• Nenhum resultado encontrado

Disertační práce

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2023

Share "Disertační práce "

Copied!
259
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 259 páginas )

Texto

Předkládaná disertační práce si klade za cíl pojednat o právní úpravě informační bezpečnosti v kyberprostoru a kybernetické bezpečnosti. Právní úprava kybernetické bezpečnosti je oblastí veřejného práva, která úzce souvisí s dalšími právními i mimoprávními oblastmi.

Globální informační sítě, digitální revoluce a proměny společnosti

Digitální revoluce a informační společnost

  • Digitální revoluce, globalizace a společenské změny
    • Globální dosah
    • Decentralizovaná architektura, anonymita
    • Informační hodnota, snadná manipulace s daty, automatizace
    • Rychlý koloběh inovace
    • Konflikt mezi soukromou a veřejnou správou
  • Vliv globálních informačních sítí na pojetí informace

Rozvoj technologií a metod jejich využití poskytl také nové a nebývalé možnosti páchání trestné činnosti.41 Internet jako klasické prostředí v celosvětové počítačové síti podnítil rozvoj kybernetické kriminality. Smazávají hranice jednotlivých zemí a kontinentů, usnadňují šíření informací, přetvářejí mezilidskou komunikaci a poskytují nové příležitosti k páchání trestné činnosti.

Hodnoty informační společnosti

  • Informační sebeurčení
  • K právním principům
  • Obecné principy správního práva
    • Principy dobré správy
    • Princip odpovědnosti veřejné správy

Následující text 161 proto představí klíčové právní principy legislativy kybernetické bezpečnosti v ČR a sociální základ její regulace. Některé nacházejí konkrétní podobu v principech kybernetické bezpečnosti (např. princip objektivní odpovědnosti státu v principu bdělosti ve vztahu k ostatním státům a mezinárodnímu společenství, tzv. due diligence).

Působení práva v kyberprostoru 1. Legitimita práva v kyberprostoru 287

  • Vymahatelnost právních norem v kyberprostoru
  • Regulace kyberprostoru jinou než právní normou
  • Suverenita, jurisdikce a kyberprostor
    • Suverenita státu
    • Jurisdikční principy
    • Jurisdikční konflikty
    • Tallinnský manuál
    • Rozhodnutí SDEU ve věci Google vs. CNIL

Návodem pro aplikaci norem mezinárodního práva v kybernetickém prostředí se stal dokument s názvem Tallinn Manual on the International Law Appable to Cyber ​​​​Warfare. Díky rozšíření autorského kolektivu o další odborníky z více zemí vznikla druhá verze dokumentu s názvem 358 Tallinn Manual 2.0 on International Law Applicable to Cyber ​​​​Operations (dále také „Tallinn Manual 2.0“), který se zabývá širším spektrem právních operací souvisejících s jeho implementací na internetu: na denní bázi. Dostupné: https://www.cambridge.org/core/books/abs/tallinn-manual-20-on-the-international-law-applicable-to-cyber-operations/law-of-international-responsibility/.

V současné době probíhají práce na třetí verzi Tallinn Handbook (pracovní název Tallinn Handbook 3.0), zřízené v rámci odborné platformy pod patronací NATO (The NATO Cooperative Cyber ​​​​Defense Center of Excellence, dále také „CCDCoE“). 362 Druhá verze Tallinn Manual 2.0 však v úvodu upozorňuje, že se nejedná o oficiální dokument, ale pouze o výsledek práce skupiny nezávislých expertů, a dále uvádí, že nereprezentuje postoje a názory NATO ani sponzorských zemí. Tallinn Manual 2.0, který má širší záběr než první verze, se vztahuje na kybernetické operace v užším slova smyslu.

Tallinn Manual 2.0 považuje výkon nezávislé státní kontroly nad komunikačními kanály, úložnými a výpočetními prostředky, které zajišťují informační systémy, za součást státní suverenity. Tallinn Manual 2.0 uznává různé aspekty kybernetické infrastruktury: stát vykonává suverénní moc nad fyzickými (hardware, kabely, servery, počítače...), logickými (aplikace, data, protokoly...) a sociálními aspekty (jednotlivci a skupiny aktivní v kyberprostoru) a v tomto směru může vytvářet technické podmínky pro zabezpečení elektronické komunikace (logický aspekt) nebo kriminalizovat sdílení online aspektů; přitom je veřejná i soukromá infrastruktura pod ochranou státu. Stát vykonává územní působnost, pokud jde o kybernetickou infrastrukturu a osoby provozující kybernetické aktivity na jeho území, jakož i o kybernetické aktivity, které mají původ na území státu nebo jsou na jeho území ukončeny, jakož i pokud jde o kybernetické aktivity, které mají podstatný dopad na území státu.

