Kybernetická bezpečnost jako otázka pudu sebezáchovy

Jste hlavním tvůrcem státní Strategie kybernetické bezpečnosti z roku 2011, která je dnes považována za jeden z důležitých mezníků ochrany státu. Když srovnáme situaci před vznikem strategie a po jejím zavedení – co bylo tou nejzásadnější změnou?

Zásadní změnou bylo především to, že se vůbec začala systematicky řešit ochrana kritické infrastruktury před kybernetickými hrozbami. Do té doby nebyla tato oblast nijak uchopená, a to ani u státních institucí.

Zpočátku to ale nebylo jednoduché. Mnoho institucí v tom vidělo především nové náklady a odpor byl poměrně velký, a to i ze strany části odborné veřejnosti, zejména právníků. Přesto jsem trval na tom, že strategie musí obsahovat jasný požadavek na vznik speciální legislativy. Bez zákona se totiž úřady v praxi nepohnou. To je prostě realita státní správy. Proto je ve strategii jednoznačně uvedeno, že musí vzniknout zákon o kybernetické bezpečnosti. Jakmile se tento bod do strategie dostal, začalo se na zákoně pracovat.

Občas se objevuje fáma, že jsem jeho autorem. To ale není pravda. Já jsem ajťák, původně dokonce vyučený mechanik měřicí a regulační techniky, a teprve později jsem vystudoval kybernetiku. Legislativní texty jsem nikdy nepsal. Moje motto je ale dlouhodobě stejné: Kybernetická a informační bezpečnost není především otázkou zákonů. Je to otázka pudu sebezáchovy. A to platí od jednotlivce až po stát.

Proč říkáte, že kybernetická bezpečnost je především otázkou pudu sebezáchovy?

Stačí se rozhlédnout kolem sebe. Kolik má dnes běžná domácnost zařízení připojených k internetu? Počítače, mobily, chytré televize, auta, vysavače… Ve výsledku jich bývá často několikanásobně víc než lidí v domácnosti. Ten pud sebezáchovy se tedy netýká jen státu nebo velkých institucí. Týká se jednotlivce, domácností, firem, institucí i států. Pokud lidé na vlastní bezpečnost nemyslí, dříve nebo později se to projeví.

Dnes se o kybernetických útocích mluví mnohem víc než dřív. Je kolem toho větší mediální pozornost a zároveň vidíme konkrétní případy obrovských škod. Já jsem ostatně kybernetický útok zažil i na vlastní kůži. Základní věc, kterou si musí uvědomit manažeři i běžní uživatelé, je, že ochranou svého kyberprostoru chrání vlastně svou existenci.

Na konferencích se často ptám manažerů kybernetické bezpečnosti: Co vlastně chráníte? Většinou zazní odpovědi jako datová centra, servery, software nebo informace. Jenže to není ten hlavní cíl. Ve skutečnosti chráníte svůj byznys – tedy schopnost fungovat i zítra. Vydělávat, léčit pacienty, poskytovat služby občanům nebo plnit zákonné povinnosti.

V několika institucích, kde jste působil, byl jen malý tým na kybernetickou bezpečnost. Někdy dokonce jen jeden člověk. To ale vzhledem k významu této oblasti působí až překvapivě. Čím si vysvětlujete, že odborníků na kyberbezpečnost je stále tak málo?

Jedním z hlavních důvodů jsou peníze. Za částky, které státní instituce často nabízejí, mnoho špičkových odborníků ráno ani nevstane z postele.

Druhým problémem je vzdělávání. Školy zatím nevychovávají dostatek odborníků na kybernetickou bezpečnost. Na to upozorňuji dlouhodobě. Kyberbezpečností se zabývám minimálně od roku 2010 a byl jsem například u vzniku dvou středoškolských studijních oborů zaměřených na tuto oblast – na střední škole informatiky, poštovnictví a bankovních služeb v Brně a na Smíchovské střední průmyslové škole.

Osobně si navíc nemyslím, že odborník na kybernetickou bezpečnost musí nutně mít vysokoškolský diplom. Pokud je středoškolský program dobře postavený a učí tam kvalitní pedagogové, může z něj vyjít velmi dobrý odborník už v devatenácti letech. Není nutné čekat dalších pět let. Problém je, že těch lidí je zatím stále málo – a poptávka po nich rychle poroste. Důvodem je nová legislativa, která vychází z evropské směrnice NIS2. Ta výrazně rozšiřuje počet organizací, které musí kybernetickou bezpečnost řešit jako zákonnou povinnost.

Máte představu, kolik odborníků na kyberbezpečnost dnes chybí?

