Kyberbezpečnost jsme začali rozvíjet pozdě. Přesto si dnes vedeme výborně, říká Roman Pačka
Za kyberbezpečnost v České republice odpovídá nově vzniklý Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho příslušníci mimo jiné pomáhají zajišťovat objekty kritické informační infrastruktury proti možným kyberútokům, které by mohly způsobit vážné následky. V Česku ale zatím není dostatek IT odborníků, proto se vedení NÚKIB snaží vytvořit na vysokých školách nové studijní obory. Uvažuje se i o outsourcingu odborníků ze soukromé sféry.
Téměř veškerá technologie je dnes připojena do kyberprostoru. Kybernetických útoků na státní i soukromý sektor je denně prováděno nepočítaně. Bezpečnostní experti se shodují, že Česká republika začala kapacity kyberbezpečnosti budovat pozdě. I přesto dokázal český tým letos vybojovat první místo v nejobtížnějším mezinárodním kyberbezpečnostním cvičení Locked Shields.
Na svých přednáškách jste zmínil, že základním konceptem kyberbezpečnosti je takzvaná CIA triáda. O čem se bavíme?
Zkratka zahrnuje tří termíny. Důvěrnost, integrita a dostupnost. Důvěrnost znamená, že k datům mají přístup pouze oprávnění uživatelé, kteří s nimi mohou nakládat. Integrita udává, že ony data nejsou nějakým způsobem změněna či nahrazena, aniž by o tom oprávněný uživatel věděl. Dostupnost je vlastnost, která zaručuje, že data jsou v okamžiku, kdy uživatel potřebuje, dostupná.
Kterou část triády můžeme považovat za nejdůležitější?
Když se zaměřujete na kyberbezpečnost, musíte tyhle tři složky vyvažovat. Abyste zaručili určitou míru efektivity daného systému a zároveň jeho bezpečí. Například kdybyste zakázal dostupnost, tak zvýšíte důvěrnost a integritu, ale uživatelé nemůžou s informačním systémem pracovat.
Zástupci členských zemí NATO se dohodli, že si kyberbezpečnost vybuduje každý stát samostatně. Co bylo překážkou nějaké společné výstavby?
Článek tři Washingtonské smlouvy zmiňuje, že každý jednotlivý stát by měl být obranyschopný samostatně. Navíc NATO nezná naše sítě a nelze, aby vzdáleně spravovalo naše servery a řešilo kybernetické incidenty. Nejde vytvořit kolektivní entitu, která by se starala o kybernetickou bezpečnost. Samozřejmě při větších útocích lze požádat o podporu ze strany aliance.
Vedle pojmu bezpečnost máme i termín obrana. Někteří experti tvrdí, že se tyto pojmy překrývají. Ve svém článku Kybernetická bezpečnost a obrana z české perspektivy je definujete. Čím se od sebe odlišují?
V Česku je kyberbezpečnost zastřešující termín pro všechny preventivní, reaktivní a proaktivní akce, které provádíme v kyberprostoru, abychom v něm byli v bezpečí. Což zahrnuje široké množství organizačních a technologických opatření, které užíváme, abychom snížili možnost výskytu kybernetických útoků.
A obrana?
Obrana je schopnost se aktivně bránit proti závažným kyberútokům, které nemůžeme odvrátit nástroji kyberbezpečnosti. V zahraničí se užívá aktivní kyberobrana, což můžeme na případu České republiky vztáhnout na narušení svrchovanosti, demokratického právního řádu, či ekonomických zájmů. Pak se nasazuje koncept kybernetické obrany. Kyberobrana je pokračování kyberbezpečnosti aktivními prostředky, kdy se může zasahovat i do práv třetích stran.
V rámci kyberobrany tedy mluvíme o nějakých ofenzivních nástrojích?
Ano, to je pak doména vojenských složek. Stejně jako ve fyzickém světě. Kyberobranu zajišťuje v Česku Vojenské zpravodajství, protože má úzký vztah s armádou a vnitřní i vnější působnost. Zpravodajci mají k tomuto účelu naplánované zřídit Národní centrum kybernetických sil.
Zhruba před třemi týdny vrátili senátoři k projednání do Poslanecké sněmovny novelu zákon o zpravodajských službách. Nelíbilo se jim vyloučení zajišťování bezpečnosti z gesce Vojenského zpravodajství. Kdyby poslanci přesto bezpečnost vyjmuli, jaký by to byl problém?
V kyberprostoru se obrana a bezpečnost prolínají. Když na vás někdo zaútočí, tak v prvních chvíli nevíte, zda situaci zvládat prostředky kybernetické bezpečnosti, či nasadit aktivnější techniky. Striktně to oddělit nelze. Abychom mohli v ČR zajistit kyberbezpečnost, musíme mít dostupné i prostředky kyberobrany a naopak.