Kyberprostor a úloha státu na zajištění informační bezpečnosti

Kybernetická bezpečnost i kybernetická obrana jako úloha státu 1. Kyberprostor a vázanost státní moci zákonem

  • Bezpečnost
  • Kybernetická bezpečnost 1. Definice
    • Akt EU o kybernetické bezpečnosti
    • Nařízení o Evropské síti a centru kompetencí pro kybernetickou bezpečnost S cílem zvýšit kompetence členských států v oblasti kybernetické bezpečnosti, a tím i
    • Národní strategie kybernetické bezpečnosti 2021-2025
    • Akční plán k Národní strategii kybernetické bezpečnosti 2021 - 2025
  • Kybernetická obrana 1. Definice
    • Zákonná pravomoc Vojenského zpravodajství - detekce, vyhodnocení i reakce na kybernetické útoky a hrozby
    • Kontrola výkonu činnosti Vojenského zpravodajství v oblasti kybernetické obrany státu

Agentura Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (zákon o kybernetické bezpečnosti), dále jen „zákon o kybernetické bezpečnosti EU“. Cílem zákona EU o kybernetické bezpečnosti je především zajistit spolupráci, koordinaci a sdílení informací mezi členskými státy a institucemi EU. 2021, je vybudovat v EU odbornou akademickou, výzkumnou a průmyslově orientovanou komunitu pro podporu technologií v oblasti kybernetické bezpečnosti.

Podle Národní strategie kybernetické bezpečnosti ČR na období let, dále jen „Strategie“), nabývá využití kybernetického prostoru k prosazování zahraničněpolitických zájmů států na intenzitě. Na zajišťování kybernetické bezpečnosti ČR ze zahraničněpolitického hlediska se kromě NÚKIB (plní úkoly vládního CERT) a sdružení CZ.NIC (řídící národní CERT) podílí také Ministerstvo zahraničních věcí a Zpravodajská služba. Národní strategie kybernetické bezpečnosti ČR na období let, vláda „doporučuje“ blokovat dlouhodobě fungující dezinformační weby v českém prostředí, je v souladu s vyhlášenou strategií.

Strategie výslovně uvádí: „Vláda musí být konkurenceschopná na vysoce konkurenčním trhu práce v oblasti kybernetické bezpečnosti. Akční plán Národní strategie kybernetické bezpečnosti České republiky na období 2021 až 2025 (dále jen „Akční plán“) stanoví konkrétní úkoly stanovené v souladu s cíli Strategie. Potřebné podmínky pro realizaci 459 úkolů v Akčním plánu Národní strategie kybernetické bezpečnosti ČR na období 2015 až 2020 byly proto přijaty až na základě novely z roku 2021, tzn.

Pojmové znaky bezpečnosti informací a dat

  • Důvěrnost informací a dat
  • Integrita (celistvost) informací a dat
  • Dostupnost informací a dat

Utajovaná informace je informace, „jejíž vyzrazení nebo zneužití může poškodit zájem České republiky nebo může být tomuto zájmu nepříznivé a která je uvedena v seznamu utajovaných informací“, přičemž forma nebo nosič informace není rozhodující. 500 Ústředním orgánem státní správy pro ochranu utajovaných informací se stal Úřad národní bezpečnosti, který je v souvislosti s přijetím zákona o ochraně utajovaných informací od roku 2006 nazýván ústředním orgánem státní správy pro ochranu utajovaných informací. NÚKIB dále schvaluje projekt 502 zabezpečení provozu komunikačního systému, protože zabezpečení 503 informačních a komunikačních systémů a kryptografická ochrana utajovaných informací je rovněž v kompetenci NÚKIB.

V jeho rámci NÚKIB vykonává nejen legislativní a metodickou činnost, ale také provádí kontrolu, vykonává správní řízení a ukládá správní sankce za neplnění povinností při ochraně utajovaných informací. Certifikaci informačních systémů lze chápat jako doklad ve smyslu § 151 správního řádu opravňující ke zpracování utajovaných informací v informačním systému. Oprávnění NÚKIB provést ve smyslu § 137a písm. e) zákona o ochraně utajovaných skutečností certifikaci informačního systému nebo schválení bezpečnostního projektu komunikačního systému je svou povahou zřejmě správním řízením, přičemž namísto písemného rozhodnutí lze vydat dokument - certifikační zprávu, která je v podstatě konstitutivním rozhodnutím.

Národní bezpečnostní úřad jako ústřední správní úřad především kontroluje, zda orgány státní správy, právnické osoby, podnikající fyzické osoby a fyzické osoby dodržují zákonná ustanovení v oblasti ochrany utajovaných informací a bezpečnostních schopností. Protože je však NÚKIB příslušným orgánem státní správy k ochraně utajovaných informací v informačních a komunikačních systémech, bude k provedení kontroly přizván i zástupce NÚKIB. V těchto případech soud výrazněji než v jiných (sporných) případech garantuje právo na spravedlivý proces a aktivně přezkoumává postup veřejné správy ohledně relevance utajovaných informací ze všech možných hledisek.