Už v době, kdy platil původní zákon o kybernetické bezpečnosti a týkal se asi 370 subjektů, chybělo ve státní správě přibližně 1500 odborníků. Dnes je situace ještě složitější, protože počet organizací, které musí kyberbezpečnost řešit, výrazně narostl. Navíc nejde jen o jednoho člověka. Ve větších institucích potřebujete celý tým – někoho, kdo má analytické schopnosti, někoho s organizačními dovednostmi, někoho, kdo rozumí legislativě, a také lidi, kteří zvládnou komunikaci. To je mimochodem další důležitá věc při kybernetickém incidentu. Lidem musíte říct, co se stalo. Není nic horšího než snažit se takové věci tutlat.

Proč je podle vás důležité o kybernetickém útoku veřejnost otevřeně informovat?

Protože lidé mají obrovskou schopnost vytvářet domněnky a fámy. Pokud informace chybí, okamžitě vznikají různé spekulace. Tomu se dá předejít jen tím, že řeknete pravdu.

Veřejnost ale často více zneklidní útoky na nemocnice než na úřady. Ty mohou totiž ochromit zdravotní péči.

Útoky na nemocnice se bohužel dějí pořád. Problém byl dlouho v tom, že zdravotnictví se velmi bránilo tomu, aby nemocnice spadaly pod zákon o kybernetické bezpečnosti.

V první verzi zákona tam nemocnice vůbec nebyly. Jedním z důvodů bylo i to, že jsme tehdy v Evropě neměli moc příkladů, od koho by bylo možné se inspirovat. Česká republika byla vlastně první zemí v Evropské unii, která přijala samostatný zákon o kybernetické bezpečnosti.

Často jsem slýchal argumenty typu: Proč bychom měli být první, proč nepočkat, až to někdo vymyslí jinde, my to pak jen převezmeme. Jenže bez zákona se věci neposunou. Tehdy se jako základ bral krizový zákon a vládní nařízení, které určovalo prvky kritické infrastruktury. Ve zdravotnictví tam byl ale nastaven parametr, že prvkem kritické infrastruktury je nemocnice s více než 2500 akutními lůžky. Taková nemocnice u nás prakticky neexistuje.

Až evropská směrnice zavedla kategorii takzvaných poskytovatelů základních služeb. Do té se konečně dostaly i nemocnice. Jenže i tam se nakonec nastavily poměrně přísné limity a pod zákon tehdy spadlo jen šestnáct největších nemocnic. Po kybernetickém útoku na nemocnici v Benešově se tento počet zvýšil zhruba na čtyřicet šest. Podle mě by ale měly být v systému všechny nemocnice. Tady totiž nejde jen o peníze. Jde o lidské životy.

Na CEVRO Univerzitě garantujete programy zaměřené na ochranu informací a kyberbezpečnost. Studují u vás například i ředitelé nemocnic?

Máme dva blízké profesní MBA programy. Prvním je Ochrana informací zaměřený spíše na ochranu osobních údajů. Druhým pak Management a kybernetická bezpečnost. A zde je důležité zdůraznit, že nejde o management kybernetické bezpečnosti, ale o management a kybernetickou bezpečnost. To znamená, že tam studují především vrcholní manažeři, kteří potřebují pochopit, jak bezpečnost zavést, provozovat, řídit a rozvíjet ve své organizaci. Máme tam majitele firem, lidi z telekomunikací, IT specialisty, právníky nebo advokáty.

Někteří absolventi pak pokračují na velmi zajímavých pozicích. Jedna z mých studentek například nedávno nastoupila do prezidentské kanceláře jako odbornice na kybernetickou bezpečnost.

Máte nějaké vlastní zásady, které by podle vás měly organizace v oblasti bezpečnosti dodržovat?

Na základě zkušeností z praxe jsem si sestavil takzvané Špidlovo třináctibodové desatero. Původně jsem se ho snažil zkrátit na deset bodů, ale nepovedlo se to.

Jedním z těch bodů je například zákaz automatického přeposílání služebních e-mailů do soukromých schránek. Stačí si vzpomenout na případ Hillary Clintonové, kde právě podobné věci vedly k únikům citlivých informací.

Když jsme to chtěli zavést na jednom pracovišti, zvedla se poměrně velká vlna nevole. Vrcholný manažer si mě dokonce zavolal a chtěl vysvětlit rozdíl mezi automatickým přeposíláním a tím, když si člověk e-mail přepošle ručně.

Řekl jsem mu to jednoduše: Vy mě sice můžete přinutit, abych zákaz zrušil, ale pošlu vám e-mail, kde vysvětlím všechna rizika. Pokud pak dojde k úniku informací, bude to vaše odpovědnost. Když automatické přeposílání zakážeme a zaměstnanec si e-mail přepošle sám, nese odpovědnost on.

Někteří politici říkají, že se vlastně nemáme čeho bát – že pro velké státy nejsme příliš zajímavý cíl. Přesto se kybernetické útoky dějí. Kdo tedy dnes představuje největší riziko?

