Ve výroční zprávě Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se uvádí, že nejčastějším útočníkem ze strany státních aktérů je Rusko a Čína. Dá se říct, která z těchto zemí je v oblasti kybernetické bezpečnosti pro Česko nebezpečnější?
V návaznosti na ředitele Bezpečnostní informační služby Michala Koudelku a jeho vystoupení v Poslanecké sněmovně lze zopakovat, že Čína je agresivnější, Rusko je trošku oslabené sankcemi.
Stojí za útoky na státní instituce pouze jiné státy, nebo také jiní aktéři?
Jedna část útočníků mohou být opravdu jiné státy, druhou část tvoří takzvaní kyberzločinci, jak jsme je ve zprávě pojmenovali. Obě skupiny mají různé motivace. Cizí státy chtějí útoky získat především strategickou výhodu, získat nějaký vliv, případně nějaké strategicky důležité informace využitelné i v jiných oblastech. U kyberzločinců je motivace v první řadě finanční.
A není pro kyberzločince přece jenom atraktivnějším cílem nějaká velká firma? Například nyní útoku čelila společnost Avast, která vyvíjí antivirové programy.
V dnešní době mají zajímavou hodnotu mimo jiného také osobní údaje a stát jich samozřejmě zpracovává poměrně hodně. Takže ano, i pro kyberzločince se zájmem o finanční zisk může být státní instituce zajímavá. Nehledě na to, že ransomware (virus, který zašifruje soubory a požaduje od jejich majitele výkupné za jejich odemčení, pozn. red.) se může šířit do značné míry náhodně a odkaz na škodlivý kód tak může doputovat i do schránek státních institucí. Známý je příklad nemocnice v Janově na Rokycansku, která se loni cílem takového útoku stala.
Není ale přece jenom tato forma průmyslové špionáže legitimním nástrojem, jak získat nějaké informace? Mluví se často o Číně a Rusku, ale nepostupují stejně třeba i západní mocnosti?
V případě západních mocností tato aktivita určitě není řízená státem, který by to masivně koordinoval. Že by například celé Spojené státy koordinovaně něco tímto způsobem získávaly, je asi vyloučené, nepovolují to už jen jejich zákony. U Ruska a Číny je napojení hackerských skupin na stát příkladem maximálního splynutí těchto dvou entit.
V demokratických státech to tedy není možné už z principu?
Rozhodně ne takto řízeným způsobem. V Rusku a Číně je to centrálně řízené nějakou skupinou. V demokratickém státu, když nějaké složky dostanou takový příkaz, tak automaticky řeknou, že na to nemají pravomoc. Tam je úplně jiný režim. Zatímco v Číně musí každý spolupracovat s někým, kdo rozhodne, že to tak bude.
Principiální rozdíl je ve váze zákona. Kdyby to měl dělat demokratický stát, tak by si to musel napsat do zákona, čehož by si veřejnost všimla. Samozřejmě není vyloučené, že se v demokratických státech vytvoří skupina s nekalými úmysly a půjdou do toho na vlastní pěst. To se může stát kdekoliv na světě. Ale jde o centralizovanost, řízení a napojení na zdroje, které stát jako takový má daleko významnější než jakýkoliv soukromník.
Mohou hackeři cizího státu zaútočit také na běžného občana?
Dovedu si představit, že pro cizí stát bude zajímavá soukromá společnost, tím spíše když má pro chod státu strategický význam. Ostatně v Česku stejně jako jinde ve světě je část kritické infrastruktury v soukromých rukou. Útoky na osoby zase mohou nastat v případě, že jde o člověka v důležité funkci. Ostatně není to tak dlouho, co se někdo vlámal do e-mailové schránky tehdejšího premiéra Bohuslava Sobotky a její obsah zveřejnil.
Spíš jsem se ptal na to, jestli se terčem útoku hackerů řízeným Čínou může stát úplně běžný člověk, který nezastává nějakou významnou funkci.
Ta pravděpodobnost je malá. Nelze ale vyloučit, že si na něm budou chtít něco vyzkoušet. Běžný občan může být lakmusový papírek. Můžou si na něm zkoušet nějaké techniky, mohou se na něm učit. Ale ta pravděpodobnost je úplně minimální, spíše mizivá. Co ale hrozí, je sběr dat o populaci, o jejím chování, spotřebitelských návycích a podobně. To jsou v současnosti velmi cenná data využitelná například při vlivových kampaních.
Váš úřad se snaží vzdělávat kromě státních institucí právě také veřejnost. Jaké jsou ty největší chyby, kterých se běžní uživatelé dopouštějí?
