ROZHOVOR. E-mailové účty ministerstva zahraničí napadli hackeři. Jeden z útoků prý byl úspěšný. Podle expertů jej musel spáchat jiný stát. Specialista pro kybernetickou bezpečnost ze společnosti CENDIS Aleš Špidla svého času vedl odbor kybernetické bezpečnosti na ministerstvu vnitra, kde také spolukoncipoval strategii kybernetické bezpečnosti České republiky na období 2011 a 2015 byl hostem středečních Dvaceti minut Radiožurnálu.

20:16 1. února 2017 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Co se výrazně změnilo za posledních 5 až 6 let v České republice?

Situace v kyberprostoru se, co se týká bezpečnosti, výrazně zahušťuje. Čím dál tím sofistikovanější hrozby, agresivnější útoky, účinnější útoky. V České republice výrazná změna je v tom, že máme jako jedni z prvních, ne-li první, zákon o kybernetické bezpečnosti a v zásadě máme i jakási řešení pro instituce, které je třeba chránit.

Když jste slyšel o kyberútoku na ministerstvo zahraničí, zaznamenala jej téměř všechna zpravodajská média. Řekl jste si, je to pro mě zadostiučinění, došlo na moje slova? Řekl si to Aleš Špidla?

Aleš Špidla si to neřekl, protože to nemá v povaze. Aleš Špidla si řekl, ano, někomu to, doufám, zatřepe hlavou. Ale spíš si říkám, škoda úsilí některých lidí, když mnohdy vychází naprázdno jenom z toho důvodu, že jejich činnost je podceňována.

Například?

Já, když si vzpomenu na to, jaké prostředky nebo jaký plat mi nabízeli, abych šel někam do některého resortu budovat kybernetickou bezpečnost, tak je to opravdu tragická vzpomínka. Ti lidé jsou poddimenzovaní, ty týmy jsou poddimenzované, ti lidé jsou opravdu, nebojím se použít slovo, mizerně placení. A jejich motivace je snad jenom vlastenectví.

Ale ty lidi bude potřeba sehnat. Je to tak? A zaplatit je.

To zcela určitě. My jsme to s odborníky, je to asi tak rok zpátky, zkusili spočítat a jenom ve státní správě bude chybět 1 000 až 1 500 odborníků na kybernetickou a informační bezpečnost lidí, kteří se tím budou zabývat. A tito lidé nejsou levní, protože ano, po škole, když takový člověk nastoupí do nějaké instituce, tak si tam vytvoří nějaké jméno, má v životopise zajímavý záznam, ale po třech čtyřech letech se začne ohlížet po lepším místě, pokud už ho dávno nemá ze školy, protože firmy talenty vyhledávají už na školách a dávají jim násobky platů ve státní správě.

Nešlo o test školáka, útočník na ministerstvo dobře věděl, co dělá, říká expert na kyberbezpečnost

Číst článek

Není tam problém i třeba ve služebním zákoně, který nedovolí tam nastoupit třeba za víc než 28, 27 tisíc?

Díky služebnímu zákonu mně, člověku, který má zhruba 30letou praxi, spoustu certifikátů, nabízeli 28 tisíc hrubého na půl roku.

Takže kvůli služebnímu zákonu v tomhle případě. Jak je to u těch lidí, kteří se chtějí třeba na policii zabývat počítačovou kriminalitou?

Co mám informace, netvrdím, že jsou úplně stoprocentně přesné, tak člověk, který chce nastoupit k policii do útvaru, který se zabývá počítačovou kriminalitou, tak musí, protože je to policejní složka, absolvovat klasický výcvik, to znamená minimálně půl roku vykonávat funkci policisty někde na chodníku. Což si neumím představit vzhledem k povaze těch odborníků, těch analytiků.

Jsou to zvláštní lidé, ať už na straně hackerů nebo boje proti hackerům?

To jsou napůl autisti.

Takže představa, že někde takzvaně šlape chodník...

Já si to dost dobře neumím představit, protože vím, že by to dělalo problém i mně a to jsem poměrně disciplinovaný člověk.

Vraťme se prosím k ministerstvu zahraničí. Co se tam podle vás pravděpodobně stalo?

S největší pravděpodobností, protože ten útok není jednorázovou záležitostí, tam došlo k tomu, čeho já jsem se vždycky obával nejvíc, a sice k tichému naslouchání.

Co to je?

Přijmete nebo nainstalujete nebo dostanete do toho systému škodlivý software, který vám umožňuje otevřít si vrátka a poslouchat komunikaci, odchytávat hesla k e-mailům, dostávat se k dokumentům a tak dále. Víte, já jsem vždycky měl trošičku problém s tím, když zodpovědní lidé říkali, že Česká republika není terčem útoků. Ano, není terčem těch halasných útoků, takových těch mediálně zajímavých, ale vždycky jsem největší obavu měl z toho, že ten útočník naslouchá, vyhledává slabiny, shromažďuje zranitelná místa nebo informace o zranitelných místech a když bude zapotřebí, tak prostě udeří.

Podle vládního týmu je v současnosti 100 bezpečnostních incidentů měsíčně. Jenom těch, o kterých se ví. To je velké číslo, malé číslo nebo jenom číslo?

Ano. To už jsou incidenty. To znamená, že už se něco přihodilo. K tomu zákon definuje ještě pojem událost. To znamená, že někdo se o něco snažil. A těch je samozřejmě řádově víc.

A to je podle vás pravděpodobně případ toho, co se stalo na...

