Zákon UK o kybernetické bezpečnosti a odolnosti: Co znamená pro soukromí při používání VPN

Zákon UK o kybernetické bezpečnosti a odolnosti: Co znamená pro soukromí při používání VPN

Britská vláda představila zákon o kybernetické bezpečnosti a odolnosti (Cyber Security and Resilience Bill), významný legislativní předpis, který překlasifikuje datová centra na základní utility a zařazuje je do formálního národního režimu hlášení kybernetických incidentů. Zatímco většina komentářů se zaměřuje na povinnosti podniků v oblasti dodržování předpisů, zákon má reálné důsledky pro každého, kdo používá VPN službu směrující provoz přes infrastrukturu umístěnou ve Velké Británii. Pro uživatele dbající na ochranu soukromí již není pochopení aspektů soukromí v rámci tohoto zákona volitelné.

Co zákon o kybernetické bezpečnosti a odolnosti skutečně vyžaduje od datových center

Zákon ve své podstatě rozšiřuje působnost stávajících předpisů o bezpečnosti sítí a informačních systémů (NIS). Datová centra provozovaná ve Velké Británii by musela splňovat nové základní standardy kybernetické bezpečnosti a – což je zásadní – hlásit významné incidenty regulátorům ve stanovených lhůtách. Odůvodnění vlády je přímočaré: datová centra již nejsou pasivními úložišti dat. Jsou základem bankovnictví, zdravotnictví, komunikací a cloudových služeb. Zacházet s nimi jako s jakýmikoli jinými komerčními prostorami bylo vždy regulatorní mezerou a nedávné závažné bezpečnostní incidenty tuto mezeru zviditelnily natolik, že ji nebylo možné nadále přehlížet.

Zákon uděluje regulátorům širší vyšetřovací pravomoci, včetně schopnosti požadovat technické informace, auditovat bezpečnostní postupy a přijímat vymáhací opatření, pokud provozovatelé nesplní požadavky. Pro velká komerční datová centra to znamená, že jejich compliance týmy budou muset mapovat každý incident podle nových prahů pro hlášení. Pro menší provozovatele by administrativní zátěž mohla být značná.

Co zákon nedělá – alespoň ve svém současném znění – je explicitní řešení dopadů povinného zveřejňování na soukromí. Když datové centrum nahlásí incident vládnímu regulátoru, může daná zpráva popisovat, jaká data byla dotčena, kteří nájemníci byli zapojeni a k jakým systémům byl získán přístup. Tyto informace putují do vládní databáze a podmínky, za nichž mohou být dále sdíleny, zatím nejsou plně definovány.

Jak povinné režimy hlášení vytvářejí nová rizika pro infrastrukturu VPN serverů ve Velké Británii

Poskytovatelé VPN, kteří si pronajímají serverový prostor v britských datových centrech, jsou nájemníky těchto zařízení. Nejsou osvobozeni od řetězce hlášení. Pokud datové centrum provozující VPN servery zaznamená kvalifikovaný incident, provozovatel jej musí nahlásit. Taková zpráva by mohla obsahovat podrobnosti o tom, které služby běžely na dotčené infrastruktuře, čímž by se otevřelo okno do aktivity VPN serverů, které by jinak neexistovalo.

Nad rámec hlášení incidentů vyvstává v souvislosti s rozšířenými vyšetřovacími pravomocemi zákona trvalejší otázka: mohou regulátoři přinutit datové centrum k poskytnutí přístupu k infrastruktuře nájemníků v průběhu vyšetřování? Formulace zákona týkající se shromažďování informací je široká a právní výklady si vyžádají čas, aby se ustálily prostřednictvím judikatury a regulatorních pokynů.

Pro uživatele VPN není praktické riziko nutně to, že vládní úředník zítra přečte jejich historii prohlížení. Riziko je strukturální. Regulatorní rámec, který zachází s datovými centry jako s kritickou národní infrastrukturou a disponuje rozšířenými pravomocemi přístupu a povinného zveřejňování, vytváří podmínky, které jsou pro anonymizované služby chránící soukromí zásadně méně příznivé než rámec, který takovými pravomocemi nedisponuje.

Zabavení serverů je ostřejším aspektem tohoto problému. Britské orgány činné v trestním řízení již mají mechanismy pro zabavení serverů v rámci trestních vyšetřování. Nový zákon tyto pravomoci přímo nerozšiřuje, ale užší vztah mezi provozovateli datových center a vládními regulátory činí provozní prostředí propustnějším. Poskytovatelé, kteří nezavedli ověřenou architekturu bez ukládání protokolů, čelí v tomto kontextu zvýšenému riziku.

Britské kybernetické právo vs. GDPR a NIS2: Kde tento zákon zapadá do globálního regulatorního vzorce

Britský zákon nevznikl ve vzduchoprázdnu. Po brexitu si Velká Británie zachovala předpisy NIS odvozené z původní směrnice EU o NIS, ale oddálila se ještě před vstupem aktualizované směrnice NIS2 EU v platnost. NIS2 výrazně rozšířila kategorie dotčených subjektů a zpřísnila lhůty pro hlášení incidentů napříč členskými státy EU. Britský zákon o kybernetické bezpečnosti a odolnosti je zčásti britskou odpovědí na NIS2, sledující podobné cíle prostřednictvím domácího legislativního nástroje.

