Názory k článku Zákon o kybernetické bezpečnosti: nutný, zbytečný či nebezpečný?

To samozrejme vsichni vime i bez teto diskuze, dokonce vsichni vime, ze stejne zbytecni je i vladni CSIRT tym a nakonec i NBU. Ale zase abych to neprehanel, znami tech nahore, znami znamych i znami co znaji zname potrebuji nejaky teply flek a pokud trochu rozumi informatice, proc ne treba pri tvorbe kyberzakonu.

Suhlas. Na to, co tam popisuju nieje potrebny zakon ale pravidla (predpisy) platne pre statne urady.
Ak im ide len o statnu spravu, tak je to zbytocnost.
Mne to pripada, ze chcu dostat do zakona to aby si po "velkej" museli zo zakona utriet r*ť.
Urcite aj teraz je v nejakom zakone napsiane ako ma statna sprava pristupovat k bezpecnosti jej samotnej. To si myslym, ze staci.

Aj tak to moze byt len vseobecny zakon, lebo technologie a sytuacia v IT bezpecnosti sa tak rychlo meni, ze za chvilu ten zakon a jeho predpisy budu zastarale.

Mě tak nadbytečný nepřijde. Internetové spojení mezi různými institucemi zajišťují soukromé firmy a pro případ nějakého rozsáhlého útoku je vhodné, aby stát nad těmito spojeními (nikoliv celými firmami) mohl převzít kontrolu a spojení tak udržet. Samozřejmě to lze řešit i třeba tak, že si stát postaví vlastní celorepublikový intranet, ale to by IMO bylo dost velké mrhání peněz.

Můžete to přirovnat třeba ke stavu nouze, jehož vymezení pro kybernetiku skutečně dost chybí. Samozřejmě je důležité zákonodárce hlídat, aby to nic jiného než kybernetická obdoba stavu nouze nebyla.

firmy, ktere resi internetove spojeni mezi urady maji s temi urady nejakou smlouvu. Tak na co zakon? Bud je smlouva blbe napsana a menit ji nucene zakonem je necestne a nebo je napsana dobre - tzn jsou v ni takove podminky ktere vynucuje zakon a pak je ten zakon zbytecny.

Me prijde, ze clovek ktery plkne neco takovyho by nemel mit pravo na zivot ...

Mam neodbytny pocit, ze malo pracujes a tudiz tatu pronasis maly zisk ... bylo by tudiz treba te poslat na nucene prace ... a stat by na to mel mit pravo.

A co stat ... co teprve soukrome firmy ... trebas tvuj zamestnavatel by mel mit pravo ti naridit (bez naroku na odmenu) pracovat 24/7 ... dokud nepadnes mrtev ... proc ne ... a samo, pokud mu provider nedoda net ... mel by prece zcela automaticky prevzit jeho inftrastrukturu a net si zajistit ...

Mě přijde, že člověk, který plkne něco takovýho, by si měl napřed zjistit, co je to stav nouze, kdy a za jakých okolností se vyhlašuje a co stát už teď může. Třeba i ty nucené práce.

Zdar všem. Internet je velice těžko regulovatelný, to se samozřejmě nelíbí lidem, kteří mají v rukou informační kanály (televize, noviny, rádio). Jedná se o naprostou informační hegemonii, kterou narušuje právě nezávislý internet. Velice těžko se tak dělá cenzura intenetu, kde je informací spousta. Těžko se zakazuje publikovat na internetu. Na to není potřeba být pod nějakým vydavatelem, není potřeba mít na to jakékoliv peníze. Internet je jediným reálným a hlasitým nepřítelem elit. DDoS útoky podle mne byly false-flag operací, která má za úkol utahnout šrouby poskytovatelům a kanálům. Dostat poskytovatele do pozice, možná partnera, nicméně časem se může tento vztah přeformulovat vyhláškami. Pak může třeba nastat situace, kdy BIS požádá, aby byly blokovány nějaké stránky, protože budou údajně obsahovat nebezbečný obsah. A legislativa bude nastavená tak, že poskytovatel bude muset vyhovět. Abych to uzavřel, žádný zákon před kybernetickými útoky nikoho nezachrání. 'Nesouhlasím s vámi,' řekl kdosi, 'ale bil bych se za to, abyste mohl vyjádřit svůj názor.' Bojujme především za svobodu internetu!

