinárodní
a
meziinstitucionální
spolupráce
není
nezbytné,
aby NBÚ
poskytoval
k technickému popisu kybernetického bezpečnostního incidentu rovněž údaje umožňující identifikaci incidentem postižené osoby. Přestože § 9 odst. 4 NZKB obsahuje materiální omezení rozsahu poskytovaných údajů na míru nezbytně nutnou, povinnost anonymizace údajů explicitně neobsahuje. Poskytování evidovaných údajů orgánům veřejné moci dle § 9 odst. 3 NZKB neobsahuje ani toto omezení. V případě úpravy dle §§ 8 a 9 NZKB tedy lze shledat částečnou neproporcionalitu. Prozatím není zřejmé, jak široká bude paleta konkrétních opatření v rámci právních institutů reaktivního a ochranného opatření. Až příklady konkrétních vydaných reaktivních a ochranných opatření umožní hodnotit jejich proporcionalitu. Pokud někdy budou tato opatření předmětem řízení před Ústavním soudem ČR, lze předvídat, že bude preferována zásada ústavně konformního výkladu před derogací351, a bude tak docházet k zužování pojmů reaktivního a ochranného opatření dle NZKB. Pokud jde o NSVÚB, jde z hlediska osobní působnosti nad rámec NZKB. V demonstrativních352 výčtech uvedených v příloze II řadí mezi poskytovatele služeb informační společnosti bez přesnější specifikace mimo jiné i provozovatele sociálních sítí, vyhledávačů, služeb cloud computingu353 a obchodů s aplikacemi. Povinnými osobami se tak pravděpodobně stanou provozovatelé řady softwarových kybersystémů, u nichž je 350
Srov. sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 2. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888. 351 Srov. nález Ústavního soudu ČR ze dne 28. 1. 2004, sp. zn. Pl. ÚS 41/02. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2004 [cit. 3. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-41-02 352 Přesný okruh povinných osob tedy není předem vymezen. 353 Cloud computing je pojmenování pro služby poskytované zdarma, na základě předplatného nebo plateb za užití, které v reálném čase prostřednictvím informační sítě (internet, resp. kyberprostor) rozšiřují aplikační možnosti lokálního počítače. Srov. KNORR, Eric, GRUMAN, Galen. What cloud computing really means. InfoWorld [online]. InfoWorld, 2011 [cit. 19. 3. 2014]. ISSN 0199-6649. Dostupné z: http://www.infoworld.com/d/cloud-computing/what-cloud-computing-really-means-031
112
souvislost s kybernetickou bezpečností přinejmenším sporná. Na poskytovatele služeb elektronických komunikací se NSVÚB podle čl. 1 odst. 3 nevztahuje354. Jestliže jsme shledali přinejmenším částečnou neproporcionalitu právního institutu evidence kybernetických bezpečnostních incidentů podle čl. 9 NZKB, pak a minori ad maius je neproporcionální i ustanovení čl. 14 odst. 4 NSVÚB, které opravňuje odpovědný orgán (čl. 6 NSVÚB) rozhodnout, že je ve veřejném zájmu určitý kybernetický bezpečnostní incident zveřejnit a toto zveřejnění provést. Evidentně neproporcionální jsou například povinnosti povinných osob podrobit se blíže nespecifikovanému bezpečnostnímu auditu (čl. 15 odst. 2 písm. b) NSVÚB) nebo blíže nespecifikovaným pokynům (čl. 15 odst. 2 písm. c) NSVÚB). Přitom například právě v prostředí sociálních sítí, jejichž provozovatelé jsou podle přílohy II NSVÚB povinnými osobami podle čl. 3 odst. 8 písm. a) NSVÚB, uživatelé významnou měrou realizují své právo na informační sebeurčení. Detailní vyhodnocení proporcionality jednotlivých právních institutů NSVÚB je nad rámec rozsahu této práce.
4.5 Závěrečné poznámky k navrhované úpravě a úvahy de lege ferenda Na základě předchozího textu uvedeme možné přístupy de lege ferenda k vybraným problémům. I přes diskutované nedostatky je NZKB cestou správným směrem. Odmítli jsme nulovou variantu. Systémově odlišné řešení, které bude současně efektivní a proporcionální, patrně neexistuje. Vždy bude vymezen okruh povinných osob a kybersystémů, stanovena minimální úroveň jejich bezpečnosti a případně možnost operativního zasahování zmocněné autority. Nejprve se de lege ferenda vyjádříme ke dvěma částem NZKB. V kap. 3.4 jsme poukázali na některé právní instituty, které jsou výrazem informačních práv osob zejména vůči veřejnoprávním subjektům (například poskytování informací dle zákona č. 106/1999 Sb.). NZKB by měl explicitně upravovat způsob vymezení okruhu informací, jejichž poskytnutí by mohlo snížit úroveň kybernetické bezpečnosti veřejnoprávního subjektu a které proto budou vyňaty z jeho informačních povinností. V kap. 4.4 jsme shledali neproporcionalitu u části institutu evidence kybernetických bezpečnostních incidentů (§ 9
354
Podle tohoto ustanovení se na ně vztahují požadavky upravené rámcovou směrnicí pro sítě a služby elektronických komunikací. Srov. směrnice Evropského parlamentu a Rady č. 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 19. 3. 2014]. Dostupné z: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:29:32002L0021:CS:PDF
113
NZKB). Bylo by vhodné explicitně upravit povinnost NBÚ provést anonymizaci evidovaných údajů pro případ jejich poskytování dalším subjektům. Bylo by rovněž vhodné zúžit osobní působnost NZKB v § 3 písm. a) a to přinejmenším z důvodů praktických. Je například možné stanovit, že povinnosti dle NZKB (ve stavu kybernetického nebezpečí) vznikají osobám vymezeným v § 3 písm. a) NZKB až od určitého počtu koncových uživatelů, např. 10 tisíc. Za návrh de lege ferenda můžeme považovat i návrh kybernetických bezpečnostních zájmů dle kap. 3.4. Řada návrhů de lege ferenda by z obdobných důvodů mohla být formulována vůči NSVÚB. To by nicméně znamenalo zásadní změny v jeho textaci a patrně i nastolilo otázku, zda je vůbec takový legislativní návrh na úrovni EU nezbytný, resp. zda by nepostačovala úprava mající členské státy ke koordinaci a sdílení poznatků v oblasti kybernetické bezpečnosti. Při rozsahu povinností, které mají být členským státům uloženy, navrhovanému rozsahu osobní působnosti a celkové vágnosti klíčových ustanovení je s podivem, že návrh nevyvolává intenzivnější negativní reakce. Za povšimnutí stojí i deklarovaný právní základ, kterým má být čl. 114 Smlouvy o fungování EU355, to znamená vytvoření a fungování vnitřního trhu. Nikoli tedy potřeba zajistit výkon nedistributivního práva na bezpečnost, ale potřeba hladkého fungování ekonomiky členských zemí. Pokud bude NSVÚB přijat, povede to k zásadní extenzi NZKB (případně bude implementovaný obsah rozptýlen do více předpisů). Ze zřejmých důvodů přísně zkoumáme proporcionalitu státní ingerence do kyberprostoru. Nicméně do práva na informační sebeurčení zasahují i soukromoprávní definiční autority. Mezi ISP čas od času dochází ke sporům, kdy například přímá komunikace určitého obsahu356 nebo komunikace od některých ISP357 je jinými ISP jejich obchodní politikou znemožňována. I spory mezi ISP mohou dopadat na výkon práva na informační sebeurčení. Negativní vlivy chování soukromých ISP, zejména v roli definičních autorit, na základní práva a svobody jsou sledovány s nesrovnatelně menší intenzitou. Problém případného negativního vlivu ISP na základní práva a svobody řeší svobodné, konkurenč-
