Žádný kyberútok, technické problémy. Úřady mírní vysvětlení, proč nezveřejnily kritizovanou vyhlášku
Mohl za to útok hackerů? Ne, šlo pouze o technické problémy. Úřad vlády koriguje dřívější vysvětlení resortu průmyslu a obchodu, proč nezveřejnilo včas návrh kritizované vyhlášky, kvůli které by mohly bezpečnostní složky vidět, které weby lidé navštěvují. Vyplývá to z odpovědi, kterou server iROZHLAS.cz získal na základě žádosti podle informačního zákona.
V polovině března server iROZHLAS.cz informoval o přípravě vyhlášky, na jejímž základě by museli nově poskytovatelé internetu sbírat kromě již značného množství dat o místě a čase připojení uživatelů k internetu také data o takzvané cílové IP adrese. Jednoduše řečeno o tom, které webové stránky daný uživatel navštívil.
Stát chce vědět, které weby jste navštívili. ‚Snížíme tím zásah do soukromí,‘ tvrdí vnitro
Číst článek
Informace měly sloužit zejména policii při odhalování a stíhání kriminality, a také zpravodajským službám. A podle policejního mluvčího Ondřeje Moravčíka k nim měli mít policisté přístup až poté, co jim to v konkrétním případě posvětí soud.
Zveřejnění informace o připravované vyhlášce ale zvedlo vlnu kritiky. I proto ministerstvo průmyslu a obchodu a resort vnitra nakonec od záměru na přípravu vyhlášky v této podobě ustoupily.
Zůstala ale otázka, proč nebyl návrh takto ožehavé vyhlášky zveřejněný ve veřejné části elektronické knihovny (eKLEP), jak to ukládají legislativní pravidla vlády. K jejímu zveřejnění došlo až poté, co na tuto chybu server iROZHLAS.cz upozornil.
Časopis Respekt napsal na základě výpovědi oslovených legislativců, že ke zveřejnění záměrně nedochází „u citlivých témat“ dříve, než dojde k jejich vydiskutování. Úřad vlády situaci neurčitě vysvětloval působením „vnějších vlivů“.
Resort průmyslu a obchodu ale hovořil o tom, že systém eKLEP čelil v době zveřejňování vyhlášky hackerskému útoku, což vedlo k tomu, že se vyhláška nepropsala do veřejné části knihovny. Jak nově vysvětlil jeho mluvčí Marek Vošáhlík, informaci o kyberútoku mu tehdy předala technická podpora systému eKLEP.
O hackerský útok nešlo
Server iROZHLAS.cz proto zajímalo, zda zmíněný hackerský útok způsobil nějaké škody, zda unikla nějaká data a případně to, zda o něm ví bezpečnostní složky a Národní úřad pro kybernetickou bezpečnost.
Čelili jsme kyberútoku, hájí resort nezveřejnění vyhlášky. Měla umožnit sběr dat o navštívených webech
Číst článek
Úřad vlády na tyto dotazy odpověděl až po dvou týdnech na základě žádosti podle informačního zákona. Z odpovědi vyplývá, že systém ve skutečnosti kyberútoku nečelil. „Jednalo se o kombinaci vnějších a vnitřních vlivů. V inkriminované době čelil portál ODok zvýšenému počtu dotazů a zároveň také technickým potížím serveru. Kombinaci uvedených faktorů nelze jednoznačně označit za kybernetický útok,“ popisuje vedoucí právního oddělení Úřadu vlády Ivana Beránková.
I proto úřad incident nehlásil ani policii, ani kyberúřadu. „Prolomení bezpečnostních prvků portálu ODok či jakýkoliv únik dat můžeme jednoznačně vyloučit a totéž platí o neveřejné části systému (eKLEP), jehož chod byl v té době zcela bezchybný a veškeré návrhy legislativních i nelegislativních materiálů zde byly oprávněným uživatelům dostupné,“ ujišťuje.
Podle Vošáhlíka je to důkaz, že resort dodržel při zveřejňování materiálu standardní postup.
Kritizovaná vyhláška pak podle Úřadu vlády neměla být jediným materiálem, který se nepovedlo ve veřejné části knihovny v daný moment zveřejnit. Vyjmenovala například návrh novely zákona o mezinárodní spolupráci při správě daní či část připomínek k návrhu vyhlášky ministerstva školství o rámci kvalifikací vysokoškolského vzdělávání.
Aby se to příště nestalo, testuje už úřad v systému novou funkcionalitu, která má napříště publikaci ve všech částech systému kontrolovat.
Ústup od ‚šmírování‘
Mezi sbíranými daty je podle aktuálně platné vyhlášky takzvaná IP adresa, identifikátor zařízení připojeného k internetu. Poskytovatelé internetu informace o těchto adresách sbírají pouze u svých uživatelů. Zaznamenávají tedy, odkud se k internetu připojovali, nikoli ale to, na kterou stránku se dívali. To měla novela vyhlášky změnit.
V minulosti se sběru provozních údajů věnoval i Ústavní soud, který současnou právní úpravu posvětil. Proti se tehdy vymezila pouze soudkyně Kateřina Šimáčková s tím, že skrze shromažďovaná data je možné zjistit „osobní vazby, prostředí, společenské postavení, politickou orientaci, zdravotní stav nebo sexuální orientaci“.
Aktuálně o uchovávání provozních informací probíhá soudní spor, který s ministerstvem průmyslu vede novinář Českého rozhlasu Jan Cibulka. Ve věci už rozhodoval Nejvyšší soud, podle kterého je stát odpovědný za možné porušení práva EU, nyní se jí zabývá Městský soud v Praze.
O podobné rozšíření usilovalo ministerstvo už v v roce 2015, ale neúspěšně. V připomínkovém řízení dopady na soukromí zkritizoval jak Český telekomunikační úřad, tak Úřad pro ochranu osobních údajů. Úmysl resort deklaroval také v roce 2022 v dopisu Evropské komisi. Přesto se mu změnu prosadit dosud nedaří, jak vyplývá i z prohlášení ministra vnitra Víta Rakušana (STAN) a premiéra Petra Fialy (ODS).
Přitom dříve Rakušanův resort připravovanou vyhlášku hájil s tím, že naopak povede ke snížení zásahu do soukromí.
„Nová úprava zajistí, že operátoři budou předvídatelně uchovávat kromě zdrojových IP adres a portů i ty cílové, což umožní technické určení, kterého přípojného místa se konkrétní komunikace týkala. Díky tomu dojde k lepší ochraně soukromí vůči ostatní proběhlé komunikaci, protože operátoři nebudou muset poskytovat údaje o dalších přípojných místech, které nejsou relevantní pro konkrétní vyšetřování,“ vysvětlovala serveru iROZHLAS.cz mluvčí ministerstva vnitra Hana Malá.
Přečtěte si celé znění důvodové zprávy k připravované vyhlášce:
