PŮVODNÍ ZPRÁVA | Vyměníme soukromí za bezpečí? I bez sběru dat lze čelit kyberhrozbám, není to ale lehké, upozorňuje Půčková

Městský soud v Praze pravomocně vyhověl žalobě novináře Jana Cibulky, která se týkala povinného shromažďování údajů o telefonních hovorech a zprávách uživatelů. O rozhodnutí informoval server iRozhlas.cz. Soud konstatoval, že plošné a preventivní sbírání těchto dat je v rozporu s právem Evropské unie. Verdikt představuje důležitý precedens v ochraně soukromí a osobních údajů v České republice.

EuroZprávy.cz oslovily Elišku Půčkovou, vyšetřovatelku kyberkriminality působící ve francouzském soukromém sektoru a spoluzakladatelku spolku CyberLadies, aby zhodnotila vliv pravidel ochrany soukromí na práci bezpečnostních složek. Podle jejích zkušeností existují případy, kdy tyto regulace reálně brzdily vyšetřování nebo znemožnily efektivní zásah.

„Ano, existují konkrétní případy, kdy pravidla ochrany soukromí skutečně zkomplikovala práci bezpečnostních složek. Zajímavým příkladem je třeba Francie v roce 2015, kde po tehdejších teroristických útocích bezpečnostní orgány popsaly v několika oficiálních zprávách, že přísné postupy omezující přístup k datům o připojení brzdily mapování teroristických sítí a jejich financování,“ popsala Půčková pro EuroZprávy.cz.

Zkušenosti z těchto útoků se podle ní staly impulzem pro legislativní změny. Francie v návaznosti na tyto události upravila zákony, aby umožnila lepší přístup k datům o připojení. „To například umožnilo zpravodajským službám monitorovat elektronickou komunikaci za přísných specifických podmínek,“ vysvětlila expertka.

Problematické jsou podle Půčkové i běžné případy kyberkriminality, kde dochází ke zpoždění již při pokusu získat základní technické údaje, jako jsou IP adresa či lokalizační data. V této souvislosti zmínila, že „rámce jako GDPR a ePrivacy jsou v tomto smyslu spojené s vysokou administrativní ‚zátěží‘“.

Propojení soukromí a potřeb státu je možné

Půčková se domnívá, že ochranu soukromí lze v digitálním prostoru skloubit s potřebami bezpečnosti – za předpokladu, že se dodrží jasná pravidla. „Funkční kompromis by měl podle mě vycházet z úplně základního principu: ochrana soukromí musí být výchozím pravidlem a jakýkoliv zásah do soukromí, tedy do osobních údajů, musí být výjimkou. Ta výjimka musí být cílená, časově omezená a odůvodněná konkrétní vážnou hrozbou,“ zdůraznila.

Zdůraznila, že stát by měl při zásazích v digitálním prostředí postupovat obezřetně, „chirurgicky“ – tedy jen tam, kde je to skutečně nezbytné, a vždy přiměřeným způsobem. Jakékoli plošné a dlouhodobé sledování obyvatelstva odmítá. „Tyhle nastíněné principy ostatně odpovídají tomu, co dnes vyžaduje evropská legislativa: konkrétně plošná, dlouhodobá a nediferencovaná retence dat je v rozporu s právem Unie,“ upozornila Půčková.

Připouští, že existují úzce vymezené výjimky, například v případě vážného ohrožení národní bezpečnosti. I tehdy ale musí být dozor nad daty postaven na objektivních kritériích, schválený nezávislým soudním či správním orgánem a podrobený transparentnímu dohledu. „Dohledové mechanismy pak musí stát na objektivních kritériích, být schvalovány nezávislým orgánem – soudním nebo správním, a být podrobeny transparentní kontrole,“ uvedla.

Za klíčový prvek funkčního modelu považuje rovněž aktivní spolupráci mezi veřejným a soukromým sektorem v oblasti kyberbezpečnosti. „Nezbytnou součástí takového kompromisu je podle mě také těsná koordinace mezi veřejným a soukromým sektorem v oblasti kyberbezpečnosti – včetně výměny informací (threat intelligence), zlepšení bezpečnostního povědomí uživatelů a realistické přípravy na krizové situace,“ dodala.

Jaké dopady bude mít rozhodnutí soudu?

Půčková upozornila, že nedávné rozhodnutí Městského soudu zpochybňuje dosavadní praxi operátorů, kteří mají povinnost uchovávat provozní a geolokační data po dobu šesti měsíců. Jak uvedla, změna této politiky může mít zásadní dopad na práci bezpečnostních složek i soukromých subjektů.

