Karel Řehka: Bezpečnost je třeba řešit od základů

    Rozhovor s ředitelem Národního úřadu pro kybernetickou a informační bezpečnost Karlem Řehkou.

    Co je hlavním posláním vašeho úřadu a čím se naopak vůbec nezabývá?

    Zjednodušeně se dá říct, že se zabýváme ochranou systémů, které jsou nezbytné pro fungování státu a bezpečí jeho obyvatel. U těchto systémů zajišťujeme, aby nedocházelo k narušení důvěrnosti, dostupnosti či integrity dat. Zkrátka že data čtou jen ti, kteří k tomu mají oprávnění, že se k datům lze ze strany oprávněných uživatelů dostat a že je nikdo neoprávněně neupravuje, nemaže a tak dále. K tomu samozřejmě tvoříme veškerou legislativu, na jejímž základě určujeme, které systémy jsou kritické a jak moc mají být chráněny. Mimo to máme i technickou složku, která přijímá hlášení o incidentech a případně pomáhá s jejich řešením.

    Další oblastí je ochrana utajovaných informací v informačních a komunikačních systémech. V lecčems je to podobné kybernetické bezpečnosti, ale řídí se to jinými zákony a používají se jiné technologie. A také pod nás spadá veřejně regulovaná služba navigačního systému Galileo. To je speciální část tohoto projektu, jež bude sloužit třeba záchrannému systému a dalším složkám, které potřebují spolehlivou navigaci, neboť tato služba je mnohem odolnější proti rušení.

    Čím se naopak nezabýváme, jsou třeba dezinformace. Spousta lidí si myslí opak, když máme v názvu slovo „informační“, ale to se odkazuje právě na bezpečnost utajovaných informací. Problematiku dezinformací mají pod sebou jiné složky. Nás obsah informací a dat tolik nezajímá. Zajímá nás to, zda jsou v bezpečí.

    Téma kybernetické bezpečnosti se zejména v poslední době dostává stále více do popředí. Jaký je vlastně vývoj počtu a závažnosti kybernetických incidentů za poslední roky?

    Obojí roste. Přesná čísla jsou dohledatelná v našich zprávách o stavu kybernetické bezpečnosti. Ale je třeba si uvědomit, že jde jen o špičku ledovce. Nám hlásí incidenty především subjekty, které jsou regulované naším zákonem. Celkový počet incidentů je mnohonásobně vyšší.

    Co se týče závažnosti, tak třeba útoky na nemocnice asi nikdo nemohl přehlédnout. Některé z napadených nemocnic útoky zcela vyřadily z provozu na dlouhé týdny až měsíce a podle mě máme štěstí, že nikdo nepřišel o život.

    Zároveň roste i sofistikovanost těchto útoků. Zatímco dříve byly třeba podvodné maily psané chybnou češtinou a lidé z nich měli legraci, dnes je jazyk na velmi slušné úrovni a řada mailů je cílena na konkrétní instituci či uživatele, takže ti vůbec nemají podezření, že by mohlo jít o podvod. Následně kliknou na zavirovanou přílohu nebo odkaz a celá instituce může v krajním případě přijít o všechna cenná data.

    Projevilo se na počtu a závažnosti incidentů rozšíření práce z domova a vzdálených přístupů k firemním serverům v posledních dvou letech v souvislosti s onemocněním covid-19?

    Počet útoků se zvyšoval, ale to je spíše obecný trend a těžko říct, nakolik ho připisovat pandemii. Chvílemi bylo zjevné, že útočníci pandemická témata zneužívají, například když se posílaly podvodné maily s údajnými výsledky covidových testů. Práce na dálku se zase projevila některými útoky, které cílily na špatně zabezpečené VPN.

    Obecně digitalizace společnosti postupuje obrovským tempem a pandemie to jen urychlila. Díky ní jsme si ale uvědomili to, co bylo lidem z oboru jasné už dávno, tedy že na informačních a komunikačních technologiích jsme existenčně závislí. A proto bychom měli věnovat velkou pozornost jejich bezpečnosti. Nejde o zábavu pro pár ajťáků, jde o skutečně zásadní strategickou disciplínu.