Důležitým rozlišením z hlediska ochrany soukromí je jurisdikce. GDPR, které se ve Velké Británii stále uplatňuje prostřednictvím zachovaného britského GDPR, poskytuje rámec pro práva subjektů údajů a ukládá omezení toho, jak mohou být osobní údaje zpracovávány a sdíleny. Nový zákon o kybernetické bezpečnosti funguje v jiném regulatorním prostoru, zaměřeném na bezpečnostní postavení a hlášení incidentů spíše než na práva subjektů údajů. Otázka, jak tyto dva rámce vzájemně působí a kde si potenciálně odporují, zůstává otevřená a bude ji muset řešit regulátoři a soudy.

Pro uživatele VPN porovnávající jurisdikce to staví Velkou Británii do složitější pozice, než jakou zaujímala před pěti lety. Zachovává si ochrany odvozené z GDPR, ale zároveň buduje intervencionistický kybernetický režim s přímým přístupem k infrastrukturní vrstvě.

Na co by si uživatelé VPN měli dát pozor, aby se vyhnuli expozici v rámci britské jurisdikce

Jurisdikce je jedním z nejvíce přehlížených faktorů při výběru poskytovatele VPN a dopady zákona o kybernetické bezpečnosti a odolnosti na soukromí ji činí důležitější než kdy dříve. Stojí za to vyhodnotit několik konkrétních aspektů.

Za prvé, kde je poskytovatel VPN právně registrován? Společnost se sídlem ve Velké Británii podléhá britským žádostem orgánů činných v trestním řízení a regulatorním povinnostem bez ohledu na to, kde se fyzicky nacházejí její servery. Poskytovatel sídlící v jurisdikci mimo Velkou Británii a mimo alianci pro sdílení zpravodajských informací Five Eyes funguje na jiném právním základě.

Za druhé, kde se nacházejí servery, které skutečně používáte? I poskytovatel mimo Velkou Británii může provozovat servery v britských datových centrech, která nyní spadají pod nový režim hlášení. Poskytovatelé nabízející servery pouze s operační pamětí (RAM-only) nebo ti, kteří jasně dokumentují svá infrastrukturní rozhodnutí, dávají uživatelům více informací k dispozici.

Za třetí, byl zásadní audit nezávisle ověřen? Auditní zprávy sice neodstraňují právní riziko, ale stanovují faktický základ toho, jaká data existují. Poskytovatel, který nic nezaznamenává, nemá nic smysluplného, co by musel zveřejnit v rámci scénáře povinného hlášení.

Poskytovatelé se sídlem ve Švédsku například fungují podle švédského práva, které s sebou nese vlastní ochranu soukromí odlišnou od britského rámce. PrivateVPN, založená v roce 2009 se sídlem ve Švédsku, je jedním příkladem poskytovatele, jehož jurisdikce leží zcela mimo dosah britských regulátorů. To jej neznamená, že je imunní vůči veškerému právnímu tlaku, ale znamená to, že britské orgány nemohou přímo vymáhat zveřejnění prostřednictvím domácího práva.

Co to znamená pro vás

Britský zákon o kybernetické bezpečnosti a odolnosti není v konvenčním smyslu zákonem o sledování. Jde především o bezpečnostní a compliance opatření zaměřené na posílení národní infrastruktury. Infrastruktura, na niž se zaměřuje, však zahrnuje datová centra, v nichž se nacházejí VPN servery, a rozšířené pravomoci v oblasti hlášení a vyšetřování, které zákon vytváří, mají nepřímé důsledky pro soukromí.

Pokud váš poskytovatel VPN provozuje servery v britských datových centrech, tyto servery nyní existují v regulovanějším, vládě transparentnějším prostředí než dříve. Pokud je váš poskytovatel navíc právně registrován ve Velké Británii, vaše expozice se znásobuje.

Praktické kroky, které je třeba podniknout nyní:

• Zkontrolujte seznam serverů svého poskytovatele VPN a ověřte, zda britské servery nejsou ve výchozím připojení.
• Přečtěte si zásady ochrany osobních údajů poskytovatele a vyhledejte nezávislé audity jeho tvrzení o absenci ukládání protokolů.
• Zvažte, zda je váš poskytovatel registrován v jurisdikci se silným zákonem o ochraně soukromí bez přímé expozice britskému regulatornímu donucení.
• Pokud vás britská jurisdikce znepokojuje, vyhodnoťte poskytovatele se sídlem mimo Velkou Británii a mimo členské státy Five Eyes.

Legislativa tohoto typu má tendenci se po uvedení vyvíjet. Současný zákon projde parlamentem, přiláká pozměňovací návrhy a v nadcházejících měsících vygeneruje regulatorní pokyny. Sledování vývoje podrobností je tím nejefektivnějším, co mohou uživatelé dbající na soukromí v tuto chvíli udělat.