Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 1 hodina 3 sek zpět

Krátké vlny: Draghiho zpráva aneb plán na oživení telekomunikačního monopolu v EU?

Čt, 09/12/2024 - 05:48

Tento týden zveřejnil bývalý italský premiér Mario Draghi dlouho očekávanou zprávu s názvem Budoucnost evropské konkurenceschopnosti. Zpráva se skládá ze dvou části, v části A najdeme manažerské shrnutí, v části B podrobný rozpis odvětvových analýz a legislativních návrhů. Bohužel zde je také část 3.1 s názvem Vysokorychlostní širokopásmové sítě.

Po přečtení si člověk říká, proč mají bývalý italští premiéři potřebu se vyjadřovat k věcem, kterým nerozumí? Po letos zveřejněné zprávě jiného bývalého italského premiéra Enrico Letta, kterou si také objednala Evropská komise, je to tedy druhý dokument, který hodnotí fragmentaci a vývoj evropské ekonomiky ve světle existujících regulací a legislativních návrhů.

Pokud vycházíte ze špatných premis, dojdete ke špatným závěrům. A to se oběma bývalým italským premiérům stalo. A i když závěry těchto zpráv bude používat Evropská komise a členské státy se k nim budou diplomaticky vyjadřovat, řekněme si naprosto nediplomaticky, že Draghiho zpráva je jen další pokus, jak reinstalovat EU telekomunikační monopoly. Pokud by se její vize naplnily, došlo by na telekomunikačním trhu ke snížení konkurenceschopnosti a k růstu cen s minimálním efektem pro investice.

Draghimu vadí, že na rozdíl od amerického a asijského trhu je v EU příliš mnoho telekomunikačních operátorů, kteří přináší službu pro 450 milionů uživatelů. Počet operátorů podle něj přímo souvisí s nízkou ziskovostí odvětví. V tomto ohledu zpráva opakuje údaje asociace velkých operátorů, ETNO, týkající se finančních ukazatelů, jako jsou ARPU a CAPEX/obyvatele, ve srovnání s globálními konkurenty.

Draghi konstatuje, že pravidla regulace ex ante a politiky hospodářské soutěže podnítily nárůst počtu operátorů. A díky tomu nejsou telekomunikační operátoři schopni provádět počáteční investice do inovativních technologií (včetně internetu věcí). Klesající výhled ziskovosti odvětví představuje riziko pro průmyslové podniky v Evropě. Zpráva rovněž přiznává „investiční mezeru“ ve výši přibližně 200 miliard eur.

Od strany 74 Draghiho zpráva obsahuje politická doporučení a pro malé a střední operátory to rozhodně není radostné čtení. A pokud píšu malé a střední operátory, tak tím nemyslím jen české regionální hráče, ale i národní operátory bez nadnárodního působení.

Draghi navrhuje:

  • odklon od regulace ex ante a přesun k čisté ex post telekomunikační regulaci,

  • rozšíření působnosti Evropského kodexu pro elektronické komunikace podle zásady „stejná služba=stejná pravidla“,

  • podporovat mechanismy umožňující uzavírání obchodních dohod na trhu propojení (=Telefonica likes this, Netflix dislikes this), včetně pravomoci regulačních úřadů rozhodovat cenové spory mezi operátorem a poskytovatelem obsahu.

  • při posuzování fúzi se zaměřit na inovace a investice,

  • definovat telekomunikační trhy na úrovni EU a tlačit na přeshraniční konsolidaci,

  • harmonizovat procesy pro udělování spektrálních licencí a dražeb kmitočtového spektra v celé EU, prodloužit platnost udělených licencí (u nás přídělů), zahrnout další pásma určená nyní pro WiFI na podporu 5G a budoucích technologií,

  • zjednodušit a harmonizovat pravidla kybernetické bezpečnosti a zajistit přiměřené a konzistentní předpisy pro kritickou infrastrukturu,

  • stanovit lhůty pro postupné vyřazování zastaralých technologií (měděné dráty, 2G) a deregulovat nové investice do infrastruktury (regulační prázdniny?),

  • umožnit telekomunikačním operátorům poskytovat služby v celé EU na základě jednotného regulačního režimu,

  • podporovat používání telekomunikačních zařízení a služeb z EU,

  • prosazovat bezpečnostní standardy 5G a podporovat výzkum v oblasti cloudu, edge computingu a vývoje 6G,

  • vypracování a přijetí jednotných technických norem pro síťová rozhraní API, edge computing a roaming.

K dosažení těchto cílů by EU měla přijmout nový „Telekomunikační akt EU“, který by stanovil nový strategický postoj k telekomunikačním službám s cílem rozvíjet nejmodernější digitální sítě pro občany a podniky, financované soukromým kapitálem, s vysokou bezpečností a nezávislostí dodavatelských řetězců.

Přijetí regulačního rámce v roce 2002 postaveného na regulaci ex ante, které vedlo k liberalizaci telekomunikačního sektoru, doplněné o regulaci EU roamingu a pravidla síťové neutrality, jsou velkým EU úspěchem, které přináší výhody evropským uživatelům a firmám. Snaha o radikální změnu těchto pravidel a připodobnění EU telka trhu k americkému nebo asijskému protějšku ve svém závěru může skončit nižším počtem operátorů s nižší investiční kapacitou, která povede k horší kvalitě služby za větší ceny. Nyní bude záležet, jakou váhu najde tato zpráva a její závěry u nové Evropské komise a u členských států.

Kategorie:

Krátké vlny: Telekomunikace v rozhodnutích Nejvyššího správního soudu

Čt, 08/29/2024 - 06:30

Činnost regulačního úřadu není bezbřehá. Na jedné straně je jeho činnost vázána zákonem a pravomocemi, které mu svěřuje zákonodárce, na druhé straně jsou jeho aktivity dotvářeny rozhodovací praxí soudů.

Nejvyšší správní soud České republiky (dále také „NSS“) se zabývá především přezkumem rozhodnutí správních orgánů, tedy orgánů veřejné správy. Konkrétně řeší případy, které spadají do oblasti správního práva. Mezi hlavní agendy NSS patří:

  • Správní žaloby: NSS přezkoumává rozhodnutí správních orgánů na základě žalob podaných jednotlivci nebo právnickými osobami. Tyto žaloby mohou napadat zákonnost rozhodnutí, postupy nebo nečinnost správních orgánů.
  • Kasační stížnosti: NSS řeší kasační stížnosti proti rozhodnutím krajských soudů v rámci správního soudnictví. Kasační stížnost je mimořádným opravným prostředkem, který lze podat v případech, kdy má strana sporu pocit, že krajský soud pochybil ve svém rozhodnutí.
  • Rozhodování o kompetenčních sporech: NSS rozhoduje kompetenční spory, které vzniknou mezi správními orgány navzájem, nebo mezi správním orgánem a soudem, pokud jde o to, který orgán je příslušný k rozhodnutí v dané věci.
  • Ochrana proti nečinnosti správního orgánu: NSS poskytuje ochranu proti nečinnosti správního orgánu, pokud správní orgán nepřijal rozhodnutí ve věci v zákonem stanovené lhůtě nebo v přiměřené lhůtě.

Pro úplnost ještě dodám, že NSS také řeší stížnosti týkající se průběhu a výsledků voleb a místních referend. Hlavní misí NSS je tedy ochrana práv fyzických a právnických osob proti nezákonných rozhodnutím nebo postupům veřejné správy a zajišťuje zákonnost a spravedlnost ve správním soudnictví.

Pojďme se nyní podívat na některá rozhodnutí Nejvyššího správního soudu z poslední doby, která se týkala činnosti Českého telekomunikačního úřadu.

Rozsudek 7 As 1/2024 – 45

„Nepodceňuj sílu veřejné konzultace.“
Nejvyšší správní soud v tomto rozhodnutí zamítl kasační stížnost tří navrhovatelů, která směřovala proti rozsudku Městského soudu v Praze. Ten zamítl jejich návrh na zrušení části všeobecného oprávnění vydaného Českým telekomunikačním úřadem (dále také „ČTÚ“), konkrétně ustanovení, které zavádí oznamovací povinnost ohledně zahájení využívání rádiových kmitočtů v pásmu 60 GHz.

Soud dospěl k závěru, že navrhovatelé neuplatnili své námitky v procesu přijímání všeobecného oprávnění, a proto nebylo možné tyto námitky posuzovat při soudním přezkumu. I když se soud příliš nevěnoval věcnému posouzení, konstatoval, že zvolená právní úprava, která ukládá oznamovací povinnost, sleduje legitimní cíl, a to snížení administrativní zátěže a omezení interferenčního využívání rádiového spektra. Kasační soud také neshledal žádné procesní pochybení Městského soudu, které by mohlo vést ke zrušení jeho rozhodnutí.

Nejvyšší správní soud tedy potvrdil rozsudek Městského soudu, podle kterého byla regulace provedená ČTÚ v souladu se zákonem a navrhovatelé nemohli zpětně napadat její proporcionalitu, pokud se neúčastnili veřejných konzultací a nevyužili své možnosti podání připomínek během procesu přijímání této regulace.

Usnesení Nad 81/2024 – 63

„Zásada zákonného soudu a soudce vs. invalidní falešný oznamovatel“
Nejvyšší správní soud zamítl návrh žalobce, který požadoval přikázání svého případu z Městského soudu v Praze na Krajský soud v Ostravě. Žalobce byl pokutován za zlomyslné volání na linku 158 a argumentoval zásadou „rovnosti zbraní“, že by případ měl řešit soud v Ostravě, protože tam sídlí svědci a on sám je invalidní důchodce s omezenou pohyblivostí.

Soud však rozhodl, že tyto důvody nejsou dostatečné pro změnu místní příslušnosti soudu. Delegace vhodná, která by umožnila projednání případu jiným soudem, je výjimečný nástroj a v tomto případě nebyla splněna kritéria pro její uplatnění.

Městský soud v Praze tak zůstane příslušným soudem k projednání případu. Nejvyšší správní soud uzavřel, že návrh žalobce nepřináší dostatečné důvody pro změnu soudu, a případ bude pokračovat v Praze podle původního rozhodnutí.

Rozsudek 10 As 71/2024 – 45

„4G aukce, Turbo internet a harmonizační záměry EU“
Jádrem sporu před městským soudem v projednávané věci, který začal vydáním rozhodnutí o přídělu v roce 2014 po tzv. 4G aukci, byl výklad pojmu „harmonizační záměry Evropské unie“ dle § 22a odst. 3 zákona o elektronických komunikacích, resp. otázka, zda změnu rozhodnutí o přídělu kmitočtů odůvodňovala podmínka nezbytnosti této změny k naplnění harmonizačních záměrů Evropské unie nebo mezinárodních smluv dle téhož ustanovení zákona o elektronických komunikacích.

Společnost Vodafone žádala o změnu podmínek přidělení kmitočtů, argumentujíc, že technologický pokrok a harmonizační záměry EU odůvodňují tuto změnu. Pro připomenutí, Vodafone tenkrát požadoval započítat do tzv. rozvojových kritérií i pokrytí sítí v pásmu 900 MHz, kde ke konci roku 2013 spustil svůj „turbo internet“.

ČTÚ žádost zamítl s tím, že stávající podmínky přídělu jsou výsledkem formalizovaného procesu a mají zůstat neměnné, aby byla zachována právní jistota a rovnost mezi operátory. Žalobkyně se proti tomuto rozhodnutí odvolala, ale městský soud i Nejvyšší správní soud její argumentaci zamítly. NSS se ztotožnil s tím, že změna přídělu by narušila regulační principy a nebyla by nezbytná pro naplnění harmonizačních záměrů.

Soud dále odmítl, že by šlo o porušení technologické neutrality nebo diskriminace, a vyložil, že změna přídělu by byla neopodstatněná, protože by zvýhodňovala jednoho operátora na úkor ostatních. NSS také odmítl požadavek na předložení předběžné otázky Soudnímu dvoru Evropské unie, protože nebyla podle NSS pro věc relevantní.

NSS ve finále shrnul, že žádný z unijních aktů, na které se Vodafone odvolával, nebyl dostatečně jednoznačný nebo relevantní k tomu, aby odůvodnil změnu rozhodnutí o přídělu kmitočtů. Tímto rozhodnutím byl stvrzen původní verdikt, že žádost o změnu přídělu je pouze ekonomicky motivovaná snaha společnosti Vodafone, která není podložena dostatečně závažnými právními důvody.

Výsledkem je, že stávající příděly kmitočtů zůstávají v platnosti a Vodafone nemá právo na změnu podmínek přidělení. Tento rozsudek je konečný a proti němu nejsou přípustné žádné opravné prostředky.

Rozsudek 9 As 9/2024 – 60

„Nicotný zásah ČTÚ do obchodních vztahů nebo oprávněná ochrana hospodářské soutěže?“

V této kauze stěžovatelka, společnost T-Mobile, napadla rozhodnutí ČTÚ a argumentovala, že ČTÚ neměl pravomoc rozhodnout spor o snížení cen za mobilní data podle přílohy velkoobchodní smlouvy, kterou měla společnost T-Mobile uzavřena se společností Český bezdrát. ČTÚ přesto nařídil uzavření dodatku, který by ceny snížil o 41 %, což Městský soud v Praze potvrdil.

T-Mobile podal kasační stížnost, ve které argumentoval, že rozhodnutí ČTÚ bylo nicotné kvůli nedostatku zákonné pravomoci. NSS však dospěl k závěru, že ČTÚ jednal v souladu s § 80 odst. 7 zákona o elektronických komunikacích, který mu dává pravomoc rozhodovat spory o uzavření smluv nebo jejich dodatků. Soud konstatoval, že stěžovatelka ve své argumentaci opominula, že smlouva o propojení je regulována zvláštním režimem, který umožňuje ČTÚ zasahovat do soukromoprávních obchodních vztahů.

Soud se dále zabýval otázkou, zda rozhodnutí ČTÚ zasahovalo do smluvní svobody a podnikatelských práv společnosti T-Mobile. NSS v rozsudku potvrdil, že zásah byl oprávněný, jelikož ČTÚ postupoval v rámci své zákonné pravomoci a reguloval vztah, který měl dopad na širší trh elektronických komunikací.

Námitka T-Mobile, že smlouva měla dvojí charakter (část řešila propojení sítí a část přístup k síti), byla soudem odmítnuta jako irelevantní, protože i v případě smlouvy o přístupu má podle soudu ČTÚ pravomoc zasahovat, pokud to vyžadují zájmy na ochraně hospodářské soutěže.