Absolutni souhlas...

smutna pravda, bohuzel
ten natlak na EK i lokalni vlady nabira v poslednich letech na sile
lidi si to (zase) nechaji libit, nekteri ztratam vlastnich svobod a penez dokonce i zatleskaji

jestli to ti lide s vymytymi mozky nemaji jednodussi

Lepe to napsat nelze, naprosto souhlasim, pod zaminkou nejake zvlastni kyberneticke bezpecnosti chteji jedno jedinne, dostat internet pod kontrolu a cenzurovat vsechno co se elitam nehodi do kramu!!!

Stejně je to otázka času...

Presne tyhle nazory je v tom jen podporuji.

Mimochodem

http://www.itbiz.cz/clanky/nejvetsim-nakupcim-exploitu-neni-cerny-trh-ale-americka-vlada-vysledek-je-ale-podobny?utm_medium=linkbox&utm_campaign=linkbox

Meli bychom velmi rychle odstrihnout veskerou kabelaz vedouci do US ... protoze jestli nekdo neco hackuje ve velkym, tak prave oni.

Návrh zákona jsem nečetl, a tak přidám jen pár obecných poznámek.

1. V diskuzích o připravovaných zákonech mi vždy chyběla analýza situace v okolních zemích. Spousta z nich je v kvalitě fungování státní správy podstatně dále než ČR a je hloupé se od nich nepoučit. V porevoluční době bylo vytvoření děravé legislativy v zájmu mnoha lobistů. Proto se vše vymýšlelo od základů a narychlo. Tahle doba ale už pominula. Teď je možné věci dělat systematicky a ve spolupráci se zahraničím. Česká republika není jediná země, která problematiku kybernetické bezpečnosti řeší. Nestačí, když šéf NBÚ řekne: "V zahraničí jsme byli, ale opisovat se od nich nedá."

2. Co se uvedené konspirační teorie týče: Nevím, jestli je lepší zákon nebo něco jiného, ale problematiku cyberterorismu a cyberwarfare je nutné řešit. Na funkční IT infrastruktuře závisí v současné době příliš mnoho věcí. Jsem proti omezování svobody na internetu, ale zároveň je třeba se chránit proti tomu, aby státy jako Čína, Irán, ... nebo ideologicky zaměřené skupiny mohly provádět špionáž nebo poškozovat IT infrastrukturu v ČR. Nějaký kompromis mezi svobodou a kontrolou je třeba najít.

1) to by se nedalo krast ....

2) ona cina poskozuje nekde neco? Ono de po netu neco vyhodit do povetri? A ty si vazne myslis, ze nejaky zakon a par bridilu u koryt nekomu v necem zabrani? lol lol lol ....

Kdyz budu chtit postrilet 100 lidi, tak to udelam. A muzes mit klidne 1 000 zakonu, ktery to zakazujou.

2.Suhlas.Tak isto ako ziaden zakon nevyriesi problem drog, autohavarii, vrazd a kriminality ako takej, tak ziaden zakon nevyriesi problem zneuzivania interentu.

Interent zmenil vela veci ale niektory ludia to nechu pochopit.

To nehovorim o nespravnych ludoch na nespravnychmiestach v statnej sprave. Ono to potom aj tak vyzera.

Je dobre, ze vele veci zavisi na interentu? CR ako stat by mal mat svoju infrastrukturu nezavislu na verjnom internete. Nato nepotrebuje ziaden zakon.

Jasně jsem napsal, že nevím, jestli je vhodnější zákon nebo nebo něco jiného. V neprospěch zákona (který má být vládě předložen do konce června 2013) svědčí to, že spousta okolních států, které jsou mnohem vyspělejší než ČR, takový zákon nemá a otevřeně říká, že neví, jak ho připravit. Ve prospěch zákona svědčí to, že Izrael, na který jsou z arabských států a Iránu vedeny útoky téměř permanentně, takový zákon údajně má: "Critical infrastructure operators in Israel, including power companies, water plants and banks, are instructed by law on how to secure their systems, the report stated." (http://www.nextgov.com/cybersecurity/2012/01/us-lags-finland-sweden-and-israel-in-cybersecurity/50542/).