355
Srov. konsolidované znění Smlouvy o fungování Evropské unie. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 19. 3. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0047:0200:cs:PDF 356 Srov. ZANDL, Patrick. Superhosting tlačí na členy NIXu provozem Novy i typosquattingem. LUPA.cz [online]. Lupa.cz, publikováno 1. 2. 2010 [cit. 14. 2. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/superhosting-tlaci-na-cleny-nixu/ 357 Srov. SEDLÁK, Jan. Zaplať, nebo nebude YouTube. E15.cz [online]. Mladá fronta, publikováno 12. 2. 2014 [cit. 14. 3. 2014]. Dostupné z: http://e-svet.e15.cz/internet/zaplat-nebo-nebude-youtube-2-1060424
114
ní prostředí, D. G. Postova pluralita „plánů“ (kap. 2.5). Stát však při závažném ohrožení svých zájmů nemůže čekat, až neviditelná ruka trhu problém nabídkou alternativní služby vyřeší. Nemůže čekat, až neviditelná ruka trhu způsobí přechod zákazníků k ISP s bezpečnějšími kybersystémy a tím přiměje ISP nedbající dostatečně o bezpečnost k odpovědnějšímu přístupu. Proto stát pragmaticky v mezích možností a proporcionality zasahuje veřejnoprávní metodou regulace a maximalizuje pravděpodobnost řádného fungování kritických kybersystémů. Nejde tedy o nedůvěru v neviditelnou ruku trhu, ale o časovou prodlevu mezi vznikem problému a jeho samovolným vyřešením. Podstatná je rovněž skutečnost, že veřejné dobro v podobě vitálních zájmů státu je zcela mimo působení neviditelné ruky trhu. V kap. 2.5 jsme připomněli, že stát se beztak dostal do situace, kdy nemá jinou možnost, než na bezpečném kyberprostoru trvat. Rozmanitost a dynamika kyberprostoru a kybernetických hrozeb jsou téměř neomezené. Proto až praxe ukáže, zda NZKB je schopen naplňovat svůj účel a současně splňovat příkaz k optimalizaci.
115
5 Závěr Kap. 1 se věnovala roli informace v životě dnešního člověka. Pojem informační společnost je vyjádřením pouze kvantitativní změny. Podstata role informace v životě zůstává nezměněna. V kap. 2 byla navržena konceptualizace kybernetického prostoru a kybernetické bezpečnostní události. Kybernetický prostor je prostorem s nehmotnou podstatou na hmotných nosičích, který lze vnímat na mnoha úrovních. V kyberprostoru nemají význam rozměry objektivní reality s výjimkou času. Strukturu kyberprostoru lze popisovat jinými způsoby. Subjekt je v kyberprostoru přítomen vždy pouze ad hoc, pro daný účel, a vždy prostřednictvím virtuální identity. Žádný subjekt není přítomen pouze v kyberprostoru. Pokud je vstupování do kyberprostoru (ad hoc) přestupem do jiné sociální sféry, pak pouze z vlastního rozhodnutí. Byla navržena struktura kybernetické bezpečnostní události vhodná pro právnické úvahy. Dvě úrovně objektivní stránky vyjadřují právní (úroveň skutkových podstat) a technologickou (úroveň elementárních, technických kroků) relevanci kybernetické bezpečnostní události. Subjektivní stránka kybernetické bezpečnostní události vyjadřuje motivaci či úmysl rušitele. V kap. 2 byl dále popsán pojem kritické infrastruktury a následně byla s ohledem na kybernetickou bezpečnost vyhodnocena platná právní úprava. Kapitola je zakončena podkapitolou věnovanou obecným souvislostem práva a kybernetického prostoru. Byla konstatována nutnost proporcionálního aktivního přístupu státu ke kybernetické bezpečnosti. České právo se bez ohledu na teoretické debaty o legitimitě a proporcionalitě právní regulace kybernetického prostoru jeho regulace v dílčích otázkách již zhostilo. Některé „nekybernetické“ právní instituty jsou analogické právním institutům teoreticky debatovaným a kriticky hodnoceným pro případ, že by jimi stát zasahoval do kybernetického prostoru. Kap. 3 je věnována bezpečnosti obecně a popisuje charakter soudobých hrozeb. Pro soudobé bezpečnostní hrozby a konflikty je typická zásadní role ICT. Hybridní hrozby, kterým čelíme, jsou asymetrické, komplexní, obtížně uchopitelné, přesahující do různých sfér společenského života a nemusí být ani zřejmé, kdo je jejich původcem a jakou má motivaci. Kybernetické bezpečnostní hrozby jsou součástí soudobých hrozeb. Dokumenty strategické povahy relevantní z hlediska národní bezpečnosti ČR se shodují, že současné hrozby mají hybridní charakter. Shodují se na vlivu široce dostupných ICT na závažnost hrozeb a tím i na nutnosti zajišťování kybernetické bezpečnosti. Další část kap. 3 odlišila obecnou, kybernetickou a informační bezpečnost. Tyto druhy bezpečnosti lze hierarchi116
zovat tak, že kybernetická bezpečnost je extenzí informační bezpečnosti a speciálním případem obecné bezpečnosti. Byl formulován návrh kybernetických bezpečnostních zájmů státu. V závěru se tato kapitola práce věnovala vztahu práva a bezpečnosti v kybernetickém prostoru. Bylo konstatováno, že veřejný statek bezpečnosti státu může být, pokud jde o kybernetický prostor, v kolizi s právem na informační sebeurčení, právem vlastnickým a v některých případech i s právem na spravedlivý proces. Byly popsány některé pro kybernetický prostor specifické situace a bezpečnostní opatření, u nichž může docházet ke kolizím uvedených distributivních práv a nedistributivního práva na bezpečnost. Kap. 3 se rovněž dotýká otázky, zda a za jakých podmínek může být kybernetický útok podle hledisek mezinárodního práva veřejného kvalifikován jako použití síly. Kap. 4 se věnovala institucionálnímu a právnímu zajištění kybernetické bezpečnosti ČR. Byly identifikovány základní instituce české veřejné správy působící na úseku kybernetické bezpečnosti a byla popsána působnost každé z nich. Na vyjádření k národním institucím navázaly popisy institucionálního a právního zajištění kybernetické bezpečnosti na úrovni klíčových mezinárodních organizací – EU a NATO. Hlavním legislativním nástrojem zajišťování kybernetické bezpečnosti ČR se má stát NZKB. U právního institutu evidence kybernetických bezpečnostních incidentů byla shledána částečná disproporcionalita. Rovněž bylo shledáno jako vhodné zúžit osobní působnost NZKB v § 3 písm. a) a to přinejmenším z důvodů praktických. Například tak, že povinnosti dle NZKB (ve stavu kybernetického nebezpečí) vznikají osobám vymezeným v § 3 písm. a) NZKB až od určitého počtu koncových uživatelů. Ostatní hodnocené instituty NZKB byly shledány jako proporcionální. Vstup NSVÚB v platnost bude vůči NZKB (bude-li platit) znamenat významné rozšíření pravomocí státu v oblasti kybernetické bezpečnosti. Ve stručnosti byly zmíněny disproporcionality ustanovení NSVÚB.
