Trap and trace is a legal procedure that allows law enforcement authorities to monitor and record Internet traffic for the purpose of identifying and investigating criminal activity.

What is trap and trace?

Trap and trace (česky „zachycení a sledování“) je legální vyšetřovací nástroj, který umožňuje orgánům činným v trestním řízení sledovat, odkud pochází digitální komunikace a kam směřuje. Nezaznamenává samotný obsah komunikace, ale metadata – například IP adresy, porty, časy připojení nebo cílové servery. Využívá se při pátrání po kybernetické trestné činnosti, jako jsou hackerské útoky, vydírání nebo nelegální obchod.

Where trap and trace is used in practice

Examples of business applications:

• Sledování útoků typu DDoS nebo ransomwaru – vyšetřovatelé sledují síťový provoz zpět k původci útoku.
• Mapování komunikace kyberzločinců – určení, odkud byl odeslán škodlivý e-mail nebo k jakým serverům se útočník připojoval.
• Získání důkazů bez nutnosti narušit obsah komunikace – vhodné tam, kde zákon neumožňuje odposlech.
• Sledování podezřelých zařízení v podnikové síti – podpora firemních vyšetřování v součinnosti s policií.
• Pomoc při vyhledávání zcizených dat nebo digitálních stop.

Tyto postupy obvykle vyžadují povolení soudu nebo jiný zákonný rámec. Slouží jako důležitý článek v řetězci digitální forenzní analýzy – a často pomáhají určit, kdo, kdy a odkud útočil.

How trap and trace a podobnými pojmy?

• Trap and trace vs. wiretap (odposlech):
  • Trap and trace sleduje metadata – bez obsahu.
  • Wiretap zaznamenává celý obsah komunikace (např. telefonní hovory, e-maily).
• Trap and trace vs. packet capture:
  • Trap and trace je legálně omezený na hlavičky komunikace.
  • Packet capture (např. pomocí Wiresharku) zachytává plné síťové pakety, včetně obsahu.

Proč na tom záleží:
Trap and trace je méně invazivní než odposlech – ale přesto poskytuje vyšetřovatelům zásadní informace. Jeho použití je právně striktně vymezené, ale pro odhalení útočníka často klíčové.

How to protect your business from trap and trace ?

Kroky pro firemní praxi:

1. Zajistěte logování síťového provozu (metadata, nikoliv obsah).
2. Zaveďte bezpečnostní monitoring (např. pomocí IDS, firewallů, SIEM).
3. Stanovte interní pravidla pro spolupráci s policií v případě incidentu.
4. Připravte kontaktní osobu pro incident response a komunikaci s OČTŘ.
5. Uložte a zálohujte síťové logy dle zákonných lhůt.

Proč se tím zabývat:
Firmy často nevědí, jak mohou spolupracovat s vyšetřovateli nebo jaká data jim případně poskytnout. Přitom správné logování a evidence digitálních stop může výrazně zrychlit odhalení pachatele – a ochránit firmu před dalším útokem či právními následky.