Představa, že cyberwar lze vést jen ze zahraničí přes Internet (s velkým "I"), je naivní. Před asi deseti lety vyřadil červ ukrytý na USB memory sticku informační systém nemocnic v jednom ze švédských krajů. Asi týden trvalo, než technici plně obnovili provoz. Škody šly v přepočtu do desítek miliónů Kč, protože provoz nemocnic byl výrazně omezen. Tehdy nešlo o záměr. Zaměstnanec nemocnice si jen chtěl nakopírovat něco z desktopu. Zavedla se technická opatření, aby se to neopakovalo. Cyberteroristé mohou postupovat podobně: stanou insidery nebo nějakeho insidera využijí a zavirují IT infrastukturu, ... Možností jak škodit mají spoustu. Je jasné, že všechno se uhlídat nedá. Důležité infrastruktury by ale chráněny být měly. Tohle fakt není o potírání pirátů nebo svobody slova.

1. odstavec: A co byste si představoval, že takový zákon bude definovat pro případ, že nám nějaký terorista začne po internetu hackovat řídící centrum Metelína? Pošleme do jeho země ostrou prosbu, že to porušuje náš zákon, a ať s tím něco udělají? Uřízneme tranzit? Hodíme tam atomovku?

„Tohle fakt není o potírání pirátů nebo svobody slova.“

Pak je ten zákon blbě formulovaný, protože po přečtení toho návrhu jsem měl přesně tento pocit. Můžete naznačit, jak by měl takový zákon vypadat podle vás? Já si nedokážu nic lepšího představit.

ona cina poskozuje nekde neco?

Ano, přinejmenším organizované skupiny z Číny. A vzhledem k Velkému čínskému firewallu dost pravděpodobně podporované vládou.

Ono de po netu neco vyhodit do povetri?

Ano, jde po netu přesvědčit řídicí software, aby něco nechal vyhodit do povětří. Slyšel jsi někdy o červu Stuxnet?

A ty si vazne myslis, ze nejaky zakon a par bridilu u koryt nekomu v necem zabrani?

A bude to řešit pár břídilů u koryt?

Kdyz budu chtit postrilet 100 lidi, tak to udelam. A muzes mit klidne 1 000 zakonu, ktery to zakazujou.

Hmm, asi nebude od věci zrušit trestní zákoník.

ona cina poskozuje nekde neco?
Ano, přinejmenším organizované skupiny z Číny. A vzhledem k Velkému čínskému firewallu dost pravděpodobně podporované vládou.
Učebnicová ukázka toho jak jsme tak v pr?eli, jak lehce se dá manipulovat prostřednictvím médií.

Jasný, netřeba žádný důkazy - stačí že je subjekt něčím nepohodlný (nepohodlný režim, věřitel, konkurent, symbol pro upevnění moci) a hůl se vždycky najde. Až to někdy odnesete za někoho jiného, např. jenom kvůli že patříte k určitému národu který je v hledáčku vlivných skupin, pak vám to možná dojde.
Navíc ve světě počítačových sítí, kde je identifikace druhé strany prakticky nemožná (bavíme se o zkušených crackerech), je stát ve kterém je IP adresa vedena má prakticky nulovou vypovídací hodnotu.

Jasný, netřeba žádný důkazy - stačí že je subjekt něčím nepohodlný (nepohodlný režim, ...

Mám tomu příspěvku rozumět tak, že třeba operace Aurora (http://en.wikipedia.org/wiki/Operation_Aurora) je výmysl medií, která nás chtějí manipulovat?

Proč tedy tyto adresy můžou útočit na weby, které jsou v Číně blokované? Samozřejmě je může ovládat někdo jiný, ale ten provoz musí procházet přes Čínu, tak jaktože zrovna oni přes ten Velký čínský firewall projdou?

Vis, radsi bys nemel psat o vecech, o kterych zcela zjevne nemas ani paru ... infrastruktura elektraren (a dalsi) je zcela oddelena od internetu. Jak je zajistena dalsi bezpecnost (pred notebookari ...) zadny zakon nevyresi. Prevazne se to ovsem resi dostatnecne "blbyma" krabkama.