5.1 Otázky k dalšímu řešení Pod rozsah tématu práce spadají další otázky, které v ní však pro omezený rozsah již nejsou řešeny. V dohledné době můžeme očekávat platnost NSVÚB. Jak bylo uvedeno, je jeho obsah z hlediska proporcionality sporný. Bylo by vhodné detailněji analyzovat proporcionalitu tohoto legislativního návrhu. Podrobnější rozbor by si zasloužily rovněž některé otázky zmíněné v kap. 3.5 – právo státu na poskytnutí autentizačních údajů k určitým datům nebo na poskytnutí dešifrovaného obsahu, právní otázky spojené s využíváním honeypotů například orgány činnými v trestním řízení a rovněž otázky
117
právní kvalifikace kybernetického útoku jakožto použití síly pole mezinárodního práva veřejného a legitimity případného odvetného opatření. Zajímavou otázkou mohou být souvislosti používání biometrických údajů (otisk prstu, rohovka aj.) k přihlašování uživatelů kyberprostoru s právem na informační sebeurčení. Předmětem dalšího zkoumání by mohla být rovněž otázka národního řešení kybernetické bezpečnosti jako důsledku aplikace mezinárodně-právního principu due dilligence. Některé další otázky jsou formulovány v kap. 2.5. Bližší pohled by bylo vhodné věnovat i souvislostem jevu delokalizace společenských vztahů a charakteristik hybridních hrozeb s otázkami rozdělení působnosti mezi klíčovými institucemi působícími na úseku kybernetické bezpečnosti (zejména AČR, Policie ČR a jednotlivé zpravodajské služby).
118
6 Seznam použitých pramenů a literatury 6.1 Literatura 1. AKDENIZ, Yaman. Report of the OSCE Representative on Freedom of the Media on Turkey and Internet Censorship [online]. Organizace pro bezpečnost a spolupráci v Evropě, publikováno 18. 1. 2010 [cit. 20. 2. 2014]. Dostupné z: http://www.osce.org/fom/51828 2. ALBERTS, David S., GARSTKA, John J., STEIN, Frederick P. Network Centric Warfare [online]. 2. vyd. Washington: Office of the Secretary of Defense, 2000 [cit. 11. 9. 2013]. ISBN 1-57906-019-6. S. 91. Dostupné z: http://www.dodccrp.org/files/Alberts_NCW.pdf 3. BASTL, Martin. Kybernetický terorismus: studie nekonvenčních forem boje v kontextu soudobého válečnictví [online]. Brno, 2007 [cit. 10. 9. 2013]. Disertační práce. Masarykova univerzita, Fakulta sociálních studií. Dostupné z: http://is.muni.cz/th/7170/fss_d/kyber_t.pdf 4. BRŮCHA, Filip. Je Stuxnet nejlepším virem současnosti? Computerworld [online]. Praha: IDG, publikováno 18. 9. 2010 [cit. 24. 2. 2014]. Dostupné z: http://computerworld.cz/securityworld/je-stuxnet-nejlepsim-virem-soucasnosti-7720 5. BUZA, Jozef. Zkušenosti z asymetrických konfliktů. DOKTRÍNY [online]. Vyškov: Velitelství výcviku – Vojenská akademie, roč. 2009, č. 2 [cit. 7. 9. 2013]. Dostupné z: http://doctrine.vavyskov.cz/_casopis/2_09_C2.html 6. CLARKE, Richard A., KNAKE, Robert K. Cyber war. 1 ed. New York: HarperCollins Publishers, 2010, 306 s. ISBN 978-0-06-196224-0. 7. DATOO, Siraj. News Technology Piracy France drops controversial 'Hadopi law' after spending millions. theguardian.com [online]. Guardian News and Media, publikováno 9. 7. 2013 [cit. 21. 2. 2014]. Dostupné z: http://www.theguardian.com/technology/2013/jul/09/france-hadopi-law-anti-piracy 8. DE FALCO, Marco. Stuxnet Facts Report. A Technical and Strategic Analysis. NATO CCD COE Portal [online]. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence, publikováno 14. 6. 2012 [cit. 24. 2. 2014]. Dostupné z: https://portal.ccdcoe.org/documents/10361/29785/Stuxnet+Facts+Report.+A+Techni cal+and+Strategic+Analysis.pdf
119
9. DUŘPEKTOVÁ, Eva. Americká zahraniční politika administrativy George W. Bushe a koncept spravedlivé války [online]. Brno, 2011 [cit. 17. 10. 2013]. Rigorózní práce. Masarykova univerzita, Fakulta sociálních studií. Dostupné z: http://is.muni.cz/th/134680/fss_m/durpektova-diplomova-prace.pdf 10. EHRENKRANZ, Melanie. Google Glass Release Date: Consumer Launch Expected Later In 2014 Following Device's Stylish Revamp. International Digital Times [online]. IBT Media, publikováno 31. 1. 2014 [cit. 3. 2. 2014]. Dostupné z: http://www.idigitaltimes.com/articles/21720/20140131/google-glass-release-dateconsumer-launch-2014.htm 11. FOLSOM, Thomas C. Defining Cyberspace (Finding Real Virtue in the Place of Virtual Reality). Tulane Journal of Technology and Intellectual Property. 2007, vol. 9, s. 75. ISSN 1533-3531. 12. FOLTZ, Andrew C. Stuxnet, Schmitt Analysis, and the Cyber “Use-of-force“ Debate. Joint Force Quarterly [online]. Issue 67, 4th quarter, 2012 [cit. 25. 2. 2014]. ISSN 1070-0692. Dostupné z: http://www.dtic.mil/doctrine/jfq/jfq-67.pdf 13. GIBBS, Wayt W. Jak ukrást data bez připojení k síti. Scientific American: české vydání [online]. 2010, č. 1 [cit. 10. 10. 2013]. ISSN 1213-7723. Dostupné z: http://www.sciam.cz/files/vydani/SA_01_2010/leden_2010_jak_ukrast_data_web.pdf 14. GOJNÁ, Markéta. Virtuální světy matrix, Metaverzum, Second Life [online]. Brno, 2009 [cit. 3. 9. 2013]. Bakalářská práce. Masarykova univerzita, Filosofická fakulta. Dostupné z: http://is.muni.cz/th/217784/ff_b/Bakalarka_Virtualni_svety.pdf 15. GOLDSMITH, Jack L. Against cyberanarchy [online]. University of Chicago, 1998 [cit. 22. 11. 2013]. Dostupné z: http://cyber.law.harvard.edu/property00/jurisdiction/cyberanarchy.html 16. GRAY, Colin S. The Implications of Preemptive and Preventive War Doctrines: A Reconsideration [online]. United States Army War College: Strategic Studies Institute, 2007 [cit. 17. 10. 2013]. ISBN 1-58487-298-5. Dostupné z: http://www.strategicstudiesinstitute.army.mil/pdffiles/pub789.pdf 17. GRILL, Josef. Hosting. Nátlak. Podlehnout či nepodlehnout? [online]. WEDOS Internet, a.s., publikováno 18. 11. 2013 [cit. 20. 2. 2014]. Dostupné z: http://datacentrum.wedos.com/a/338/hosting-natlak-podlehnout-ci-nepodlehnout.html 18. HAKKEN, David. Cyborg@cyberspace?: An Ethnographer Looks to the Future. New York: Routledge, 1999. 264 s. ISBN 978-0415915589.