Narušení bezpečnosti informací, služeb a sítí

  • Kybernetická bezpečnostní událost a incident
  • Kybernetický útok
  • Narušení důvěrnosti a celistvosti informací a dat 1 Příklady
  • Narušení dostupnosti informací a dat 1. Příklady
    • Exkurz - Stuxnet
  • Přehled vybraných právních předpisů a norem
    • Úmluva o počítačové kriminalitě
    • Opatření pro budování důvěry v kyberprostoru
    • Tallinn Manual 2.0
    • Zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti ZKB zvyšuje kybernetickou bezpečnost tím, že vybraným orgánům a osobám ukládá
    • Standardy a normy

Závisí na motivaci útočníků, kteří obvykle chtějí informace a data odcizit (porušení důvěrnosti dat), změnit je například pro podvodné účely (narušení integrity nebo úplnosti dat), nebo chtějí znemožnit přístup k informacím oprávněnému uživateli, například s cílem získat finanční zisk (porušení dostupnosti dat). Kybernetický útok na důvěrnost informací a dat je záměrné neoprávněné získání přístupu k datům, obvykle za účelem získání neoprávněných informací. Kybernetický útok na dostupnost informací a dat představuje záměrné znemožnění nebo znemožnění oprávněným uživatelům využívat potřebná data a informace (tj. i aplikace, služby, databáze apod.).

Dalším způsobem, jak zabránit dostupnosti informací a dat, může být použití malwaru, tedy škodlivého počítačového programu, který narušuje běžný provoz počítačového zařízení. Jak bylo zdůrazněno výše, Úmluva o počítačové kriminalitě chrání dostupnost informací a dat, jakož i jejich důvěrnost a integritu (integritu). Důvěrnost, integrita a dostupnost informací a dat jsou chráněny povinností smluvních stran stíhat jako trestné činy tzv.

Dostupnost informací a dat je chráněna i požadavkem na stíhání tzv. zásahů do systému ve smyslu čl. K 638 mlčenlivosti, avšak integrita a dostupnost informací a dat je vázána na požadavek zajistit a chránit svobodnou kybernetickou komunikaci diplomaticko-konzulárního zastoupení pro všechny úřední účely. Porušení bezpečnosti informací a dat se dotýká i ustanovení o odpovědnosti států za nezákonné (kybernetické) činy z pohledu mezinárodního práva podle čl. 4.

Kybernetické operace a mezinárodní odpovědnost státu 1. Nestátní aktéři jako původci kybernetických operací

  • Princip náležité péče (due diligence)
  • Státní aktéři jako původci kybernetických operací
  • Přičitatelnost (atribuce)
    • Přičitatelnost kybernetických operací státních orgánů
    • Přičitatelnost kybernetických operací nestátních aktérů
  • Okolnosti vylučující protiprávnost kybernetických operací 1. Přehled okolností vylučujících protiprávnost
    • Vybrané okolnosti vylučující protiprávnost: Protiopatření
    • Vybrané okolnosti vylučující protiprávnost: Krajní nouze
  • Hack-back, aktivní kyberobrana
  • Odpovědnost státu za mezinárodně protiprávní čin v kyberprostoru

Tallinn Manual 2.0 zdůrazňuje, že totéž bude případ kritérií pro nezákonný čin, který bude připsán konkrétnímu státu v kyberprostoru. Podrobnější Tallinnský manuál 2.0, Pravidlo 17 – Připisování kybernetických operací nestátními subjekty, odstavce 8 – 9. Problém připisování jako nástroje prosazování práva [online]. 19 Tallinn Manual 2.0 vychází z kapitoly V návrhů článků Komise OSN pro mezinárodní právo o odpovědnosti státu za nesprávné chování.

20 The Tallinn Manual 2.0 is "a state that has the right to take countermeasures, whether of a cyber or other nature, in response to a violation of an international obligation by another state."774 Although countermeasures are included among the circumstances that exclude illegality, both in the Tallinn Manual 2.0 and in the draft articles of the UN Commission on International Law on the responsibility of states for illegal conduct, it is basically the exercise of the right to compensation and the state responsible for respecting international legal obligations. Tallinn Manual 2.0 uvádí příklad 799 situace, kdy by nestátní aktéři úspěšně propagovali genocidu v zemi prostřednictvím internetu.