Stěžovatelka: „Nedostatek pravomoci a věcné příslušnosti předsedkyně Rady i samotné Rady tvrdí stěžovatelka také s ohledem na dvojí podstatu smlouvy ze dne 20. 4. 2015, která podle vůle účastníků zahrnovala více právních jednání, která jsou navzájem oddělitelná a způsobilá samostatné existence. Smlouva sestává jak ze smlouvy o propojení podle § 78 odst. 1 písm. h) zákona o elektronických komunikacích (hlavní smluvní vztah), tak ze smlouvy o přístupu ke službě virtuálních sítí (dohoda o službě MVNE) podle § 78 odst. 1 písm. g) tohoto zákona (vedlejší smluvní vztah). Příloha č. 9 smlouvy upravuje podmínky přístupu k mobilní síti stěžovatelky pro účely poskytování služeb virtuálního operátora osobou zúčastněnou na řízení, včetně cenových podmínek této velkoobchodní služby, tedy samostatný smluvní vztah. Jeho zahrnutí do smlouvy bylo vedeno snahou o administrativní úsporu, neboť odpadla nutnost sepisovat novou samostatnou smlouvu. Právě cenové podmínky podle přílohy č. 9 byly předmětem sporu.“

NSS: „Nejvyšší správní soud zastává názor, že vznikne‑li mezi osobami, které jsou podle § 80 odst. 1 zákona o elektronických komunikacích oprávněny uzavřít smlouvu o přístupu nebo smlouvu o propojení sítí, spor o přístup nebo propojení, žalovaný má podle § 80 odst. 7 zákona o elektronických komunikacích pravomoc tento spor rozhodnout. Za použití § 141 odst. 7 správního řádu buď uloží stranám sporu povinnost uzavřít předložený návrh smlouvy, nebo tento návrh zamítne. Ustanovení § 80 odst. 7 zákona o elektronických komunikacích vymezuje jednoznačně a úplně předmět sporů, k jejichž rozhodování je žalovaný na jeho základě příslušný. Není proto žádný důvod, aby se podpůrně uplatnila podmínka obecněji vymezené pravomoci podle § 127 odst. 1 tohoto zákona, že spor se musí týkat povinností uložených zákonem o elektronických komunikacích nebo na jeho základě. Odkazuje‑li § 80 odst. 7 zákona o elektronických komunikacích na „postup podle § 127“, je tím založena toliko použitelnost v něm obsažené procesní úpravy tohoto sporného řízení.“

„Na tomto posouzení nemění nic ani tvrzení stěžovatelky o dvojí podstatě smlouvy, jehož podstata spočívala zjednodušeně řečeno v tom, že o povinnosti uložené zákonem o elektronických komunikacích nebo na jeho základě lze uvažovat jen u smlouvy o propojení, nikoli však u smlouvy o přístupu. Z hlediska oprávnění žalovaného podle § 80 odst. 7 zákona o elektronických komunikacích nebyl podstatný typ smlouvy, kterého se spor týkal. Toto ustanovení umožňuje rozhodování sporů z obou těchto typů smluv. Ze stejného důvodu je bez významu i související námitka, že žalovaný zjistil nesprávně skutkový stav obsahu projevu vůle smluvních stran, která měla podle stěžovatelky vést ke vzniku dvou samostatných smluvních vztahů.“

Nejvyšší správní soud uzavřel, že rozhodnutí ČTÚ nejsou nicotná a jejich zákonnost nebyla zpochybněna. Námitky, které se týkaly nezákonnosti postupu ČTÚ, měly být řešeny v rámci občanskoprávního řízení, nikoli ve správním soudnictví. Kasační stížnost T-Mobile tak byla zamítnuta a rozhodnutí Městského soudu v Praze, které potvrdilo rozhodnutí ČTÚ, zůstalo v platnosti.

Kategorie:

Konec podpory OpenID 2.0 v MojeID

Po, 08/26/2024 - 13:45

Když v roce 2010 služba digitální identity MojeID startovala, byla volba autentizačního protokolu jednoznačná. Poměrně těžkopádný protokol SAML začal být v řadě autentizačních služeb vytlačován jednodušší alternativou, protokolem OpenID 2.0, standardizovaným v OpenID Foundation v roce 2007. Vývoj na tomto poli nicméně běžel dál a protokolu OpenID začal již v té době vznikat nástupce OpenID Connect. Když se MojeID v roce 2015 poprvé začalo připravovat na využití jako oficiální identita pro občany České republiky a došlo k zapojení do pilotního projektu přeshraniční identifikace STORK, muselo se MojeID přeci jen naučit protokol SAML 2.0. V té době již také došlo ke standardizaci OpenID Connect a jak jste se mohli dočíst na našem blogu, MojeID se tak rychle stalo službou, ke které je možné se připojit libovolným z těchto protokolů. Protokol OpenID 2.0 nicméně má svoje nejlepší léta za sebou a proto padlo rozhodnutí jeho podporu ukončit.

Protokol OpenID 2.0 je v mnohém jednodušší než jeho nástupce OpenID Connect, což bohužel má za důsledek, že řadu věcí v něm není možné realizovat. Proto od něj jeho podporovatelé postupně upustili a přeorientovali se na jeho nástupce. Díky tomu ale také knihovny, které implementaci OpenID 2.0 realizují, přestaly být udržovány. To může znamenat, že jejich autoři již neprovádějí ani základní bezpečnostní aktualizace.

Jak ukazuje následující graf, v provozu MojeID se v měsíčních souhrnech pohybovala podpora protokolu OpenID 2.0 v posledních letech na úrovni 25 %. V závěru loňského roku začala aktivní komunikace směrem k největším službám, které OpenID 2.0 využívaly, aby provedly migraci na OpenID Connect. Prakticky všechny oslovené služby aktivně zareagovaly a na nový protokol v rámci jednotek týdnů přešly. Díky tomu je tak OpenID 2.0 nyní využíván v měsíčním souhrnu jen v 6 % transakcí.

Tento stav potvrdil, že se opuštění starého protokolu není nutné obávat a tak padlo rozhodnutí stanovit termín opuštění OpenID 2.0 na 31. 3. 2025.

Migrace z protokolu OpenID 2.0 na OpenID Connect by měla být snadná zejména díky podpoře standardu pro transformaci. Je možné, že časem se u služeb využívající OpenID 2.0 začne objevovat varování pro uživatele, informující je o konci podpory tohoto protokolu v rámci služby MojeID. Během zbývajícího období bude pokračovat aktivním oslovování zbývajících služeb, tak aby pokud možno žádná služba nevypadla a nenarušil se tak komfort uživatelů MojeID, kteří jsou na přihlašování u těchto služeb zvyklí.

Kategorie:

Krátké vlny: Letní kyberstřípky

St, 08/14/2024 - 06:15

Zatímco návrh nového zákona o kybernetické bezpečnosti se z vlády posunul k projednání do Poslanecké sněmovny (sněmovní tisk č.  759) a Evropská komise ukončila veřejnou konzultaci nad návrhem prováděcího opatření k řízení rizik kybernetické bezpečnosti a povinnosti podávání zpráv pro digitální infrastrukturu, poskytovatele a správce služeb ICT, pokračuje válka v kybernetickém prostoru.

Společnost Dragos Security vydala analýzu kybernetického útoku, ke kterému došlo v lednu 2024, když útočník vyřadil z provozu vytápění pro sto tisíc obyvatel Lvova. Útočníci využili zranitelnosti v MikroTik routerech, které najednou začaly hlásit nebezpečně vysokou teplotu vody. Na to systém zareagoval tím, že začal do ústředního topení napouštět vodu studenou. I přes stoprocentně neprůkaznou atribuci to vypadá, že za útokem stojí aktér Sandworm (ve skutečnosti 74455. jednotka pod vojenskou zpravodajskou službou GRU).

Ruská služba FleepBot, která slouží k odesílání zpráv jménem vlastníka telegramových kanálů, byla použita pro hacknutí ukrajinských zpravodajských kanálů např. Times of Ukraine, Real Kyiv nebo Kharkiv Live. Ukrajinské úřady vydaly opětovné varování před používání softwaru ruského původu.

Proton VPN, Red Shield VPN ani NordVPN už nenajdete v ruském App Storu. Apple totiž vyhověl požadavku Roskomnadzoru, ruského cenzorního úřadu, a odstranil 25 aplikací VPN z ruského App Sporu. Zákon zakazující VPN, proxy servery a Tor podepsal Putin už v červenci 2017, ale až v březnu 2019 se ho ruské úřady pokusily vymáhat.

Apple rozeslal dotčeným firmám zprávu, ve které jim oznámil, že „vaše aplikace bude na žádost Roskomnadzoru odstraněna z ruského obchodu s aplikacemi, protože obsahuje obsah, který je v Rusku nezákonný a není v souladu s pokyny pro posuzování aplikací. Pokud potřebujete další informace týkající se tohoto odstranění nebo zákonů a požadavků v Rusku, doporučujeme vám obrátit se přímo na Roskomnadzor. Vaše aplikace byla sice z obchodu App Store v Rusku odstraněna, ale v obchodech App Store pro ostatní území, která jste vybrali v aplikaci App Store Connect, je stále k dispozici.“

Zástupci společnosti Red Shield VPN k tomu uvedli, že „ruské úřady za posledních šest let zablokovaly tisíce VPN uzlů, ale nedokázaly ruským uživatelům zabránit v přístupu k nim. Společnost Apple však tuto práci udělala efektivněji za ně.“

Ukrajinská vojenská rozvědka ještě před začátkem prázdnin zahájila sérii kybernetických operací s cílem narušit IT služby na Ruskem okupovaném Krymu. DDoS útoky byly zaměřeny na místní operátory, poskytovatelé propagandistického obsahu a systémy řízení dopravy na kerčském mostě.

Hacktivistickou aktivitu si připsala na svůj účet ukrajinská vojenská rozvědka HUR, když na více než stovky webů patřícím ruským vládním organizačním a firmám podílejícím se na vyzbrojování armády zavěsila obrázek useknuté hlavy prasete v barvách ruské vlajky.

O tom, že ruská agrese na Ukrajině může být také zdrojem znalostí a poučení pro posilování odolnosti kritické infrastruktury, není pochyb. Snad i proto Asociace kritické infrastruktury České republiky pod záštitou poslance a člena výboru pro bezpečnost pana Roberta Králíčka organizuje na 21. srpna 2024 odborný seminář Ukrajina 2024.

A zatímco němečtí operátoři musí z důvodu národní bezpečnosti odstranit ze svých sítí zařízení čínských společností ZTE a Huawei (do konce roku 2026 z jádra sítě a do konce roku 2029 z transportní části), estonský správní soud zažádal Evropský soudní dvůr o rozřešení předběžných otázek (C-354/24) ve věci označení firmy Huawei jako vysoce rizikového vendora. Na co se soud ptá?:

  1. Spadá soubor vnitrostátních právních předpisů (=estonský zákon o elektronických komunikacích), které upravují za účelem zajištění národní bezpečností povinnost poskytovateli komunikačních služeb vyžádat si povolení pro používání hardwaru a softwaru ve své komunikační sítí, do oblasti použití Evropského kodexu pro elektronické komunikace (dále jen „Kodex“)?
  2. Pokud ano, musí být čl. 1 odst. 3 písm. c) Kodexu ve spojení s čl. 4 odst. 2 Smlouvy o EU vykládán v tom smyslu, že zavedení těchto omezení spadá do výlučné pravomoci členského státu a představuje čistě vnitrostátní opatření, které se neřídí Kodexem?
  3. V případě záporné odpovědi na druhou otázku, představuje estonský zákon o elektronických komunikacích, které poskytovateli komunikačních služeb nedovolují použít ve své komunikační síti hardware a software bez toho, aby si pro jejich použití vyžádal povolení správního orgánu, omezení volnosti v zajišťování sítí nebo poskytování služeb ve smyslu čl. 12 odst. 1 Kodexu?
  4. V případě kladné odpovědi na třetí otázku, je nezbytné upustit od použití takových vnitrostátních předpisů, pokud nebyly podle čl. 12 odst. 1 Kodexu předem oznámeny Evropské komisi?
  5. V případě kladné odpovědi na druhou otázku, je slučitelné s článkem 36 Smlouvy o fungování EU a zásadou proporcionality, jestliže vnitrostátní právní předpisy za účelem zajištění národní bezpečnosti požadují od poskytovatele komunikačních služeb, aby si vyžádal povolení k používání hardwaru a softwaru ve své komunikační síti, a správnímu orgánu při posouzení nebezpečí, které je spojeno s takovým hardwarem a softwarem, neukládají povinnost:
    1. posoudit, zda se rizika spojená s výrobcem promítají do konkrétního hardwaru a softwaru,
    2. zhodnotit funkčnost, umístění a význam konkrétního hardwaru a softwaru v rámci poskytování služby elektronických komunikací,
    3. zkoumat, zda se problémy spojené se státem sídla výrobce přenáší i na tohoto výrobce.
  6. Jedná se v případě, že je používání takového hardwaru a softwaru, který byl součástí komunikační sítě již před zavedením povinnosti vyžádat si povolení od správního orgánu a byl aktivně používán, a povolení je tak vydáno na dobu kratší, než je životnost tohoto hardwaru nebo softwaru, o vyvlastnění majetku ve smyslu čl. 17 odst. 1 druhé věty Listiny základních práv Evropské unie?

Nelze očekávat, že by se Evropský soudní dvůr s předběžnými otázkami rychle popasoval a příští měsíc vydal rozhodnutí, to lze očekávat tak do konce příští roku, když to půjde rychle. Nicméně odpovědi na výše uvedené otázky budou mít vliv nejen na problematiku bezpečnosti dodavatelského řetězce, ale i další instituty týkající se zajištění národní bezpečnosti (odposlechy, data retention atd.).

Role kyberprostoru v hybridním působení, role státu v zajišťování kybernetické bezpečnosti nebo působení informačních a kybernetických sil při zajišťování kybernetické obrany (a další témata) budou prezentována v září na tradiční konferenci CYBER_CON, kterou pořádá NÚKIB s podporou partnerů (sdružení CZ.NIC, NIX.CZ, CESNET, ESET, MŠMT, inovační ekosystém Jihomoravského kraje). I když lístky na samotnou akci jsou už vyprodané, stále je možné se přihlásit na některé workshopy, které se konají 9. září. Vtipnou tečkou na závěr je nabídka k CYBER_CON od „hackerů z Alabamy“ resp. od spammera pana Kennedyho Smitha, který slibuje mi zaslat seznam účastníků slovutné brněnské konference. Ne, Smithe ne!

