prezentace

Download Report

Transcript prezentace 

GB - ochrana před terorismem
Kyberprostor
http://en.wikipedia.org/wiki/Regulation_of_Investigatory_Powers_Act_2000
HRANICE V INTERNETU.
je virtuální realitou, nemající
© JUDr. Jan Kolouch, Ph.D.
konec ani začátek.
ZLOČINY PROTI DŮVĚRNOSTI,
INTEGRITĚ A DOSAŽITELNOSTI
POČÍTAČOVÝCH DAT A SYSTÉMŮ.

nezákonný přístup

nezákonné odposlouchávání

narušování dat

narušování systémů

zneužití prostředků


ZLOČINY SE VZTAHEM
K POČÍTAČI
počítačové padělání
počítačový podvod
ZLOČINY SE VZTAHEM
K AUTORSKÝM NEBO
OBDOBNÝM PRÁVŮM.
ZLOČINY SE VZTAHEM K OBSAHU
POČÍTAČE

Výroba, distribuce, získávání a
držení dětské pornografie na
datových nosičích.
© JUDr. Jan Kolouch, Ph. D.






Zákon č. 40/2009 Sb.,
trestní zákoník
Zákon č. 141/1961 Sb., o
trestním řízení soudním
- trestní řád
Zákon č. 200/1990 Sb., o
přestupcích
Zákon č. 121/2000 Sb.,
Autorský zákon
Zákon č. 127/2005 Sb., o
elektronických
komunikacích
Zákon č. 480/2004 Sb., o
některých službách
informační společnosti






Zákon č. 273/2008 Sb., o
Policii České republiky
Zákon č. 40/1964 Sb.,
Občanský zákoník
Zákon č. 513/1991 Sb.,
Obchodní zákoník
Zákon č. 101/2000 Sb., o
ochraně osobních
údajů,
Zákon č. 227/2000 Sb., o
elektronickém podpisu
aj.
© JUDr. Jan Kolouch, Ph. D.
Př. Podle zákona 127/2005 Sb., nemáme právo do provozu
zasahovat bez žádosti od Policie ČR. Já nemám právo tento
incident řešit a odpojit našeho zákazníka. Není mojí povinností
řešit narušení bezpečnosti mého zákazníka, zde je asi potřeba
rozlišit, jestli se bavíme o poskytování připojení nebo o
poskytování služby.
Povinnost ISP:

poskytovat službu.

technicky a organizačně zajistit bezpečnost poskytované
služby s ohledem na ochranu osobních údajů fyzických
osob .
informovat dotčené účastníky o specifickém riziku
porušení bezpečnosti sítě.

© JUDr. Jan Kolouch, Ph. D
Druhy poskytovatelů služeb dle zák. č. 480/2004 Sb.:
1.
2.
3.
Poskytovatel služeb spočívající v přenosu
informací poskytnutých uživatelem (angl. Mere
Conduit nebo Access Provider). De facto se jedná o:
 Operátory elektronických komunikací,
 ostatní operátory fyzických linek a
 operátory logických linek.
Poskytovatele služeb spočívajících
v automatickém meziukládání informací
poskytnutých uživatelem (tzv. caching).
Poskytovatele služeb spočívajících v ukládání
informací poskytnutých uživatelem (tzv. storage
nebo hosting).
© JUDr. Jan Kolouch, Ph. D
1.
Poskytovatele nelze činit odpovědného za kvalitu informace
(kterou mu nelze přičíst), a to i v případě, že si je vědom
protiprávnosti
přenášené
informace.
Operátoři
elektronických komunikací, mají povinnosti dle zákona č.
127/2005 Sb. Dle čl. 12 směrnice č. 2000/31/ES je dána
možnost členským státům nařídit Providerovi, aby přerušil
poskytování služeb, skrze něž dochází ke komunikaci
protiprávních informací.
2.
Poskytovatelé cachingu nejsou zbaveni odpovědnosti za
kvalitu informací, pokud dojde z jejich strany k porušení
standardních či smluvených technických podmínek cachingu.
3.
Situace je nejsložitější. Dochází k uplatnění zmíněné směrnice
(viz § 5 zák. č. 480/2004 Sb.). V tomto ustanovení je dána
podmínka alespoň nevědomé nedbalosti Providera ve
vztahu k protiprávnímu obsahu informace u něj uložené.
Zákonodárce však neukládá Providerům povinnost aktivně
vyhledávat protiprávní informace uživatelů (neboť by
v mnohých případech šlo de facto o zásah do základních práv
a svobod zaručených ústavním zákonem č. 2/1993 Sb., Listina
základních práv a svobod - např. čl. 13).
© JUDr. Jan Kolouch, Ph. D.
Do současnosti byly „podepsány“ miliardy smluv/licencí.
Důraz by měl být kladen na popis plnění, které uživatel/ISP
očekává, rychlost a dosažitelnost takového plnění, než na
fyzickou podstatu.
Je třeba přesně a jasně vymezit práva a povinnosti
jednotlivých stran (poskytovatel a uživatel) ve smlouvě.
ISP vs. User
© JUDr. Jan Kolouch, Ph.D.
© JUDr. Jan Kolouch, Ph. D
Každý by se měl chovat tak, aby nedocházelo
k porušování práv jiných (§ 415 občanského zákoníku každý je povinen počínat si tak, aby nedocházelo ke
škodám na zdraví, na majetku, na přírodě a životním
prostředí.) a k případným újmám na jejich právech.
§ 420
(1) Každý odpovídá za škodu, kterou způsobil porušením
právní povinnosti.
(2) Škoda je způsobena právnickou osobou anebo fyzickou
osobou, když byla způsobena při jejich činnosti těmi, které
k této činnosti použili. Tyto osoby samy za škodu takto
způsobenou podle tohoto zákona neodpovídají; jejich
odpovědnost podle pracovněprávních předpisů není tím
dotčena.
(3) Odpovědnosti se zprostí ten, kdo prokáže, že škodu
nezavinil.
© JUDr. Jan Kolouch, Ph. D