Zákon o kybernetické bezpečnosti

Nová právní úprava kybernetické bezpečnosti 1. Okolnosti a důvody přijetí nové právní úpravy 843

  • Vývoj právní úpravy

Česká republika však byla v roce 2016 jednou z prvních členských zemí, které již mají vlastní komplexní národní regulaci kybernetické bezpečnosti. V ochraně svobody slova, soukromí a informačního sebeurčení na jedné straně a v garantování kybernetické bezpečnosti na straně druhé lze spatřovat zásadní a do jisté míry i konkurenční východiska regulace kybernetického prostoru. Hlavním cílem nové legislativy kybernetické bezpečnosti v ČR bylo předcházet kybernetickým bezpečnostním incidentům pomocí systému bezpečnostních opatření.

Lze se však setkat i s názorem, že legislativní řešení kybernetické bezpečnosti nemá v platném právu, a to ani v oblasti bezpečnostního inženýrství, srovnatelné obdoby. Důvodová zpráva k ZKB jako základní principy právní úpravy v oblasti kybernetické bezpečnosti zmiňuje technologickou neutralitu, ochranu informačního sebeurčení lidí, ochranu nedistribučních práv, minimalizaci státního donucení, autonomii vůle regulovaných subjektů a zásadu bdělosti vůči ostatním státům a mezinárodnímu společenství. V mezinárodní spolupráci a sdílení informací lze spatřovat další princip regulace kybernetické bezpečnosti na úrovni EU, který zákonodárce ve vztahu k ZKB výslovně nezmiňuje.

Zákon také vymezil pravomoc ústředního orgánu státní správy - Národního úřadu 877 878 ​​​pro kybernetická a informační bezpečnost (NÚKIB) ve vztahu k právům a povinnostem dalších veřejných a soukromých subjektů podílejících se na zajišťování kybernetické bezpečnosti. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), kterým byla implementována směrnice NIS do českého právního řádu. Původně 891. státní agentura pro kybernetickou bezpečnost byla Národním centrem pro kybernetickou bezpečnost (dále jen „NCKB“).

Systém zajištění kybernetické bezpečnosti

  • Bezpečnostní opatření (§§ 4 a 5 ZKB)
    • Varování (§ 12 ZKB)

Opatření k zajištění kybernetické bezpečnosti představují různorodou administrativní činnost, která je z pohledu odborné literatury opomíjenou oblastí. Problematika bezpečnostních opatření je z pohledu judikatury okrajově ovlivněna rozsudkem Nejvyššího správního soudu ze dne 6. Jak upozorňují 913 Doucek, Konečný a Novák, „těmito politikami vedení organizace vyjadřuje svou vůli ve vztahu ke kybernetické bezpečnosti a bezpečnosti informací a dává najevo svou podporu účelné informační bezpečnosti a efektivnímu prosazování informační bezpečnosti“.

Podle čl. 6 ZKB byl řídící orgán (původně NBÚ) oprávněn přijmout prováděcí předpis, ve kterém je obsah a rozsah bezpečnostních opatření fakticky stanoven. Pokud by tedy vyhláška o kybernetické bezpečnosti 923 měla určovat obsah organizačního nebo technického bezpečnostního opatření, který by neodpovídal rozsahu tohoto opatření ve smyslu výčtu v odstavci 5. Pokud tedy ZKB ukládá povinnost zavést a provádět bezpečnostní politiku jako součást organizačních bezpečnostních opatření, vyhláška o kybernetické bezpečnosti specifikuje, že jako „soubor 926, jak má být zajištěno, jak mají být pravidla ochrany majetku společnosti stanovena“.

Současná podoba vyhlášky o kybernetické bezpečnosti definuje rizika obecně v mezích zákona, nelze tedy nic napadnout. plk., pro kybernetickou bezpečnost a o změně souvisejících zákonů) není nezákonným zásahem do práv žadatele, ledaže správní orgán svévolně zablokuje IP adresu. Uvedená opatření zákon souhrnně definuje jako „úkony nezbytné k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem nebo k řešení již vzniklého kybernetického bezpečnostního incidentu“. 937 Na rozdíl od bezpečnostních opatření reagují opatření v nejužším slova smyslu již na konkrétní kybernetickou bezpečnostní hrozbu nebo přímo na bezpečnostní incident.

Referências

Descarregar agora ( PDF - 259 páginas - 4.64 MB )

Outline

Informační sebeurčení Jurisdikční principy Bezpečnost Důvěrnost informací a dat Kybernetický útok Narušení dostupnosti informací a dat 1. Příklady Zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti ZKB zvyšuje kybernetickou bezpečnost tím, že vybraným orgánům a osobám ukládá Hack-back, aktivní kyberobrana

Documentos relacionados

Análise do ensaio de tração em chapas de aço 1020 soldadas por eletrodo revestido

Isto mostra que a tensão última do material das placas (aço AISI 1020) era menor que a tensão última da solda feita pelo técnico, como era desejado ao realizar este