Je to například "bezhlavé klikání". To je asi největší potíž, která je rozšířená v široké populaci. Pořádně se nepodívám, od koho mi přišel třeba e-mail, nevím, co je jeho obsahem, ale vidím tam odkaz nebo zajímavě vypadající tlačítko, tak na něj kliknu. Rychlost, kterou technologie umožňují, je zároveň tou největší slabinou v uživatelské rovině. Lidé jsou zvyklí mít všechno hned a snadno. Naproti tomu bezpečnost musí nabádat k jisté opatrnosti a s tou samozřejmě rychlost a komfort částečně klesá.
Lidé například často přelepují kamery u notebooku. Má to nějaký smysl? A proč to vůbec lidé nedělají u mobilu? Jsou v tomto ohledu mobily bezpečnější?
Přelepování smysl určitě má, protože tím snižujete riziko, že si vás někdo natočí ve chvíli, kdy o tom nebudete vědět nebo si to nebudete přát. Slušivé krytky, které se dělají na notebooky, se dělají i na telefony, byť to není tolik vzhledné a praktické vzhledem k lidské pohodlnosti. Dneska se projdete po ulici a vidíte, jak si každý něco fotí. A oddělávat a zadělávat krytku pokaždé, když chci použít telefon jako fotoaparát, se prostě řadě lidí nechce. Je to daň za pohodlnost a opět tu rychlost.
Ale riziko je stejné?
Kamera, ať už je v počítači nebo telefonu, se zapíná a vypíná softwarově. Takže někdo opravdu šikovný to skutečně může na dálku udělat a může to udělat i tak, že to nezjistíte, nerozsvítí se žádná dioda, nic.
Podle vaší výroční zprávy kybernetických útoků rok co rok přibývá. Reaguje na to stát odpovídajícím způsobem? Tak, jak rostou útoky, roste i zabezpečení?
Asi nejde říct, že jde o přímou úměru. Reakce státu tam je, nicméně z naší zkušenosti stát reaguje významně pomaleji, než jak rychle roste množství útoků a jejich sofistikovanost.
A čím to je? Neochotou politiků?
Těch důvodů bude celá řada. Jednak to jsou omezené zdroje. Všeobecně je nedostatek lidí, kteří se dokážou bránit a budovat obranu nějaké instituce, ať už se bavíme o státní, nebo soukromé sféře. Další rozměr do toho může vnést chuť přijmout a uchopit toto těžce uchopitelné téma, protože to je pro většinu lidí hrozně těžko pochopitelné.
Je to podobné jako s hasiči. Představa, že budeme hodnotit hasiče podle toho, jak často hoří, je stejně scestná jako hodnotit lidi, kteří se věnují kybernetické bezpečnosti podle toho, jak moc je průšvihů. Zatímco u hasičů to již neplatí, u kybernetické bezpečnosti je takové vnímání stále živé. Tato zkratka může naznačovat, že dokud nedojde k nějakému průšvihu, tak to téma není atraktivní a nedají se na něm získat nějaké kladné body. Tím pádem klesá ochota přidělit potřebné zdroje na řešení kybernetické bezpečnosti.
Co vůbec stojí za tím, že útoků přibývá? Ano, celá řada věcí je v digitální podobě, ale to už několik let. Jsou nyní možnosti útočníků větší nebo levnější?
Obecně platí, že hackeři jsou o krok napřed před těmi, kdo technologie brání. Největší podíl na tom, že útoků přibývá, je to, že elektronizace a digitalizace čím dál víc prorůstá naší společností. Tam, kde dneska využíváme mobilní telefony, byly dříve analogové služby nebo to bylo řešeno tužkou a papírem a na ten se samozřejmě v kyberprostoru útočit nedá. V podstatě přibývá příležitostí a zároveň jsou možnosti k útokům natolik levné oproti jiným metodám a způsobům, že není co řešit. Není nic jednoduššího než tohle, když to řeknu velmi zjednodušeně.
Váš kolega z NÚKIB Ondřej Rojčík v pondělí v parlamentu řekl, že je potřeba vyvinout aktivní kybernetické nástroje, které by útočníka od jeho činu mohly v budoucnu odstrašit. Co si pod takovým nástrojem máme představit?
Když si vezmeme paralelu ve fyzickém reálném světě, tak to, že máme armádu, neznamená, že budeme na někoho útočit, ale demonstruje to naši schopnost se bránit. Když to převedeme do kyberprostoru, tak jde v podstatě o to stejné - mít schopnost podniknout odvetné kroky proti útočníkovi. Neříkám, že budeme aktivní, nicméně mít takovou kapacitu může pro útočníka sehrát důležitou roli ve chvíli, kdy začne uvažovat nad tím, že by podnikl nějaký útok.
Dobře, ale co jsou "odvetné kroky proti útočníkovi"? Co může být to, co ho odstraší?