Protiprávní čin, který trestní zákon označuje za
trestný čin a který vykazuje znaky uvedené v
zákoně.
Trestným činem je čin uvedený ve zvláštní části
trestního zákona.
K trestnosti činu je třeba zavinění úmyslného,
nestanoví-li trestní zákon že postačí zavinění z
nedbalosti.
Trestní právo je postaveno na zásadě individuální
odpovědnosti za spáchaný trestný čin.
Při spáchání protiprávního jednání v rámci Internetu
není vyloučena odpovědnost občanskoprávní.
§ 230 – 232, 270 TZK
© JUDr. Jan Kolouch, Ph. D.
FAQ:
1. Za jakých okolností mohu číst emaily uživatelů?
2. Jakou mám jako správce ICT právní zodpovědnost např. za ztrátu
(smazání) dat?
3. Co riskuji při úniku citlivých dat (např. osobních údajů) díky technické
chybě nebo chybě zabezpečení?
4. Mohu znát hesla uživatelů? Za jakých okolností?
5. Co mám dělat při podezření na zneužití techniky ze strany uživatelů?
6. Jaké mám povinnosti při zabezpečení sítě?
7. Co mám dělat v případě síťového incidentu s dopadem na systémy
organizace (např. DoS útok)?
8. Co mám dělat při podezření na zcizení systémových nebo uživatelských
přístupových údajů?
9. Mohu sledovat síťový provoz a uchovávat data z něj?
10.Mohu sledovat použití webu jednotlivými uživateli?
11.Nelegální software v organizaci a jeho dopad na vedení a pracovníky ICT
12.Jak mám postupovat, když se na mě obrátí orgány činné v trestním řízení
se žádostí o vydání zařízení, logů, dohledání provozních informací apod.?
13.Kdo je zodpovědný za nalezený nelegální SW, dílo chráněné AZ apod. na
zařízení, které jako správce spravuji?
14.Jaká je hranice mezi mojí zodpovědností coby správce a uživatelovou
zodpovědností?
© JUDr. Jan Kolouch, Ph. D.
© JUDr. Jan Kolouch, Ph.D.
pplk. JUDr. Jan Kolouch, Ph.D.
Dne 30. března 2009 přijala Komise sdělení o ochraně kritické informační infrastruktury
– „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme
připravenost, bezpečnost a odolnost“ KOM(2009) 149.
KOM(2011) 163 v konečném znění SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU,
RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU
REGIONŮ o ochraně kritické informační infrastruktury „Dosažené výsledky a další
kroky: směrem ke globální kybernetické bezpečnosti“
Pro vnitrostátní/vládní skupiny CERT byl vypracován minimální
soubor základních schopností a služeb a související politická
doporučení, jež jim mají umožnit efektivní fungování jako klíčovým
složkám prostředků pro připravenost, sdílení informací, koordinaci a
reakci na národní úrovni.
Za podpory agentury ENISA do roku 2012 ve všech členských státech
postavena síť dobře fungujících vnitrostátních/vládních skupin
CERT. Tato síť bude páteří Evropského systému pro varování a sdílení
informací (EISAS) pro občany a malé a střední podniky, jenž má být
vybudován do roku 2013 za využití národních zdrojů a schopností.
Tato činnost rovněž posune vpřed vývoj Evropského systému pro varování a
sdílení informací (EISAS) pro širší veřejnost, jenž má být dokončen do roku 2013.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0163:FIN:CS:HTML
pplk. JUDr. Jan Kolouch, Ph.D.
Usnesení vlády č. 781 ze dne 19. října 2011
NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a zároveň národní
autoritou pro tuto oblast.






Absence:
 celkové vize
 Technologické analýzy
současného stavu
 Absence subjektů dle zák.
480/2004 Sb.
 Vztahu zákona k bezpečnostním
složkám
Nedefinované či „modifikované“
pojmy
 prvky kritické infrastruktury
 CERT/CSIRT
 Protiopatření (nedefinováno za
jakých podmínek)
 Kybernetické nebezpečí
 Kybernetická událost/útok
Zákon postaven na systému vynucení
pod hrozbou sankcí
Národní CSIRT: „pošťák“.
Chybějící prostor pro PPP
Využitelnost získaných informací v
praxi? Statistika?
Obrázky použity z článku Jiřího Peterky. Článek: Jaký bude zákon
o kybernetické bezpečnosti. Dostupné na:
http://www.psp.cz/sqw/historie.sqw?T=615&O=6
pplk. JUDr. Jan Kolouch, Ph.D.
ACTA
Anti-Counterfeiting Trade Agreement
Obchodní dohoda proti padělatelství
Znění:


http://trade.ec.europa.eu/doclib/docs/2011/may/tradoc_147937.pdf
http://www.cnews.cz/kompletni-zneni-dohody-acta-v-cestine
Diskuse:

http://www.lupa.cz/clanky/video-z-diskusniho-panelu-acta-myty-afakta/

http://www.earchiv.cz/papers/p58/nahled.php3?l=1&me=1&t=vsex1
© JUDr. Jan Kolouch, Ph. D.