Specifika trestního řízení kybernetických TČ

Question 1

Jaké je specifikum oznámení TČ u kyberkriminality z hlediska oběti?

Answer 1

osoba často neví, že se stala obětí TČ (např. spyware = typ malwaru, do počítače se instaluje neoprávněně bez vědomí uživatele a chová se zde jako „špión“ | keylogger = typ malwaru, který zaznamenává pohyby uživatele na klávesnici)

Question 2

Kdo může podat oznámení o spáchání kybernetického TČ (/TČ spáchaného pomocí kyberprostoru)?

Answer 2

jednotlivec, firma, ale i poskytovatel služby

Question 3

Může policie na vlastní popud zahájit úkony trestního řízení, pokud se o kyber TČ dozví z jiných zdrojů (darknet, info ze zahraničí)?

Answer 3

ano může

Question 4

Kam se typicky oznamuje kybernetická TČ?

Answer 4

NÚKIB

Question 5

Spolupráce s … (4 body) je dalším specifikem trestního řízení kyber TČ?

Answer 5

a) poskytovatelé služeb (email, cloud, ISP)
b) zahraniční spolupráce (Europol, Interpol)
c) CERT/CSIRT týmy
d) soukromý sektor

Question 6

Jaká je povinnost poskytovatelů služeb v rámci trestního řízení?

Answer 6

spolupracuje se s nimi, protože musí musí uchovávat a předat logy (IP adresy, časy přihlášení apod.)

Question 7

Jak mohou v trestním řízení figurovat CERT/CSIRT týmy?

Answer 7

spolupráce při detekci a analýze incidentu, upozornění na zranitelnosti

Question 8

Jak může v trestním řízení pomoci spolupráce se soukromým sektorem?

Answer 8

spolupráce s firmami z oblasti IT bezpečnosti při analýze malware, phishingových útoků apod.

Question 10

Jak figuruje v trestním řízení “bitová kopie”?

Answer 10

• klíčová při zajišťování digitálních důkazů, které musí proběhnout rychle a nedestruktivně
• využívá se bitová (forenzní) kopie celého nosiče bit po bitu, včetně volného místa a smazaných dat

Používá se např. nástroj FTK Imager, EnCase, X-Ways apod.

Question 11

Co se děje s originálním médiem po zajištění a na čem se provádí analýza?

Answer 11

originál se po zajištění uchovává neporušený, analýza probíhá na kopii

Question 12

Jak probíhá protokolace úkonů u kybernetických TČ?

Answer 12

používá se tzv. chain of custody (přesná evidence kdo, kdy, jak se důkazu dotkl) - protože důkazní hodnota může být zpochybněna, pokud není jasné, kdo s daty manipuloval

Question 13

Znalci z jakých oborů se využívají u kyber TČ a co posuzují?

Answer 13

IT bezpečnost, kybernetika, digitální forenzika

posuzují způsob útoku, původ dat, funkčnost malwaru, dešifrování obsahu

Question 14

V jakých případech dochází k zapojení mezinárodních expertů a specializovaných pracovišť?

Answer 14

u složitějších útoků (např. ransomware, APT skupiny) bývá nutné zapojení mezinárodních expertů nebo specializovaných pracovišť (např. AFCEA, AVAST, ESET)

Question 15

Jaké existují kybernetické TČ?

Answer 15

rozdíl od TČ, které lze spáchat v kyberprostoru:
a) neoprávněný přístup k počítačovému systému a nosiči informací
b) opatření a přechovávání přístupového zařízení a hesla
c) poškození záznamu v počítačovém systému
d) šíření poplašné zprávy prostřednictvím el. komunikací

Question 16

Co upravuje v oblasti kyberkriminality Trestní řád (č. 141/1961 Sb.)?

Answer 16

neobsahuje zvláštní část pro kyber, ale použití zvláštních vyšetřovacích prostředků, umožňuje zabezpečení elektronických důkazů (dat a nosičů informací), zásady mezinárodní spolupráce v oblasti trestního řízení

Question 17

Z jakých 3 hledisek je podstatný Zákon o KB, přestože neupravuje trestné činy a trestní řízení v oblasti kyber?

Answer 17

1. prevence kyber hrozeb
2. povinnosti subjektů KII apod.
3. role NÚKIBu

Question 18

Jak je mezinárodně upravena kyberkriminalita?

Answer 18

Úmluva o kyberkriminalitě (Budapešťská úmluva) - pravidla mezinárodní spolupráce, harmonizace trestního práva a usnadnění vyšetřování
- převzata do českého práva včetně způsobu zajišťování elektronických důkazů

Question 19

Jaká judikatura a metodiky se uplatňují v praxi kyberkriminality?

Answer 19

a) metodické pokyny Policie ČR, státních zástupců a soudů k vyšetřování kybernetických trestných činů.
b) postupy pro digitální forenzní analýzu.
c) doporučení evropských institucí (např. ENISA, Europol EC3).

Question 20

Jaký útvar Policie ČR vyšetřuje kybernetickou kriminalitu?

Answer 20

oblast spadá v ČR primárně do působnosti Služby kriminální policie a vyšetřování Policie ČR. -> od 2023 nový samostatný útvar s celostátní působností - Národní centrála proti terorismu, extremismu a kybernetické kriminalitě

Question 21

Jak se nazývá nejdůležitější platforma pro mezinárodní spolupráci při vyšetřování a potírání (nejen) kyberkriminality?

Answer 21

Eurojust (Agentura Evropské unie pro justiční spolupráci v trestních věcech | European Union Agency for Criminal Justice Cooperation)

Question 22

Podílí se Vojenské zpravodajství na detekci a potírání kyberkriminality?