Nejjednodušším příkladem je, že zjistíte, že na vás útočí nějaký vzdálený server, třeba z druhé polokoule. Pokud budete mít i ofenzivní kapacity, tak teoreticky můžete reagovat protiútokem a vyřadit ten server ze hry.
Daří se vůbec někdy útočníky vypátrat a potrestat je za to?
Těch případů celosvětově mnoho není, to je pravda. Nicméně posláním NÚKIB není chytnout útočníka, ale vybudovat takový systém obrany, abychom dokázali útokům předejít ve chvíli, kdy zaznamenáme snahu o útok, a abychom ho hned v zárodku dokázali zastavit. Přesněji řečeno, aby tuto schopnost měli správci systémů důležitých pro chod státu. To je daleko efektivnější než se snažit chytit někoho za ruku ve chvíli, kdy sahá někam, kam nemá. Z hlediska možností v kyberprostoru je navíc velmi malá šance, že se to podaří.
Pro rok 2019 se NÚKIB měl rozrůst o 48 lidí, nakonec vám vláda jejich počet seškrtala na osm lidí. Svědčí to o tom, jak stát přistupuje ke kybernetické bezpečnosti?
Já vám k tomu můžu říct tolik, že když máme méně lidí, tak jsou i naše kapacity menší a nemůžeme logicky zvládat všechno, co bychom chtěli nebo co musíme, a některé činnosti pak musíme omezit. A je tam ještě jedno riziko. Naši lidé jsou pak částečně přetížení, čekají na budoucí kolegy, kteří jim přijdou pomoci, a když se to neděje, tak je to může natolik demotivovat, že odejdou. A to je škoda, protože jsme do nich investovali čas a prostředky, když jsme rozvíjeli jejich schopnosti a znalosti, zjednodušeně, když jsme je dostávali do problematiky.
Současně platí, že v rámci NÚKIB řešíme natolik specifické činnosti, že člověka nelze vyškolit během pár dnů či týdnů, je to třeba půlroční nebo roční proces. O to větší je to škoda, když nám tito lidé odejdou.
Když se vyjednává o rozpočtu, tak součástí strategie některých institucí či ministerstev je požadovat více, než skutečně potřebují, aby měly prostor pro vyjednávání. Není to také váš případ?
Měli jsme dlouhodobý výhled vývoje personálních kapacit, z nichž plynulo pro rok 2019 navýšení o 48 lidí. Vláda přišla na začátku roku s tím, že se bude šetřit, snižovat počet pracovníků ve státní správě. My jsme řekli dobře a snížili jsme to na číslo 32. Přijali jsme, že se šetří všude, tak musíme taky. Nicméně když se i z těch 32 dostaneme na osm, tak jsme na čtvrtině. Tam už nelze mluvit o tom, že bychom měli nějakou rezervu pro vyjednávání.
Navíc náš úřad se stále rozvíjí, pořád máme na starosti nové činnosti. Musíme třeba kontrolovat více subjektů, takže nejsme v žádné stabilizované poloze a plnit objem zákonem stanovené činnosti nelze s přibližně polovinou původně plánovaných pracovníků.
Už je to skoro rok od varování před čínskou společností Huawei. Zástupci firmy tvrdili, že se budou bránit soudní cestou za poškozování dobrého jména. Došlo k tomu?
Náš ředitel Dušan Navrátil již v předchozích rozhovorech říkal, že společnost mohla v zákonné lhůtě podat proti tomuto postupu žalobu a to neudělali. Nicméně to neznamená, že nemohou udělat další kroky. To je pořád otevřené. Informace o tom ale nemáme.
Když se na to podíváte zpětně, hodnotíte to jako správný krok? Protože to vyvolalo mnoho emocí.
Tento krok způsobil, že se o tom začalo mluvit i na mezinárodní úrovni, na různých úrovních v rámci Evropské unie. Chystá se společný postup v této věci, což považujeme za důležité, protože například mobilní sítě páté generace budou propojovat celou moderní ekonomiku a společnost jak v národním, tak také v mezinárodním měřítku a nelze k tomu přistoupit tak, že Česko bude izolovaný ostrov. Krok to byl tedy jednoznačně správný.
Je po roce možné říct, jestli bychom neměli firmu Huawei do budování 5G sítí vůbec pustit, nebo by se na tom mohla i přes varování alespoň částečně podílet?
Platí to, co NÚKIB říká od začátku. Neříkáme, že je potřeba technologie zcela zakázat. Říkáme, že je potřeba vždycky zohlednit kontext a podívat se, jestli opravdu tento případ je pro danou instituci a její systémy natolik kritický, aby tam tyto technologie nemohly být. Je celá řada možností, jak je do sítě zapojit tak, aby to bezpečnost dotčeného systému neohrozilo. Ale nejde to říct paušálně.