Obr. Spam ke konferenci CYBER_CON

Kategorie:

Krátké vlny: Europol kyberpátra, radí a informuje

Čt, 08/01/2024 - 06:25

Nejčastějšími typy podvodů v EU zůstávají falešné investice, kompromitace firemní elektronické pošty a podvody cílící na milostné potřeby uživatelů za klávesnicí, přičemž nejrozšířenějším vektorem útoku je stále phishing. I o tom informuje zpráva Europolu Internet Organised Crime Threat Assessment za rok 2024.

Tato zpráva, letos desátá v pořadí, má být komplexní roční analýzou nejnovějších hrozeb kyberkriminality. Jak uvádí zpráva, největšími projevy kyberkriminality v Evropské unii (EU) zůstávají v roce 2023 útoky ransomwaru, sexuální zneužívání dětí a podvody online. Prostředí kyberkriminality zůstalo rozmanité a zahrnovalo jak osamělé aktéry, tak zločinecké sítě nabízející širokou škálu „expertních“ znalostí a schopností.

I když se zpřísňují regulační rámce zaměřené na posílení digitálních systémů a zvýšení bezpečnosti uživatelů, lidský faktor stále zůstává nejslabším článkem většiny scénářů kybernetické obrany. Stále častější jsou vícevrstvé modely vydírání a díky AI nástrojům je sociální inženýrství používané při kybernetické kriminalitě ještě účinnější. Škodlivé velké jazykové modely (LLM) se stávají významnými nástroji na trhu „zločin jako služba“ (crime-as-a-service, CaaS). Na dark webu jsou již nabízeny služby, které mohou online podvodníkům pomoci při vývoji skriptů a vytváření podvodných e-mailů. LLM se používají také v případech sexuálního vydírání, kdy tyto nástroje mohou pachatelům pomoci zdokonalit jejich techniky groomingu.

Nejčastějšími typy podvodů v EU zůstávají falešné investice, kompromitace firemní elektronické pošty a podvody cílící na milostné potřeby uživatelů za klávesnicí, přičemž nejrozšířenějším vektorem útoku je stále phishing. Další přetrvávající hrozbou je digitální skimming, jehož výsledkem je krádež, další prodej nebo zneužití údajů z kreditních karet.

Europol ve zprávě uvádí příklad webové stránky iSpoof.cc. Na ní byly kyberzločincům poskytovány různé služby včetně automatické interaktivní hlasové odezvy (IVR), odposlechu PIN kódu nebo sledování živých hovorů. Webové stránky mohly být využívány k cílení na oběti po celém světě. Úspěšný zásah proti této platformě v listopadu 2022 vedl k prvotnímu zatčení 142 podezřelých osob, jejichž počet se později zvýšil na 184. Europol odhaduje, že nástroje na tomto webu způsobily ztráty přesahující 115 milionů EUR. Hlavní správce webu, Tejay Fletcher, byl loni ve Spojeném království odsouzen k 13 letům a 4 měsícům vězení.

Počet kyberzločinců, kteří vstupují na trh, neustále roste, a to jak díky novým technologiím, které účinně snižují překážky vstupu, tak díky rostoucí složitosti digitální infrastruktury, která rozšiřuje potenciální plochu útoku.

Ransomwarové skupiny se stále častěji zaměřují na malé a střední podniky, protože mají nižší kybernetickou obranu. Elektroničtí obchodníci a bankovní instituce jsou preferovanými oběťmi útoků digitálního skimmingu. Uživatelé se nadále stávají oběťmi phishingových kampaní, kompromitací firemní elektronické pošty, investičních a romantických podvodů. Současně Europol eviduje růst počtu případů online sexuálního vydírání zaměřeného na zranitelné nezletilé osoby.

V lednu 2024 ukrajinské orgány činné v trestním řízení s podporou Europolu zatkly osobu, která byla považována za hlavního strůjce sofistikovaného systému kryptojackingu, který využíval napadené počítače k těžbě kryptoměn. Předpokládá se, že 29letý hacker infikoval servery poskytovatele cloudových služeb už v roce 2021, kdy se naboural do 1 500 účtů a infikoval servery malwarem pro kryptojacking. Podezřelý pak pravděpodobně vytvořil více než milion virtuálních počítačů, na kterých tento malware spustil. Výsledkem celého schématu bylo více než 1,8 milionu eur v vytěžených měnách Ethereum, Monero a TON.

V návaznosti na to, že německá policie v prosinci 2021 zlikvidovala zločineckou infrastrukturu „Monopoly“ tržiště, došlo v loňském roce v rámci koordinované operace s kódovým jménem SpecTor k zatčení 288 osob v devíti zemích podezřelých z účasti na nákupu nebo prodeji drog právě na tomto tržišti. Bylo zabaveno téměř 51 milionů eur v hotovosti a virtuálních měnách, 850 kg drog a 117 střelných zbraní. Zatčení prodejci byli aktivní i na jiných tržištích z nichž Exploit, XSS a BreachForums zůstávali nejvíce využívanými z pohledu kyberzločinců v roce 2023.

Prostředí ransomwaru je stále roztříštěnější, což je pravděpodobně způsobeno pokračujícími mezinárodními snahami o potlačení zločineckých skupin a také úniky zdrojových kódů programů Conti (2022), LockBit (2023) a HelloKitty (2023), ke kterým došlo v posledních letech. Uniklé kódy v kombinaci s rychle se zdokonalujícími nástroji umělé inteligence pravděpodobně usnadňují zrychlený vývoj nových variant ransomwaru.

V lednu 2023 Europol v rámci mezinárodní operace podpořil německé, nizozemské a americké orgány při likvidaci infrastruktury ransomwaru Hive. Od roku 2021 se obětí ransomwaru Hive stalo více než 1 500 společností z více než 80 zemí světa, které na výkupném přišly o téměř 100 milionů eur. Jedním z výsledků zásahu bylo zajištění dešifrovacího klíče, čímž se zmenšily následky útoků.

V říjnu 2023 zatkly orgány činné v trestním řízení a justiční orgány z Česka, Francie, Itálie, Japonska, Lotyšska, Německa, Nizozemska, Spojených států amerických, Španělska, Švédska a Ukrajiny klíčového člena skupiny RagnarLocker, který je zodpovědný za řadu významných útoků na kritickou infrastrukturu po celém světě. Infrastruktura ransomwaru byla rovněž zajištěna v Nizozemsku, Německu a Švédsku a související webová stránka pro únik dat na serveru Tor byla ve Švédsku zrušena.

V oblasti malware-as-a-service došlo v roce 2023 k několika změnám. Po vyřazení infrastruktury malwaru Qakbot kyberzločinci rychle zareagovali a obrátili se na jiné zavedené nebo nastupující poskytovatele služeb dropper/loader. Významnými alternativami ke QakBotu, které kyberzločinci v současné době používají, jsou IcedID, SystemBC, Pikabot (nově se objevil v roce 2023), DanaBot a Smokeloader (hojně využívaný skupinou 8base v jejich kampaních).

Dalším velkým problémem, na který upozorňuje zpráva Europolu, jsou materiály týkající se sexuálního zneužívání dětí (CSAM). Objem sexuálního materiálu, který si uživatelé vytvářejí sami, tvoří v současné době významnou a stále rostoucí část CSAM materiálů. Tento obsah vytvářejí a zobrazují děti, zejména dospívající. Tento trend potvrzuje i Kateřina Vokrouhlíková ze sdružení CZ.NIC v nedávném rozhovoru v podcastu Pod svícnem.

Sexuální materiál vytvořený vlastními silami je také často výsledkem online sexuálního groomingu a vydírání. V tomto prostředí pachatel identifikuje oběť online, často na herních platformách nebo sociálních sítích, a poté, co získá její důvěru prostřednictvím groomingu, získá sexuálně explicitní materiál a použije jej jako páku k vydírání. Pocit studu a (marné) naděje postiženého, že výhrůžky přestanou, často vedou oběti k tomu, že samy vytvářejí další a další sexuální materiál. Kromě vydírání s cílem získat nové CSAM někteří pachatelé od svých obětí vymáhají i peníze.

Španělští vyšetřovatelé se v roce 2023 zabývali prvními případy manipulace s obrázky upravenými pomocí umělé inteligence v souvislosti s kyberšikanou. Podezřelí, všichni nezletilí, pořizovali fotografie nejméně 22 mladých dívek a digitálně tyto snímky upravovali pomocí AI aplikace a vytvořili z nich sexuálně explicitní snímky. Upravené snímky pak byly šířeny na sociálních sítích a v komunikačních aplikacích, přičemž oběti utrpěly značnou psychickou újmu.

Závěrem Europol předkládá svou vizi vývoje kyberkriminality v dalším období. Poměrně temná vize zahrnuje další rozšiřování kyberkriminality s pomocí AI, další zneužívání decentralizovaného webu a další rozvoj ransomware-as-a-service skupin. Na druhé misce vah jsou regulační reformy pro platební služby, které by podle Europolu měly mít pozitivní dopad na podvody na internetu a při internetových platbách, nebo implementace DSA, která má pomoci s bojem proti nelegálními obsahu, zboží a službám prostřednictvím online platforem.

Kategorie:

Krátké vlny: Bílá kniha a připomínky z Česka

Čt, 07/18/2024 - 06:30

Dne 30. června 2024 skončila veřejná konzultace vyhlášená Evropskou komisí k Bílé knize „Jak zvládnout potřeby evropské digitální infrastruktury“. Bílá kniha v EU žargonu je obecně dokument, který obsahuje návrhy opatření, která by měla EU přijmout v konkrétní oblasti. Na rozdíl od tzv. Zelené knihy, kterou chce „na zelené louce“ Evropská komise nastartovat diskuzi k určitým tématům bez konkrétnějších opatření.

Veřejná konzultace přilákala 356 příspěvků, z České republiky jich přišlo 14. Pojďme se na ně podívat. Za Česko najdeme v systému Evropské komise tyto přispěvatelé: Česká republika svou oficiální pozicí a dále v abecedním pořadí anonymní konzultant, anonymní občan, Asociace provozovatelů kabelových a telekomunikačních sítí, Asociace provozovatelů mobilních sítí, CETA – Centrum ekonomických a tržních analýz, Česká fintech asociace, České spotřebitelské fórum, Český telekomunikační klastr (ČTK), NAKIT, NIX.CZ, PPF Telecom Group, Středočeský kraj, Komise pro IT a digitalizaci a Výbor nezávislého ICT průmyslu (VNICPT).

Překvapivě se většina příspěvků „strefuje“ do stejných nebo podobných návrhů Evropské komise a do kvality předkládaných tvrzení. Nejradikálněji vystupuje Český telekomunikační klastr, který přímo požaduje po komisi, aby Bílou knihu přepracovala. Ale ani jiní přispěvatelé nešetří kritikou. Následující text přináší nejčastější komentáře (samozřejmě bez nároku na úplnost).

Většina přispěvatelů se shoduje, že Evropská komise v Bílé knize vyvozuje nesprávné závěry z nesprávně uchopených dat.

„Komise popisuje Evropu jako kontinent, který těžce zaostává za USA, Japonskem a Jižní Koreou. Uvádí, že 5G pokrytí obyvatel je 81 % a optika 56 %. USA má přitom tato čísla nižší (62 % a 48 %). Japonsko a Jižní Korea vyšší, ale tam je to dané tím, že začali optiku stavět asi deset let a 5G pět let před EU. Čína má čísla významně vyšší než EU, ale důvěřovat číslům z autoritářských režimů je těžké a navíc z definice mají menší problémy ve výstavbě, protože se nemusí ohlížet na práva třetích osob.“ VNICPT

„Komise tak už na začátku nezvládá ani samotnou definicí problému – čelíme skutečně problému spočívajícímu v nedostatku adekvátně rychlého připojení nebo nedostatečnému rozšíření optických sítí? Závěr Komise o potřebnosti připojení o rychlosti 1 Gbps zpochybňujeme, kdy ze zkušeností našich členů víme, že i tam, kde je tato služba dostupná, není zákazníky prakticky nikdy objednávána. Komise v tomto směru neanalyzuje vztah mezi existující poptávkou a dostupnou nabídkou.“ ČTK

Přispěvatelům až na výjimky také vadí, že Evropská komise negativně popisuje stav EU trhu, což podle nich neodpovídá realitě.

„Regulační rámec EU pro elektronické komunikace lze celkově hodnotit pozitivně: Evropa dosáhla pozoruhodných úspěchů v oblasti konektivity, pokud jde o pokrytí a přijetí ze strany spotřebitelů a profesionálních uživatelů, cenovou dostupnost a začlenění. Ačkoli je třeba mezinárodní srovnání pečlivě posuzovat, je pozoruhodné, že míra zavádění FTTH v Evropě je vyšší než ve Spojených státech, přičemž některé evropské země jsou uznávanými mezinárodními lídry v oblasti zavádění optických vláken. Podle údajů z poloviny roku 2022, které zveřejnila OECD, patří mezi nejvyspělejší země světa, pokud jde o zavádění optických vláken, řada členských států EU (například Španělsko, Švédsko, Litva, Lotyšsko, Portugalsko, Finsko, Lucembursko, Francie, Slovinsko, Dánsko, Estonsko, Slovenská republika, Polsko, Maďarsko) a země EHP, které uplatňují rámec EU (Island, Norsko).“ NIX.CZ

„Bílá kniha opakuje v kapitole 2.3.2 stížnosti velkých telekomunikačních společností, že v EU je nízká míra ziskovosti na jednoho zákazníka, s čímž souvisí i neschopnost těchto podniků dosahovat adekvátní návratnosti kapitálu. Nízká hodnota ARPU ale souvisí primárně s nízkými maloobchodními cenami služeb elektronických komunikací v Evropě. Tento jev není slabinou ale naopak silou Evropské unie, a to takovou, která musí být dále podpořena. Komise si stanovila jako jeden z cílů dávno v minulosti podporovat cenově dostupné připojení a EU v tom je fenomenálně úspěšná. Ceny pevného vysokorychlostního připojení v USA jsou 2 až 3krát vyšší než v Evropě, což znamená, že pro velkou část obyvatelstva je takové připojení z ekonomických důvodů obtížně dostupné. Je to především proto, že v USA je často v dané lokalitě monopol vysokorychlostních sítí a neexistuje konkurence na úrovni infrastruktury. To je tržním selháním, které Evropa nesmí na svém území podporovat. Bohužel Bílá kniha ve svém současném znění k takovému scénáři navádí.“ ČTK

Další častou výtkou je, že se Evropská komise vůbec nezajímá o dopady na malé a střední poskytovatele elektronických komunikací.

