Kdy jste poprvé slyšel o vytvoření kyberligy?
Nezávazně jsme o vytvoření něčeho podobného diskutovali už před lety. Na začátku se tomu říkalo dobrovolníci, aktivní zálohy a tak dále. Ale je jedno, jak se to jmenuje, důležité je, aby to fungovalo. První myšlenka kyberligy byla zapojit odborníky mimo oficiální struktury. Bavili jsme se o tom na různých konferencích s Národním bezpečnostním úřadem (NBÚ). A mluvili jsme i o "white hat hackerech" (hackeři, kteří neškodí, ale odhalují slabiny v systémech, pozn. red.) ve Velké Británii, kteří nechtějí být zapojeni do oficiálních struktur, ale jsou to patrioti. Jsou spolu v kontaktu přes internet, a když najdou problém v ochraně státních systémů, informují o tom úřady.
Kyberliga ale bude součástí oficiálních struktur?
Jistě, ale kyberliga se teprve připravuje. Ještě to není tak daleko. Ale je pravda, že když jste o tom plánu napsali, začali mi volat lidi, kdy to bude spuštěné, kdy a jak se můžou připojit, jestli je vyberu a jestli to budu řídit. Což je nesmysl, já to řídit nebudu, na NBÚ nedělám.
Vám kvůli tomu někdo volal?
V komunitě kybernetické bezpečnosti jsem poměrně známý a volali mi kvůli účasti v kyberlize různí kolegové. Ptali se, kdy to NBÚ nastartuje, co tam bude za lidi, kterých deset bude vybraných…
A to je špatně, že se o to lidé zajímají?
Není to úplně špatně, protože to může celý proces uspíšit. Ale ještě se to nespouští a ten návrh bude muset někdo schválit. Může to mít pozitivní důsledek, když je o to takový zájem mezi experty na kyberbezpečnost. Ale když budu optimistický, ten program se rozeběhne v roce 2019.
Podobné organizace v zahraničí
Podobný útvar, podle jehož vzoru vzniká česká kyberliga, funguje už v Estonsku. Říká se mu Küberkaitseliita a funguje na principu aktivních záloh. Je to dobrovolnická organizace provázaná s národní obrannou ligou. Spadá pod armádu a velí jí důstojník.
V Lotyšsku jde zase o soubor civilních pracovníků z různých bezpečnostních týmů CERT a soukromých společností, které spolupracují s vládou prostřednictvím členství v Lotyšské Národní gardě. V USA zase funguje Infraguard, která spojuje lidi podílející se na ochraně kritické infrastruktury.
V jakých případech by mohla kyberliga pomoci? Můžete dát konkrétní příklad?
Vezměme si třeba systém na výplatu sociálních dávek. Když hackeři ten systém na měsíc vyřadí z provozu, lidé závislí na dávkách skončí na ulici. Začne padat důvěryhodnost té státní instituce a potažmo i celého státu.
A kyberliga by mohla tenhle problém vyřešit? Stát to nezajistí?
Dokážou najít jiná řešení a podívat se na problém z jiného úhlu pohledu. Státní síly kybernetické bezpečnosti mají svá omezení, co se týká lidí. Není jich tolik. Špičkoví odborníci v soukromé sféře mohou velmi účinně pomoct a jejich zkušeností je škoda nevyužít. Ve světě podobná uskupení fungují velmi dobře, mají je USA, Lotyšsko, Estonsko nebo Velká Británie. Tam jsou ale dvě skupiny: jedna, která se státem spolupracuje, a druhá, kde jsou white hat hackeři, které motivuje jen patriotismus.
Myslíte, že i u nás může fungovat motivace vlastenectví?
Poláci jsou proslaveni hrdostí na svou zem, ve Velké Británii tichý patriotismus také funguje, protože všichni milují královnu. Ale jak znám českou povahu, ryzí vlastenectví tady necítím.
Doporučil byste odborníkům, aby do kyberligy vstoupili?
Když budu v toho člověka a v jeho schopnosti mít důvěru a bude se vážně o to místo ucházet a rozhodovat, doporučil bych jim, aby do toho šli. Je v jejich vlastním zájmu. Otevřou se jim obzory a tak dále. Ze špičkového experta se stane ještě lepší. Navíc benefit je oboustranný, bezpečnost kyberprostoru je v zájmu každého.
Až kyberliga vznikne, její členové budou mít přístup k tajným informacím. Není to riziko?
Musí mít prověrky, musí se s těmi lidmi pracovat, musí být vtaženi do té oficiální komunity a musí se potkávat. Kdybych byl členem ligy…
Myslíte, že nebudete?
Jsem starý a už nemůžu pít tolik red bullů. Ale ti členové dostanou mnoho benefitů a musí být pečlivě vybraní a prověření. Musí se řešit i to, že jsou zaměstnaní v soukromém sektoru. Když zmizí na den, tak to nikomu moc vadit nebude, ale když budou pryč týden… jsou velmi drazí. Musí se vyřešit, jak to bude s nějakou refundací.
Kolik firmy lidem na této úrovni průměrně platí?
Záleží, v jak velké firmě jsou zaměstnaní, ale jedná se o sto tisíc a více.
Má se NBÚ obávat dvojitých agentů?
Tito lidé by se dostali jen k informacím, které potřebují vědět přesně pro svou práci. Ale to, že se tam dostanou "krtci", hrozí vždy. Kolik bylo v historii dvojitých, trojitých agentů… Ale od toho jsou prověrky, aby se minimalizovala šance. Proto mluvím o trvalé práci s těmi členy, aby cítili, že je o ně zájem. Aby rok "nespali" a pak si na ně najednou stát v nouzi vzpomněl.
