Ing. Mgr. Michaela Stonová, Ph.D. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Kybernalita ZS 2011/12, Přednáška 11 https://edux.fit.cvut.cz/courses/mi-kyb/start Evropský sociální fond Praha & EU: Investujeme do Vaší budoucnosti Ing. Mgr. Michaela Stonová, Ph.D. Přednáška 11/13, 2011
Bezpečnostní strategie ČR 2011 životní zájmy svrchovaná existence, územní celistvosti, demokracie, lidské životy, zdraví a svoboda obyvatel, strategické zájmy bezpečnost a stabilita, trvalý rozvoj, prevence a zvládání místních a regionálních konfliktů, podpora činnosti NATO, EU, OBSE, podpora demokracie, základních svobod a principů právního státu, vnitřní bezpečnosti a ochrana obyvatelstva, ekonomická, energetická, surovinová a potravinová bezpečnost ČR, strategických rezervy, další významné zájmy snižování kriminality s důrazem na hospodářskou kriminalitu, tolerantní občanská společnost, potlačování extremismu, vědecko-technický rozvoj, ochrana životního prostředí.
Bezpečnostní hrozby terorismus, šíření zbraní hromadného ničení, kybernetické útoky, nestabilita a regionální konflikty v euroatlantickém prostoru a okolí, negativní aspekty mezinárodní migrace, organizovaný zločin a korupce, ohrožení funkčnosti kritické infrastruktury, přerušení dodávek strategických surovin nebo energie, pohromy přírodního a antropogenního původu a jiné mimořádné události.
Základní práva a svobody jedinec vs. jedinec Právními předpisy povolená oblast Jedinec A Jedinec B Jedinec A Jedinec B Jedinec A Jedinec B
Základní práva a svobody jedinec vs. stát Právními předpisy povolená oblast Jedinec A Stát Jedinec A Stát Jedinec A Stát
Aktéři v kyberprostoru jedinci, organizované kriminální skupiny, teroristické organizace, hacktivisté, státy. Kyberzločiny neautorizovaný přístup, krádež dat, shutdown služeb (DoS), defacement, zničení/destrukce. Oběti jedinci, organizace, obchodní společnosti, státy.
Právní předpisy Listina základních práv a svobod (usnesení č. 2/1993 Sb.), Ústava (ústavní zákon č. 1/1993 Sb.), zákon o zajišťování obrany České republiky (zákon č. 222/1999 Sb.), zákon o krizovém řízení (zákon č. 240/2000 Sb.), zákon o Policii České republiky (zákon č. 273/2008 Sb.), zákon o obecní policii (zákon č. 553/1991 Sb.), zákon o Vojenské policii (zákon č. 553/1991 Sb.), zákon o zpravodajských službách (zákon č. 153/1994 Sb.), zákon o Bezpečnostní informační službě (zákon č. 154/1994 Sb.), zákon o Vojenském zpravodajství (zákon č. 289/2005 Sb.), trestní řád (zákon č. 141/1961 Sb.), trestní zákoník (zákon č. 40/2009 Sb.), celní zákon (zákon č. 13/1993 Sb.), zákon o elektronických komunikacích (zákon č. 127/2005 Sb.), zákon o elektronickém podpisu (zákon č. 227/2000 Sb.), zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.), zákon o ochraně utajovaných informací (zákon č. 412/2005 Sb.).
Úmluva o kyberzločinu (Budapešť 23. 11. 2001) omezení pouze na počítačové systémy a počítačová data. dopad na český právní řád: trestní zákoník, zákon o elektronických komunikacích, trestní řád, dětská pornografie, mezinárodní spolupráce.
Trestní zákoník (zákon č. 40/2009 Sb.) Trestné činy v souvislosti s kyberprostorem
182 Porušení tajemství dopravovaných zpráv (1) Kdo úmyslně poruší tajemství a) uzavřeného listu nebo jiné písemnosti při poskytování poštovní služby nebo přepravované jinou dopravní službou nebo dopravním zařízením, b) datové, textové, hlasové, zvukové či obrazové zprávy posílané prostřednictvím sítě elektronických komunikací a přiřaditelné k identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo c) neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému, přenášejícího taková počítačová data, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. (2) Stejně bude potrestán, kdo v úmyslu způsobit jinému škodu nebo opatřit sobě nebo jinému neoprávněný prospěch a) prozradí tajemství, o němž se dozvěděl z písemnosti, telegramu, telefonního hovoru nebo přenosu prostřednictvím sítě elektronických komunikací, který nebyl určen jemu, nebo b) takového tajemství využije. (3) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, a) spáchá-li takový čin ze zavrženíhodné pohnutky, b) způsobí-li takovým činem značnou škodu, nebo c) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch. (4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako úřední osoba, b) způsobí-li takovým činem škodu velkého rozsahu, nebo c) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu. (5) Zaměstnanec provozovatele poštovních služeb, telekomunikační služby nebo počítačového systému anebo kdokoli jiný vykonávající komunikační činnosti, který a) spáchá čin uvedený v odstavci 1 nebo 2, b) jinému úmyslně umožní spáchat takový čin, nebo c) pozmění nebo potlačí písemnost obsaženou v poštovní zásilce nebo dopravovanou dopravním zařízením anebo zprávu podanou neveřejným přenosem počítačových dat, telefonicky, telegraficky nebo jiným podobným způsobem,bude potrestán odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti. (6) Odnětím svobody na tři léta až deset let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 5 škodu velkého rozsahu, nebo b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.
České vysoké učení technické v Praze MI-KYB Kybernalita přednáška 11/13 183 Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí (1) Kdo neoprávněně poruší tajemství listiny nebo jiné písemnosti, fotografie, filmu nebo jiného záznamu, počítačových dat anebo jiného dokumentu uchovávaného v soukromí jiného tím, že je zveřejní, zpřístupní třetí osobě nebo je jiným způsobem použije, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 v úmyslu získat pro sebe nebo pro jiného majetkový nebo jiný prospěch, způsobit jinému škodu nebo jinou vážnou újmu, anebo ohrozit jeho společenskou vážnost. (3) Odnětím svobody na šest měsíců až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, b) spáchá-li takový čin vůči jinému pro jeho skutečnou nebo domnělou rasu, příslušnost k etnické skupině, národnost, politické přesvědčení, vyznání nebo proto, že je skutečně nebo domněle bez vyznání, c) způsobí-li takovým činem značnou škodu, nebo d) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch. (4) Odnětím svobody na dvě léta až osm let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu, nebo b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.
Trestní zákoník (zákon č. 40/2009 Sb.) Trestné činy poškozující kyberprostor
230 Neoprávněný přístup k počítačovému systému a nosiči informací (1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (3) Odnětím svobody na šest měsíců až tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 nebo 2 a) v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, nebo b) v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat. (4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) způsobí-li takovým činem značnou škodu, c) způsobí-li takovým činem vážnou poruchu v činnosti orgánu státní správy, územní samosprávy, soudu nebo jiného orgánu veřejné moci, d) získá-li takovým činem pro sebe nebo pro jiného značný prospěch, nebo e) způsobí-li takovým činem vážnou poruchu v činnosti právnické nebo fyzické osoby, která je podnikatelem. (5) Odnětím svobody na tři léta až osm let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo b) získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu.
231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (1) Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv podle 182 odst. 1 písm. b), c) nebo trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části, nebo b) počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo jiné majetkové hodnoty nebo zákazem činnosti. (2) Odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo b) získá-li takovým činem pro sebe nebo pro jiného značný prospěch. (3) Odnětím svobody na šest měsíců až pět let bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu.
232 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (1) Kdo z hrubé nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat,a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu.
Trestní zákoník (zákon č. 40/2009 Sb.) Trestné činy páchané za pomocí kyberprostoru
Trestné činy spáchané pomocí kyberprostoru porušování autorských práv, průmyslových práv a jiných a práv souvisejících, poškozování cizích práv, poškozování cizí věci, krádež, zpronevěra, pomluva, poškozování spotřebitele, zneužívání informací v obchodním styku, přijímání úplatku, podplácení, nepřímé úplatkářství, pletichy při veřejné soutěži, nepravdivý znalecký posudek, neoprávněné nakládání s osobními údaji, neoprávněné podnikání, neoprávněné provozování loterie, provozování nepoctivých her a sázek, padělání a pozměňování peněz, výroba a držení padělatelského náčiní, šíření poplašné zprávy, hanobení národa rasy a přesvědčení podněcování k nenávisti, podpora a propagace směřující k potlačení práv a svobod člověka, šíření pornografie, přechovávání dětské pornografie, teroristický útok, záškodnictví, sabotáž, vyzvědačství, obecné ohrožení, ohrožení utajované informace.
Objasňování kyberzločinů Důkazy v počítačové kriminalitě většinově vedou k počítači, nikoliv ke konkrétnímu jedinci => usvědčení pomocí nepřímých důkazů. Nepřímé dokazování přístup, znalost, příležitost, motiv, psychické rozpoložení. Motiv kyberzločinů peníze, pomsta, politické přesvědčení, osobní výzva prestiž. Tradiční vyšetřovací metody výslech svědků a podezřelých, zajištění stop, odposlechy.
Zákon o elektronických komunikacích (zákon č. 127/2005 Sb.)
97 Odposlech a záznam zpráv zákona č. 127/2005 Sb. (1) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna na náklady žadatele zřídit a zabezpečit v určených bodech své sítě rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv a) Policii České republiky pro účely stanovené zvláštním právním předpisem, b) Bezpečnostní informační službě pro účely stanovené zvláštním právním předpisem, c) Vojenskému zpravodajství pro účely stanovené zvláštním právním předpisem. (2) Orgány uvedené v odstavci 1 prokazují své oprávnění k odposlechu a záznamu zpráv předáním písemné žádosti, která obsahuje číslo jednací, pod kterým je rozhodnutí soudu u tohoto orgánu vedeno, a která je podepsána osobou odpovědnou u orgánu uvedeného v odstavci 1 za vykonávání odposlechu a záznamu zpráv. V případě odposlechu a záznamu zpráv Policií České republiky podle zvláštních právních předpisů se v písemné žádosti uvádí číslo jednací, pod kterým je souhlas uživatele odposlouchávané stanice u Policie České republiky veden. (3) zrušen (4) zrušen (5) Právnická nebo fyzická osoba poskytující veřejně dostupnou telefonní službu je povinna na žádost poskytnout informace z databáze všech svých účastníků veřejně dostupné telefonní služby orgánu oprávněnému k jejich vyžádání podle zvláštního právního předpisu, a to na jeho náklady. Formu a rozsah poskytovaných informací stanoví prováděcí právní předpis. (6) Zavede-li právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací při této činnosti kódování, kompresi, šifrování nebo jiný způsob přenosu vedoucí k nesrozumitelnosti přenášených zpráv, je povinna zajistit, aby v koncových bodech pro připojení zařízení uvedených v odstavci 1 byly požadované zprávy a s nimi spojené provozní a lokalizační údaje poskytovány srozumitelným způsobem. (7) Z plnění povinností podle odstavců 1, 3 a 5 náleží právnické nebo fyzické osobě od oprávněného subjektu, který si úkon vyžádal nebo jej nařídil, úhrada efektivně vynaložených nákladů. Výši a způsob úhrady efektivně vynaložených nákladů stanoví prováděcí právní předpis. (8) Osoba uvedená v odstavci 1 a její zaměstnanci jsou povinni zachovávat mlčenlivost o vyžádaném nebo uskutečněném odposlechu a záznamu zpráv podle odstavců 1 a 2 a vyžádání a poskytnutí údajů podle odstavců 3 a 5 a s tím souvisejících skutečnostech. (9) Technické a provozní podmínky a body pro připojení koncového telekomunikačního zařízení pro odposlech nebo záznam zpráv stanoví prováděcí právní předpis. (10) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna vést evidenci a) počtu případů, ve kterých na základě žádosti poskytla provozní a lokalizační údaje orgánům oprávněným k jejich vyžádání, b) doby, která v jednotlivých případech uplynula ode dne, kdy zahájila uchovávání provozních a lokalizačních údajů do dne, kdy o tyto údaje oprávněný orgán požádal, a c) počtu případů, kdy nemohla žádosti o poskytnutí provozních a lokalizačních údajů vyhovět. (11) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna předávat Úřadu evidenci uvedenou v odstavci 10 souhrnně vždy za uplynulý kalendářní rok, a to v elektronické formě, nejpozději do 31. ledna následujícího kalendářního roku. Předávaná evidence nesmí obsahovat osobní a identifikační údaje. Úřad souhrn obdržených evidencí neprodleně předá Komisi. (12) Formu evidence předávané podle odstavce 11 a způsob jejího předávání Úřadu stanoví prováděcí právní předpis.
97 Odposlech a záznam zpráv zákona č. 127/2005 stav do 11. 4. 2011 (3) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. Právnická nebo fyzická osoba, je na požádání povinna je bezodkladně poskytnout orgánům oprávněným k jejich vyžádání Současně je tato osoba povinna zajistit, aby nebyl uchováván obsah zpráv. Doba uchovávání těchto provozních a lokalizačních údajů nesmí být kratší než 6 měsíců a delší než 12 měsíců. Po uplynutí této doby je osoba, která údaje podle věty první a druhé uchovává, povinna je zlikvidovat, pokud nebyly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního předpisu nebo tento zákon nestanoví jinak ( 90). (4) Rozsah provozních a lokalizačních údajů uchovávaných podle odstavce 3, dobu jejich uchovávání podle odstavce 3 a formu a způsob jejich předávání orgánům oprávněným k jejich využívání a dobu uchovávání a způsob likvidace údajů, které byly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu, stanoví prováděcí právní předpis. 2 Rozsah uchovávání provozních a lokalizačních údajů, vyhláška zrušena (4) U sítí elektronických komunikací s přepojováním paketů se uchovávají údaje o uskutečněné komunikaci a) u služeb přístupu k síti s uvedením typu připojení, identifikátoru uživatelského účtu, identifikátoru zařízení uživatele služby, data a času zahájení připojení, data a času ukončení připojení, zájmových identifikátorů (například IP adresa, číslo portu), statusu události (například úspěch, neúspěch, řádné nebo mimořádné ukončení připojení), množství přenesených dat (v příchozím směru/v odchozím směru), b) u služeb přístupu ke schránkám elektronické pošty s uvedením identifikátoru zájmového uživatelského zařízení, uživatelského účtu, identifikátoru zprávy na poštovním serveru, data a času zahájení komunikace, adresy elektronické pošty odesílatele, adres elektronické pošty příjemců, identifikátoru protokolu elektronické pošty, množství přenesených dat, informace o použití zabezpečené komunikace, c) u služeb přenosu zpráv elektronické pošty s uvedením identifikátoru zájmového uživatelského zařízení, identifikátoru serveru elektronické pošty, data a času zahájení komunikace, adresy elektronické pošty odesílatele, adres elektronické pošty příjemců, identifikátoru protokolu elektronické pošty, množství přenesených dat, informace o použití zabezpečené komunikace, d) u serverových služeb s uvedením identifikátoru zájmového uživatelského zařízení, identifikátoru uživatelského účtu, data a času požadavku na službu, veškerých identifikátorů serveru (zejména IP adresa, úplné doménové jméno FQDN), požadovaných identifikátorů URI nebo typu služby, dodatečných parametrů identifikátorů URI nebo služby, použité služby, množství přenesených dat, metody a statusu požadavku na službu, e) u dalších služeb elektronických komunikací (zejména u služeb typu chat, usenet, instant messaging a IP telefonie) s uvedením veškerých identifikátorů komunikujících stran, transportního protokolu, data a času zahájení komunikace, data a času ukončení komunikace, použité služby, množství přenesených dat.
České vysoké učení technické v Praze MI-KYB Kybernalita přednáška 11/13 Děkuji za pozornost.