„Problémem malých a středních poskytovatelů je především nadměrná regulace. Regulační rámec přesouvá dříve asymetrický přístup k regulaci telekomunikací postavený na regulaci podniku s významnou tržní silou a regulaci přístupu k jeho infrastruktuře či službám k symetrickému přístupu k regulaci, kdy jsou povinnostmi fakticky zatíženy všechny firmy bez ohledu na velikost. To má samozřejmě na podnikání menších a středních firem destruktivní vliv, protože ty nemají prostředky a kapacitu na zvládání administrativní zátěže takové, jako velcí nadnárodní operátoři.“ ČTK

„Česko se domnívá, že velikost provozovatele není sama o sobě atributem, který zaručuje vysokou kvalitu služby a výhody pro koncové uživatele. I malí, místní operátoři mohou rozšiřovat pokrytí a poskytovat vysoce kvalitní služby. Neexistují žádné důkazy o tom, že by velmi velcí nebo celoevropští operátoři využívali svůj investiční potenciál ke zlepšení pokrytí a kvality služeb v odlehlých nebo řídce osídlených oblastech. Právě zde hrají v mnoha členských státech důležitou roli menší místní hráči.“ Česká republika

„Větší neznamená vždy lepší a vyzýváme Komisi, aby dobře zvážila hodnotu, kterou přinášejí středně velké skupiny operátorů z hlediska konkurenčních a inovačních tlaků. Určité tendence ke sjednocování pravidel nebo celoevropských postupů (namísto postupů na národní úrovni) mohou být pro jednotlivé operátory nebo menší a střední telekomunikační skupiny velmi náročné.“ PPF Telecom Group

Do některých příspěvků se propsala česká bitva o podobu nového zákona o kybernetické bezpečnosti. APMS, Český telekomunikační klastr, Česká fintech asociace, Středočeská kraj a VNICPT zpochybňují naznačený přístup Evropské komise k důvěryhodným, resp. nedůvěryhodným dodavatelům. V národních úpravách bezpečnostních požadavků na služby a sítě elektronických komunikací vidí vysoké riziko fragmentace jednotného trhu elektronických komunikací, který následně podvazuje další rozvoj EU trhu.

„Označení některých dodavatelů za “důvěryhodné” a “nedůvěryhodné” dle země jejich původu je prvním krokem k protekcionistickým opatřením, které mají potenciál Evropu oslabit. V EU mají sídlo dva ze tří velkých dodavatelů telekomunikačních technologií pro velké a střední operátory (Ericsson a Nokia) a řada dodavatelů technologií pro menší operátory (např. Mikrotik v Lotyšsku, Siae Microelettronica v Itálii a mnoho dalších, včetně stabilně se rozvíjejících dodavatelů přímo zde v České republice).“ VNICPT

„Pokud existují nějaké bezpečnostní problémy nebo související hrozby, je nutné je jasně a na základě prokazatelných skutečností ze strany státu / EU sdělit, aby telekomunikační společnosti a MNO věděly, jak tato rizika a hrozby zmírnit a eliminovat. Vyšší bezpečnost a odolnost sítí vůči kybernetickým útokům nezajistí geopolitická (netechnická) kritéria, ale technická, která budou jasně vycházet z přístupu založeného na rizicích. Regulační požadavky by měly být založeny na riziku a měly by být přiměřené. Podporujeme spravedlivou a vyváženou regulaci uplatňovanou spravedlivě v celém odvětví. Nepředvídatelnost brání investicím, což má negativní dopad na bezpečnost, dovednosti a inovace.“ APMS

„S myšlenkou harmonizace právních rámců v členských státech souhlasíme. V současné době ale dochází k tomu, že právní rámce naopak divergují s tím, jak se do nich dostává stále více důrazu na národní bezpečnost, která není v gesci EU a členské státy tak ingerují vlastními národně-bezpečnostními pravidly do regulačního rámce, který byl zamýšlený jako harmonizovaný. Typicky jde o různé posuzování rizikovosti dodavatelského řetězce či požadavky na lokalizaci (obojí je přítomné v návrhu nového Zákona o kybernetické bezpečnosti České republiky).“ ČTK

„Je legitimní se ptát, zda označení některých dodavatelů za “důvěryhodné” a “nedůvěryhodné” dle země jejich původu by měla řešit v rámci evropských politik Evropská komise. Pokud ano, pak není možné to činit na základě bezpečnostních kritérií, protože národní bezpečnost je v gesci členských států. Je třeba dohoda na úrovni členských států, že tuto specifickou část telekomunikační problematiky svěří Komisi. Pak ale nepovažujeme za správné, aby docházelo k řešení “důvěryhodnosti” a “nedůvěryhodnosti” dodavatelů z hlediska národněbezpečnostních kritérií na úrovni členských států, protože to znamená významný zásah do harmonizace pravidel na úrovni EU.“ Středočeský kraj

Dalším bodem shody všech přispěvatelů je snížení byrokratické zátěže.

„Přílišné spoléhání na státní financování a dotace může narušit konkurenční prostředí a vést k závislosti na veřejných zdrojích. Nefinanční podpora soukromého sektoru (např. snížením byrokratické zátěže) a prostor pro tržní síly mohou být rovněž účinnějším způsobem, jak dosáhnout technologického pokroku a konkurenceschopnosti.“ Česká republika

„APKT se domnívá, že bílou knihu je třeba zcela přepracovat a zaměřit se na skutečné potřeby digitální infrastruktury:…Extrémní zjednodušení případných povolovacích procesů na úrovni státní správy a samosprávy, zamezení možnosti veřejné a státní správy prodražovat a znemožňovat výstavbu sítí VVN (na úrovni obce, kraje, státu, jimi vlastněných organizací, podřízených organizací obcí apod.);“ APKT

Téměř jednohlasně vyzývá Česká republika Evropskou komisi k dodržování platných zásad, konkrétně zásady technologické neutrality a upuštění od preference konkrétních technologií (xG a optiky) v situacích, kdy stejnou službu může zákazníkům přinést i jiná technologie.

„Konečně, pokud jde o II. pilíř, Česko by chtělo zdůraznit, že klíčové zásady regulace jsou následující by měly být v EU i nadále zachovány – tj. zásada proporcionality regulace (zasahovat pouze tam, kde je prokázáno selhání trhu), nediskriminace (regulace by neměla být zvýhodňovat jeden subjekt na úkor jiných) a technologické neutrality.“ Česká republika

„EK by obecně neměla porušovat technologickou neutralitu a nevyčleňovat některé technologie jako hodnotnější a některé jako méně hodnotné. Kromě CATV sítí i řada bezdrátových sítí plně dostačuje k tomu, aby poskytovaly rychlosti dosahující stovek megabitů za sekundu, což “zaostávání” staví do naprosto jiného světla.“ VNICPT

„Dle našeho názoru je technologická neutralita hlavním hybatelem technologického rozvoje spolu s podporou fungující hospodářské soutěže. Direktivní určování technologických „šampionů“ dle našeho názoru může vést k neefektivnímu využití unijních prostředků a případnému znevýhodnění oproti zbytku světa.“ ČTK

„Technologická neutralita je důležitá, protože neomezuje vývoj technologií a inovace. Například družice LEO nyní nabízejí několik výhod pro širokopásmový internet, především díky své blízkosti k Zemi, která se pohybuje od 500 do 2 000 kilometrů. Tato malá vzdálenost má za následek výrazně nižší latenci ve srovnání s tradičními geostacionárními družicemi, což umožňuje efektivnější a spolehlivější aplikace v reálném čase, jako jsou videokonference a online hry.“ CETA

Nápad Evropské komise rozšířit regulaci na cloudové služby také našel v Česku dostatek kritiků.

„NIX.CZ v této souvislosti s plným respektem poznamenává, že virtualizace sítě znamená pouze to, že funkce řízení a kontroly sítě jsou centralizovány a softwarizovány, což provozovateli sítě poskytuje větší flexibilitu a inovační schopnosti, zatímco cloudifikace v podstatě znamená, že funkce kontroly a řízení hlavní telekomunikační sítě spolu s příslušnou databází jsou přesunuty ze serverů telekomunikačního operátora na platformu poskytovatele cloudu. NIX.CZ se domnívá, že tyto technologické trendy by neměly být považovány za „game changers“ pro telekomunikační odvětví, pokud se neprokáže, že znamenají podstatnou změnu souvisejících podmínek hospodářské soutěže a trhu. Za základní kritérium pro provedení této analýzy je třeba považovat zásadu technologické neutrality, která zastřešuje Evropský kodex pro elektronické komunikace.“ NIX.CZ

„Komise by před dalšími regulačními zásahy měla hlavně vyhodnotit, zda skutečně dochází k jakémukoli selhání trhu a zda neexistují již stávající regulace, které by bylo možné použít. Stávající předpisy, jako je GDPR, směrnice NIS2, Akt o digitálních trzích a akt o digitálních službách na řadu cloudových služeb dopadají v různé míře a různým způsobem, Komise by tak před tím, než začne uvažovat o jakékoli regulaci měla vyhodnotit, kde reálně dochází k tržnímu selhání a zda není možné využít některý z již platných aktů k jeho případnému řešení.“ VNICPT

„Podle nás konvergence mezi cloudem a telekomunikacemi neexistuje. Není důvod, proč by využívání cloudu telekomunikačními operátory mělo znamenat regulační integraci cloudu do telekomunikačních služeb a to, aby cloudové služby podléhaly EECC, potažmo ZEK. Je to podobné, jako kdyby cloudové služby využívané výrobci léků podléhaly zákonu o léčivech. Cloudové služby se dostávají do různých odvětvích dle využití. Služby virtualizace, o kterých Bílá kniha rovněž hovoří, nejsou nic specifického pro telekomunikační odvětví, ale stojí na nich řada dalších služeb (např. právě cloud).“ Česká fintech asociace

NIX.CZ se dále specificky zaměřuje na popis situace hospodářské soutěže na trhu IP propojování a odmítá regulační zásah, APMS navrhuje udělování spektrálních přídělů na 30 – 40 let, PPF Telecom Group pléduje za revizi pravidel státní pomoci po roce 2026 a NAKIT se ve svém příspěvku zaměřuje na problematiku posilování kvalitního pokrytí v příhraničních oblastech, harmonizace rádiového spektra pro PPDR služby a povinnou implementaci krizového roamingu s funkcemi QPP (Quality, Priority and Pre-emption) do sítí operátorů.

„Podpora QPP zvyšuje operační mobilitu a umožňuje pracovníkům první pomoci efektivně komunikovat napříč různými regiony a hranicemi sítí. Provozovatelé komerčních mobilních sítí musí integrovat QPP, aby podpořili vertikální 5G pro veřejnou bezpečnost, a využívat modely sdílení sítě k poskytování robustních a spolehlivých služeb.“ NAKIT

Kompletní příspěvky (a to nejen z Česka) lze nalézt na webu Evropské komise. Pokud by komise přistoupila k vypořádání připomínek a podnětů poctivě, musela by Bílou knihu roztrhat, vyhodit a zpracovat novou, ve které by reagovala o opravdové potřeby telekomunikačního sektoru a členských států. Toho se ale obávám nedočkáme, neboť bruselské mlýny se už roztočily. Ale uvidíme v září, kdy má komise předložit vyhodnocení a závěry této veřejné konzultace.

Kategorie:

Novinky v Knot Resolver 6: ochrana před DoS útoky – přehled pro operátory

Po, 07/15/2024 - 12:20

V týmu vyvíjejícím škálovatelný kešující DNS resolver, Knot Resolver, v současné době pracujeme na komplexním řešení pro ochranu DNS serverů a ostatních uživatelů internetu před útoky typu denial-of-service (DoS). Tento vývoj je součástí projektu DNS4EU, kofinancovaného Evropskou unií1, jehož jsme hrdou součástí.

K dosažení tohoto cíle do Knot Resolveru přidáváme dva nové mechanismy:

Zaprvé implementujeme omezování četnosti (rate-limiting) dotazů, které přicházejí od stejného hostitele či sítě, pomocí efektivního mechanismu pro počítání dotazů. Tím zamezujeme i potenciálně částečně distribuovaným útokům.

Zadruhé pracujeme na prioritizaci dotazů na základě měření využití procesorového času stráveného na zpracování požadavků, kde vyšší spotřeba procesoru do budoucna snižuje prioritu dotazů od konkrétních klientů tak, aby klienti, kteří server vytěžují, neomezovali klienty méně vytěžující.

Většina kódu, která v rámci tohoto projektu vznikla, je rovněž sdílena s autoritativním DNS serverem Knot DNS. Díky tomu mohou z této ochrany proti DoS útokům těžit uživatelé obou projektů. Jak je již s projekty od CZ.NIC zažitou tradicí, veškerý nový kód je svobodný a dostupný pod GPL licencí. Může do něj tedy kdokoliv nahlížet a adaptovat jej pro své vlastní použití.

V tomto příspěvku, který je volným pokračováním článku Novinky v Knot Resolver 6.x o novém Manageru a jeho fungování, si nejprve popíšeme základy rate-limitingu pro jednotlivé hostitele. Poté jej rozšíříme na celé sítě a přidáme další metody omezení. Nakonec se přesuneme k prioritizaci.

V tomto prvním díle se budeme soustředit na koncepční popis mechanismu z pohledu uživatele či operátora. Dopustíme se tak záměrně několika (viditelně popsaných) nepřesností za účelem zjednodušení tohoto vysokoúrovňového náhledu. Tyto nepřesnosti uvedeme na pravou míru v dalším článku, ve kterém se ponoříme do nízkoúrovňových detailů technického řešení rate-limitingu.

Popisované funkcionality plánujeme přidat letos do nadcházejícího vydání Knot Resolveru 6.

Omezování jednotlivých hostitelů, exponenciální pokles, okamžitý a dlouhodobý limit

Představme si, že pro každou adresu v adresních prostorech IPv6 a IPv4 máme čítač dotazů2. Pro každý požadavek přičteme jedničku čítači patřícímu jeho zdrojové adrese, dokud nepřesáhne svůj limit. Pokud limit přesáhneme, dotaz nebude řešen a buď na něj vůbec neodpovíme, nebo pošleme tzv. zkrácenou odpověď. Koncept zkrácených odpovědí si popíšeme v pozdější sekci, nejprve se zaměřme na funkci samotných čítačů.

Každou milisekundu se všechny čítače sníží o konstantní zlomek své hodnoty. Tomu říkáme exponenciální pokles3. Ten připomíná rozpad radioaktivních atomů, který je popisován svým poločasem rozpadu – v našem případě se jedná o čas, za který čítače klesnou na polovinu své původní hodnoty.

