Zákonná pravomoc Vojenského zpravodajství - detekce, vyhodnocení i reakce na kybernetické útoky a hrozby

Čl. 3 odst. 2 ústavního zákona o bezpečnosti ČR ukládá státním orgánům povinnost podílet se na zajišťování bezpečnosti ČR; rozsah povinností a další podrobnosti má stanovit zákon.

Podmínky zajišťování bezpečnosti ČR v kybernetickém prostoru nyní upravuje též ZVZ. Počínaje 1. červencem 2021 se Vojenské zpravodajství, a to nad rámec své zpravodajské činnosti a narozdíl od ostatních zpravodajských služeb, podílí přímo také na kybernetické obraně ČR. Na webu Vojenského zpravodajství se uvádí: „Obrana je soubor opatření chránící stát a jeho občany před vnějším napadením. Kybernetický prostor je prostor informací. Takže jak už samotný název instituce napovídá, v případě „Vojenského zpravodajství“ jsou naplněny základní požadavky, tedy že se jedná o řešení obranných / vojenských skutečností na poli informací. Národní centrum kybernetických operací, které Vojenské zpravodajství v souvislosti s tímto novým vládním úkolem buduje, plní jen dílčí roli na zajištění celkové bezpečnosti státu a občanů v kybernetickém prostoru.

NÚKIB. Akční plán k Národní strategii kybernetické bezpečnosti ČR na období let 2015 až 2020. Op. cit., str. 15.

458

Mezi dokumenty zveřejněnými z jednání vlády v roce 2015 se nachází sice usnesení č. 79 ze dne 4. 2. 2015, jímž

459

vláda schválila Bezpečnostní strategii České republiky 2015, v níž se hovoří o hrozbě kybernetických útoků a Národní strategii kybernetické bezpečnosti na období let 2015 až 2020, to však pouze v obecných termínech. Pravomoci Vojenského zpravodajství v něm nejsou zmiňovány vůbec. Srov. dokumenty z jednání vlády v archivu Úřadu vlády ČR dostupné v Aplikaci ODok: VLÁDA. Jednání vlády - archiv [online]. Aplikace ODok. Dostupné: https://apps.odok.cz/

djv-agenda-list?year=2022 [Cit. 2022-11-09].

Nové kompetence směřují výhradně proti nejzávažnějším útokům v podstatě vojenského charakteru, které mají původ v zahraničí. A to na ty, na které bude potřeba reagovat okamžitě.” Ve vztahu k ⁴⁶⁰ zákonnému podkladu svěřených pravomocí se uvádí, že „[n]ovela zákona o Vojenském zpravodajství dovršila svěření vládního úkolu podílet se na kybernetické obraně Vojenskému zpravodajství a ukotvila kybernetickou obranu v českém právním systému.” Jestliže měla vláda ⁴⁶¹ svým rozhodnutím svěřit kybernetickou obranu Vojenskému zpravodajství již v roce 2015, pak přijetí příslušné zákonné úpravy teprve o 6 let později je podstatně opožděným „dovršením” svěření zmíněného vládního úkolu. Není zřejmé, jakým způsobem bylo v tomto mezidobí vyhověno podmínce vázanosti státní moci zákonem ve smyslu čl. 2 odst. 3 Ústavy ČR, podle něhož lze státní moc uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon.

Vojenské zpravodajství je ozbrojenou zpravodajskou službou ČR, jejíž činnost, postavení a působnost upravuje kromě ZVZ i zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů (dále jen „zákon o zpravodajských službách”). K plnění svých úkolů využívá zpravodajské prostředky, jimiž jsou zpravodajská technika, krycí doklady, krycí prostředky a sledování osob a věcí. Ve vztahu ke kyberprostoru nabývá zvláštního významu ⁴⁶² zejména zpravodajská technika, tj. při konkrétní činnosti využívané technické prostředky a zařízení, zejména elektronické, fototechnické, chemické, fyzikálně-chemické, radiotechnické, optické, mechanické anebo jejich soubory, používané utajovaným způsobem, pokud je jimi zasahováno do základních práv a svobod. Její použití je možné pouze po předchozím písemném povolení ⁴⁶³ předsedy senátu Vrchního soudu v Praze, s respektem k principu subsidiarity i proporcionality. ⁴⁶⁴ Použití zpravodajské techniky může Vojenské zpravodajství zabezpečit i pro potřeby jiných oprávněných orgánů, jako je Bezpečnostní informační služba či Policie ČR.