Pro tvoji informaci (napr) telefonni ustrednu (kazdou) lze programovat ... po telefonu. Staci vedet, jak na to a ziskat pristup. Proc to tak je? No protoze nefunkcni telefony se obecne za zadnou extra katastrofu nepovazujou ... a to pritom muze nastat situace, ze kvuli tomu nekdo umre ... protoze se nedovola trebas na zachranku. A presto, ze operatori maji vetsi ci mensi vypadky celkem bezne, nikdo s tim nic nedela (a upozornuju, ze pokud ma tvuj telefon signal domaci site, ale ta nefunguje, tak si nevytocis ani 112, protoze se do site jinyho operatora proste nepripojis).

Dtto moznost "vypnout" mobilni sit, abych nemoh na dalku odpalit bombu ... lol ... se musim smat ...
1) na velmi slusnou vzdalenost (radove kilometry) se da s telefonem spojit naprimo (zcela bez ucasti site)
2) pokud bych potencielne takovou bombu vyrabel, tak posledni pokyn, ktery to posle pri ztrate spojeni bude ... odpalit.

Nevsim sem si, ze by zrovna internet byl k zivotu zcela nezbytny.

Klid, kdyz se chce prosadit vec nevyhodna pro obcany, vytahne se nejakej strasak a laicka verejnost jen souhlasne zabuci .. Trik je to stary, ale porad funguje.

Tak treba spojene staty po internetu iranu rozbiji centrifugy na obohacovani uranu.

Zakon takovou situaci samozrejme nevyresi, na to jsou spis potreba kvalifikovani lide na spravnych mistech...

Coz samozrejme neni pravda. Onen propirany stuxnet byl implantovat do notesu lidi, kteri se ucastnili jaderneho vyvoje. A predpokladalo se, ze nekdo z nich se pripoji k internim sitim, coz se nejspis i stalo.

Mimochodem, amici vrazdi lidi po svete, myslim ze by nebylo od veci aby sme si taky schvalili zakon, ze je mozne obratem zastrelit kazdeho, kdo vygeneruje paket s cizi IP. A vubec, kdokoli rekne cokoli proti kradousovi, dostane provaz. Ohrozuje tim prece bezpecnost statu.

Děkuji qwe za odpověď. Bezpečnost struktur sítě státních subjektů si má zajisti stát, ať už zákonem, nebo vnitřními regulemi. Ve vlastním zájmu firem je zajistit bezpečnost sítě, kterou provozují. Od čeho by byly bezpečnostní konference? O tom se na setkání hovořilo, jestli má význam nějaký zákon, u kterého není jasné, jak se bude praktikovat. Těším se (možná spíše ne), jak bude vypadat prováděcí zákon. Jestli budou formulace jasné a z prováděcího zákona bude zřejmé, že se nedá nějak zneužít proti ochaně osobních dat, k vypnutí serveru na požádání a podobně, nebudu mít problém. Pokud budou formulace nejasné, budu uplatňovat a prohlubovat nekompromisní skepsi. To je totiž horší, než kdyby byly zákony napsané od počátku tvrdě. Je v tom cítit kulišárna. Přeji hezký zbytek dne!

:-D :-D :-D
Teda s tou Cinou a ohrozenim infrastruktury jsi fakt pobavil, zvlast pokud si ozrejmime fakt, ze dneska mozna vic jak pulku infrastruktury dodavaji cinske firmy. :-D Jako konspiracni teorie fakt husta, firmy, ktere stavi infrastrukturu nam ji pak budou nejak zvenci ohrozovat. Hahaha. Ale OK, klidne tuhle konspiraci prijmeme jako moznou - nebylo by teda lepe, aby nam Cinani tu infrastrukturu nestaveli vubec a postavili jsme si ji radei sami? (nemusis odpovidat, to je jen recnicka otazka)

Zadny zakon potreba neni, zadny zakon nic nespravi, pokud chce stat budovat bezpecnost svych statnich uradu, bud at si vybuduje vlastni intranet (mrhani penez, ale v ceskem kocourkove je mozne vsechno) nebo at si zabezpeci vlastni koncova zarizeni tak, aby prorazit nesla (se servrama od Microsoftu asi tezko) a posilane informace at bezpecne sifruje, umi to jinde, muze se to naucit i cesky stat. (Opet jenom tak melu, jak by to slo udelat, kdyby se chtelo, jenomze protoze se chce hlavne votravovat zivot obcanum a mit je pod dozorem, tak samozrejme zakon.)

