Úprava legislativy hazardních her přináší nové nároky pro poskytovatele internetu

Nová legislativní úprava hazardních her přijatá zákonem č. 186/2016 Sb., o hazardních hrách (dále jen „zákon o hazardu“) klade určité nároky na poskytovatele připojení k internetu, konkrétně po nich požaduje zajištění blokování určitých stránek spojených s hazardem. Vzhledem k tomu, že na první pohled neexistuje žádné jednoznačně „správné“ technologické řešení uvedeného požadavku, provedli bezpečnostní specialisté společnosti Alef analýzu možných postupů, pro něž by se teoreticky mohli poskytovatelé připojení k internetu rozhodnout, a zhodnocení možností jejich realistického nasazení.

§82 nově schváleného zákona o hazardu týkající se tzv. „blokace internetových stránek s nepovolenými internetovými hrami“ říká, že poskytovatelé připojení k internetu na území České republiky budou od 1. 1. 2017 povinni zamezit v přístupu k internetovým stránkám s nepovolenými internetovými hrami a tuto povinnost musí splnit ve lhůtě 15 dní od zveřejnění této internetové stránky na zvláštní seznam udržovaný ministerstvem financí.

Pojem „zamezení v přístupu“ je v současnosti diskutabilní, pokud bychom jej nicméně vysvětlili jako požadavek na plné aktivní blokování všech internetových stránek s nepovolenými internetovými hrami, lze konstatovat, že uvedená povinnost by byla z technického hlediska reálně nesplnitelná – v současnosti totiž neexistuje technologie, která by byla schopná filtrovat tímto způsobem veškerý webový provoz (včetně obsahu VPN tunelů, využívání technologie Tor, apod.).

Možností blokace webového provozu, resp. přístupu k určité množině internetových stránek, je několik, každá však přináší určité problémy. Jak bylo uvedeno výše, žádná z nich není schopna zabránit přístupu ve všech případech a implementace většiny z nich by navíc znamenala potřebu značné investice na straně poskytovatelů připojení k internetu.

Analogicky k výše uvedenému požadavku si lze představit hypotetický případ zákonného stanovení požadavku, aby silniční vozidla z výroby obsahovala mechanismus, díky němuž by nemohla překročit maximální rychlostní limit pro silnici, po níž se v danou chvíli pohybují. V tomto případě by zcela jistě rovněž existovalo několik potenciálně možných řešení, pro něž by se výrobci vozidel mohli rozhodnout. Každé z nich by však s vysokou pravděpodobností bylo možné za určitých okolností „obejít“ a implementace těchto řešení by v každém případě byla velmi nákladná.

Finančně nejméně náročnou variantou (z tohoto pohledu se dokonce jedná o jedinou reálně dostupnou variantu pro všechny poskytovatele připojení k internetu), je implementace řešení spočívajícího v podvržení záznamů „zakázaných“ stránek na DNS serverech poskytovatele připojení k internetu tak, aby ukazovaly na internetové stránky informující uživatele o zablokování přístupu. Lze pochybovat, zda může být tato varianta považována za splnění zákonem stanovených požadavků. Důvodem je skutečnost, že uživatelé by mohli popsaný mechanismus snadno obejít používáním jiných než operátorských DNS serverů. Na straně poskytovatele připojení k internetu by bylo sice možné blokovat přístup k cizím DNS serverům, uvedený přístup by však nebyl stoprocentně účinný, způsoboval by také nefunkčnost některých aplikací a služeb a šel by proti principům síťové neutrality.

Na úrovni DNS by bylo teoreticky možné řešit uvedený požadavek také filtrováním, resp. přepisováním, všech procházejících DNS záznamů. Popsané řešení by nicméně nedokázalo postihnout šifrovaný DNS provoz, s jehož rozšířením se v budoucnu počítá, jeho použití s protokolem DNSSec by bylo problematické a finanční náročnost implementace takového mechanismu by byla s ohledem na potřebu filtrovat velké množství provozu extrémně vysoká. V současnosti navíc neznáme nástroj, který by popsanou funkčnost dokázal poskytnout.

Pravděpodobně nejvyšší účinnost s ohledem na záměr zákona by mělo řešení založené na filtrování provozu pomocí proxy serverů na straně poskytovatelů připojení k internetu, nebo transparentního filtrování pomocí firewallů na všech linkách vedoucích do zahraničí. Uvedená řešení by umožnila zamezit většině uživatelů v přístupu k „zakázaným“ internetovým stránkám, mohla by nicméně způsobit nefunkčnost řady aplikací a služeb, které jsou založeny na komunikaci na portech užívaných protokoly HTTP a HTTPS, a řadu dalších problémů.  Vzhledem k mohutnosti datových toků, které by bylo nutné touto cestou filtrovat, by v obou výše uvedených případech vyžadovala implementace odpovídajícího řešení i na straně středních poskytovatelů investice v řádech desítek milionů korun a nelze jí tak ani z finančního hlediska považovat za schůdnou.

Za jediné po technické i finanční stránce přijatelné řešení, které by poskytovatelé mohli reálně implementovat, lze tedy považovat úpravu odpovídajících DNS záznamů na svých serverech. Bylo by však poměrně jednoduché se mu vyhnout a přinášelo by s sebou řadu potenciálních problémů. S výjimkou těch výše uvedených by v některých případech mimo jiné mohlo způsobovat i znepřístupnění legálního obsahu (například pokud by byla blokována doména druhého řádu, na níž by doménu třetího řádu užívaly vedle „zakázaných“ stránek také stránky se zcela nezávadným obsahem). I přes relativní finanční nenáročnost tak ani blokace na úrovni DNS nemůže být považována za vhodné řešení.

Jan Kopřiva

CSIRT Coordinator