Činnost, kterou se Vojenské zpravodajství přímo podílí na zajišťování obrany ČR v kyberprostoru, stanoví § 16a ZVZ. Jde o detekci a vyhodnocování kybernetických útoků a hrozeb i jejich odvracení. Vojenské zpravodajství se přitom zaměřuje jen na kybernetické útoky a hrozby, které mají původ v zahraničí a směřují proti důležitým zájmům státu, jejichž zajišťování je

VZ. Novela zákona o vojenském zpravodajství [online]. Dostupné: https://www.vzcr.cz/novela-zakona-o-vojenskem-

460

zpravodajstvi-151 [Cit. 2022-11-09].

Tamtéž.

461

§ 7 a násl. ZVZ. Vojenské zpravodajství je dále podle §§ 6 a 16 ZVZ oprávněno při plnění svých úkolů využívat i

462

dobrovolné spolupráce osob.

§ 8 odst. 1 ZVZ.

463

Tedy za předpokladu, že by odhalování nebo dokumentování činností, pro něž má být použita, bylo jiným způsobem

464

neúčinné nebo podstatně ztížené anebo v daném případě nemožné. Použití nesmí rovněž zasahovat do práv a svobod nad nezbytně nutnou míru. Srov. § 9 ZVZ.

předmětem obrany ČR podle zákona o zajišťování obrany ČR. Zmíněné kybernetické útoky a ⁴⁶⁵ hrozby Vojenské zpravodajství vyhledává na základě ukazatelů, které si vyhodnotí jako skutečnosti ohrožující důležité zájmy státu v kybernetickém prostoru na základě dat a informací z vlastní zpravodajské činnosti i od ostatních zpravodajských služeb, NÚKIB a dalších orgánů.

K detekci stanovených útoků a hrozeb může Vojenské zpravodajství využít svých vlastních nástrojů umístěných na určených bodech veřejných komunikačních sítí, pokud to vyžaduje důležitý zájem obrany státu. Přednostně má však využívat spolupráce s provozovateli veřejných sítí a služeb. Ti mají na základě dohody uzavřené s Vojenským zpravodajstvím vyhledávat na základě ⁴⁶⁶ poskytnutých informací kybernetické útoky či hrozby.

ZVZ tedy stanoví podmínky pro uzavření subordinační veřejnoprávní smlouvy ve smyslu správního řádu. Dohoda o spolupráci s provozovatelem veřejných sítí a služeb musí být písemná, objem předávaných metadat nesmí překročit zákonem stanovený rozsah, a musí obsahovat technické a organizační podmínky nezbytné pro realizaci detekce, způsob předávání metadat o zachyceném útoku nebo hrozbě a způsob určení výše efektivně vynaložených nákladů. Bližší ⁴⁶⁷ podmínky pro sjednání veřejnoprávní smlouvy - dohody o spolupráci, však ZVZ neuvádí. Lze předpokládat, že konkrétní podoba dohod bude odvislá od typu vyhledávaných informací VZ.

Kontrolou uzavíraných dohod o spolupráci by se jistě měl zabývat inspektor pro kybernetickou obranu, což je nová funkce vytvořená shora citovanou novelou ZVZ. Inspektor pro kybernetickou ⁴⁶⁸ obranu, ač je formálně součástí Vojenského zpravodajství, je podřízen přímo ministrovi obrany. Ve své kontrolní činnosti by tak měl být do značné míry nezávislý. V jaké míře tomu bude, ukáže čas.

V případě nebezpečí z prodlení si může Vojenské zpravodajství vyžádat informace i bez předem uzavřené písemné dohody s provozovateli veřejných sítí a služeb, to však pouze pomocí ukazatelů v rozsahu bezpečnostních opatření, které tento provozovatel již sám prováděl. ⁴⁶⁹

Podle § 2 odst. 1 zákona o zajišťování obrany ČR je obrana státu souhrnem opatření k zajištění svrchovanosti,

465

územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením, a zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému.

Tedy s právnickou nebo podnikající fyzickou osobou zajišťující veřejnou komunikační síť nebo poskytující veřejně

466

dostupnou službu elektronických komunikací. Srov. § 16b odst. 2 ZVZ.

§ 16b ZVZ.

467

Prvním inspektorem pro kybernetickou obranu byl jmenován dne 6. 4. 2022 Jan Vacek. SEDLÁK, Jan. Vláda

468

jmenovala inspektora kybernetické obrany, bude hlídat Vojenské zpravodajství [online]. Lupa.cz, 7. 4. 2022. Dostupné:

https://www.lupa.cz/aktuality/vlada-jmenovala-inspektora-kyberneticke-obrany-bude-hlidat-vojenske-zpravodajstvi/

[Cit. 2022-11-09].