    Ing. Karel Řehka

    Vystudoval vojenské gymnázium v Opavě a Vysokou vojenskou školu pozemního vojska ve Vyškově, absolvoval roční důstojnický kurz ve Velké Británii a prestižní kurz rangers v USA, zúčastnil se vojenských misí na Balkáně a v Afghánistánu. V armádě dosáhl hodnosti brigádního generála. Od listopadu 2014 stál v čele Ředitelství speciálních sil Ministerstva obrany a byl zástupcem velitele Mnohonárodní divize severovýchod. Dlouhodobě se zabývá tématem hybridní války a vojenských informačních operací.

    Máte za sebou bohaté zkušenosti profesionálního vojáka. Jak nabyté zkušenosti využíváte coby ředitel NÚKIB?

    To se asi nedá úplně jednoduše shrnout. Každopádně zkušenosti s vedením lidí a řízením organizace jsou přenosné. Stejně tak jsou využitelné i zkušenosti s vedením ve vypjatých krizových situacích, principy operačního plánování, hodnocení rizik, systémový přístup, analytické i strategické myšlení apod. Ono vedení vojenské operace je v mnohém jako řízení velmi komplikovaného projektu v nepřehledném a nebezpečném prostředí plném změn s mnoha neznámými a potřebou velmi úzké koordinace mezi mnoha hráči. Podobné situace zažijete i v kybernetické bezpečnosti.

    Jste autorem knihy Informační válka, která vyšla před čtyřmi lety. Na rozdíl od otevřeného konfliktu je tento typ boje pro běžného člověka spíše neviditelný. Jaké důsledky ale může pro společnost či jedince mít?

    Samotný pojem informační válka není součástí oficiální vojenské terminologie a má spíše ilustrovat problém. V knize se snažím srozumitelnou řečí vysvětlovat, že válčení vedle fyzického světa probíhá také v informačním prostředí a tato část válčení v dnešní době nabývá na důležitosti.

    V zásadě jde o to, jak podporovat své cíle tím, že získávám převahu v informačním prostředí, chráním si své informace a informační systémy a působím na ty protivníkovy. Tím se snažím narušovat jeho vůli klást odpor, jeho schopnost orientovat se v situaci a chápat, co se děje, a jeho schopnosti informace a informační systémy reálně používat. To může mít různou podobu od psychologického působení prostřednictvím letáků, médií či sociálních sítí přes klamání například falešným rádiovým vysíláním až třeba po rušení rádiového provozu, kyberútoky či fyzické ničení informační infrastruktury bombardováním.

    Dopady na společnost a jedince záleží na situaci a mohou být různé. V době míru často vidíme narušování jednoty společnosti, důvěry lidí ve vlastní stát a jeho spojence nebo třeba také relativizování pravdy a toho, kdo je přítel a kdo nepřítel. To ale nemusí být vždy jen důsledkem nepřátelského působení. Chytrý protivník ve svůj prospěch také často využívá již existující problémy protistrany a s těmi dále „pracuje“.

    Dá se říci, že aktuálně probíhá informační válka?

    Spíš se dá říci, že probíhá odjakživa. Informační působení bylo součástí už nejstarších konfliktů lidstva. Nové jsou jen technologie, které se k tomu používají. Dříve bylo velmi složité oslovit plošně a rychle obyvatelstvo nějakého cizího státu, nebo jeho konkrétní část. Šlo to pomocí letáků, později třeba radiového vysílání a podobnými drahými a složitými způsoby. Dnes v době internetu je to velmi jednoduché a levné. Technologie nám také umožňují to dělat sofistikovaněji a cíleně. Proto tato forma zažívá nevídaný rozmach.

    Český statistický úřad s Národním úřadem pro kybernetickou a informační bezpečnost vzhledem k charakteru své práce již nějaký čas spolupracuje. Můžete nastínit, co je předmětem této spolupráce?

    Jak jsem popsal už výše, tak chráníme systémy, které jsou něčím důležité pro fungování státu a bezpečí jeho obyvatel. Některé systémy, které provozuje ČSÚ, do této definice bezpochyby spadají. Například ČSÚ sčítá volební hlasy a asi se shodneme, že volby a jejich bezpečný průběh jsou jedním ze základů fungování demokratického právního státu. Proto jsme se v posledních měsících věnovali komplexnímu auditu celého volebního systému z pohledu kybernetické bezpečnosti. Tento audit probíhá tak, že hledáme všechny myslitelné zranitelnosti od technických nedostatků až po nevhodná organizační opatření a nedostatečně proškolený personál. V závěru poskytneme auditovanému subjektu sérii doporučení, jak zjištěné nedostatky odstranit, a sledujeme, zda k tomu došlo. Abychom maximálně posílili bezpečnost volebního procesu, prověřovali jsme opravdu všechno, co prověřit šlo, a zároveň jsme pro ČSÚ uspořádali cvičení kybernetické bezpečnosti. Jeho cílem bylo hlavně nastínit, co všechno se může stát, a prověřit funkčnost krizových plánů a rozhodovacích procesů v krizových scénářích. Výsledky našich auditů jsou z logiky věci neveřejné, protože bychom jejich zpřístupněním odhalovali potenciálním útočníkům možná slabá místa, ale troufnu si říct, že ačkoli vždy může nastat nějaký útok či pokus o něj, samotný volební proces je zabezpečen velmi dobře.