„Pro bezpečnostní složky by to mohlo znamenat, že v rámci vyšetřování případů kyberkriminality nebudou moci zpětně a plošně rekonstruovat spojení mezi jednotlivými osobami nebo zařízeními bez toho, aby měly k dispozici konkrétní a předem odůvodněné podezření. Respektive by musely každou žádost o přístup k datům zdůvodnit individuálně a předem, což může zpomalit vyšetřování a snížit možnosti preventivního odhalování některých typů hrozeb,“ shrnula.

Zejména tzv. difúzní hrozby – tedy útoky rozptýlené do mnoha nezávislých zdrojů – mohou být kvůli těmto omezením hůře identifikovatelné. Typickým příkladem je podle Půčkové koordinovaný kyberútok, který zasahuje různé systémy, sítě či koncové uživatele současně a bez jednoznačného původu.

Změny se výrazně dotknou také soukromého sektoru. Firmy podle Půčkové budou muset ve větší míře spoléhat na monitoring v reálném čase, důraznější využití threat intelligence a rychlejší detekci incidentů. „Budou se muset více spoléhat na vlastní monitoring v reálném čase, na threat intelligence a na rychlé detekce incidentů. Zároveň bude ještě důležitější právně bezchybné nakládání s daty: každá uchovávaná nebo sdílená informace musí být přesně definovaná, minimalizovaná a dokumentovaná, aby byla obhajitelná před soudem v případě soudních řízení navazujících na vyšetřování,“ vysvětlila.

Shrnula, že se tak mění samotná filozofie práce s daty. „V podstatě to znamená, že bychom se přesunuli od modelu ‚sbírat plošně pro případ, že by se to někdy hodilo‘, k modelu ‚sbírat jen to nezbytně nutné, a velmi přesně vědět proč‘.“ Tento přístup podle ní klade vyšší nároky na organizaci práce, právní expertízu i kvalitu analytických výstupů. „Je to náročnější na organizaci práce, na právní znalosti i na kvalitu analýz,“ podotkla.

Odhalování kriminality bez plošného sběru dat

Půčková také upozornila, že i bez rozsáhlého sběru dat lze kybernetické hrozby odhalovat efektivně – ovšem pouze za předpokladu precizního přístupu a kvalitní analytické práce. „Minimální nezbytné zdroje dat pro detekci kyberhrozeb podle mě zahrnují hlavně síťové a systémové logy, které zaznamenávají provozní události bez nutnosti znát obsah komunikace. Dále jsou klíčové ‚indikátory kompromitace‘ (IOC),“ uvedla. Zdůraznila rovněž důležitost analýzy síťových metadat – zejména toků, časů spojení a objemů přenesených dat.

Podle ní samotný masivní sběr dat není jedinou cestou k detekci závažných incidentů. „Nejde tedy o to, že bychom bez plošného sběru dat nebyli schopni odhalit organizovaný zločin nebo sofistikované útoky – jde o to, že musíme být mnohem přesnější v tom, co sledujeme a jak s daty nakládáme,“ vysvětlila.

Jedním z klíčových omezení je však nemožnost analyzovat samotný obsah komunikace. Tato skutečnost podle expertky komplikuje detekci incidentů, které se úspěšně maskují jako běžný provoz. Jako příklad uvedla tzv. insider threat – hrozbu ze strany oprávněného uživatele, který zneužívá svá přístupová práva a jeho chování se navenek nijak neodlišuje od normy.

„Pokud není možné analyzovat obsah komunikace, musíme se opřít o metadata: neobvyklé časy přenosů, nestandardní objemy dat nebo napojení na dříve označené podezřelé servery,“ popsala. Stejně tak v případě phishingových kampaní lze podle ní identifikovat útoky pomocí vzorců chování – například pokusů o přihlášení z neobvyklých lokalit či snahy o přístup k netypickým službám.

U ransomwarových útoků je nejkritičtější raná fáze, kdy útočník testuje obranné mechanismy a šíří se sítí. Přestože v těchto případech není k dispozici kompletní inspekce vnitřní komunikace, lze i tak reagovat včas – pokud je zaveden důkladný monitoring síťového provozu a systémového chování. „Z praxe vyplývá, že s omezeným přístupem k datům je nutné změnit přístup k detekci: soustředit se na inteligentní analýzu slabých signálů místo snahy všechno vidět. Je to náročnější, ale realizovatelné,“ shrnula Půčková.