Za kyberbezpečnost odpovídá k 1. srpnu vzniklý Národní úřad kybernetické a informační bezpečnosti (NÚKIB). Ten nahradil bývalé Národní centrum kybernetické bezpečnosti (NCKB). Jak se od sebe tyto instituce liší?
Nijak výrazně se neliší. NCKB bylo sekcí Národního bezpečnostního úřadu. Z něj se spolu s dílčími pracovišti, které mají nějaký vztah k informační bezpečnosti, vyjmulo a vytvořil se tento nový úřad. Kromě kybernetické bezpečnosti tedy nově zajišťujeme i bezpečnost informací a kryptografii.
Jaký byl tedy důvod k vytvoření nového samostatného úřadu?
Jako odbor NCKB jsme dlouhou dobu vykonávali agendu, která se začala více zdůrazňovat ve všech mezinárodních organizacích. I na národní úrovni to bylo velmi silné téma. Začali jsme se značně rozrůstat a jeden odbor v rámci úřadu ten růst nestačil pokrýt. Teď tedy máme samostatné pracoviště, což nám umožňuje rychlejší rozvoj. Od začátku se počítalo s tím, že se podobný úřad vybuduje. Kybernetická bezpečnost je natolik široké téma, že si zasluhuje vlastní instituci, která se tomuto tématu bude plně věnovat.
NÚKIB je označován jako vládní CERT. Tato zkratka označuje uskupení IT expertů, kteří se aktivně podílí na zajišťování kyberbezpečnosti. V ČR ale máme i národní CERT a CERTy zřízené různými institucemi. V čem se liší?
Liší se ve zřizovateli a v oblasti na kterou ve většině případů cílí. Pojmenování CERTu na celostátní úrovni se liší stát od státu. U nás stát zřídil Vládní CERT, který se stará o kritické objekty. Národní CERTy obecně bývají v rukou soukromníků či neziskových organizací. Národní CERT je v Česku v rukou sdružení CZ.NIC a stará se o případy mimo kritické objekty. Ostatní CERTy mimo národní úroveň pak řeší kyberproblémy svých zřizovatelů.
CERTy ovšem mohou mít i státní přesah a sdružovat se do větších celků.
Ano. Na každém světadíle můžeme narazit na sítě, které jednotlivé CERTY sdružují. Tyto celky se zaměřují na řešení specifických problémů svého regionu. Například máme evropskou síť TI-GEÁNT či asijsko-pacifický AP-CERT. Existuje i jedna globální síť zvaná FIRST, která sdružuje celkovou CERT komunitu a propojuje jí.
V tuzemsku máme na pětadvacet CERTŮ a podle Akčního plánu Národní strategie kybernetické bezpečnosti chcete jejich počet navyšovat. Není takový počet CERTŮ dostatečný?
Náš úřad a CZ.NIC dlouhodobě podporujeme vznik nových CERTů. Čím víc opravdu schopných CERTŮ máme, tím lépe se spolupracuje při řešení incidentů. Vznik dalších CERTŮ v Česku je možný hlavně díky projektu Fénix od společnosti NIX.CZ, což je náš největší peeringový uzel. Pokud chce společnost do projektu vstoupit a být lépe chráněná před útoky, tak musí splnit určité požadavky. Jedním z nich je mít zřízený vlastní CERT.
Právě CERTŮM, respektive národnímu CERT, mají podle zákona o kybernetické bezpečnosti hlásit kyberincidenty provozovatelé kritické informační infrastruktury a významných informačních systémů. Co všechno tyto pojmy zahrnují?
Kritická informační infrastruktura zahrnuje veřejný i soukromý sektor. Jedná se o systémy, jejichž výpadky by způsobily značné škody na životech, majetku či ekonomice státu. Konkrétně podniky ČEZ, ČEPRO, nebo systémy z ministerstev. Významné informační systémy jsou systémy, které spravuje stát a které jsou důležité pro jeho chod, ale při jejich narušení nebudou tak velké ekonomické škody a nebudou umírat lidé.
Podle Auditu národní bezpečnosti budou tyto dva pojmy rozšířeny o nové systémy. Konkrétně o zdravotnická střediska a chemický průmysl.
Ano. Rozšíření bylo třeba po evropské směrnici, která řeší bezpečnost sítí a informací. Na rozšíření se připravujeme po novele zákona o kybernetické bezpečnosti. Zdravotnická střediska byla i před novelou zahrnuta do kritické infrastruktury. Byla na ně ale nastavena příliš vysoká kritéria na počet lůžek, takže vlastně žádná nemocnice nebyla kritická. Nově jsou ošetřeny i služby vyhledávače, online tržiště a Cloud.
