BRATISLAVA 15. apríla (WEBNOVINY) – Informácie o prenikaní tajnej služby do internetbankingu, e-mailov či dokonca účtov sú nezmyselné, tvrdí Slovenská informačná služba (SIS). Denník Sme v utorok napísal, že SIS by rada videla do zašifrovanej komunikácie s bankami, cez e-mail či na sociálnych sieťach.
Má s tým počítať návrh zákona o spravodajských službách, ktorý má denník k dispozícii. SIS podľa Sme navrhuje, aby výrobca či distribútor „výrobku, ktorý umožňuje utajovanie prenosu alebo uchovávanie informácií alebo iných údajov vrátane kódovania, šifrovania a kompresie“ bol povinný poskytnúť polícii a tajnej službe zrozumiteľný návod, aby mohla údaje odšifrovať.
Keby podnikatelia návod odmietli poskytnúť, nemá im hroziť finančný postih, len nesmú zariadenia u nás predávať. Pokuta 166-tisíc by hrozila používateľom, ktorí počas trojmesačnej prechodnej lehoty nenahlásia, že už šifrovací nástroj majú. Podľa hovorcu SIS Branislava Zvaru pri tomto vychádzali z nariadenia vlády z roku 2001.
Nový návrh výrazne okliešťuje oprávnenie štátu
„Ustanovenie nového návrhu zákona o spravodajských službách, týkajúce sa monitorovania výrobkov umožňujúcich utajovanie informácii a dát, bolo do návrhu zákona zapracované vo výrazne oklieštenej podobe z nariadenia vlády SR č.443/2001 Z.z. z roku 2001. Musíme priznať, že pracovná skupina zložená so zástupcov SIS, Ministerstva vnútra SR a Ministerstva obrany SR nebola zapracovaniu uvedeného ustanovenia príliš naklonená, ale vychádzala pri tom výlučne z nariadenia vlády SR z roku 2001, pričom kompromisom bolo jeho sprísnenie,“ povedal Zvara.
Hovorca tajne služby však upozorňuje, že na rozdiel od tejto dosiaľ stále platnej úpravy nový návrh zákona výrazne okliešťuje oprávnenie štátu získať od výrobcov či dovozcov informácie o zariadeniach slúžiacich na utajený prenos dát alebo informácií a vôbec od nich nepožaduje ani poskytnutie samotného funkčného zariadenia.
„Z pohľadu SIS si vieme predstaviť, že by takéto ustanovenie zákon neobsahoval a vítame širokú diskusiu a podnetné návrhy k pracovnému zneniu novej spravodajskej legislatívy,“ ukončil.
Keď sa pripájate na internetbanking, vaše spojenie na web banky je šifrované, aby heslo či údaje o zostatkoch a prevodoch nemohli odchytiť a zneužiť zločinci. Slovenská informačná služba (SIS) však prišla s návrhom, aby jej banky odovzdali kľúče na rozšifrovanie citlivých údajov.
Mohla by tak čítať komunikáciu ľudí s bankami, ale aj e-maily či správy na sociálnych sieťach. A to všetko bez toho, aby o tom ľudia vedeli alebo aby s tým súhlasili.
Návod na odšifrovanie údajov
Tento návrh predložila tajná služba vo svojom návrhu zákona o spravodajských službách. Denník Sme má 59-stranový návrh k dispozícii. Hovorca SIS Branislav Zvara potvrdil, že návrh už dali ministerstvu vnútra, ktoré má právomoc zákon posunúť do parlamentu. Ministerstvo neodpovedalo, či je návrh SIS politicky akceptovateľný.
SIS podľa Sme navrhuje, aby výrobca či distribútor „výrobku, ktorý umožňuje utajovanie prenosu alebo uchovávanie informácií alebo iných údajov vrátane kódovania, šifrovania a kompresie“ bol povinný poskytnúť polícii a tajnej službe zrozumiteľný návod, aby mohla údaje odšifrovať. Keby podnikatelia návod odmietli poskytnúť, nemá im hroziť finančný postih, len nesmú zariadenia u nás predávať. Pokuta 166-tisíc by hrozila používateľom, ktorí počas trojmesačnej prechodnej lehoty nenahlásia, že už šifrovací nástroj majú.
Odborníci na informačné technológie a právo sa zhodujú, že takáto povinnosť je technicky nesplniteľná, neústavná a štát jej plnenie nedokáže vymáhať. „Šifrovanie totiž prirodzene používa mnoho bežných aplikácií, a to bez toho, aby o tom ich používatelia vedeli,“ povedal Sme bezpečnostný špecialista z firmy Nethemba Pavol Lupták. Napríklad obyčajný internetový prehliadač si archivuje zašifrované certifikáty z navštevovaných stránok, hoci o tom používateľ ani netuší.
Nepredstaviteľné je aj vymáhanie povinnosti od globálnych hráčov, ako je Microsoft, Facebook či Google, myslí si spolumajiteľ českej vývojárskej firmy CircleTech Marian Kechlibar. Nadnárodné internetové podniky šifrujú miliónom zákazníkov spojenie napríklad s e-mailovými servermi. Keby parlament zákon prijal a tajná služba by sa skutočne dožadovala šifrovacích kľúčov, zníži sa podľa Luptáka ponuka bezpečných produktov na trhu.
Banky majú obavy
Z nápadu SIS majú obavu banky, ktoré nás šifrovaním internetbankingu chránia pred krádežou peňazí. „Je to ako keby som mal povinnosť odovzdať kópiu kľúča od každých, aj súkromných dverí v štáte a štát si vyhradí právo kedykoľvek aj bez súhlasu vojsť dnu a ľubovoľne sa tam prechádzať,“ uviedol pre Sme manažér bezpečnosti IT jednej zo štyroch najväčších bánk u nás. Tajná služba podľa Sme nerieši, kde a ako bude uchovávať získané kľúče.
Nevysvetlila, prečo ich chce na odšifrovanie komunikácie v celom štáte. „Odpovedať by bolo dnes predčasné, keďže návrh zákona ešte nevstúpil do legislatívneho procesu,“ tvrdí Zvara.
Nápad, aby vývojári bezpečnostných aplikácií a výrobcovia šifrovacích čipov povinne odovzdávali vyšetrovateľom univerzálny kľúč, nie je nový. Začiatkom 90. rokov sa Američania neúspešne pokúšali presadiť používanie šifry Skipjack, ktorá mala dieru na odpočúvanie. Vytvorili aj čip Clipper, ktorý mali montovať do zariadení a vďaka ktorému by tajná služba dokázala prečítať aj šifrovanú komunikáciu.
SIS-ka by sledovala komunikáciu
Pokiaľ by v návrhu ostal zámer SIS, aby výrobcovia a distribútori šifrovacích nástrojov povinne vytvárali vo svojich aplikáciách dieru, aby mohla tajná služba obsah komunikácie sledovať, museli by sme normu posielať na schválenie Európskej komisii.
Advokát z kancelárie Maple&Fish Viliam Karas, ktorý učí európske právo na Trnavskej univerzite, predpovedá, že Brusel by takúto normu neodobril. „Návrh je vážnym zásahom do voľného pohybu tovaru, ale aj do práva na súkromie,“ tvrdí Karas pre Sme. Pýta sa, či sú vôbec také rozsiahle oprávnenia tajnej služby kontrolovateľné, aby sme vedeli, čo tajná služba robí so šifrovacími kľúčmi, ktoré získa, aby nedochádzalo k ich zneužitiu.