Chování čítačů popisujeme (a konfigurujeme) pomocí dvou parametrů, tzv. okamžitého a dlouhodobého limitu:

  • Okamžitý limit (angl. instant limit, jak jej naleznete v kódu a v dokumentaci) nám říká, kolik dotazů se vejde do čítače za jednotku času (v našem případě za dobu jedné milisekundy), pokud měl čítač původně hodnotu nula; např. pro nového hostitele.
  • Dlouhodobý limit (angl. rate limit, jak jej naleznete v kódu a v dokumentaci) je pak použit k odvození poločasu rozpadu čítače. Jedná se o maximální hodnotu frekvence dotazů (queries per second / QPS), které jsou posílány za delší časový úsek. Jinými slovy, pokud je průměrná frekvence dotazů vyšší než hodnota dlouhodobého limitu, je jisté, že čítač v nějakou chvíli narazí na okamžitý limit a dotazy budou blokovány.

Na následujícím grafu vidíme okamžitý limit LI, dlouhodobý limit LR a poločas rozpadu (half-life). Černá schodovitá čára reprezentuje snižující se hodnotu čítače (jeho zatíženíload) v čase poté, co byl naplněn (a uživatel byl omezen) a žádné další pro něj relevantní dotazy po naplnění nechodily. Všimněte si, že dlouhodobý limit LR se udává v dotazech za sekundu, ale v grafech je vždy dělen 1000, aby v nich byla vidět jeho hodnota za milisekundu, neboť taková je granularita měření v programu. Zároveň je nutno podotknout, že ve skutečnosti by hodnota LR byla o několik řádů menší (ale takový graf by byl nečitelný, takže používáme vyšší hodnoty, abychom mohli lépe ilustrovat chování čítače).

Řekněme, že na náš server zaútočí jeden nový hostitel. Zprvu odpovídáme na jeho dotazy až do okamžitého limitu; čítač se naplní. Poté blokujeme odpovědi, dokud se čítač dostatečně nesníží natolik, aby se do něj vešel další dotaz (nebo více dotazů). Odpovíme na to, co se vešlo, a poté blokujeme dále. V této druhé fázi se průměrný počet dotazů za sekundu řídí právě dlouhodobým limitem. V závislosti na tomto dlouhodobém limitu se tak může stát, že za jednu milisekundu odpovíme na několik dotazů, nebo naopak odpovíme pouze na jeden dotaz za několik milisekund.

Toto chování je ilustrováno dalším grafem, který ukazuje, jak se hodnota čítače vyvíjí pod útokem s konstantním počtem dotazů za sekundu QR v případě, že byla jeho hodnota původně nulová. Dotazy poslané v červených oblastech jsou blokovány. Abychom lépe ilustrovali chování za různých podmínek, měníme v animaci počet dotazů za sekundu QR, zatímco okamžitý limit LI i dlouhodobý limit LR zůstávají stejné.

Okamžitý limit má být konfigurován tak, aby nový klient dostal v krátkém čase odpovědi na takový počet dotazů, kolik je očekávané při jeho běžném chování. Dlouhodobý limit pak může být nastaven na nižší hodnotu, která říká, že přijímáme toto běžné chování jednou za několik sekund, nebo vyšší, pokud je náš server schopen jej obsluhovat rychleji. Tedy nastavujeme okamžitý limit podle očekávaného chování klientů a dlouhodobý limit podle výkonu našeho serveru.

Důležitou poznámkou je, že dlouhodobého limitu čítače dosáhnou pouze tehdy, jsou-li dotazy posílány pravidelně. To je způsobeno snižováním jejich hodnoty po zlomcích jejich aktuální hodnoty, tedy jejich pokles je vždy nejrychlejší, pokud byla hodnota těsně pod limitem. Počká-li klient nějakou chvíli po dosažení limitu, jeho čítač bude stále klesat, zároveň se ale klesání bude stále zpomalovat. Strategie posílání většího množství dotazů jednou za několik sekund tedy bude z dlouhodobého hlediska omezována striktněji než posílání dotazů po jednom v pravidelných časových intervalech.

Omezování sítí

Sledování dotazů (pouze) z jednotlivých IP adres by nefungovalo příliš dobře, obzvláště v IPv6, kde samostatný útočník může velmi snadno získat obrovské množství adres. Toto se obvykle řeší tak, že se vybere nějaká délka prefixů adres a omezuje se s takto pevně danou granularitou. To však umožňuje jednomu stroji vyplýtvat limit pro celý prefix (tedy potenciálně pro větší síť, jako je ISP). Jinými slovy, jediný potížista by mohl vyřadit službu celé síti i v případě, že by útočil jen z jedné adresy. Proto jsme zvolili komplexnější hierarchický přístup.

Namísto jedné pevné délky zvolíme délek prefixů více. Pro každou z takto vybraných délek pak zvolíme konstantu, kterou násobíme již nakonfigurované dlouhodobé a okamžité limity, které na prefixy dané délky aplikujeme. Pro každý požadavek pak zvedáme čítač všech (čtyř, nebo pěti – podle verze IP) prefixů adresy, ze které požadavek přišel, včetně celé adresy. Pokud by některý z čítačů měl přesáhnout svůj limit, nebude inkrementován žádný a dotaz je zablokován. Kratší prefixy tedy mají vyšší limity, jelikož reprezentují součet požadavků z větších sítí. Násobením jak okamžitého, tak dlouhodobého limitu stejnou konstantou ponecháváme poločas rozpadu na stejné hodnotě, což je žádoucí.

V současné době zvažujeme následující prefixy a násobitele:

IPv4 prefix /32 /24 /20 /18 Násobitel 1 32 256 768 IPv6 prefix /128 /64 /56 /48 /32 Násobitel 1 2 3 4 64

Naši volbu prefixů a jejich násobitelů ovlivňuje mj. následující: – jednotlivé adresy – nezávisle na tom, zda jsou IPv6, nebo IPv4 – mají stejnou váhu, aby konfigurace byla co nejméně matoucí, – koncová síť v IPv6 má v praxi typicky délku prefixu mezi /64 a /48 (vizte politiku RIPE ohledně přiřazování prefixů koncovým uživatelům (v angličtině)). V případě IPv4 má koncová síť maximálně jednu adresu (délka /32), či dokonce se může za jednou adresou schovávat vícero sítí pomocí CGNAT. – Úroveň ISP/LIR: v IPv4 je nejmenší směrovatelný prefix /24 a kvůli nedostatku adres je adresní prostor velmi hustý a fragmentovaný. V IPv6 je situace velmi odlišná – každý LIR v RIPE dostane prefix o délce /32, nebo i kratší, pokud je třeba (vizte politiku RIPE o alokaci a přiřazování IPv6 adres (v angličtině)).

Na tomto místě bychom rádi poděkovali naší kolegyni Marii Matějce z týmu vyvíjejícího routovacího daemona BIRD za konzultaci těchto skutečností, zejména v oblasti IPv6.

Metody blokování dotazů, víceúrovňové omezování

Jak bylo již dříve zmíněno, máme dvě možnosti blokování dotazů. Můžeme je buď zcela zahodit, nebo na ně můžeme poslat jen minimální oříznutou odpověď, pomocí které jsme schopni ověřit klientovu autenticitu.

Nejprve se pojďme podívat na UDP dotazy a oříznuté odpovědi, které jsou existujícím mechanismem v DNS. DNS komunikace ve své výchozí podobě běžně probíhá přes rychlý, ale nespolehlivý protokol UDP. V případě, že by celá odpověď na dotaz byla příliš dlouhá pro přenos v UDP datagramu, je oříznuta a takzvaný TC bit je v ní nastaven na 1, čímž je klient požádán, aby dotaz položil znovu, ale tentokrát přes spolehlivý, ale zároveň výpočetně náročnější protokol TCP.

Důvod pro posílání takto oříznutých odpovědí při omezování provozu je následující: jednou z nevýhod DNS na protokolu UDP je jeho náchylnost na tzv. amplifikační útoky. Zjednodušeně řečeno, UDP klient snadno zfalšuje svou IP adresu, jelikož v UDP nedochází k žádnému handshake či jinému ověřujícímu procesu. To znamená, že útočníci mohou zneužít DNS servery k zahlcení strojů svých obětí relativně velkým objemem nevyžádaných UDP datagramů4.

Útočník tedy může zfalšovat svou IP adresu a přinutit náš server, aby tzv. amplifikoval útok směrem k dalšímu hostiteli. Pod takovým útokem se může stát, že bude přicházet velké množství falešných UDP požadavků a jen malé množství autentických. Zahazování všech by sice vyřešilo amplifikační útok, ale zároveň by narušilo službu pro autentické uživatele.

Alternativou je tedy posílání pouze krátkých UDP odpovědí označených TC bitem. Jelikož TCP vyžaduje handshake k navázání spojení, zdrojová adresa se tím ověří a efekt amplifikace se tím zníží, jelikož UDP pakety s odpověďmi od DNS serveru budou relativně malé. Lze také očekávat, že útočníci nebudou své požadavky přeposílat přes TCP, jelikož na něm amplifikační útok nefunguje.

To nás přivádí k důležitému zjištění: mohli jste si všimnout, že tímto dochází k určitému posunu ve významu rate-limitingu. Místo, aby DNS server využívající tento mechanismus chránil sám sebe, chrání ve skutečnosti ostatní účastníky na internetu před zahlcením jeho DNS odpověďmi.

Obě metody omezení (posílání zkrácených odpovědí a zahazování dotazů) můžeme kombinovat. Zkrácené odpovědi můžeme posílat pouze pevně určenému zlomku dotazů a zbytek můžeme zahazovat. Tento přístup je zvažován pro autoritativní Knot DNS.

Dalším přístupem je zavedení nižšího měkkého limitu (angl. soft limit) pro krátké odpovědi a ostrého limitu (angl. hard limit) pro zahazování. Měkký limit může být definován jako procento z okamžitého a dlouhodobého limitu, které jsou zavedeny jako limity ostré. Toto je přístup, který zvažujeme pro použití v Knot Resolveru.

Mezi měkkým a ostrým limitem je ještě jeden důležitý rozdíl. Aby bylo možné ostrého limitu dosáhnout, musíme hodnotu čítačů stále zvyšovat i v případě, že se dostanou přes měkký limit. To znamená, že pokud útočník posílá dostatek dotazů, aby dosáhl měkkého limitu, ale ne dost, aby dosáhl ostrého, všechny jeho dotazy budou zodpovězeny s nastaveným TC bitem. Na druhou stranu, jakmile jsou požadavky omezeny ostrým limitem, systém je již nepočítá, dokud čítač neklesne5, a tedy čas od času může přijít dotaz, který bude omezen opět jen měkkým limitem. Jinými slovy: ostrý limit – trochu paradoxně – pouze zpomaluje frekvenci odpovědí a čas od času některé dotazy propustí; zatímco měkký limit omezuje vše, dokud klient dostatečně nezpomalí své dotazování.

Tento rozdíl můžeme vidět v následujícím grafu. Je velmi podobný tomu předchozímu, ale kromě ostrých limitů LI a LR obsahuje také měkké limity L’I a L’R a oranžové oblasti značící čas, kdy byly dotazy omezeny měkkým limitem.

Pro dotazy přijaté přes TCP (vč. šifrovaných protokolů DNS-over-TLS a DNS-over-HTTPS) je dostačující použití pouze ostrého limitu, neboť zdrojová adresa je vždy autentická.6 Zvažujeme také, že Knot Resolver nebude tuto formu rate-limitingu na TCP aplikovat vůbec a namísto toho se u spojovaných protokolů spolehne na mechanismus prioritizace popsaný v následující sekci.

Různé ceny pro různé dotazy a prioritizace

Dosud jsme pracovali pouze s počty dotazů. Mezi jednotlivými druhy dotazů jsou však nezanedbatelné rozdíly ve využití CPU. Kupříkladu: vyřešení kešovaných dotazů přes UDP bude mnohem levnější, než vyřešení dotazů zatím nekešovaných a navíc třeba přes TLS.

Abychom tuto skutečnost mohli vzít v potaz, ponecháváme jednoduchý počítací mechanismus popisovaný výše a přidáváme prioritizaci dotazů, která započítává procesorový čas. Abychom mohli spotřebu zdrojů odhadovat s nějakou přesností, definujeme nové čítače pro hostitele a sítě velmi podobně jako v případě rate-limitingu, ale měříme procesorový čas strávený na jednotlivých dotazech a k čítačům přičítáme ten (namísto pouhé inkrementace o jedničku, jako je tomu u rate-limitingu). Čekání na odpovědi od autoritativních serverů přitom nezapočítáváme, jelikož Knot Resolver využívá asynchronního I/O a během čekání se může zabývat dalšími úlohami.

V tomto mechanismu nepoužíváme limity pro blokování. Namísto toho seskupujeme dotazy do několika úrovní priorit na základě hodnot čítačů jejich původců. Přiřazujeme tak nižší prioritu těm hostitelům/sítím, jejichž vytížení bylo v minulosti vysoké. Požadavky s nejvyšší prioritou jsou zpracovány okamžitě, zatímco jiné jsou zařazeny do několika front na základě úrovně a odloženy k pozdějšímu zpracování.

Konkrétní způsob práce s různými prefixy a určení, kdy se již požadavky nezabývat a zahodit je, protože jsou již příliš staré, je v současné době předmětem interních diskuzí. Zvažujeme také zahazování dotazů s nejnižší prioritou, když je server přetížený.

Závěr

Zde zakončujeme první část Ochrany před DoS v Knot Resolveru 6.

Popsali jsme si koncept počítání a omezování dotazů, nejprve pro jednotlivé adresy, poté pro celé sítě. Pak jsme přimíchali vícero metod omezení, kdy jsme zjistili, že mechanismus rate-limitingu slouží k ochraně před DNS amplifikačními útoky.

V poslední sekci jsme se přesunuli k prioritizaci dotazů využívající modifikace mechanismu vyvinutého pro rate-limiting.

V příštím článku se zaměříme na nízkoúrovňovou implementaci celého mechanismu a objasníme si některé nepřesnosti, které jsme zde zanechali za účelem zjednodušení tohoto vysokoúrovňového pohledu.