Většina objektů kritické informační infrastruktury je v soukromých rukou. Jak funguje spolupráce při zajišťování kyberbezpečnosti se soukromníky?
Spolupráce funguje velmi dobře. U nikoho jsme nenarazili na problém, že by dotyční raději zaplatili pokutu, než aby zařídili bezpečnostní opatření. Samozřejmě některé společnosti mají tak vysoký obrat, že by si bez problému mohly dovolit pokuty platit, ale uvědomují si případná rizika. Vnímají nás tedy jako partnera, který jim pomáhá zajišťovat kybernetickou bezpečnost.
Na jaké nejčastější chyby při zabezpečení narážíte?
Většinou je nejhorší nedostatečná podpora vedení, která kyberbezpečnost nevnímá jako zásadní a nechce na ni rozdělovat takovou výši lidí a peněz, jaká by byla potřebná. Hlavě se s tímto problémem setkáváme u veřejné správy. Někteří lidé ve vedení jsou na svých postech již dlouhou dobu a nevnímají novodobé bezpečnostní výzvy, kupříkladu právě kyberútoky.
V reakci na kyberútoky se může vyhlásit stav kybernetického nebezpečí. Co přesně se musí stát?
Stav se vyhlašuje, když dochází k útokům, které mají významný vliv na bezpečnost kritické informační infrastruktury a zásadně ovlivňují národní bezpečnost. Například zásah chemičky, který by způsobil velký únik chemikálií či narušení dopravních semaforů nebo zásahy nemocnic a útoky na elektrárny. A my bychom potřebovali rozšířit kompetence a rozdávat subjektům příkazy, tak se vyhlásí stav nebezpečí. Pokud by se útočilo v rámci rozsáhlejší kampaně, lze vyhlásit nouzový stav, případně další krizové stavy.
Co se týče kyberútoků, značnou pozornost si získal malware Ransomware Wannacry. Jak tento útok funguje?
Tento útok se na rozdíl od ostatních ransomwarů, tedy vyděračských softwarů, nešíří pouze poštou, ale i samostatně skrze síťový komunikační protokol zabudovaný ve Windows. Pomocí těchto protokolů se například sdílí soubory, zařízení a další komunikace mezi uzly na síti. Zneužívá zde zranitelností, které sice byly opraveny, ale mnoho počítačů není z různých důvodů aktualizováno. Proto se tak rychle rozšířil. Má oproti ostatním také červí vlastnosti, to znamená, že se sám šíří po síti. Když se dostane do počítače ve firemní síti, snaží se dostat do všech počítačů, co v ní jsou.
Jaký má tento útok následek?
Je to vyděračský software, který zašifruje data v počítači a v rámci určitého času požaduje platby v bitcoinech. Pokud nezaplatíte, navyšuje se čas i částka k zaplacení. Pokud přesto odmítnete zaplatit, tak svoje soubory ztratíte. Samozřejmě pokud máte soubory zálohované, můžete je jednoduše obnovit, ale útok cílí právě na nezodpovědnost uživatelů.
Mimo tyto běžné útoky na nás cílí i kyberšpionáž cizích států. Převážně skrze pokročilé přetrvávající hrozby, takzvané APT útoky. Ty využívají technik, které jsou pro běžné detekční metody těžko zachytitelné.
Kyberšpionáž je úplně jiná úroveň. Aktér se zaměřuje na konkrétní subjekt, od kterého chce získat informace. Útočí většinou státní složky či státem sponzorované skupiny, které mají dostatek prostředků k investování do lidí a technologií. Ti přijdou do práce a celý den hledají zranitelnosti a vyvíjejí útoky na daný systém. Příprava může trvat i několik let. Dříve či později se útočník do požadovaného systému dostane. Tam působí nepozorovaně několik měsíců až let a získává důležité informace.
Jaké takto získané informace jsou pro útočníky důležité?
Například jak v Česku probíhá rozhodovací proces na úrovni vlády, jak funguje ministerstvo a co se tam děje. Zda nejsou v systémech utajované informace. Zjišťují návyky státu. V poslední době se informace zneužívají v rámci politických bojů a předvolebních kampaní.
Jak se dá v kyberprostoru zjistit, kdo na nás útočí?
Na základě znaků v kódu a používaných IP adres se to do jisté míry dá zjistit, odkud zhruba útok přišel. Ale existuje spousta jednoduchých anonymizačních technik. Pak dochází k takzvaným false flag operacím tedy operace pod cizí vlajkou, kdy se útočníci záměrně snaží užívat kódování typické pro jiné státy. S jistotou většinou autorství útoku pouze na základě informací z kyberprostoru nelze určit. U závažných útoků se původce určuje v kombinaci s tradičními zpravodajskými prostředky či prostředky policejními.