120
19. HAMMES, Thomas X. Válka čtvrté generace se rozvíjí, válka páté generace vzniká. Vojenské rozhledy [online]. 2008, roč. 17, č. 1 [cit. 7. 9. 2013]. ISSN 1210-3292. Dostupné z: http://www.mocr.army.cz/scripts/file.php?id=84019&down=yes 20. HARAŠTA, Jakub. Právní aspekty kybernetické bezpečnosti ČR [online]. Brno, 2013 [cit. 10. 11. 2013]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/323070/pravf_m/323070_DP_tvoxgarp.pdf 21. HARAŠTA, Jakub. 9th Circuit a soudní příkazy. Blog Ústavu práva a technologií Právnické fakulty Masarykovy univerzity [online]. Brno: Ústav práva a technologií Právnické fakulty Masarykovy univerzity, publikováno 6. 1. 2014 [cit. 15. 1. 2014]. Dostupné z: http://ict-law.blogspot.cz/2014/01/9th-circuit-soudni-prikazy.html 22. HARRINGTON, Jeremy. Has a Non-State Armed Group Conducted a Revolution in Military Affairs? A Case Study of al Qaeda [online]. Medford, USA, 2005 [cit. 7. 9. 2013]. Master of Arts in Law and Diplomacy Thesis. Tufts university, The Fletcher School. Dostupné z: http://fletcher.tufts.edu/Maritime/~/media/Fletcher/Microsites/Maritime/pdfs/harringt on.ashx 23. JÄÄSKINEN, Niilo. Stanovisko generálního advokáta ve věci C-131/12 ze dne 25. 6. 2013. Soudní dvůr Evropské unie [online]. Soudní dvůr Evropské unie, 2013 [cit. 17. 2. 2014]. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&pageIndex =0&doclang=CS&mode=lst&dir=&occ=first&part=1&cid=115516 24. JIRÁSEK, Petr, NOVÁK, Luděk, POŽÁR, Josef. Výkladový slovník kybernetické bezpečnosti. 2. vyd. Praha: Policejní akademie ČR a Česká pobočka AFCEA, 2013, 200 s. ISBN 978-80-7251-397-0. 25. KELSEN, Hans. Všeobecná teorie norem. Brno: Masarykova univerzita, 2000, 470 s. ISBN 80-210-2325-2. 26. KNAPP, Viktor. Teorie práva. 1. vyd. Praha: C.H.Beck, 1995, 247 s. ISBN 80-7179028-1. 27. KNORR, Eric, GRUMAN, Galen. What cloud computing really means. InfoWorld [online]. InfoWorld, 2011 [cit. 19. 3. 2014]. ISSN 0199-6649. Dostupné z: http://www.infoworld.com/d/cloud-computing/what-cloud-computing-really-means031 28. KOKEŠ, Marian. Několik poznatků k problematice konkrétních konfliktů mezi právem na informační sebeurčení a ochranou národní bezpečnosti v tzv. době interneto121
vé. In: ŠIMÍČEK, Vojtěch (ed.). Právo na soukromí. Brno: Masarykova univerzita, 2011, s. 119-143. ISBN 978-80-210-5449-3. 29. KRÁL, David. Informační bezpečnost podniku [online]. Brno, 2010 [cit. 10. 11. 2013]. Dizertační práce. Vysoké učení technické v Brně, Fakulta podnikatelská. Dostupné z: https://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=24617 30. KRÁSNÝ, Antonín. Pohledy na asymetrii v operacích. Obrana a strategie [online]. Roč. 2003, č. 2 [cit. 7. 9. 2013]. ISSN 1802-7199. Dostupné z: http://www.defenceandstrategy.eu/redakce/tisk.php?lanG=cs&clanek=20150&slozka =17481&xsekce=20134& 31. KRČMÁŘ, Petr. Šest organizací se v NIX.CZ spojilo do Bezpečné VLAN. ROOT.CZ [online]. Root.cz, publikováno 3. 2. 2014 [cit. 14. 3. 2014]. ISSN 1212-8309. Dostupné z: http://www.root.cz/clanky/sest-organizaci-se-v-nix-cz-spojilo-dobezpecne-vlan/ 32. KRIGSMAN, Michael. FBI: Counterfeit Cisco routers risk "IT subversion". ZDNet.com [online]. CBS Interactive, publikováno 12. 5. 2008 [cit. 11. 12. 2013]. Dostupné z: http://www.zdnet.com/blog/projectfailures/fbi-counterfeit-cisco-routersrisk-it-subversion/740 33. KUBEŠA, Milan, SPIŠÁK, Jan. Hybridní hrozby a vývoj nové operační koncepce NATO. Obrana a strategie [online]. Roč. 2011, č. 2 [cit. 11. 9. 2013]. ISSN 18027199. Dostupné z: http://www.defenceandstrategy.eu/cs/aktualni-cislo-22011/clanky/hybridni-hrozby-a-vyvoj-nove-operacni-koncepce-nato.html 34. KUSHNER, David. The Real Story of Stuxnet. IEEE Spectrum [online]. IEEE, publikováno 26. 2. 2013 [cit. 24. 2. 2014]. Dostupné z: http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet 35. LA RUE, Frank. Report of the Special Rapporteur on key trends and challenges to the right of all individuals to seek, receive and impart information and ideas of all kinds through the Internet. Freedom of Opinion and Expression – Annual reports [online]. Organizace spojených národů: Úřad vysokého komisaře OSN pro lidská práva, publikováno 16. 5. 2011 [cit. 19. 2. 2014]. Dostupné z: http://daccessods.un.org/access.nsf/Get?Open&DS=A/HRC/17/27&Lang=E 36. LEWIS, James A. Sovereignty and the Role of Government in Cyberspace. Brown journal of world affairs [online databáze HeinOnline]. 2010, Spring/Summer, vol. 16, s. 55. ISSN 1080-0786. 122
37. LÉVY, Pierre. Cyberculture. Minneapolis: University of Minnesota Press, 2001, s. 74. 38. LIND, William S. Understanding Fourth Generation War. Military Review [online]. United States Army Combined Arms Center Fort Leavenworth, Kansas, 2004, č. September-October [cit. 14. 10. 2014]. ISSN 0026-4148. Dostupné z: http://cgsc.contentdm.oclc.org/utils/getfile/collection/p124201coll1/id/178/filename/1 79.pdf 39. LOUŽEK, Marek. Krásná budoucnost světa. Cepin.cz [online]. Centrum pro ekonomiku a politiku, publikováno 5. 3. 2007 [cit. 12. 9. 2013]. Dostupné z: http://cepin.cz/cze/clanek.php?ID=735 40. MATĚJKOVÁ, Adéla. Kdy je nutné a kdy vhodné navštívit notáře. IHNED.cz [online]. Economia, publikováno 19. 12. 2008 [cit. 12. 3. 2014]. ISSN 1213-7693. Dostupné z: http://pravniradce.ihned.cz/c1-31790040-kdy-je-nutne-a-kdy-vhodnenavstivit-notare 41. MEISTER, Gabriel, HAN, Benjamin. Peering Into the Future: Google Glass and the Law. Socially Aware Blog [online]. Morrison & Foerster, publikováno 9. 9. 2013 [cit. 3. 2. 2014]. Dostupné z: http://www.sociallyawareblog.com/2013/09/09/peering-intothe-future-google-glass-and-the-law/ 42. MUSIL, Jan. Zákaz donucování k sebeobviňování (nemo tenetur se ipsum accusare). Ministerstvo vnitra ČR [online]. Praha, 2009 [cit. 17. 2. 2014]. Dostupné z: http://www.mvcr.cz/clanek/4-2009-zakaz-donucovani-k-sebeobvinovani-nemotenetur-se-ipsum-accusare.aspx 43. MYŠKA, Matěj. Právní aspekty uchovávání provozních a lokalizačních údajů [online]. Brno, 2012 [cit. 17. 2. 2014]. Rigorózní práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/102870/pravf_r/RP_Myska.pdf 44. OŠMERA, Pavel. Informační systémy. Vysoké učení technické v Brně [online]. [cit. 14. 9. 2013]. Dostupné z: http://www.zam.fme.vutbr.cz/~Osmera/ 45. PAGANINI, Pierluigi. Nearly 7600 critical infrastructure vulnerable to bugs in Yokogawa App. Security Affairs [online]. Publikováno 16. 3. 2014 [cit. 25. 3. 2014]. Dostupné z: http://securityaffairs.co/wordpress/23085/security/7600-yokogawascada-application-vulnerable.html 46. PETERKA, Jiří. S jakým přijetím se ve sněmovně setkal zákon o kybernetické bezpečnosti? LUPA.cz [online]. Lupa.cz, publikováno 17. 2. 2014 [cit. 3. 3. 2014]. ISSN