    Jak moc je pravděpodobné, že se některá organizace, jedinec, či dokonce stát pokusí nějakým způsobem narušit průběh nadcházejících sněmovních voleb?

    Do odhadu pravděpodobnosti toho, že nějaký útok přijde, se u nás raději nepouštíme. To by bylo věštění z křišťálové koule. Co nás zajímá, je míra zabezpečení. A ta je u volebního procesu velmi vysoká. Navíc celý systém je postaven na sčítání papírových hlasů a na každé úrovni je možná zpětná kontrola výsledků. Už jen díky tomuto faktoru jsou volby velmi transparentní, a tudíž těžko napadnutelné přes kyberprostor. Co se může někdo pokusit shodit, je volební web. To je ale jen zobrazovací zařízení a jeho nefunkčnost by sčítání hlasů nijak neovlivnila. Je to, jako by vypadl televizní přenos fotbalového utkání. Diváci u televize nic nevidí, ale na stadionu se hraje dál a hra není nijak ovlivněna. I zde se však zavádějí maximální opatření, aby k tomu nedošlo.

    Existuje proti těmto hrozbám vůbec nějaká potenciální ochrana?

    Existuje hlavně prevence. Nejslabším článkem kybernetické bezpečnosti je vždycky člověk. Škodlivý kód se do systému musí někudy dostat. A než složitě hledat nějaké zranitelnosti, bývá nejjednodušší přimět někoho, aby omylem klikl na zavirovaný odkaz nebo otevřel zavirovanou přílohu. Lidská chyba samozřejmě může být i u technických pracovníků, když třeba nesledují, co se kde děje, a zapomenou nainstalovat nějakou důležitou bezpečnostní aktualizaci, která opravuje nějakou nově objevenou zranitelnost.

    Dále je samozřejmě řada technických opatření. Třeba když nemáte segmentovanou vnitřní síť, tak nákaza jednoho počítače může znamenat zavirování celé sítě. Naopak, pokud síť segmentovanou máte, lze nákazu zastavit včas a škody jsou minimální. Podobné je to se zálohami. Když vám někdo zašifruje data, tak si je obnovíte ze záloh a jedete dál. Pokud ovšem ty zálohy máte. V opačném případě máte smůlu.

    A klíčová jsou i opatření na úrovni managementu. Kybernetické hrozby musejí být mezi hlavními riziky, kterými se management musí zabývat. Nikdo dnes nepochybuje, že je třeba řešit požární bezpečnost nebo fyzickou bezpečnost objektů. Ale u kybernetické bezpečnosti si pořád dost lidí myslí, že je to něco, čím by se mělo zabývat oddělení IT provozu. Ale tak to není. Je to samostatná disciplína zahrnující plánování, analýzu rizik, vyhodnocování rizikového profilu dodavatelů a další oblasti. To jde dělat jen z nejvyšší manažerské úrovně.

    Jak bude podle vás vypadat digitální svět za deset či patnáct let? A bude to svět bezpečný?

    Svět budoucnosti bude bezpečný, pokud mu dnes postavíme bezpečné základy. Když stavíte dům, tak taky do základů dáváte zemnicí pásku pro budoucí připojení hromosvodu a u všech konstrukcí řešíte jejich požární bezpečnost. Stejně tak musíme budovat bezpečné základy toho, na čem v budoucnu poběží celá digitální společnost a ekonomika. Jde zejména o sítě páté generace. Stejně tak musíme sledovat nastupující technologie, jako jsou umělá inteligence nebo kvantové počítače. To jsou všechno technologie, které budou mít v budoucnosti naprosto zásadní význam. A stejně jako s tím domem platí, že pokud je nebudeme od základů budovat jako bezpečné, zpětně to budeme dohánět velmi těžce.