  1. Project number: 101095329 21-EU-DIG-EU-DNS
    Project name: DNS4EU and European DNS Shield.
    This project is co-funded by the European Union.
  2. Velké zjednodušení! Takové množství čítačů je ve skutečnosti nemožné, protože bychom potenciálně potřebovali 232 čítačů pro IPv4 adresy a 2128 čítačů pro IPv6 adresy. I kdyby čítače byly jednobajtové (což nejsou), potřebovali bychom více paměti než je byť jen teoretické maximum 64bitových počítačů. Skutečně implementované technické řešení tohoto problému bude popsáno v dalším článku.
  3. V ideálním světě by exponenciálně ubývající čítače nikdy nedosáhly nuly, pouze by k ní v čase donekonečna konvergovaly. V počítačích toto samozřejmě není pravda. Čítače mají technicky vynucenou přesnost, takže v nějakou chvíli opravdu nabydou hodnoty nula, pakliže nějakou dobu nedorazí žádný dotaz, nicméně o tomto případu nemá valný smysl uvažovat. Pro většinu úvah je užitečnější předpokládat, že čítače jsou vždy nenulové, pokud nebyly právě inicializovány.
  4. Detailnější popis amplifikačního útoku v DNS od CloudFlare (v angličtině): https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
  5. To je dáno i technickými omezeními, která budou blíže popsána v dalším článku.
  6. TC=1 navíc může být pouze v čistém UDP. Pro čisté UDP by tuto vlasnost přinesly také DNS Cookies (RFC 7873), ale v době psaní tohoto článku je podporuje pouze autoritativní Knot DNS a míra jejich použití ve světě DNS celkově je velmi nízká.

Autoři: Lukáš Ondráček, Vladimír Čunát
Editor: Oto Šťáva

Kategorie:

Krátké vlny: Nejvyšší soud v Dánsku určil hranice odpovědnosti registru

Čt, 07/04/2024 - 06:30

Internetový ekosystém bývá pro běžného člověka složitý a těžko se v něm orientuje. Dánský Nejvyšší soud se ve svém novém rozhodnutí pokusil nastavit srozumitelně hranice pro blokování doménových jmen. Tento soud se totiž ve svém rozhodnutí zabývá otázkou, kdy musí DK Hostmaster jako registr TLD domény .dk zablokovat název domény .dk, pokud se na webové stránce nachází obsah porušující autorská práva.

V rozhodnutí Nejvyšší soud uvádí, že pokud jste postiženi obsahem porušujícím autorská práva na webové stránce, můžete nejprve od soudu získat soudní příkaz nebo zákaz, který je namířen proti porušovateli nebo zprostředkovateli, který technicky přispívá k šíření porušování autorských práv, jako je například webhostingová společnost.

V únoru 2018 obdržela společnost DK Hostmaster, registr cca 1,3 milionu doménových jmen v TLD .dk, od kodaňského okresního soudu příkaz k zablokování jména domény, které bylo používáno v souvislosti s webovou stránkou s obsahem porušující právní řád Dánska. Tento obsah však byl již před vydáním tohoto soudního rozhodnutí odstraněn webhostingovou společností. Společnost DK Hostmaster se proto odvolala k Východnímu vrchnímu soudu, který však rozhodnutí okresního soudu potvrdil.

Společnost DK Hostmaster se rozhodla pokračovat v soudním sporu a požádat o vydání zásadního rozhodnutí u Nejvyššího soudu, aby byla vyjasněna odpovědnost registru za zabránění šíření obsahu porušujícího autorská práva na internetu.

Internet funguje jako ekosystém různých technických funkcí poskytovaných různými typy poskytovatelů. Registr plní na internetu funkci „adresáře“. Když uživatel internetu zadá konkrétní doménové jméno, registr zajistí, aby došlo k technickému překladu doménového jména, takže je možné najít jedinečnou IP adresu konkrétního serveru, kde je uložena konkrétní webová stránka. Registr však neukládá obsah na internetu. Takové služby poskytují poskytovatelé webhostingu. Registr rovněž nepřenáší data obsahu ze serveru do zařízení uživatele internetu, na kterém se pak webová stránka může zobrazit. O to se stará poskytovatel internetových služeb.

Vlastník webových stránek a webhostingová společnost mohou odstranit obsah webových stránek, který porušuje autorská práva. Registr to udělat nemůže. Když je registru nařízeno zablokovat jméno domény, dojde k tomu, že veškerý obsah webových stránek, včetně legálního obsahu, již není přístupný z žádného místa na světě. Rovněž všechny e-mailové adresy spojené s tímto doménovým jménem již nebudou použitelné.To ve svém důsledku může vést k nezamýšleným dopadům na ostatní služby spojené s daným doménovým jménem.

Ale vlastník webových stránek nebo webhostingová společnost mohou odstranit pouze obsah, který porušuje autorská práva, aniž by byl ohrožen jinak legální obsah na stejných webových stránkách nebo aniž by došlo k zastavení fungování e-mailových adres.

Nejvyšší soud upřesnil postup, na koho se mohou poškozené osoby, firmy či organizace obrátit v první instanci při řešení sporů. Soud zároveň stanovil, že v krajních případech může být DK Hostmaster donucen k zablokování doménového jména .dk.

Ve svém rozhodnutí Nejvyšší soud uvedl, že „vzhledem k povaze účasti společnosti DK Hostmaster musí příkaz nebo zákaz s cílem zablokovat webové stránky v první řadě směřovat proti porušovateli nebo jiným zprostředkovatelům, kteří přispívají k šíření, včetně hostingové společnosti. Pouze v případech, kdy to, vzhledem k účelu soudního příkazu nebo zákazu, nepřipadá v úvahu, je třeba jej považovat za beznadějný nebo se ukázal jako nedostatečný, může přijít na řadu soudní příkaz nebo zákaz společnosti DK Hostmaster.“

K Bílé knize „Jak zvládnout potřeby evropské digitální infrastruktury“

Dne 30. června 2024 skončila veřejná konzultace vyhlášená Evropskou komisí k Bílé knize „Jak zvládnout potřeby evropské digitální infrastruktury“. Veřejná konzultace přilákala 356 příspěvků, z České republiky jich přišlo 14. Nejvíce příspěvků přišlo pod vlajkou Belgie (59) a Německa (38).

Za Česko neváhali investovat svůj čas a prostředky tito přispěvatelé: Česká republika svou oficiální pozicí a dále v abecedním pořadí anonymní konzultant, anonymní občan, Asociace provozovatelů kabelových a telekomunikačních sítí, Asociace provozovatelů mobilních sítí, CETA – Centrum ekonomických a tržních analýz, Česká fintech asociace, České spotřebitelské fórum, Český telekomunikační klastr, NAKIT, NIX.CZ, PPF Telecom Group, Středočeský kraj, Komise pro IT a digitalizaci a Výbor nezávislého ICT průmyslu. Rozbor jednotlivých příspěvků bude v příštím článku. Krásný začátek léta.

Kategorie:

CSIRT.CZ a Zlatý Erb. I letos jsme se podíleli na hodnocení webů měst a obcí

Pá, 06/21/2024 - 10:49

I letos jsme se stali součástí soutěže Zlatý Erb, kde jsme se podíleli na spolupráci v oblasti bezpečnosti webových aplikací soutěžících. V tomto ročníku jsme hodnotili nejen obce s rozšířenou působností, ale také obce s nerozšířenou působností, kde jsme prováděli testy dle metodiky, kterou vypracovali pořadatelé soutěže Zlatý Erb ze svých a našich poznámek z minulého ročníku. Organizátoři letos brali bezpečnost webových aplikací ještě vážnějí , což se promítlo také do názvu soutěže – „Ročník kybernetické bezpečnosti“. Za tým CSIRT.CZ můžu říct, že jsme rádi, že jsme se i tentokrát mohli podílet na hodnocení a být součástí dalšího ročníku Zlatého Erbu.

Celkem jsme letos otestovali 20 webových aplikací, které se dostaly do finálového kola. Z toho bylo 12 webů obcí s rozšířenou působností a 8 webů obcí s nerozšířenou působností. Weby jsme hodnotili podle předem vytvořené metodiky, podle níž jsme přidělovali body za určitá splněná kritéria, která považujeme za základní bezpečnostní standardy. Kromě předem stanovených kritérií jsme také kontrolovali, jestli weby neobsahují některé neobvyklé bezpečnostní chyby, například XSS, SQL injection nebo veřejně dostupné administrátorské rozhraní. V případě objevení některé chyby jsme následně odečítali body účastníkům. I v tomhle ročníku jsme pro každého účastníka celostátního finále vytvořili závěrečnou zprávu, která může sloužit jako vzor pro to, co mohou zlepšit nejen pro případný příští ročník soutěže, ale hlavně pro lepší bezpečnost uživatelů.

Být součástí soutěže „Zlatý Erb“ vnímáme jako skvělou příležitost jak zvyšovat a podporovat povědomí o bezpečnosti webů. Velice nás těší, že s námi organizátoři počítají i pro další ročník , kde bychom měli mít opět místo porotce specializujícího se na oblast kybernetické bezpečnosti, ale také jistotu prezentace na konferenci ISSS.

Jsme také velice rádi, že se účastníci snaží zlepšovat svoji bezpečnost. Velice nás potěšilo, že po odeslání finálních zpráv o stavu bezpečnosti webových aplikací většina testovaných subjektů následně opravila nahlášené bezpečnostní nedostatky. Zlepšování bezpečnosti webových aplikací neposkytujeme jenom v rámci soutěže Zlatý Erb, ale máme také samostatnou službu Skener webu, která, jak již název napovídá, slouží k vyhledávání webových zranitelností a k upozorňování na jejich odstranění.

Kategorie:

Krátké vlny: O děravém bruselském příběhu

Čt, 06/20/2024 - 04:50

Ve dnech 7. a 8. června 2024 proběhly volby do Evropského parlamentu, výsledky, vítěze i poražené již známe, analytici a političtí komentátoři už rozebrali silné a slabé stránky kampaně a nyní čekáme na podobu nové Evropské komise. Ale jak se změní život nových evroposlanců, umí si představit, co je v Bruselu/Štrasburku čeká? Česká televize naštěstí zařadila do svého programu koprodukční seriál Parlament, který (až děsivě) realisticky a přitom (až děsivě) vtipně popisuje fungování Evropského parlamentu. Příběh je jednoduchý – hlavní hrdina Samy Kantor začíná pracovat jako asistent francouzského evroposlance hned po Brexitu. Nezná procedury, nezná pravomoci, ale shodou náhod a politických intrik se stane hrdinou pozměňovacího návrhu k zákazu finningu.

Procedur neznalý Samy snadno naletí intrikářské politické poradkyni Ingeborg a divákovi se pootevře komplikovaný svět evropské mašinérie na přijímání „zákonů“, ve které hraje svou roli politika, emoce, hry, (ne)znalost procedur a samozřejmě úřednící. Neboť, jak pronáší jedna z hlavních postav, „My úředníci jsme strážci institucí. Každá hra, jak tomu říkáte, má pravidla. A my tu jsme, aby se dodržovala. Jak na papíře, tak mimo něj. To je naše poslání.“. A vlastně ještě jeden prvek je pro úspěšné projednávání a přijetí nové směrnice/nařízení důležitý – příběh. Platí to obecně, takže i v legislativním procesu. Pokud máte příběh, o jehož autenticitě dokážete přesvědčit ty, kteří mají rozhodnout, máte téměř vítězství v kapse. Když ale příběh odfláknete, pohoříte.

Podívejme se třeba na bílou knihu Evropské komise „Jak zvládnout potřeby Evropy v oblasti digitální infrastruktury?“, která obsahuje možné scénáře další regulace a deregulace telekomunikačního trhu. Součástí příběhu a jedním z argumentů pro předložení změn v regulačním rámci, které mohou ale ve finále vést k remonopolizaci EU telka, je údajný investiční deficit do vysokorychlostních sítí elektronických komunikací. Studie založená na modelu nákladů a udržitelnosti společnosti WIK-Consult odhaduje, že k dosažení cíle pevného gigabitového pokrytí pomocí technologie FTTP (Fibre-to-the-Premise) budou zapotřebí investice ve výši přibližně 114 miliard EUR. Dalších 33,5 miliard EUR bude podle studie zapotřebí na poskytování „plnokrevné služby 5G“. Studie také uvádí, že z veřejných prostředků bude třeba uhradit 40 miliard EUR pro investice v pevných sítích a 2,7 miliard EUR v mobilních sítích.

To je hezký příběh – „chceme kvalitní digitální infrastrukturu, nemáme na ni peníze, tak rozšíříme regulaci“. Ale ten příběh dostává trhliny, když pár holandských expertů, Rudolf van der Berg a Johan ter Haar z firmy Stratix, prozkoumají čísla v původní studii a vydali krátkou studii „Mind the Gap“ – Demystifikace tzv. „mezery v investicích do konektivity„, ve které dokazují, že výše uvedené údaje jsou nadhodnocené, protože ve statistikách Evropské komise se objevují nesprávnosti a v některých zemích EU, například ve Francii, dochází k nezapočítání již přidělovaných zdrojů z veřejných prostředků.

Investiční mezera je podle studie z dílny Stratix podstatně menší a lze ji z velké části pokrýt pomocí stávajících mechanismů financování. Zavádění optických sítí (FTTH) v jednotlivých členských státech postupuje rychleji, než naznačují údaje Komise, takže cíle v oblasti konektivity jsou splnitelné a případné rozdíly lze přičíst konkrétním investičním rozhodnutím. Analýza poukazuje na nadhodnocení potřebných investic pro FTTH, což vede k nadhodnocení požadavku na veřejné dotace. Kromě toho zdůrazňuje, že zavádění FTTH se v jednotlivých členských státech výrazně liší a postupuje rychleji, než se dříve předpokládalo.

Také další dokumenty uvádí, že FTTH infrastruktura v EU na tom není tak špatně. Samozřejmě, že některé věcí lze zlepšit, ale je přinejmenším pozoruhodné, že míra zavádění FTTH v Evropě je vyšší než ve Spojených státech , zatímco některé evropské země jsou uznávanými mezinárodními lídry v optické infrastruktuře. Podle údajů z poloviny roku 2022, které zveřejnila OECD , patří mezi nejvyspělejší země světa řada členských států EU (například Španělsko, Švédsko, Litva, Lotyšsko, Portugalsko, Finsko, Lucembursko, Francie, Slovinsko, Dánsko, Estonsko, Slovenská republika, Polsko, Maďarsko) a země EHP, které uplatňují rámec EU (Island, Norsko).