Audit národní bezpečnosti zmiňuje, že Česká republika je možný testovací subjekt pro kybernetické útoky. Z jakých důvodů?
Používáme stejná technologická řešení jako naši spojenci, ale nemáme takový strategický význam, jako například Německo. Takže můžeme sloužit jako zkušebna pro útoky, než budou nasazeny na významnější státy.
Jak si Česko vede proti kyberútokům?
V zajišťování kyberbezpečnosti si vedeme dobře. Letos jsme vyhráli Locked Shields, což je nejkomplexnější světové cvičení. Co se týče obrany, tak Vojenské zpravodajství zatím nemá zákonné zmocnění. Takže na tomto poli se teprve vyvíjíme. Plně funkční obrana by měla být do roku 2020.
Ve stejném dokumentu se píše, že je v těchto oblastech třeba outsourcingu ze soukromé sféry.
Ano. V současnosti například řešíme, jak pojmout v kybernetické bezpečnosti dobrovolnictví. Protože v Česku máme spoustu odborníků ze soukromých sektorů, kteří by se z určitých důvodů chtěli podílet na kybernetické bezpečnosti a pomoci státu.
Tedy může vzniknout něco jako Aktivní zálohy pro kybernetickou bezpečnost či obranu?
Něco podobného, ale nejspíš by zájemci nebyli vázáni na armádu. Tak si spolupráci zatím nepředstavujeme. Nastavení spolupráce momentálně probíráme s akademiky. Jisté je zatím jen to, že dobrovolníci budou muset mít určitý stupeň bezpečnostního prověření.
V Česku máme čtyři stupně bezpečnostní způsobilosti: vyhrazené, důvěrné, tajné a přísně tajné. Zejména poslední dvě jsou dosti důkladné. O jakém stupni se uvažuje?
Většina odborníků z IT je citlivá na své soukromí. Pro některé tedy bude prověření limitující, a nakonec je může odradit. Do jakého stupně se budou udělovat je na širší diskuzi, přísně tajný stupeň ale nepřichází v úvahu. Řešení tohoto typu spolupráce je teprve na počátku.
Máme v Česku dostatek expertů na kyberbezpečnost?
Zatím dostatečný počet není. Snažíme se problém napravit spoluprací s vysokými školami, kde chceme budovat nové studijní obory a předměty. I naší osvětovou činností chceme veřejnost přesvědčit k tomu, aby se kybernetické bezpečnosti věnovali. Každý teď odborníky na IT potřebuje.
Nicméně mezinárodní spolupráce na poli kyberbezpečnosti jistě už funguje delší dobu. Jaké země jsou pro nás klíčové?
Dohodu o spolupráci máme s Jižní Koreou a Izraelem. Jedná se o státy mimo struktury NATO a EU. Setkávají se s jinými typy útoků. Takže nám poskytují nové informace o potencionálních atacích. Samozřejmě úzce spolupracujeme i s dalšími státy, hlavně se sousedními a USA.
Česko ale jen informace nečerpá. Pořádáme taky školení pro ostatní země.
Přesně tak. Pořádali jsme cvičení kyberbezpečnosti pro Visegrádskou čtyřku a Rakousko. S nimi máme unikátní kyberkooperaci – Středoevropskou platformu pro kybernetickou bezpečnost. Dále školení pro balkánské státy. Přednášíme na mezinárodních konferencích. Dokonce nás opakovaně zvou do Washingtonu DC, kde pro Američany pořádáme cvičení prověřující schopnosti identifikovat a vyhodnocovat kyberhrozby spolu s rozhodovacími procesy na té nejvyšší úrovni. Takto jsme školili například pracovníky US Cybercommand, NATO ACT, Norfolk a další.
PhDr. Roman Pačka (*1988) vystudoval Bezpečnostní a strategická studia na Fakultě sociálních studií Masarykovy Univerzity v Brně. Téměř čtyři roky pracoval v Národním centru kybernetické bezpečnosti. V nově vzniklém Národním úřadu pro kybernetickou a informační bezpečnost pracuje jako zástupce ředitele Odboru kybernetických bezpečnostních politik a jako vedoucí Oddělení národních strategií a politik. Je zodpovědný za tvorbu, aktualizaci a provádění národních strategických a dalších dokumentů a politik v oblasti kyberbezpečnosti. Na evropské úrovni je styčným úředníkem ČR v Evropské agentuře pro bezpečnost sítí a informací (ENISA). Několik let působil i jako národní expert na kybernetickou bezpečnost při OBSE. Dále publikuje a přednáší v oblasti kyberbezpečnosti a podílí se na výuce problematiky na několika vysokých školách.