123
1213-0702. Dostupné z: http://www.lupa.cz/clanky/navrh-zakona-o-kybernetickebezpecnosti-prosel-prvnim-ctenim/ 47. PETERKA, Martin. Role a počet bezpečnostních týmů rostou. Co o nich ale víme? LUPA.cz [online]. Internet Info, s.r.o., publikováno 13. 5. 2011 [cit. 4. 1. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/role-a-pocet-bezpecnostnichtymu-rostou-co-o-nich-ale-vime/ 48. POLČÁK, Radim. Právo a evropská informační společnost. 1. vyd. Brno: Masarykova Univerzita, 2009. 202 s. ISBN 978-80-210-4885-0. 49. POLČÁK, Radim. Internet a proměny práva. 1. vyd. Praha: Auditorium, 2012, 388 s. ISBN 978-80-87284-22-3. 50. POLČÁK, Radim, ŠKOP, Martin, MACEK, Jakub. Normativní systémy v kyberprostoru. 1. vyd. Brno: Masarykova univerzita, 2005, 102 s. ISBN 80-2103779-2. 51. POLESNÝ, David. Google Glass na vlastní oko: výlet do budoucnosti. Živě [online]. Mladá fronta, publikováno 19. 6. 2013 [cit. 1. 12. 2013]. Dostupné z: http://www.zive.cz/clanky/google-glass-na-vlastni-oko-vylet-do-budoucnosti/sc-3-a169367/default.aspx 52. POST, David G. What Larry Doesn't Get: Code, Law, and Liberty in Cyberspace. David G. Post: Research & Writings [online]. Beasley School of Law, TEMPLE University, 2000 [cit. 12. 12. 2013]. Dostupné z: http://www.temple.edu/lawschool/dpost/code.html 53. POST, David G. Against "Against Cyberanarchy". Social Science Research Network [online]. Beasley School of Law, TEMPLE University, 2002 [cit. 22. 11. 2013]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=334581 54. RADCLIFFE, Jerome. CyberLaw 101: A primer on US laws related to honeypot deployments. SANS Institute [online]. Swansea: SANS Institute, 2007 [cit. 27. 2. 2014]. Dostupné z: http://www.sans.org/reading-room/whitepapers/legal/cyberlaw101-primer-laws-related-honeypot-deployments-1746 55. REILLY, Richard B. New York Police Department is beta-testing Google Glass. VentureBeat [online]. VentureBeat, publikováno 5. 2. 2014 [cit. 1. 3. 2014]. Dostupné z: http://venturebeat.com/2014/02/05/nypd-google-glass/ 56. RICHARDSON, John. Stuxnet as Cyberwarfare: Applying the Law of War to the Virtual Battlefield. Social Science Research Network [online]. JMR Portfolio Intelli-
124
gence, 2011 [cit. 24. 2. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1892888 57. ROSINOVÁ, Marika. Aktuální stav určení prvků kritické infrastruktury v České republice. Časopis 112 [online]. 2012, roč. XI, č. 10 [cit. 17. 10. 2013]. ISSN 12137057. Dostupné z: http://www.hzscr.cz/clanek/informacni-servis-casopis-112-2012casopis-112-rocnik-xi-cislo-10-2012.aspx?q=Y2hudW09NQ%3D%3D 58. RŮŽIČKA, Jan. Na internet unikla příručka, podle které se cenzuruje Facebook. IHNED.cz [online]. Economia, publikováno 28. 2. 2012 [cit. 10. 12. 2013]. ISSN 1213-7693. Dostupné z: http://tech.ihned.cz/c1-54872630-na-internet-uniklaprirucka-podle-ktere-se-cenzuruje-facebook 59. SAXBY, Stephen. The roles of government in national/international Internet administration. In: AKDENIZ, Yaman, WALKER, Clive, WALL, David (eds.) The Internet, Law and Society. Harlow: Pearson Education Limited, 2000, s. 3. 60. SEDLÁK, Jan. Zaplať, nebo nebude YouTube. E15.cz [online]. Mladá fronta, publikováno 12. 2. 2014 [cit. 14. 3. 2014]. Dostupné z: http://e-svet.e15.cz/internet/zaplatnebo-nebude-youtube-2-1060424 61. SHIMEALL, Timothy, WILLIAMS, Phil, DUNLEVY, Casey. Countering cyber war. NATO review [online]. Brusel: Severoatlantická aliance, zima 2001/2002 [cit. 16. 2. 2014]. Dostupné z: http://www.nato.int/docu/review/2001/Combating-New-SecurityThreats/Countering-cyber-war/EN/index.htm 62. SCHAUFENBUEL, Bradley J. The Legality of Honeypots. ISSA Journal [online]. Information Systems Security Association, 2008 [cit. 27. 2. 2014]. Dostupné z: http://www.jdsupra.com/post/fileServer.aspx?fName=cba3901d-d1b2-4da4-9ff2ba88e3ddfe2f.pdf 63. SCHMIDT, Nikola. První kroky ke vzniku mezinárodního kybernetického bezpečnostního režimu. Natoaktual.cz [online]. Praha, Informační centrum o NATO, 2013 [cit. 16. 11. 2013]. Dostupné z: http://www.natoaktual.cz/prvni-kroky-ke-vznikumezinarodniho-kybernetickeho-bezpecnostniho-rezimu-1b7/na_analyzy.aspx?c=A130902_094044_na_analyzy_m02 64. SCHMITT, Michael N. The ‘Use of Force‘ in Cyberspace: A Reply to Dr Ziolkowski. NATO CCD COE [online]. Tallinn: NATO CCD COE, 2012 [cit. 24. 2. 2014]. Dostupné z: http://www.ccdcoe.org/publications/2012proceedings/5_4_Schmidt_ResponseToZiol kowski.pdf 125
65. SCHMITT, Michael N. ed. Tallinn Manual on the International Law Applicable to Cyber Warfare. NATO CCD COE [online]. Tallinn: NATO CCD COE, 2013 [cit. 24. 2. 2014]. Dostupné z: http://issuu.com/nato_ccd_coe/docs/tallinnmanual/1?e=0 66. SPĚŠNÝ, Jan. Ochrana před DDOS útoky. Computer. Roč. 2014, č. 4, s. 136-137. ISSN 1214-8790. 67. STRATILÍK, Ondřej. Na kybernetickou válku se chystá i armáda. Lidovky.cz [online]. MAFRA, publikováno 27. 1. 2012 [cit. 17. 2. 2014]. ISSN 1213-1385. Dostupné z: http://www.lidovky.cz/na-kybernetickou-valku-se-chysta-i-armada-fp8-/zpravydomov.aspx?c=A120126_205525_ln_zahranici_rka 68. SUMMERS, Alex, TICKNER, Chris. Introduction to Security Analysis [online]. London: Imperial College [cit. 10. 11. 2013]. Dostupné z: http://www.doc.ic.ac.uk/~ajs300/security/CIA.htm 69. ŠLAPÁK, Ondřej. Data, informace, znalosti. E-LOGOS [online]. Vysoká škola ekonomická, 2003 [cit. 14. 9. 2013]. ISSN 1211-0442. Dostupné z: http://nb.vse.cz/kfil/elogos/miscellany/slapa103.pdf 70. ŠOŠOLÍKOVÁ, Hana. Ochrana osobních údajů online a „právo být zapomenut“ [online]. Brno, 2013 [cit. 17. 2. 2014]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Dostupné z: http://is.muni.cz/th/335905/pravf_m/Sosolikova_Hana_DP_FINAL.pdf 71. VAJDA, Igor. Civilizační přínos teorie informace. Akademický bulletin [online]. Akademie věd ČR, publikováno 25. 6. 2008 [cit. 14. 9. 2013]. ISSN 1210-9525. Dostupné z: http://abicko.avcr.cz/archiv/1999/4/obsah/civilizacni-prinos-teorieinformace.html 72. VALÁŠEK, Michal. DDoS útoky: Primitivní zločin, který se dá pořídit na objednávku za několik tisíc korun. IHNED.cz [online]. Economia, publikováno 6. 3. 2013 [cit. 8. 10. 2013]. ISSN 1213-7693. Dostupné z: http://tech.ihned.cz/c1-59451640-ddosutoky-vysvetleni 73. VYLEŤAL, Martin. NIX.CZ má novou konkurenci, majitel SuperHostingu spustil peeringové centrum. LUPA.cz [online]. Lupa.cz, publikováno 2. 9. 2013 [cit. 14. 2. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/nix-cz-ma-novoukonkurenci-majitel-superhostingu-spustil-peeringove-centrum/ 74. ZANDL, Patrick. Superhosting tlačí na členy NIXu provozem Novy i typosquattingem. LUPA.cz [online]. Lupa.cz, publikováno 1. 2. 2010 [cit. 14. 2. 2014]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/superhosting-tlaci-na-cleny-nixu/ 126
75. ZIOLKOWSKI, Katharina. Stuxnet – Legal Considerations. NATO CCD COE Portal [online]. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence, publikováno 16. 1. 2012 [cit. 24. 2. 2014]. Dostupné z: https://portal.ccdcoe.org/documents/10361/29785/Stuxnet++Legal+Considerations.pdf
6.2 Právní předpisy, legislativní návrhy a soudní rozhodnutí 1. Vyhláška ministra zahraničních věcí č. 30/1947 Sb., o chartě Spojených národů a statutu Mezinárodního soudního dvora, sjednaných dne 26. června 1945 na konferenci Spojených národů o mezinárodní organisaci, konané v San Francisku, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 24. 2. 2014]. 2. Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 21. 2. 2014]. 3. Zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 3. 2014]. 4. Sdělení federálního ministerstva zahraničních věcí č. 209/1992 Sb., Úmluva o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 3. 2014]. 5. Ústavní zákon č. 1/1993 Sb., Ústava České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 6. Ústavní zákon č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky, ve znění ústavního zákona č. 162/1998 Sb. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 7. Zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 1. 2014]. 8. Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. 300/2000 Sb. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 10. 2013]. 9. Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014].
127
10. Zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 1. 2014]. 11. Zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 1. 2014]. 12. Směrnice Evropského parlamentu a Rady (EU) č. 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu („směrnice o elektronickém obchodu“). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 20. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:25:32000L0031:CS:PDF 13. Zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 15. 10. 2013]. 14. Zákon č. 129/2000 Sb., o krajích (krajské zřízení), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014]. 15. Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013]. 16. Nařízení vlády č. 462/2000 Sb., k provedení § 27 odst. 8 a § 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013]. 17. Směrnice Evropského parlamentu a Rady č. 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 19. 3. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:29:32002L0021:CS:PDF 18. Nařízení Evropského parlamentu a Rady (ES) č. 460/2004 ze dne 10. března 2004 o zřízení Evropské agentury pro bezpečnost sítí a informací. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:01:05:32004R0460:CS:PDF 19. Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozděj-
128
ších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 12. 2013]. 20. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 9. 2013]. 21. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 6. 1. 2014]. 22. Směrnice Rady (EU) č. 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 8. 10. 2013]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:CS:PDF 23. Zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 21. 2. 2014]. 24. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 12. 10. 2013]. 25. Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 7. 3. 2014]. 26. Směrnice Evropského parlamentu a Rady č. 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností, o změně směrnic 2005/60/ES a 2006/48/ES a o zrušení směrnice 2000/46/ES. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 16. 10. 2013]. Dostupné z: http://new.eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:32009L0110&rid=1 27. Zákon č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013]. 28. Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 8. 10. 2013]. 29. Vyhláška č. 141/2011 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 16. 10. 2013]. 129
30. Zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 10. 2. 2014]. 31. Směrnice Evropského parlamentu a Rady č. 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 7. 3. 2014]. Dostupné z: http://new.eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:32013L0040&rid=1 32. Nařízení Evropského parlamentu a Rady (EU) č. 526/2013 ze dne 21. května 2013 o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:165:0041:0058:CS:PDF 33. Konsolidované znění Smlouvy o fungování Evropské unie. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 19. 3. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0047:0200:cs:PDF 34. Nález Ústavního soudu ČR ze dne 12. 10. 1994, sp. zn. Pl. ÚS 4/94. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 1994 [cit. 1. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-4-94 35. Nález Ústavního soudu ČR ze dne 28. 1. 2004, sp. zn. Pl. ÚS 41/02. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2004 [cit. 1. 3. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-41-02 36. Nález Ústavního soudu ČR ze dne 22. 3. 2005, sp. zn. Pl. ÚS 21/02. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2005 [cit. 15. 10. 2013]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-21-02 37. Nález Ústavního soudu ČR ze dne 22. 3. 2011, sp. zn. Pl. ÚS 24/10. Ústavní soud ČR [online]. Ústavní soud ČR: NALUS, 2005 [cit. 17. 2. 2014]. Dostupné z: http://nalus.usoud.cz/Search/GetText.aspx?sz=Pl-24-10_1 38. Soudní příkaz okresního soudu Colorado, USA ze dne 23. 1. 2012, sp. zn. 10-cr00509-REB-02, dokument 247. Okresní soud Colorado, USA [online]. Electronic Frontier Foundation [cit. 17. 2. 2014]. Dostupné z: https://www.eff.org/files/filenode/Fricosu%20Order.pdf
130
39. Návrh nařízení Evropského parlamentu a Rady ze dne 25. 1. 2012 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) COM(2012)11. In: PreLex [právní informační systém]. Úřad pro úřední tisky Evropské unie [cit. 17. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:CS:PDF 40. Návrh směrnice Evropského parlamentu a Rady ze dne 7. 2. 2013 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii COM(2013)48. In: PreLex [právní informační systém]. Úřad pro úřední tisky Evropské unie [cit. 21. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0048:FIN:CS:PDF 41. Návrh vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Národní centrum kybernetické bezpečnosti: Informační servis [online]. Národní bezpečnostní úřad, publikováno 21. 2. 2014 [cit. 1. 3. 2014]. Dostupné z: http://www.govcert.cz/cs/informacniservis/akce-a-udalosti/nbu-vypracoval-navrh-vyhlasky-o-kyberneticke-bezpecnosti/ 42. Sněmovní tisk 81/0: Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 6. 3. 2014]. http://www.psp.cz/sqw/text/orig2.sqw?idd=90888
6.3 Ostatní prameny 1. ACTA - Obchodní dohoda proti padělatelství - seznamte se s fakty. Evropská komise: Zastoupení v České republice [online]. Evropská komise, publikováno 8. 2. 2012 [cit. 20. 2. 2014]. Dostupné z: http://ec.europa.eu/ceskarepublika/news/120208acta_cs.htm 2. Agentura komunikačních a informačních systémů. Armáda České republiky: Generální štáb [online]. Armáda České republiky, publikováno 19. 12. 2013 [cit. 17. 2. 2014]. Dostupné z: http://www.acr.army.cz/struktura/generalni-stab/sekcepodpory/agentura-komunikacnich-a-informacnich-systemu-86854/ 3. Australian Government Information Security Manual. Australian Government: Department of Defence [online]. Kingston, Commonwealth of Australia, 2012 [cit. 10. 11. 2013]. Dostupné z:
131
http://www.asd.gov.au/publications/Information_Security_Manual_2012_Principles.p df?&updatedNov12 4. Balloon – Powered Internet for Everyone. Google: Project Loon [online]. Google Inc. [cit. 2. 12. 2013]. Dostupné z: http://www.google.com/loon/ 5. Bezpečnostní strategie České republiky. Ministerstvo zahraničí ČR: Bezpečnostní politika [online]. Ministerstvo zahraničí ČR, publikováno 9. 9. 2011 [cit. 5. 10. 2013]. Dostupné z: http://www.mzv.cz/file/699914/Bezpecnostni_strategie_CR_2011.pdf 6. Bluetooth Smart Technology: Powering the Internet of Things. Bluetooth Special Interest Group: Bluetooth Smart [online]. Bluetooth Special Interest Group [cit. 3. 9. 2013]. Dostupné z: http://www.bluetooth.com/Pages/Bluetooth-Smart.aspx 7. Cyber Security Strategy. European Union Agency for Network and Information Security: National Cyber Security Strategies in the World [online]. Estonia, Ministry of Defence, 2008 [cit. 20. 12. 2013]. Dostupné z: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-securitystrategies-ncsss/Estonia_Cyber_security_Strategy.pdf 8. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace. Evropská komise: Digital Agenda for Europe [online]. Evropská komise, 2013 [cit. 21. 2. 2014]. Dostupné z: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=166 7 9. Česká bezpečnostní terminologie. Výklad základních pojmů. Vojenská akademie v Brně: Ústav strategických studií [online]. Vojenská akademie v Brně, 2002 [cit. 4. 11.2013]. Dostupné z: http://www.defenceandstrategy.eu/filemanager/files/file.php?file=16048 10. Defending the networks: The NATO Policy on Cyber Defence. North Atlantic Treaty Organization [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/nato_static/assets/pdf/pdf_2011_09/20111004_110914-policycyberdefence.pdf 11. Důvodová zpráva k NZKB. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Publikováno 28. 6. 2013 [cit. 17. 10. 2013]. Dostupné z: http://www.govcert.cz/download/nodeid-1855/ 12. Evropská bezpečnostní strategie. Rada Evropské unie: Dokumenty [online]. Rada Evropské unie [cit. 20. 10. 2013]. Dostupné z:
132
https://www.consilium.europa.eu/uedocs/cms_data/librairie/PDF/QC7809568CSC.pd f 13. Good Practice Guide for Incident Management. Agentura Evropské unie pro bezpečnost sítí a informací: Support for CERTs / CSIRTs [online]. Agentura Evropské unie pro bezpečnost sítí a informací, 2010 [cit. 15. 3. 2014]. Dostupné z: http://www.enisa.europa.eu/activities/cert/support/incident-management/files/goodpractice-guide-for-incident-management/at_download/fullReport 14. Information about the regulations of the content of the Internet. The Presidency of Telecommunication: Frequently Asked Questions [online]. The Presidency of Telecommunication [cit. 20. 2. 2014]. Dostupné z: http://www.tib.gov.tr/en/en-menu-47information_about_the_regulations_of_the_content_of_the_internet.html# 15. Internet Standard RFC 3986. Internet Engineering Task Force [online]. Internet Engineering Task Force, 2005 [cit. 5. 10. 2013]. Dostupné z: http://tools.ietf.org/html/rfc3986. 16. Lisbon Summit Declaration. North Atlantic Treaty Organization: Official texts [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/SID-B5234023CD9EE1A6/natolive/official_texts_68828.htm?selectedLocale=en 17. NATO and cyber defence. North Atlantic Treaty Organization: NATO A-Z [online]. Severoatlantická organizace [cit. 23. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/topics_78170.htm? 18. NATO Rapid Reaction Team to fight cyber attack. North Atlantic Treaty Organization: Newsroom [online]. Severoatlantická organizace, publikováno 13. 3. 2012 [cit. 24. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/news_85161.htm?selectedLocale=en 19. New NATO division to deal with Emerging Security Challenges. North Atlantic Treaty Organization: Newsroom [online]. Severoatlantická organizace, publikováno 4. 8. 2010 [cit. 24. 2. 2014]. Dostupné z: http://www.nato.int/cps/en/natolive/news_65107.htm?selectedLocale=en 20. Mission and Vision. NATO Cooperative Cyber Defence Centre of Excellence [online]. [cit. 24. 2. 2014]. Dostupné z: http://www.ccdcoe.org/11.html 21. Overview and missions. Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [online]. Haute Autorité pour la diffusion des œuvres et la pro-
133
tection des droits sur internet [cit. 21. 2. 2014]. Dostupné z: http://www.hadopi.fr/en/high-authority/high-authority-overview-and-missions 22. Pravidla Bezpečná VLAN ver 1.0 cz. NIX.CZ: Důležité dokumenty [online]. NIX.CZ [cit. 14. 3. 2014]. Dostupné z: http://www.nix.cz/cs/file/PRAVIDLA_BEZP_VLAN_V1.0CZ 23. Připomínky k návrhu zákona o kybernetické bezpečnosti. Česká pirátská strana: Komise pro kopírování a Internet [online]. Česká pirátská strana [cit. 15. 3. 2014]. Dostupné z: http://www.pirati.cz/kci/cons/cybs 24. Remotely Triggered Black Hole Filtering – Destination based and source based. Cisco Systems [online]. Cisco Systems, Inc. [cit. 14. 3. 2014]. Dostupné z: http://www.cisco.com/c/dam/en/us/products/collateral/security/ios-networkfoundation-protection-nfp/prod_white_paper0900aecd80313fac.pdf 25. Rozhodnutí Rady č. 2009/371/SVV ze dne 6. dubna 2009 o zřízení Evropského policejního úřadu (Europol). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 23. 2. 2014]. Dostupné z: http://new.eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:32009D0371&rid=2 26. Sdělení Evropské komise č. COM(2012)140 ze dne 28. března 2012 „Řešení trestné činnosti v digitálním věku: zřízení Evropského centra pro boj proti kyberkriminalitě“. In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 22. 2. 2014]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0140:FIN:CS:PDF 27. Services for Security and Incident Response Teams. Trans-European Research and Education Networking Association: Trusted Introducer [online]. Trans-European Research and Education Networking Association [cit. 4. 1. 2014]. Dostupné z: http://www.trusted-introducer.org 28. Stav projednávání sněmovního tisku 81, vládního návrhu zákona o kybernetické bezpečnosti. Poslanecká sněmovna Parlamentu ČR: Jednání a dokumenty [online]. Poslanecká sněmovna Parlamentu ČR [cit. 23. 2. 2014]. Dostupné z: http://www.psp.cz/sqw/historie.sqw?o=7&t=81 29. Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation. North Atlantic Treaty Organization: NATO A-Z [online]. North Atlantic Treaty Organization [20. 10. 2013]. Dostupné z: http://www.nato.int/nato_static/assets/pdf/pdf_publications/20120214_strategicconcept-2010-eng.pdf 134
30. Strategie pro oblast kybernetické bezpečnosti České republiky na období 2012-2015. Národní bezpečnostní úřad: Národní centrum kybernetické bezpečnosti [online]. Brno, 2012 [cit. 20. 12. 2013]. Dostupné z: http://www.govcert.cz/download/nodeid727/ 31. Team Database. Trans-European Research and Education Networking Association: Trusted Introducer [online]. Trans-European Research and Education Networking Association [cit. 4. 1. 2014]. Dostupné z: https://www.trustedintroducer.org/directory/country_A.html 32. Terminologický slovník pojmů z oblasti krizového řízení a plánování obrany státu. Ministerstvo vnitra ČR: Odbor bezpečnostní politiky [online]. Praha: Ministerstvo vnitra ČR, 2009 [cit. 16. 10. 2013]. Dostupné z: http://www.mvcr.cz/soubor/terminologicky-slovnik-offline-verze.aspx 33. The National Military Strategy for Cyberspace Operations. Secretary of Defense: The Office of the Secretary of Defense and Joint Staff [online]. Secretary of Defense, 2006 [cit. 28. 9. 2013]. Dostupné z: http://www.dod.mil/pubs/foi/joint_staff/jointStaff_jointOperations/07-F2105doc1.pdf 34. Wi-Fi Alliance [online]. Wi-Fi Alliance [cit. 2. 12. 2013]. Dostupné z: http://www.wi-fi.org/ 35. Usnesení vlády č. 665 ze dne 8. 9. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 5. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2& p_p_state=normal&p_p_mode=view&p_p_resource_id=downloadAttachment&p_p_ cacheability=cacheLevelPage&p_p_col_id=column2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BUF3Y4 36. Usnesení vlády č. 781 ze dne 19. 10. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 6. 1. 2014]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2& p_p_state=normal&p_p_mode=view&p_p_resource_id=downloadAttachment&p_p_ cacheability=cacheLevelPage&p_p_col_id=column2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BUKZ3E 37. Usnesení vlády č. 934 ze dne 14. 12. 2011. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2011 [cit. 8. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2& 135
p_p_state=normal&p_p_mode=view&p_p_resource_id=downloadAttachment&p_p_ cacheability=cacheLevelPage&p_p_col_id=column2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=KORN97BV2T9O 38. Usnesení vlády č. 681 ze dne 4. 9. 2013. Vláda ČR [online]. Vláda ČR, Dokumenty vlády, 2013 [cit. 8. 10. 2013]. Dostupné z: https://apps.odok.cz/djv-agenda?p_p_id=agenda_WAR_odokkpl&p_p_lifecycle=2& p_p_state=normal&p_p_mode=view&p_p_resource_id=downloadAttachment&p_p_ cacheability=cacheLevelPage&p_p_col_id=column2&p_p_col_count=1&_agenda_WAR_odokkpl_attachmentPid=PJUA9BAHW369 39. Usnesení Výboru pro bezpečnost Poslanecké sněmovny Parlamentu ČR č. 21 ze dne 26. 2. 2014. Poslanecká sněmovna Parlamentu ČR: Výbor pro bezpečnost [online]. Poslanecká sněmovna Parlamentu ČR [cit. 15. 3. 2014]. Dostupné z: http://www.psp.cz/sqw/text/orig2.sqw?idd=93159 40. Usnesení Rozpočtového výboru Poslanecké sněmovny Parlamentu ČR č. 48 ze dne 26. 2. 2014. Poslanecká sněmovna Parlamentu ČR: Rozpočtový výbor [online]. Poslanecká sněmovna Parlamentu ČR [cit. 28. 2. 2014]. Dostupné z: http://www.psp.cz/sqw/text/text2.sqw?idd=92973 41. Washingtonská smlouva. Natoaktual.cz [online]. Praha, Informační centrum o NATO [cit. 20. 10. 2013]. Dostupné z: http://www.natoaktual.cz/na_zpravy.aspx?y=na_summit/washingtonskasmlouva.htm 42. Yokogawa Security Advisory Report. Yokogawa: Security [online]. Yokogawa Electric Corporation, publikováno 7. 3. 2014 [cit. 25. 3. 2014]. Dostupné z: http://www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf 43. Zpráva o zahraniční politice České republiky. Ministerstvo zahraničí ČR: Výroční zprávy a dokumenty [online]. Ministerstvo zahraničí ČR, publikováno 26. 8. 2011 [cit. 24. 2. 2014]. Dostupné z: https://www.mzv.cz/file/691824/Zprava_o_zahranicni_politice_2010_.pdf
136
7 Zadání práce
137
138