Motivací kybernetických útoků je celá řada a často se překrývají. Jednou z nich je čistě kriminální motivace – tedy byznys. Kybernetická kriminalita je dnes velmi výnosné odvětví. Jenže za útokem, který na první pohled vypadá jako obyčejný kriminální čin, může stát úplně jiný zájem.

Další motivací je například šíření dezinformací a ovlivňování veřejného prostoru. Cílem pak není jen získat data nebo peníze, ale oslabit důvěru ve stát a jeho instituce. A pak je tu ještě jedna důležitá věc, o které se podle mě málo mluví – kybernetická civilní obrana.

Co si pod tím máme představit?

To souvisí s běžnými domácnostmi. Každá domácnost má dnes několik zařízení připojených k internetu – počítače, telefony, routery, chytré spotřebiče nebo kamery. Pokud nejsou zabezpečené, mohou se stát součástí rozsáhlého útoku. Vaše zařízení pak může být zneužito například k útoku na kritickou infrastrukturu státu. A vy o tom vůbec nevíte.

Proto je důležité, aby lidé věděli, jak se v kyberprostoru chovat. Já jsem například na pracovištích, kde jsem působil, pravidelně rozesílal upozornění na nové phishingové kampaně. Vysvětloval jsem, jak útok funguje a jak se mu vyhnout.

Když to lidem vysvětlíte srozumitelně a ukážete jim, jak by to mohlo ohrozit jejich rodinu nebo peníze, začnou být mnohem obezřetnější. A často vám pak sami hlásí podezřelé e-maily nebo situace. To je přesně princip kybernetické civilní obrany – zapojení běžných lidí do základní ochrany digitálního prostoru.

Češi ale někdy podobná rizika podceňují. Když se například objeví zprávy, že domácí zařízení sbírají data, lidé často reagují slovy: No a co?

Přitom už existuje řada případů, které ukazují, jak snadno mohou být podobná zařízení zneužita. Například některé chytré spotřebiče byly v minulosti využity k rozesílání spamu. Kybernetické útoky byly vedeny i přes domácí set-top boxy nebo nezabezpečené kamery. V poslední době se například ukázalo, že díky nechráněným kamerám bylo možné sledovat trasy přepravy zbraní na Ukrajinu. A podobné technologie mohou být zneužity i jinak – například k analýze pohybu lidí nebo bezpečnostních složek. To všechno ukazuje, že i zdánlivě nevinné zařízení může být součástí mnohem většího bezpečnostního problému. Je potřeba lépe a více vzdělávat.

Kdo by měl vzdělávat?

Může to být škola, různé organizace nebo samotní odborníci na kyberbezpečnost. Já jsem například přednášel i v domově seniorů. Nejaktivnější účastnicí byla devadesátiletá paní, která měla spoustu dotazů ohledně nastavení telefonu. Existují také neziskové organizace, které pořádají pro seniory kurzy digitální bezpečnosti. A myslím si, že by se do toho mohli zapojit i odborníci z praxe.

Ti ale sami říkají, že jich je málo a mají hodně práce.

To je pravda. Na druhou stranu o těchto tématech stejně často mluví – v hospodě pak tomu věnují úmorné hodiny a hodiny. Tak co kdyby to dělali trochu smysluplně? Stačí někdy jednoduchá přednáška v knihovně, komunitním centru nebo kulturním domě. Důležité je mluvit srozumitelně, nepoužívat příliš technických termínů a pracovat s konkrétními příběhy. Lidé si totiž nejlépe zapamatují právě příběhy. Když jim ukážete reálné situace a vysvětlíte, jak k nim došlo, mnohem lépe pochopí, proč je kybernetická bezpečnost důležitá.

Na závěr bych si dovolil ještě jedno mé motto, které souvisí se současnou bezpečnostní situací a vysvětluje, proč vždy fyzický konflikt je předcházen kybernetickými útoky, které v mnoha aspektech pro tento konflikt vytvářejí předmostí. Od rozkolísání společnosti cestou dezinformací až po kyberútoky na kritickou infrastrukturu a státní instituce. „Než na dobyté území vstoupí noha vojákova, noha hackerova (ta virtuální) už tam dávno je.“

Aleš Špidla (1957)

Expert na kyberbezpečnost se zkušenostmi ze státního i soukromého sektoru. Byl ředitelem odboru kybernetické bezpečnosti na ministerstvu vnitra, vedoucím sekce informatiky Státního ústavu pro kontrolu léčiv, ředitelem odboru bezpečnostních politik Ministerstva práce a sociálních věcí, manažerem oddělení řízení rizik ve společnosti PWC, poté ve státním podniku CENDIS a podniku NAKIT. Aktuálně působí jako pedagog na CEVRO Univerzitě.