§ 16c ZVZ.

469

Umístit vlastní nástroj detekce smí Vojenské zpravodajství teprve na základě rozhodnutí Ministerstva obrany ve zvláštním řízení, které bude vydáno poté, kdy Vojenské zpravodajství navrhne ministerstvu opatření k zajištění detekce, vyhodnocení a reakce na kybernetické útoky a hrozby. Podkladem uvedeného správního rozhodnutí budou dokumenty předložené Vojenským ⁴⁷⁰ zpravodajstvím - vedle zmíněných nutných opatření k zajištění jeho činnosti i posouzení bezpečnostních rizik spojených s připojením nástroje detekce. Ministerstvo obrany před vydáním rozhodnutí posoudí, zda umístění detekce kybernetického útoku či hrozby vyžaduje důležitý zájem obrany státu a zda je v souladu se zákonem stanovenými principy subsidiarity - tedy zda nelze dosáhnout cíle již na základě dohody o spolupráci s provozovateli veřejné sítě či služby. Rovněž by mělo posoudit naplnění principu proporcionality. Rozsah zaznamenávaných metadat nesmí vést k detekci nad zákonem stanovený rámec vymezený v § 16d odst. 2 ZVZ, a způsob provádění detekce musí zachovávat důvěrnost komunikace i integritu a dostupnost veřejných komunikačních sítí a služeb elektronických komunikací.

V případě kladného zhodnocení Ministerstvo obrany uloží svým rozhodnutím právnické nebo podnikající fyzické osobě zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinnost zřídit a zabezpečit rozhraní pro připojení nástrojů detekce v určeném bodě veřejné komunikační sítě a povinnost strpět jejich umístění a provozování. Detekce však smí být provozována pouze po dobu stanovenou v tomto rozhodnutí.

Tato doba nesmí překročit 12 měsíců (na návrh Vojenského zpravodajství ji lze prodloužit nejdéle o 6 měsíců). Rozklad proti rozhodnutí ministerstva nemá odkladný účinek. Využití detekce pro odposlech a záznam telekomunikačního provozu nebo k aktivnímu zásahu zákon Vojenskému zpravodajství výslovně zakazuje. ⁴⁷¹

ZVZ dovoluje Vojenskému zpravodajství reagovat na zjištěnou kybernetickou hrozbu nebo útok dvojím způsobem. Buď předáním zjištěných informací státním orgánům příslušným k provedení konkrétního opatření k odvrácení takové hrozby, anebo v případě nebezpečí z prodlení vlastním aktivním zásahem.

Aktivní zásah Vojenského zpravodajství k odvrácení kybernetického útoku či hrozby musí splnit zákonem kumulativně stanovené podmínky: ve značném rozsahu musí být ohroženy důležité zájmy státu, kybernetický útok nebo hrozba musí trvat či bezprostředně hrozit, nelze je odvrátit v součinnosti s ozbrojenými silami ČR, a aktivní zásah je jediným možným účinným způsobem jejich

Srov. § 16e odst. 3 ZVZ.

470

§ 16d odst. 3 ZVZ.

471

odvrácení. Svými podmínkami tak aktivní zásah v kybernetickém prostoru připomíná meze nutné ⁴⁷² obrany stanovené trestním zákoníkem. Odvrácení nebezpečí musí splňovat podmínku subsidiarity, avšak nikoli proporcionality, když musí být dostatečně účinné a jevit se jako jediné možné účinné opatření k odvrácení útoku či hrozby.

Před provedením aktivního zásahu je Vojenské zpravodajství povinno vyžádat si souhlas ministra obrany; neobdrží-li jej, zásah neprovede. Ministra obrany rovněž informuje o provedení aktivního zásahu bezodkladně po jeho provedení a o zahájení aktivního zásahu bezodkladně informuje vládu, NÚKIB a ostatní zpravodajské služby. Okolnosti, důvody a průběh každého ⁴⁷³ provedeného aktivního zásahu Vojenským zpravodajstvím musejí být dokumentovány. Aktivní ⁴⁷⁴ zásah je tedy koncipován jako krajní řešení a okolnosti, které k němu vedly, musí být zpětně přezkoumatelné.

2.1.4.3. Kontrola výkonu činnosti Vojenského zpravodajství v oblasti kybernetické