Answer 22

ano -> 2021 novela Zákona o vojenském zpravodajství -> umožňuje za splnění zákonných podmínek provádět cílenou detekci kybernetických útoků a hrozeb majících původ v zahraničí a směřujících proti důležitým zájmům státu

Question 23

Jaké údaje z počítače napomáhají vyšetřovatelům při vyšetřování kyberkriminality?

Answer 23

provozní a lokalizační údaje (např. IP adresa), které povinně ze zákona uchovávají telekomunikační operátoři -> určení na jaké webové stránky podezřelý přistupoval, s kým komunikoval, a kde se u toho fyzicky nacházel

Question 24

Co je to IP adresa (Internet Protocol adress)?

Answer 24

unikátní identifikátor přiřazený každému zařízení připojenému k počítačové síti, který umožňuje zařízením komunikovat mezi sebou v rámci této sítě. IP adresa je číselný identifikátor, který je používán k doručování datových paketů na správné místo v sít

Question 25

Co znamená "Data Retention"?

Answer 25

znamená uchovávání provozních a lokalizačních údajů výpočetní techniky

Question 26

Jaké 2 překážky stojí v cestě účinnému vyhledávání a zajišťování důkazů kyberkriminality policií?

Answer 26

1. rigidní procesní úprava získávání elektronických důkazů jak v tuzemsku, tak i v zahraničí 2. disproporce mezi množstvím technicky schopných pachatelů kybernetické kriminality na straně jedné a IT specialistů v řadách orgánů činných v trestním řízení na straně druhé

Question 27

Co je cílem budapešťské úmluvy o boji proti počítačové kriminalitě?

Answer 27

vytvoření prostoru, ve kterém je možné stíhat kybernetickou kriminalitu mimo hranice jednotlivých zemí

Question 28

Jak vznikají provozní a lokalizační údaje?

Answer 28

odesláním e-mailu, surfováním v síti, stažením či sdílením souboru, přihlášením se na sociální síť

Question 29

Co představuje při vyšetřování jednu z nejdůležitějších elektronických stop?

Answer 29

provozní a lokalizační údaje - mají charakter digitální stopy

Question 30

Kde najdeme zákonnou definici provozních a lokalizačních údajů?

Answer 30

Zákon č. 125/2005 Sb., o elektronických komunikacích

Question 31

Zákonná definice "provozních údajů"?

Answer 31

jakýkoliv údaj, zpracovávaný pro potřebu přenosu zprávy sítí elektronických komunikací nebo pro její účtování

Question 32

Zákonná definice lokalizačních údajů?

Answer 32

jakékoliv údaje, které jsou zpracovávány zpracovatelem v síti elektronických komunikací nebo službou, která zpracovává elektronické komunikace, které určují zeměpisnou polohu telekomunikačního koncového zařízení uživatele veřejně dostupné služby elektronických komunikací

Question 33

Jaká vyhláška upravuje uchovávání, způsob předávání a likvidaci provozních a lokalizačních údajů?

Answer 33

Vyhláška č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů

Question 34

Jaké konkrétní provozní a lokalizační údaje se podle této vyhlášky např. uchovávají?

Answer 34

a) typ připojení b) tel. číslo nebo označení uživatele c) datum a čas zahájení a ukončení připojení k internetu d) adresa IP a číslo portu ze kterého bylo připojení uskutečněno e) MAC adresa

Question 35

Co je to MAC (Media Access Control) adresa?

Answer 35

unikátní identifikátor (čísla a znaky), díky kterému jednoznačně rozpoznáte konkrétní zařízení (je například u každého síťového hardware, jako jsou ethernet nebo wi-fi karty) - např. 00:2C:11:1B:C8

Question 36

Jaký je rozdíl mezi MAC a IP adresou?

Answer 36

MAC adresa zůstává stále stejná, například na rozdíl od IP adresy, která se automaticky mění

Question 37

Kdo je to ISP?

Answer 37

poskytovatel internetového připojení

Question 38

Po jakou dobu je ISP povinen podle zákona o elektronických komunikacích uchovávat provozní a lokalizační údaje zařízení?

Answer 38

6 měsíců

Question 39

Nesplnění povinnosti uchovávat provozní a lokalizační údaje provozovatelem může vyústit v ... ?

Answer 39

správní delikt - přestupek (uložení pokuty až do výše 20 mil. Kč)

Question 40

Jakou povinnost má (co se týče "údajů") ISP po uplynutí 6 měsíců?

Answer 40

zlikvidovat je způsobem, který trvale znemožní jejich obnovení, a který provede dle technicko-organizačního předpisu

Question 41

Jak se vyjádřil ústavní soud k využívání "data retention" v trestním řízení?

Answer 41

použití vyžádaných údajů ze strany obecných soudů musí být podmíněno zkoumáním proporcionality zásahu z hlediska zásahu do práva na soukromí v každém individuálním případě + musí být dále zohledněna závažnost TČ

Question 42

Kde je upraveno předávání provozních a lokalizačních údajů při vyžádání Policií ČR?

Answer 42

Zákon č. 273/2008 Sb., o Policii ČR (§ 66 odst. 3)

Question 43

Jak musí podle zákona proběhnout předání provozních a lokalizačních údajů při vyžádání Policií ČR?

Answer 43

povinné osoby jsou žádosti povinny vyhovět bez zbytečného odkladu a ve formě a rozsahu stanovené ve Vyhlášce č. 357/2012 Sb., o uchovávání a předávání provozních a lokalizačních údajů

Question 44

Podle zákona je Policie povinna žádat o poskytování údajů pouze jakým způsobem?

Answer 44

takovým způsobem, který do 5 let od požádání umožní identifikovat (1.) příslušný útvar nebo konkrétního policistu, který žádal a (2.) účel, za jakým k dožádání údajů došlo