Trhliny v příběhu Evropské komise přidává vlastní poradní orgán, Radio Spectrum Policy Group, které předevčírem vydalo stanovisko k výše uvedené bílé knize. RSPG sdružuje národní experty, kteří poskytují Evropské komisi, Evropskému parlamentu a Radě strategické poradenství v otázkách politiky rádiového spektra. Evropská komise v Bílé knize naznačuje potřebu další harmonizace v oblasti správy rádiového spektra a přesun některých kompetencí do Bruselu. Úvodem svého stanoviska RSPG upozorňuje na zásadu subsidiarity, kdy v oblastech, které nespadají do výhradní pravomoci EU, může EU jednat pouze a do té míry, pokud cílů nemůže být dosaženo na národní úrovni a tato opatření musí být podložena kvalitativními údaji a kvalitativními ukazateli. Současný model správy spektra v EU považuje RSPG za celosvětově unikátní a měl by být považován za strategické aktivum EU. Jako pozitivní příklad fungování tohoto modelu uvádí RSPG identifikace pásem 700 MHz, 3,5 GHz a 26 GHz pro 5G. RSPG si proto myslí, že by současný model měl být zachován.

Další a další trhliny budou přibývat a nezbývá než věřit, že se nová Evropská komise chytne za nos a uvědomí si, že digitální svět nejsou jen operátoři a americký „BigTech“ a neměla by řešit jen partikulární zájmy určitých skupin oprášením starých nápadů. Takhle se totiž dobrý příběh nepíše. Možná by se nový komisař nebo komisařka pro digitál mohl poučit u Viviane Redding, bývalé komisařky, která kdysi začala psát příběh regulace EU roamingu. I když první verze regulace měla pár chyb, její příběh měl nesporně jedno velké plus – řešil problém, který trápil občany a firmy v EU a měl přímý pozitivní dopad do života každého z nás. To se bohužel o nápadech komise v Bílé knize říct bohužel nedá.

Kategorie:

Aukce domén – měsíc po spuštění

St, 06/19/2024 - 08:18

První aukce CZ domén provozované sdružením CZ.NIC proběhly před více než měsícem, 16. května, pojďme si tedy společně ten první měsíc vyhodnotit a podívat se i na právě vyvíjené funkce, které aukce domén doplní v dohledné době.

Pojďme se nejdříve podívat na čísla, která se budou vztahovat k období od 16. května do 15. června 2024. Za tuto dobu prošlo aukcemi celkem 18 174 domén, z toho na 740 z nich byl učiněn alespoň 1 příhoz. V aukcích bylo pro dražitele atraktivních více než 4 % domén. V jednotlivých dnech toto číslo logicky kolísá (pohybovalo se typicky mezi 2 a 10 %, s mediánem 3,6 %). Zajímavý je i počet (a možná spíše podíl) domén, u kterých došlo k včasné úhradě částky za přednostní právo registrace domény, které je předmětem aukce. Takto uhrazeno bylo 684 domén, což je lehce přes 92 %, toto číslo se ještě o něco zvýší, protože u aukcí z posledních dní uvedeného období ještě běží lhůta pro zaplacení. Pro aukce, kterým tato lhůta již skončila, procento těch uhrazených přesahuje 95 %. S těmito čísly úzce souvisí i počty blokovaných dražitelů, kterých bylo za uvedené období celkem osm, pět z nich uhradilo všechny pokuty a vrátili se tak mezi dražitele, tři v době uzávěrky tohoto příspěvku zůstávají zablokováni a pokutu u nich budeme vymáhat.

Dalším krokem v procesu aukcí je registrace vydražené domény. Takových domén bylo 602, tedy více než 88 % z těch, co u nich bylo zaplaceno přednostní právo. Zde aktuálně těch lhůt běží ještě více než u plateb a dle statistik aukcí staršího data lze také předpokládat, že se toto procento přiblíží 95 %.

Aukcí se v uvedeném období zúčastnilo (alespoň jednou si přihodilo) 257 různých identit. Z toho jich bylo 247 (96,1 %) z České republiky, 10 (3.9 %) ze zahraničí (5 z Polska, 3 ze Slovenska a 2 z Estonska). Z celkového počtu bylo 210 (81,7 %) fyzických osob a 47 (18,3 %) osob právnických. A vysoký není jen počet různých dražitelů, ale i výherců. V prvním měsíci aukcí si doménu vydražilo přesně 200 různých dražitelů.

Z našich dat dále plyne, že nejvíce se draží na konci aukce a systém automatického prodlužování aukcí takto zafungoval u 387 aukcí, tedy více jak u poloviny ze všech aukcí, které měly aspoň 1 příhoz. Větší část (celkem 258) prodloužených aukcí končila do deseti minut po deváté večer, do 21:20 skončilo dalších 61 aukcí. Prodloužení nad 1 hodinu se týkalo jen devíti aukcí, z toho jedna skončila až ve 23:15, dvě několik minut před desátou hodinou večerní.

Na vítězství v aukci většinou stačila vyvolávací cena 100 Kč (400 ~ 54 % případů), průměrná cena pak byla první měsíc aukcí 1 170 Kč. S ohledem na nezaplacené aukce byla pak průměrná platba, která přišla na náš účet za vydražené přednostní právo registrace domény, ve výši 945 Kč. Nejdražší aukcí byla ta na doménu virtualnisidlo.cz s cenou 95 001 Kč, která však nebyla včas uhrazena. Nejdražší aukcí, která byla vydražena i zaplacena je praguecityline.cz s cenovkou 55 600 Kč.

Tolik základní set čísel, které tentokrát servíruji v blogpostu. Pracujeme ale na veřejných statistikách, takže již brzy budou data k dispozici kdykoliv, automatizovaně a bude jich více. V prvním měsíci fungování aukcí jsme se, zcela dle očekávání, věnovali optimalizaci zpracování aukcí v interních systémech (zejména zpracování plateb), ale také jsme vylepšili několik funkcí pro dražitele. Aktuálně pracujeme na větších změnách, se kterými vás mohu již nyní seznámit.

Do systému aukcí v těchto dnech zapracováváme možnost nastavit si svoje maximum (limit) předem i u aukcí, které proběhnou až v budoucnu. Systém bude fungovat tak, že v okamžik zahájení aukce porovná všechny nastavené limity a aukci zobrazí s optimální částkou pro dražitele s nejvyšším limitem, případně pro dražitele s limitem, který byl zadán dříve v případě jejich rovnosti. Aukce tak budou v některých případech začínat s nenulovou částkou. Věříme, že tato funkce ušetří dražitelům nějaký čas při aukcích. Obrazovku, jak bude nastavování limitu vypadat, předkládám.

Další, určitě ještě revolučnější změnou, kterou aktuálně implementujeme, je možnost zadat při aukci viditelný příhoz. Tuto možnost, stejně jako tu předchozí, přidáváme na základě přání dražitelů a tato by měla v určitých případech zrychlit průběh aukce. V systému i nadále ponecháváme možnost nastavení limitu (maxima), které slouží dražiteli jako automat, který mu doménu vydraží za optimální cenu pod nastaveným maximem. Opět přikládám obrazovku, která tuto změnu zohledňuje.

Třetí významnější změnou, kterou můžete již brzy očekávat, je změna zobrazení historie aukce, kde se nově snažíme lépe vysvětlit zejména automatické příhozy a zpřehledňujeme zobrazení příhozů celkově.

Nastavení limitu před aukcí a možnost zadat viditelný příhoz bude zapracováno do Provozního řádu a budeme jej dražitelům aktivně komunikovat ještě před spuštěním.

Tolik k prvnímu měsíci našich Aukcí domén, které otevřely cestu k uvolňovaným doménám širšímu spektru zájemců a byl tím splněn hlavní cíl této nové služby.

Kategorie:

ON-LINE ZOO A SVĚTLUŠKA: Příběh Inovativního Vzdělávacího Projektu

Út, 06/18/2024 - 10:17

Projekt ON-LINE ZOO a Světluška začal jako iniciativa zaměřená na zlepšení kybernetické bezpečnosti u dětí se zrakovým postižením v rámci projektu Safer Internet Centrum Česká republika.

Přípravy zahrnovaly výrobu omalovánek ve formátu A4 pro slabozraké děti a rovněž tvorbu 3D haptických modelů pro nevidomé děti. Na dodavatele haptických modelů pak bylo vypsáno výběrové řízení. Vítězná společnost Průša Research již měla s tvorbou produktů pro zrakově postižené nemalé zkušenosti. Během vývoje modelů přitom spolupracovala s odborníky z Neviditelné výstavy, kteří poskytovali zpětnou vazbu. Vyrobeno bylo několik sad těchto 3D modelů, z nichž vždy po jedné sadě obdrželi darem Nadace Leontýnka, Neviditelná výstava, Světluška a také ZŠ Jaroslava Ježka.

Abychom získali cenné rady a načerpali nové poznatky, oslovili jsme rovněž různé organizace podporující zrakově postižené, včetně Nadačního fondu Českého rozhlasu Světluška. Ředitelka Světlušky, paní Gabriela Drastichová, navrhla zapojení zrakově znevýhodněného lektora, který by navštěvoval školy spolu s námi a následně vedl diskuse o kybernetické bezpečnosti. Ve výběrovém řízení uspěla lektorka Hanka Petrová, která poté prošla proškolením.

Další fáze zahrnovala oslovení speciálních základních škol s nabídkou besedy ON-LINE ZOO. Na naší nabídku zareagovaly hned čtyři: Střední škola, základní škola a mateřská škola pro zdravotně znevýhodněné v Brně, ZŠ a MŠ pro zrakově postižené a vady řeči v Plzni, Základní škola a Mateřská škola ZRAK v Praze 2 a Škola Jaroslava Ježka v Praze.

Během května tak mohly proběhnout přednášky ve školách v Plzni, Praze a Brně. Důležité bylo zohlednit individuální potřeby každého žáka a najít vhodné způsoby, jak jim předat informace o bezpečnosti na Internetu. To zahrnovalo především použití hmatových materiálů, speciálních pomůcek v podobě již zmiňovaných 3D haptických modelů a omalovánek. Také bylo důležité dětem vytvořit prostředí, ve kterém by se cítily bezpečně, a nebály se otevřeně diskutovat o rizicích on-line světa. Interaktivní diskuze a skupinové práce napomohly k lepšímu porozumění problematice bezpečnosti na internetu. Během přednášky nám žáci nadšeně vyprávěli o tom, jaké hrají internetové hry, jaké sledují youtubery a co se jim na internetu již stalo.

Celkově lze říci, že vzdělávání dětí se zrakovým postižením a vadami řeči zaměřené na bezpečnost na internetu vyžaduje speciální přístup a podporu, s odpovídajícími prostředky a metodikou je ale velmi prospěšné.

Kategorie:

Safer Internet Centrum na Filmovém festivalu pro děti a mládež ve Zlíně

Po, 06/17/2024 - 09:30

Filmový festival pro děti a mládež ve Zlíně není jen největší a nejstarší akcí svého druhu na světě, ale v rámci doprovodného programu také již tradičně poskytuje významný prostor pro vzdělávání, prevenci a odborné semináře.

Naše Safer Internet Centrum Česká republika připravuje každý rok v tomto bloku několik eventů. Letos tomu nebylo jinak a hned po příjezdu nás čekaly dvě komentované projekce dokumentu „OnlyFans: Láska na prodej“ od České televize. Téma tvorby a monetizace self-generated contentu je bohužel jedním z nejpalčivějších problémů, kterým se dlouhodobě věnujeme. Studentům jsme tak mohli předat naše zkušenosti z provozu linky Stoponline.cz, která se zabývá odstraňováním obsahu, který může mnohdy velmi ublížit.

Pro vyučující jsme ve spolupráci s JSNS připravili certifikovaný bezplatný seminář „Online podvody a bezpečnost na internetu“. Účastníky jsme seznámili s materiály, které jim pomohou otevřít toto téma ve výuce a vést diskuse s jejich žáky a studenty. Hosté semináře si také vyzkoušeli práci s konkrétními nástroji a aktivity, které lze do výuky zapojit. Diskutovalo se také o současných trendech v online podvodech a o tom, jak toto nebezpečí ovlivňuje nástup umělé inteligence.

Je internet bezpečný? Děláme vše pro to, abychom byli na internetu v bezpečí? Jak se bránit novým trendům – fake news, deep fake nebo hate speech? Na tyto otázky se snažili odpovědět tři hosté Čestmíra Strakatého, který pro nás moderoval zajímavé rozhovory. Hostem byla Dita Charanzová, končící místopředsedkyně Evropského parlamentu a dlouholetá podporovatelka témat bezpečného internetu, Václav Moravec, redaktor, moderátor a vysokoškolský učitel žurnalistiky nebo Martin Rota, český vloger a youtuber.

Dita Charanzová seznámila účastníky s aktuálními poznatky i návrhy legislativních úprav, které projednával evropský parlament ve vztahu k bezpečnosti dětí na internetu a zdůraznila potřebnost řešení materiálů s tematikou zneužívaných dětí. Byla také opakovaně zmíněna potřeba posílit osvětu směrem k rodičům a rozšířit vzdělávací programy o témata spojená s bezpečností a riziky na internetu – je nezbytné neustále hovořit o nástrahách internetu i ve školách. Je žádoucí přenést zodpovědnost i na platformy, k čemuž má napomoci Akt o digitálních službách, který zaváže velké platformy k vyhodnocování rizik ve vztahu k dětem.

Václav Moravec se podělil o změny, které se v oblasti žurnalistiky i práce redaktora odehrály v průběhu posledních let. Vyjádřil obavy z dopadu umělé inteligence na toto odvětví a zmínil posun v žurnalistice s nástupem sociálních sítí a jejich virality. Také se dotkl politické situace na Slovensku a obav z rozdělení společnosti a současných „narativů“. Spolu s Čestmírem Strakatým řešili i ovlivňování médií politickými nebo podnikatelskými elitami.

Konferenční den pokračoval představením aktivit Linky bezpečí, Policie ČR, Úřadu vlády a dalších partnerů. Na úplný závěr jsme pokřtili novou knihu pro děti „Strážci na internetu“, určenou dětem od devíti let.

Zlínský filmový festival pro děti a mládež patří mezi naše největší akce. Chtěl bych touto cestou poděkovat vedení festivalu za možnost prezentovat naše aktivity a za to, že tématům jako je bezpečnost dětí věnuje tak velký prostor. Těším se na příští rok!