Kritická infrastruktura státu nejsou jen vybrané státní úřady. Mohou to být i vybrané elektrárny, nemocnice, vodárny, ... Ty jsou většinou privátní. Když v nich chce stát zajistit dostatečnou úroveň kybernetické bezpečnosti, tak je jinak než legálními prostředky (zákonem) nutit nemůže. To je snad jasné, ne? Jinak by privátní firmy nějaké ohrožení státu nezajímalo. (Teda pokud majitel není filantrop. Ale těch v privátní sféře mnoho není.)

Aha, takze uz to neni jen o statu, ale bude se neco nutit soukromym osobam nejprve pravnickym a pak se zacnou odpojovat od netu i obycejni lide. Dekuji nechci, stacilo mi to to v knize (1984).

Aha, takze uz to neni jen o statu

Myslím, že "jen o stát" nikdy nešlo. Jde o typicky české matení. Ten zákon se vytváří na základě požadavků NATO a EU. Tyhle instituce chtějí být připravené na kybernetickou válku. Jak z obranného tak i z útočného hlediska. Proto se třeba ve finském návrhu píše:

The Finnish Defence Forces will create a comprehensive cyber defence
capability for their statutory tasks.

A military cyber defence capacity encompasses intelligence as well as cyber attack and cyber defence capabilities. The Defence Forces will protect their systems in such a manner that they are able to carry out their statutory tasks irrespective of the threats in the cyber world. Guaranteeing capabilities, intelligence and proactive measures in the cyber world will be developed as elements of other military force. Under the leadership of the Ministry of Defence the required provisions on powers will be prepared for the Defence Forces to facilitate the implementation of the aforementioned tasks. Any identified short-comings in the provisions will be corrected through legislation. Cyber defence will be exercised and developed together with the key authorities, organisations and actors in the business community, both nationally and internationally. The Defence Forces will provide executive assistance within the constraints of legislation.

Z českého návrhu zákona tyhle vojenské aspekty skoro úplně vypadly. Místo toho se v debatách hovoří o konsolidaci kybernetické bezpečnosti státní správy. Já v téhle oblasti nejsem expert a tu problematiku nesleduji. Ale když se nad tím zamyslím selským rozumem, tak první věc, která mě napadne, je, že neřešení vojenské problematiky musí ten zákon dřív nebo později potopit. Možná ho parlament schválí. Ale pak se kvůli vojákům budou muset přidávat "přílepky" později.

Boze ... co maj elektrarny a vodarrny spolecnyho s internetem ???

Boze ... co maj elektrarny a vodarrny spolecnyho s internetem ???

Vam ani po precteni tolika prispevku nedoslo, ze ten zakon je o kyberneticke bezpecnosti a ne o bezpecnosti Intenetu? Prectete si treba tohle: http://en.wikipedia.org/wiki/Cyberwarfare . Snad pochopite.

Jen pripodotek - je treba si uvedomit, ze internet NIKDY nebyl a NIKDY nebude infrastruktura, ktera by cokoli (naprosto cokoli) garantovala. Tudiz pokud stavim naprosto cokoli na tyhle infrastrukture, musim zcela logicky pocitat s tim, ze to taky nemusi fungovat.

Prave proto se stavi zcela oddelene site, kde lze sluzbu nejak garantovat.

A ano, zakon je zcela nanic, protoze naprosto nic neresi. Co vic, rozbiji zcela funkcni prostredi, kde je v zajmu kazdeho, aby jeho fous infrastruktury "nejak" fungoval.

Bohudík, jinak by internet vypadal jak české silnice!

Presne tak, at se stat postara o zcela nefunkcni infrastrukturu, kterou uz na starosti ma ... a nesere se do veci, ktere zcela ku spokojenosti zakazniku funguji.