(18.10 hodin)
(pokračuje Filip)
Otevírám rozpravu k tisku 744. Konstatuji, že do obecné rozpravy mám čtyři přihlášky a do podrobné rozpravy mám v tuto chvíli přihlášek šest. Jako první je v obecné rozpravě přihlášen pan poslanec Karel Vymětal, připraví se paní poslankyně Vlasta Parkanová. Prosím, pane poslanče, máte slovo.
Poslanec Karel Vymětal: Děkuji za slovo, pane místopředsedo. Vážená vládo, páni poslanci, paní poslankyně, ve svém úvodu bych chtěl prostřednictvím pana předsedajícího vzkázat panu zpravodaji ústavněprávního výboru, že podle jednacího řádu má zpravodaj výboru informovat o průběhu projednávání tisku ve výboru a o jeho výsledcích. Takže formulace, které tady pan zpravodaj prohlásil - já jsem rád, já jsem názoru, má, si myslím - patří do obecné rozpravy. Tam si pan zpravodaj může cokoli myslet, mít jakýkoli názor a cokoli může mít rád, ale nemůže to takto povyšovat na názor výboru. Skutečně nejsme v prvém čtení, jsme ve druhém čtení. V prvním čtení je člověk samozřejmě zpravodajem Sněmovny a mluví o svých názorech. Nikoli ve druhém čtení, kdy je třeba, aby hovořil za výbor. Tolik v úvodu k této věci.
Dámy a pánové, já samozřejmě nejsem žádný odborník na trestní právo, a proto se budu věnovat jen jedné odborné oblasti, která je obsažena v trestním zákoníku a kterou tady ve svém úvodním slově pan ministr spravedlnosti do značné míry zlehčoval. Ta se týká § 205. Je to mně velmi blízká problematika ochrany informačních systémů. Koneckonců sám jsem slaboproudý elektroinženýr, kdysi jsem i programoval.
Dámy a pánové, jestli vám něco říká obor kryptoanalýza nebo obor penetrační testování informačních systémů, dovolte, abych řekl několik slov o těchto oborech. Moderní kryptoanalýza je věda o hledání slabin a prolamování matematických metod informační bezpečnosti. Na druhé straně je její výsledky možné chápat a využívat jako návod na zneužití rozpoznaných slabin ke skutečné nezákonné činnosti. A mezi těmito dvěma póly je velmi citlivá hranice. Trestní zákoník by měl být podle mého názoru upraven tak, aby nebyly vůbec žádné pochyby o tom, že je umožněna svoboda slova a svobodná výměna idejí v této vědě.
Penetrační testování je praktická činnost objednaná vlastníkem informačního systému k odhalení bezpečnostních slabin systému, kdy jsou dodavatelem prováděny takové činnosti, které se z technického hlediska neodlišují od nezákonných činností proti tomuto systému. I zde samozřejmě v této oblasti je velmi citlivá hranice mezi oprávněností a neoprávněností. Určitou formou penetračního testování je i odborná činnost administrátorů počítačových sítí, kteří používají nástroje k odhalování slabých hesel uživatelů, a to s cílem je vyloučit z použití, nikoli je zneužít. Dále je to činnost vývojářů, kteří tyto prostředky tvoří. Podobných činností je více a nelze je tady všechny vyjmenovat. I zde by trestní zákoník měl být upraven tak, aby nebyly žádné pochyby o tom, že tyto činnosti jsou oprávněné a zákonné.
Aby tato problematika byla přesně stanovena, byla 23. listopadu v roce 2001 v Budapešti přijata Úmluva Rady Evropy o počítačové kriminalitě č. 185, kterou je Česká republika vázána, a v ní se v článku 6 nazvaném Zneužití zařízení v jeho odstavci 2 píše. Mám tady k dispozici jak anglický, tak český text, takže dovolte, abych přečetl český text: "Tento článek nesmí být vykládán takovým způsobem, který by zahrnul pod trestní odpovědnost takovou výrobu, prodej, zprostředkování, užití, dovoz, distribuci nebo jiné zpřístupňování nebo držení zmiňované v odstavci 1 tohoto článku, která nemá za účel spáchání přečinů uvedených v článcích 2 až 5 této úmluvy, jako např. pro oprávněné testování a ochranu počítačového systému." Dámy a pánové, tolik mezinárodní úmluva, kterou je Česká republika vázána, jak jsem řekl.
A nyní, co se stalo. Vláda nám předložila v tisku 744 návrh trestního zákoníku a v jeho § 205 odst. 1 znění, ve kterém je uvedeno, že: Kdo neoprávněně vyrobí, uvede do oběhu, doveze, vyveze atd. včetně přechovává za b) počítačové heslo, přístupový kód, postup nebo podobná data, pomocí nichž lze získat přístup k počítačovému systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo zákazem činnosti. Konec citátu. - Ani slůvko o tom, že se tak musí stát s úmyslem spáchat trestný čin. A v tom je onen problém, kterým se dostal vládní návrh zákona do rozporu s citovanou úmluvou Rady Evropy, ale myslím si, že pro mnohé odborníky i se zdravým selským rozumem. Pokud by totiž takové znění zákona bylo přijato, trestnou by se stala výuka kryptoanalýzy na vysokých školách nebo činnost administrátorů počítačových sítí, kteří se starají o jejich bezpečnost. Oni totiž vědci, kryptoanalytici a bezpečnostní pracovníci se metodami práce a technickými prostředky ničím neliší od hackerů. Liší se pouze a jenom v cíli svého snažení: hackeři chtějí spáchat trestný čin, a vědci se snaží trestnému činu zabránit.
Mezi odborníky na informační technologie je běžné, že se informace o zranitelnosti v počítačových systémech zveřejňují, o problémech se otevřeně diskutuje a různé demonstrační a testovací nástroje jsou volně dostupné. Pro tyto různé nástroje samozřejmě existuje dvojí využití: mohou být zneužity, ale zrovna tak je může odborník používat k testování bezpečnosti systému, demonstraci zranitelnosti systému, ke studiu apod. Různě nebezpečné nástroje vytvářejí jak hackeři, tak i odborníci na bezpečnost, kteří tak právě tento nástroj analyzují, navrhují protiopatření, diskutují nad možnostmi řešení, a nástroj lze i zveřejnit, aby se mohli bezpečnostní odborníci podle něj zařídit a chránit svěřené sítě.
Rozdíl mezi hackerem a přednášejícím kryptoanalýzu na Univerzitě Karlově je pouze a jenom v tom cíli. Oba dva mohou přechovávat, vytvářet a jinak pracovat se stejnými prostředky. Kryptoanalytik vyvíjí a používá tyto prostředky k odhalování slabin systému s cílem navrhnout protiopatření a zodolňovat je, hacker s cílem spáchat trestný čin. A protože rozdíl mezi nimi je jen a pouze, v jakém úmyslu tak činí, proto úmluva výslovně požaduje, aby podmínkou trestnosti byl protiprávní cíl.
Stejně tak je tomu u administrátorů počítačové sítě. Když podle nějaké nové kryptoanalytické metody vytvoří nebo použije program, který odhaluje slabá přihlašovací hesla, metodou práce se nijak neliší od hackera. Jeho úmyslem je zjistit, zda uživatelé nepoužívají slabá hesla, a zabránit tomu, aby se systém nemohl stát předmětem útoku hackerů. Úmyslem hackera naopak je slabá hesla využít a do systému proniknout. Oba dva opět použijí stejné prostředky a metody, ale liší se jedině a pouze právě úmyslem.
***