Kategorie:

Krátké vlny: Návrh kyberzákona před branami vlády

Čt, 06/06/2024 - 06:20

Červen rozrazil dveře a státní správa nasazuje vyšší rychlost ve snaze urvat KPI za druhý kvartál. A tak Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“) poslal Legislativní radě vlády („LRV“) upravenou verzi nového zákona o kybernetické bezpečnosti a čeká na jeho posouzení. Slovutní členové „legislativky“ budou určitě potěšeni vyšší úrovní legislativního textu (běžný uživatel však zapláče nad složitostí některých paragrafů) a NÚKIB si věcně stojí za svým návrhem. K nové verzi úřad připravil přehledný souhrn změn. Jedná se zejména o:

a) doplnění definice „dat“ a informací“,

b) nová definice aktiva (nově fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě),

c) proces hlášení a registrace regulované služby zůstává beze změny, NÚKIB ale upravil terminologii a pokusil se text zjednodušit; proces sebeidentifikace za regulovanou osobu zůstává, nicméně po připomínkách LRV je to NÚKIB, kdo po ohlášení poskytovatele provede registraci, resp. vydá rozhodnutí o registraci regulované služby,

d) režim poskytovatelů regulovaných služeb zůstává stejný, ale odchylky a výjimky z doporučení Komise 2003/361/ES (malé a střední podniky) byly přesunuty z prováděcího právního předpisu do zákona,

e) organizační složky státu, územní samosprávní celky a ČNB se nově nepovažují za podnik, vyhláška o regulovaných službách jim přímo určuje režim,

f) podmínky pro režim poskytovatelů regulovaných služeb NÚKIB zjemnil tím, že při počítání velikosti regulovaného podniku se za partnerský nebo propojený podnik nově nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby,

g) v části povinnosti poskytovatele regulované služby bylo zestručněno hlášení údajů a stanovení rozsahu řízení kybernetické bezpečnosti,

h) nové oprávnění NÚKIB ve vztahu k poskytovateli regulované služby je možnost uložit zákaz informovat uživatele, pokud by to nebylo vhodné například s ohledem na bezpečnostní situaci, probíhající zahraniční útočnou kampaň atd.,

ch) v rámci části protiopatření NÚKIB odstranil povinnost hlásit provedení všech opatření, nově je tato povinnost vázána pouze na reaktivní opatření; současně NÚKIB odstranil ustanovení, které říkalo, že varování zohledňuje pouze poskytovatel v režimu vyšších povinností. Protože poskytovatel v režimu nižších povinností nemá povinnost zpracovávat analýzu rizik, dotýká se ho tak pouze obecná prevenční povinnost a NÚKIB mu věnuje v rámci varování zmínku,

i) ustanovení o předávání informací a dat mezi poskytovatelem v režimu vyšších povinností a jeho dodavateli se nově týká všech dodavatelů a nikoliv jen těch významných,

j) informace o tom, že regulovaná služba je strategicky významnou službou, je součástí odůvodnění rozhodnutí o registraci regulované služby,

k) největší jablko sváru v předkládaném zákonu, mechanismus bezpečnosti dodavatelských řetězců, zůstává věcně beze změny. NÚKIB se zajímá pouze o dodavatele poskytovatelů strategicky významných služeb a prověřuje rizika týkající se možné hrozby pro bezpečnost ČR nebo vnitřní pořádek. Nově úprava definuje, co je neopominutelnou funkcí a formulačně se upravila definice bezpečnostně významné dodávky. Formulačně došlo k úpravě povinnosti součinnosti. Z porovnání verzí zákonů také vyplývá, že došlo k přeformulování části o „závazném stanovisku“. Nově NÚKIB předloží návrh opatření obecné povahy, kterým stanoví omezení nebo zákaz plnění dodavatele bezpečnostně významné dodávky, k vyjádření Ministerstvu průmyslu obchodu, Ministerstvu zahraničních věcí a Ministerstvu vnitra, jejichž stanovisky je Úřad povinen se řídit,

l) nový návrh už také nedrží terminologii Pravidel registrace doménových jmen, legislativcům se zalíbilo spojení „doménové jméno“ místo „jména domén“. No, když si právníci myslí, že internet má stránky (český právní řád zarputile používá „internetové stránky“ místo „webové stránky“), tak je jasný, že se nebudou držet zaužívané terminologie :-),

m) sankce byly přeskupeny a zpřehledněny. Nově o pozastavení výkonu řídící funkce může rozhodnout přímo NÚKIB a nikoliv soud,

n) nově o stavu kybernetického nebezpečí rozhoduje NÚKIB a nikoliv ředitel NÚKIB a i v rámci tohoto stavu by měl platit správní řád.

Nyní uvidíme, zda v upraveném znění najdou členové LRV uspokojení a návrh poputuje se stanoviskem předsedy LRV na vládu, nebo zda budou členové LRV ještě nad zněním návrhu rokovat. Co už víme jistě je, že určitě budou rokovat 20. června nad návrhem tzv. technické novely zákona o elektronických komunikacích. A pak hurá na vládu a do parlamentu. Protřelí lobbisté už mají spočítáno, že návrhy zákonů, co nebudou v poslanecké sněmovně do konce června, mají výrazně menší šanci na schválení v tomto volebním období. Ale historie už ukázala, že dostatečná politická podpora a extrémní pracovní úsilí v malostranských palácích dokáže protlačit i složitější zákony velmi rychle. Ale možná je čas vypsat sázky. Tak na koho si vsadíte?

Kategorie:

Krátké vlny: Nařízení o gigabitové infrastruktuře

Čt, 05/23/2024 - 06:30

Dne 8. května 2024 bylo v Úředním věstníku EU publikováno Nařízení o gigabitové infrastruktuře, právní předpis, který nahrazuje směrnici o opatřeních ke snížení nákladů na budování vysokorychlostních sítí elektronických komunikací. Když Evropská komise zveřejnila návrh nařízení, telekomunikační sektor ve státech, které bojují s pomalostí a byrokratizací výstavby, byl nadšený. Avšak postupným hledáním kompromisu došlo k částečnému zjemnění původního návrhu a sektor už tolik šťastný nebyl, jak dokazuje společné prohlášení asociací ETNO, ECTA, GIGA.EUROPE a GSMA. Nicméně přijatá verze nařízení je nakonec přísnější než původní směrnice o snižování nákladů na výstavbu broadbandových sítí a může pomoci se stavební byrokracií. Teď však bude záležet na českou adaptaci a hlavně na aplikaci jednotlivých oprávnění.

Cílem GIA je usnadnit a podpořit budování sítí s velmi vysokou kapacitou (tzv. „sítě VHCN“) podporou společného využívání existující fyzické infrastruktury a usnadněním efektivnějšího budování nové fyzické infrastruktury, aby bylo možné tyto sítě zavádět rychleji a s nižšími náklady. Nařízení stanoví minimální požadavky, členské státy mohou zachovat nebo zavést opatření v souladu s právními předpisy EU, která jsou přísnější nebo podrobnější než tyto minimální požadavky (kromě ustanovení v čl. 3 odst. 5 prvnímu pododstavci písm. a) až e), čl. 3 odst. 7 a 10, čl. 4 odst. 7, čl. 5 odst. 2 druhému pododstavci, čl. 5 odst. 5, čl. 6 odst. 2 a čl. 10 odst. 7 a 8 – jedná se o ustanovení o odmítnutí přístup k fyzické infrastruktuře a veřejným budovám, transparentnost fyzické infrastruktury a stavebních prací, koordinaci stavebních prací a ustanovení o fyzické infrastruktuře uvnitř budov), pokud tato opatření vedou ke stejnému cíli jako stanoví GIA.

Samozřejmě nařízení obsahuje výhradu ochrany národní bezpečnosti a jiných základních funkcí státu, takže stručně řečeno lze předpokládat, že ve vojenským újezdu budete mít s GIA smůlu.

Jedním ze stěžejních instrumentů je propracovanější přístup operátora k existující fyzické infrastruktuře, kdy provozovatelé sítě a subjekty veřejného sektoru, kteří vlastní nebo ovládají fyzickou infrastrukturu, mají vyhovět písemné žádosti operátora o přístup k této fyzické infrastruktuře za spravedlivých a přiměřených podmínek (včetně ceny). Definice pak říká, že subjektem veřejného sektoru je státní, regionální nebo i místní orgán, veřejnoprávní subjekt nebo sdružení vytvořené jedním nebo více takovými orgány nebo jedním nebo více veřejnoprávními subjekty. Veřejnoprávní subjekt je pak subjekt, který je založen za účelem uspokojování potřeb obecného zájmu, které nemají průmyslovou nebo obchodní povahu, má právní osobnost a je financován zcela nebo převážně státem, regionálními nebo místními orgány (nebo jinými veřejnoprávními subjekty), nebo podléhá řídícímu dohledu těchto subjektů (nebo je v jeho správním, řídícím nebo dozorčím orgánu více než polovina členů jmenována státem, regionálními nebo místními orgány). Tato široká definice by měla zabránit úniku z regulace povinným subjektům disponujícím vhodnou pasivní infrastrukturou, které mění průběžně svou právní formu.

Nadto by členské státy měly mít možnost rozšířit povinnosti stanovené v tomto nařízení na subjekty, které nespadají do oblasti jeho působnosti, jako jsou organizační jednotky, které nejsou ze zákona vybaveny právní subjektivitou, mají způsobilost k právům a právním úkonům a mohou se plně účastnit hospodářských transakcí, nebo podniky, které jsou držiteli koncese od veřejných subjektů.

Povinnými osobami jsou tedy bez ohledu na to, zda se jedná o veřejnoprávní nebo soukromoprávní osoby operátoři, ale i vlastníci nebo držitelé práv na užívání fyzické infrastruktury vhodné pro uložení prvků sítí elektronických komunikací (fyzické sítě pro poskytování elektřiny, plynu, vody a kanalizace a odvodňovacích systémů, vytápění a dopravních služeb).

Operátoři (a vlastníci věží) nově také nemusí vyhledávat přímo majitele nemovitosti, ale mohou vyjednávat o přístupu k pozemkům s nájemci nebo jejich správci. Ti pak musí s nimi jednat o přístupu k existující fyzické infrastruktuře v dobré víře.

Mezi prvky fyzické infrastruktury, které mohou být vhodné pro operátory a instalaci síťových prvků VHCN sítí nařízení explicitně zmiňuje (při minimalizaci vizuálního dopadu, nebo nevhodnost z důvodu architektonické, historické nebo náboženské hodnoty) budovy včetně střech a částí fasád, vstupy do budov a jakýkoli jiný objekt včetně městského mobiliáře, jako jsou sloupy veřejného osvětlení, značky a ukazatele, světelná signalizace, billboardy, mýtné rámy, zastávky autobusů a tramvají či stanice metra a vlaková nádraží a železniční tunely.

Možnými důvody pro odepření přístupu k fyzické infrastruktuře mohou být pouze

a) nedostatečná technická vhodnost infrastruktury,

b) nedostatek prostoru pro umístění prvků VHCN sítě nebo souvisejících zařízení s ohledem na budoucí potřeby poskytovatele přístupu,

c) oprávněné obavy o bezpečnost, veřejné zdraví a národní bezpečnost,

d) dopad na integritu a bezpečnost sítí,

e) rušení služeb elektronických komunikací nebo jiných služeb provozovaných prostřednictvím fyzické infrastruktury.

Podnikatel v elektronických komunikacích může ještě odmítnout přístup k fyzické infrastruktuře pokud existuje vhodná alternativa k pasivnímu fyzickému přístupu. Recitál 22 uvádí, že „Navíc v případech, kdy provozovatel sítě již poskytuje použitelný alternativní prostředek pro pasivní velkoobchodní fyzický přístup k sítím elektronických komunikací, který by splňoval potřeby žadatele o přístup, jako jsou například nenasvícená optická vlákna nebo zpřístupnění optických vláken, může mít přístup k uvedené fyzické infrastruktuře negativní hospodářský dopad na její obchodní model, u „whole-only“ operátorů, a na investiční pobídky, a vytvářet tak překážku k rychlému zavádění sítí VHCN ve venkovských a odlehlých oblastech… Zejména ve venkovských oblastech, kde by více než jedna síť VHCN nemusela být ekonomicky životaschopná, by mělo být zabráněno neefektivní duplikaci prvků sítě VHCN, která představuje riziko pro původní investice a investiční plány…“

GIA stanoví nově termíny pro udělení povolení k výstavbě a zřízení služebností. Veškeré žádosti o povolení musí být vyhodnoceny do 20 dnů a následně o nich musí být rozhodnuto do čtyř měsíců. V případě výjimečných a odůvodněných důvodů může být lhůta prodloužena o další čtyři měsíce. Žádosti o povolení mohou být stiženy pouze administrativním poplatkem, další náklady jsou zapovězeny. O zřízení služebnosti musí být rozhodnuto do čtyř měsíců nebo kratší lhůtě (20 dní je opět stanoveno na posouzení žádosti, zda je úplná).

GIA přichází s institutem tichého souhlasu, kdy v případě, že není povolení vydáno v předepsané lhůtě, vzniká domněnka, že byla žádost odsouhlasena. Členské státy se mohou tichému souhlasu „bránit“ tím, že stanoví kompenzační mechanismus v případech, kdy jsou překročeny stanovené lhůty a tím, že stanoví odvolací mechanismus. V obou případech musí členské státy zajistit smírčí řízení, v jehož rámci mohou strany projednat nevyřešené problémy.

Institut Jednoho informačního místa, které má poskytovat informace o existenci vhodné infrastruktury zůstává v podstatě beze změny, GIA samozřejmě rozšiřuje rozsah údajů a informací, které má mít Jednotné informační místo k dispozici. Členské státy se mají vyhnout duplikaci údajů, má se tedy předpokládat, že v České republice bude moci Jednotné informační místo, které vykonává Český telekomunikační úřad, využívat Digitálně technické mapy, které v současné době vznikají na krajích. V rámci koordinace stavebních prací GIA upravuje povinnost reagovat na žádost o koordinaci v případě projektů částečně nebo plně financovaných z veřejných prostředků, ale recitál uvádí možnost pro členské státy rozšířit režim koordinace i na projekty plně financované ze soukromých zdrojů.

Přijetí GIA má navíc za cíl podpořit ekologický přechod v EU, a to tím, že optické sítě budou povinné v nových a rekonstruovaných budovách, což má přispět k energetické účinnosti. Členské státy mají do 18 měsíců od nabytí účinnosti GIA přijmout standardy, kterými definují „fibre-ready“ infrastrukturu. Tyto standardy by měly začít platit do 3 měsíců od jejich přijetí (resp. do 21 měsíců od nabytí účinnosti GIA).

BEREC a Evropská komise mají doplnit GIA souborem doporučení. Jedná se o doporučení ke koordinaci stavebních prací, k přístupu fyzické infrastruktuře uvnitř budov a obecné doporučení o přístupu k fyzické infrastruktuře.

Členské státy mají lhůtu do 12. listopadu 2025 pro adaptaci nařízení.

Kategorie: