Taťána Jančárková NBÚ/NCKB 2 Jak definujete kyberprostor? 3 • konsenzuální halucinace prožívaná denně miliardami legitimních operátorů, v každém národě, dětmi, které se učí matematickým pojmům…grafické zobrazení dat abstrahovaných z pamětí každého počítače v lidské společnosti. Nepředstavitelná komplexita. Linie světla rozprostírající se v neprostoru mysli, klastry a konstelace dat. (Gibbson, 1984) • globální doména v rámci informačního prostředí, jejíž odlišující a unikátní charakter je ohraničen použitím elektroniky a elektromagnetického spektra k vytvoření, uchovávání, modifikování, výměny a využití informací skrze závislé a propojené sítě využívající informační a komunikační technologie (Kuehl, 2009) • propojené informační technologie (Healey, 2013) • digitální prostředí umožňující vznik, zpracování a výměnu informací, tvoření informačními systémy a službami a sítěmi elektronických komunikací (ZKB, 2014) o kyberprostor nezná hranice – teritorialita? suverenita státu? o rychlost technologického vývoje – normy obsoletní v okamžiku vzniku? o přičitatelnost – kdo je adresátem norem, jak je vymáhat? 4 o technická – IT infrastruktura o sociální – mezilidské vztahy, sdílení a přijímání informací o politická – prosazování/ochrana zájmů státu o právní – ochrana infrastruktury, regulace činností v kyberprostoru, otázky jurisdikce a vymahatelnosti 5 o hrozby – špionáž, kriminalita, terorismus, válka o rostoucí dopad na offline svět - regulace nevyhnutelná? o autoregulace x vnucená úprava chování o demokratické x autoritativní režimy o centrem práva jednotlivec x společnost/stát o regulace infrastruktury x regulace obsahu x regulace jednání o snaha o prosazení teritoriálního prvku 6 7 • Kybernetická bezpečnost představuje souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru v České republice, a to jak pro subjekty veřejného a soukromého sektoru, tak pro širokou českou veřejnost. Kybernetická bezpečnost pomáhá identifikovat, hodnotit a řešit hrozby v kyberprostoru, snižovat kybernetická rizika a eliminovat dopady kybernetických útoků, informační kriminality, kyberterorismu a kybernetické špionáže ve smyslu posilování důvěrnosti, integrity a dostupnosti dat, systémů a dalších prvků informační a komunikační infrastruktury. Hlavním smyslem kybernetické bezpečnosti je pak ochrana prostředí k realizaci informačních práv člověka. o kybernetická bezpečnost v úzkém smyslu – Zákon č.181/2014 Sb., o kybernetické bezpečnosti (+ prováděcí předpisy) o kybernetická bezpečnost v širším smyslu o normy ústavního, občanského, trestního, správního, autorského práva aj. o Ústava, LZPS, ústavní zákon o bezpečnosti ČR o ZEK, TZ, TŘ, zákon o zajišťování obrany ČR, o mezinárodní justiční spolupráci, o ochraně osobních údajů, správní řád … o kyberkriminalita x mezinárodně protiprávní jednání států o Charta OSN (čl. 2(4) x čl. 39 a 51), obyčejové MP o užití síly, odpovědnost státu, IHL 8 o komplexní zajištění bezpečnosti kritické informační infrastruktury státu o zavést základní opatření kybernetické bezpečnosti o zlepšit detekci a hlášení kybernetických bezpečnostních incidentů o zavést systém opatření k zvládání incidentů o upravit činnost národního a vládního CERT 9 o ukládá povinnosti veřejnoprávním i soukromoprávním subjektům o dělí kybernetický prostor na oblast působnosti vládního CERT a národního CERT o odpovědnost provozovatele sítě za její bezpečnost o technologická neutralita o minimalizace zásahu do práv soukromoprávních subjektů (standardizace, nikoli certifikace) 10 o Kritická informační infrastruktura (KII) o prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti (zákon č. 240/2000 Sb., vyhl. 315/2014 Sb.) o Odvětvová kritéria o Dopadová kritéria: dopad na důvěrnost, integritu nebo dostupnost (CIA) o Přes 250 obětí nebo 2500 osob s následnou hospitalizací delší než 24 hodin o Hospodářská ztráta nad 0,5% HDP (2013 – 19,4 mld Kč) o Omezení základních služeb nebo jiné vážné narušení dopadající na více než 125 000 osob 11 o Významné informační systémy (VIS) o informační systém provozovaný orgánem veřejné moci/krajem, který není KII a jehož úplná nebo částečná nefunkčnost způsobená narušením bezpečnosti informací by mohla mít negativní vliv na výkon veřejné moci, na prvek KII, případně naplnit jiná z určených dopadových kritérií (§ 4 vyhlášky č. 317/2014 Sb.) o Oblastní kritéria o Orgán veřejné moci x kraje v přenesené působnosti (x obce) 12 o Vést bezpečnostní dokumentaci o Hlásit kybernetické bezpečnostní incidenty o Zavést bezpečnostní opatření (standardizace) o Provádět bezpečnostní opatření uložená NBÚ o Hlásit kontaktní údaje/kontaktní osoby o (pokuta do výše 100 000 Kč) 13 o stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací, a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací* *Zájem ČR: zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob (zákon 412/2005 Sb.. § 2 písm. b)) 14 o vyhlašuje Ř/NBÚ, zveřejnění v rozhlase a TV, informování vlády o postupech při řešení a o aktuálním stavu hrozeb o max. 7, resp. 30 dnů o vztahuje se na subjekty a vztahy upravené ZKB, rozhodnutí a opatření obecné povahy o Ř/NBÚ požádá vládu o vyhlášení stavu nouze, pokud situaci nelze zvládnout v rámci stavu kybernetického nebezpečí 15 o stále větší provázanost činností v kyberprostoru s mezinárodními vztahy (viz hrozby) x hlavním subjektem mezinárodního práva tradičně stát, zatímco v kyberprostoru původně jen doplňková úloha – jaké normy pro kyberprostor? o i na mezinárodní úrovni vícero dimenzí o politicko-vojenská – užití síly, kyberválka o ekonomicko-bezpečnostní – bezpečnost sítí a systémů, kyberkriminalita o rozvojová – internet governance, informační společnost 16 o 2013 – návrh směrnice o bezpečnosti sítí a informací (NIS směrnice) o poskytovatelé základních služeb a digitální platformy o 2013 - směrnice EP a Rady 2013/40/EU o útocích na informační systémy o kriminalizace vybraného jednání, přísnější sankce, spolupráce o 2001 - Úmluva Rady Evropy o počítačové kriminalitě (Budapešťská úmluva) (CZ 2013) o státy Rady Evropy i mimo (vč. USA) 17 o 1998 – RF návrh rezoluce o vývoji na poli ICT v kontextu mezinárodní bezpečnosti o 2011, 2015 – RF/CN (ŠOS) – International Code of Conduct o kontrola států nad internetem (mezivládní x multistakeholder přístup) o respektování suverenity států o zákaz „informačních zbraní“ (kyberšpionáž) o povinnost států stíhat činnosti jako „terorismus, separatismus a extremismus, které narušují politickou, ekonomickou a sociální stabilitu jiných států, stejně jako jejich duchovní a kulturní prostředí 18 o 2004 – 2015 – 4 skupiny vládních expertů (UN GGE) o normy mezinárodního práva platí i v kyberprostoru o státy mj. musí respektovat zásady suverenity, pokojného řešení sporů a nevměšování se do vnitřních záležitostí jiných států o státy musí dodržovat závazky k dodržování lidských práv a základních svobod o státy nesmí využívat prostředníky k mezinárodně protiprávnímu chování o 2013 – Talinský manuál 19 o 2013 - Talinský manuál o skupina expertů pod egidou CCDCoE o aplikace ius ad bellum a ius in bello na kyberprostor – stejné normy (pátá doména?) o otázka přičitatelnosti o mezinárodní právo platí i v kyberprostoru (UN GGE 2013) o užití síly ve smyslu čl. 2(4) Charty OSN o právo sebeobrany podle čl. 51 Charty o 2016? – Talinský manuál 2.0 20 o Hard law x soft law o výhody x nevýhody o doporučení UN GGE (A/70/174) o 2013 - OBSE - opatření na budování důvěry (CBMs) – rozhodnutí PC č. 1106 21 o 2005 – World Summit on Information Society o 2010 - Internet Governance Forum o 2015 – WSIS+10 review o IANA/ICANN – intergovernmental x multistakeholder approach 22 o konflikt hodnot a chráněných zájmů o mezinárodní normy pro kyberprostor stále ve fázi formování o mezinárodní právo se dokázalo s technickými výzvami vypořádat již v minulosti (radiové vlny, vesmír) 23 t.jancarkova@nbu.cz nckb@nbu.cz 24