Kyberkriminalita
Zveřejnění podle ustanovení § 5 odst. 3 zákona č. 106/1999 Sb.
Žadatel požádal o následující informace vztahující se problematice kybernetické kriminality:
1) počtu registrovaných trestných činů dle ust. §§ 230, 231 a 232 tr. zákoníku za rok 2018
(data uveřejňujete na webu souhrnem v rámci TSK 865, z čehož není zřejmý poměr
jednotlivých skutkových podstat);
2) statistická data kybernetické kriminality za období 2010–2018, za každý rok odděleně
s rozlišením jednotlivé kategorie kybernetické kriminality, počet registrovaných skutků,
objasněných skutků, výší způsobené škody a výší zajištěných výnosů z trestné činnosti
(z tabulky na Vašem webu nejsou výše uvedené údaje zřejmé);
3) počet evidovaných trestných činů za období 2015–2018, dle ust. § 230 tr. zákoníku u
kterých byl předmětem útoku prvek kritické informační infrastruktury (dle Vašeho sdělení
pod č. j. PPR-4205-4/ČJ-2018-990140 byly za období 2015–2017 evidovány 3 skutky);
4) pokud byla trestní řízení u skutků specifikovaných v bodu 3. již ukončena, s jakým
výsledkem (pokud možno zaslání rozhodnutí ve věci – anonymizovaných).
Poskytnutí výše uvedených dat žádám, pouze za předpokladu evidování z Vaší strany a jejich možného poskytnutí, bez vynaložení úhrady nákladů.
I.
Policie České republiky poskytla žadateli informace požadované v bodu 1) a 2) žádosti v přiloženém souboru.
Soubor obsahuje statistické údaje o kyberkriminalitě za roky 2011 až 2018 v požadované struktuře s výjimkou údajů o výši zajištěných výnosů z trestné činnosti, a to vždy ve dvou kontingenčních tabulkách za každý kalendářní rok. První tabulka v oblasti řádků uvádí jednotlivá ustanovení zákona č. 40/2009 Sb., trestního zákoníku, ve znění pozdějších předpisů (první trojčíslí označuje paragraf, další skupiny dvou nebo tří znaků označují jeho odstavec, případně písmeno), v oblasti dat počet neobjasněných skutků, objasněných skutků a jejich celkový součet a v oblasti filtrů škody buď ve stovkách korun (roky 2011-2015) nebo v celkové výši (roky 2016-2018). Druhá tabulka v oblasti řádků uvádí škody buď ve stovkách korun (roky 2011-2015) nebo v celkové výši (roky 2016-2018), v oblasti dat počet neobjasněných skutků, objasněných skutků a jejich celkový součet a v oblasti filtrů jednotlivá ustanovení zákona č. 40/2009 Sb., trestního zákoníku, ve znění pozdějších předpisů.
Policie České republiky statisticky vykazuje trestnou činnost zahrnovanou pod pojem kybernetické kriminality od roku 2011. Nedisponuje proto požadovanými statistickými údaji za rok 2010 a soubor těchto údajů by musela zpětně vytvořit. Ustanovení § 3 odst. 3 zákona č. 106/1999 Sb. definuje informaci jako jakýkoli obsah nebo jeho část v jakékoli podobě, zaznamenaný na jakémkoli nosiči, zejména obsah písemného záznamu na listině, záznamu uloženého v elektronické podobě nebo záznamu zvukového, obrazového nebo audiovizuálního. Informace o kyberkriminalitě za rok 2010 jsou sice v rozptýlené podobě obsaženy v trestních spisech vedených v tomto roce povinným subjektem, avšak jejich vyhledání v těchto spisech, shromáždění a sestavení do souboru v žadatelem požadované struktuře podle názoru povinného subjektu daleko přesahuje pouhou mechanickou činnost, neboť každou z těchto informací je nutno zvlášť posoudit a určit, zda ji lze podřadit pod pojem kybernetické kriminality či nikoliv. Takové sestavení souboru statistických údajů na základě posuzování vyhledaných informací a jejich selekce povinný subjekt považuje za vytváření nové informace ve smyslu ustanovení § 2 odst. 4 zákona č. 106/1999 Sb. Toto ustanovení praví, že povinnost poskytovat informace se vytváření nových informací netýká.
Policie České republiky ve statistice trestné činnosti zahrnované pod pojem kybernetické kriminality nevykazuje zajištěné výnosy z trestné činnosti. Požadovanými statistickými údaji o zajištěných výnosech ve vztahu ke kyberkriminalitě proto nedisponuje a musela by soubor těchto údajů zpětně vytvořit. Informace o výnosech z trestné činnosti zajištěných během přípravného řízení jsou sice v rozptýlené podobě obsaženy v trestních spisech vedených povinným subjektem, avšak jejich vyhledání v těchto spisech, shromáždění, posouzení a přiřazení ke statistickým údajům o kyberkriminalitě obsaženým ve stávajícím souboru podle názoru povinného subjektu rovněž přesahuje pouhou mechanickou činnost. Doplnění stávajícího souboru statistických údajů o údaje dokumentující výši zajištěných výnosů z trestné činnosti na základě posuzování vyhledaných informací a jejich selekce povinný subjekt opět považuje za vytváření nové informace, na něž se povinnost poskytovat informace podle ustanovení § 2 odst. 4 zákona č. 106/1999 Sb. nevztahuje.
II.
K bodu 3) a 4) žádosti sdělila Policie České republiky žadateli následující informace:
Počet evidovaných trestných činů dle ustanovení § 230 trestního zákoníku za období 2015-2018: 4.
V jednom případě jsou v současné době prováděny úkony trestního řízení a není možné sdělit bližší informace.
Ostatní tři případy byly odloženy dle ustanovení § 159a odst. 5 trestního řádu. V rámci prověřování lze konstatovat, že byly reálně ohroženy systémy kritické informační infrastruktury, které si stát definuje jako velmi důležité pro chod ICT infrastruktury státních orgánů a soukromoprávních subjektů, a policejní orgán v rámci své činnosti (postup dle trestního řádu např. ustanovení § 2, § 3 a následující) v rámci zahájených úkonů trestního řízení dle ustanovení § 158 odst. 3 trestního řádu objasňoval zejména postupy podezřelých subjektů vůči daným PC systémům a následně i příčiny dopadů kybernetických útoků na uvedené důležité systémy zajišťující chod státní počítačové infrastruktury. Taktéž byly přezkoumávány postupy odpovědných osob, které mají na starosti zajištění bezpečnosti ICT sítí a systému napadených subjektů v rámci kybernetických útoků. Závěry Policie České republiky v daných trestních věcech nelze z taktických a bezpečnostních důvodů zveřejnit. Pokud by se závěry Policie ČR zveřejnily, mohly by sloužit jako návod k podobné nezákonné činnosti a došlo by logicky k ohrožení fungování systémů zařazených do kritické informační infrastruktury, pomocí kterých je zabezpečen chod velmi důležitých systémů nezbytných pro fungování infrastruktury České republiky. Poskytnutím požadovaných informací v celém rozsahu by byla ohrožena schopnost orgánů činných v trestním řízení předcházet trestné činnosti, vyhledávat nebo odhalovat trestnou činnost nebo stíhat trestné činy nebo zajišťovat bezpečnost České republiky.
pplk. JUDr. Lucie Žárská, 13. 3. 2019