Já bych si tipoval víc. Ono existuje takové vyjádření, že polovina větších institucí, větších firem čelí vědomě kybernetickému útoku a ta druhá polovina o tom jenom neví.

Když se podíváme, co se zatím říká, tak o hackerském útoku mají ministři vyslechnout na nejbližším zasedání vlády nějakou informaci, pravděpodobně v režimu důvěrné. Materiál má shrnout, co experti dosud o útoku zjistili. A přinést doporučení pro státní instituce. Jaká by ta doporučení, na základě toho, co se pravděpodobně stalo na ministerstvu zahraničí, měla být?

Já si ho umím představit tak, že bude typu, máte tady zařízení, které dokáže zachytávat incidenty, tak se podívejte do jeho záznamů a zkuste odkrokovat zpět, jestli prostě nedochází k něčemu podobnému. Spusťte analytické nástroje, které analyzují toky dat a dívejte se hlavně na výsledky. A já se obávám, že nejhorší bude najít na to lidi a najít na to čas. Možná některým institucím nezbude než se prostě obrátit na experty zvenčí.

Když posloucháme z úst lidí, kteří mají jistý vhled do té události na ministerstvu zahraničí, že není vyloučený útok zvenčí, útok cizího státu. Co si o tom myslí Aleš Špidla?

Aleš Špidla si myslí, že to vyloučeno není. Ono těch útoků je řada jakýchsi motivací. Podle toho, o co ten útočník projevil zájem, tak vy můžete vysledovat motivaci. Pokud krade, dejme tomu, zdravotnické záznamy, údaje o bankovních kartách, tak je to organizovaný zločin, který to potřebuje zpeněžit.

Hackeři napadli e-maily ministerstva zahraničí. Útok provedl cizí stát, sdělil Zaorálek

Číst článek

Dělal by to stát?

To by nedělal. Takže vy, když se podíváte na to, co vlastně uniká, o jaká data projevuje útočník zájem, tak podle toho si můžete vydedukovat motivaci a podle motivace si můžete vydedukovat, kdo to vlastně je a na základě tady této analýzy se dá předpokládat, že je to stát.

Co ten stát tímhle chce?

Převahu.

V čem?

Chce vědět, o čem významné instituce komunikují, s kým o tom komunikují.

Je to špionáž?

Zcela určitě je to kybernetická špionáž.

Je to kybernetická válka?

Ano. Kybernetická válka už tady zuří mnoho let. Já, když jsem toto řekl do televize před šesti lety, tak se na internetu objevily názory, že na mě má být podáno trestní oznámení pro šíření poplašné zprávy. Ale ta kybernetická válka opravdu zuří.

Kdo s kým válčí?

Když se tak na to někdy dívám, tak mám pocit, že všichni se všema. Sběr informací je hrozně důležitý. A pokud vy právě tiše nasloucháte, necháváte tu oběť v klidu a ta ani netuší, že nasloucháte, tak si nedává pozor a odhaluje se před tím útočníkem. A může to být příprava na masivní útok. Představte si, že stejným způsobem si osahávají systémy, které jsou důležité pro energetiku, pro dopravu. A jenom čekají, kdy tam bude díra.

Takzvaná páteřní infrastruktura?

Kritická infrastruktura.

To je jedno z těch nejcitlivějších míst?

Ano.

WhatsApp není bezpečný, varují odborníci. K šifrovaným zprávám se může dostat někdo cizí

Číst článek

Pořád nerozumím, o co státu jde? Už jste říkal o převahu v informacích.

O převahu. Víte, to je jako mezi dvěma podniky, o konkurenční výhodu. Je velice známý případ, kdy si zdravotní pojišťovna ve Spojených státech najala hackery, aby se dostali do informačních systémů advokátních kanceláří, které zastupovaly v soudních sporech pacienty, kteří se soudili se zdravotní pojišťovnou o nějaké peníze, ve Spojených státech určitě o nemalé peníze, nechtěli jim nic ukrást, zhroutit jejich systémy. Chtěli jen potichu vysledovat taktiku komunikací mezi klientem a advokátní kanceláří.

Poslouchám z vašich úst to, co jste říkal před těmi šesti lety, že je to kybernetická válka. Ve válce je útočník a ten, kdo se brání. Tady se bojuje anebo jenom útočí?

To je velice těžká otázka. Když se podívám na zveřejněné případy, tak se útočí a brání protiútokem. Tady v tomto světě, v tom kybernetickém světě, to v podstatě ani jinak nejde. Vy se můžete bránit tím, že začnete střihat dráty, aby útok nedocházel do cíle, nebo nasadíte nějaké technické prostředky, odkloníte ten útok. Někdy vám prostě nezbude, než útočící infrastrukturu normálně nějakým efektivním protiútokem sestřelit.

Když tedy připustíme, že je to kybernetická válka, ne počítačová kriminalita, jak vypadají ti válečníci? Kdo to jsou?

Jsou to lidé s vysokou odborností, jsou to lidé vzdělaní. V řadě zemí jsou součástí armády, jsou to armádní složky. V Číně je na to vyčleněna celá jedna divize, která má kolem 23 až 24 tisíc lidí. K tomu, když připojíte ještě ty polooficiální nebo neoficiální hackerské skupiny, které pracují pro stát, tak se hovoří o 50 tisících lidech.

A jaká je obrana?

Mít podobnou jednotku.

Mít podobnou jednotku v České republice, do jaké míry je to iluze?

Nějaké kroky už jsou podnikány. V rámci Vojenského zpravodajství vzniká Národní centrum kybernetických sil, kde vlastně bude ta schopnost činit ty kroky.

Je dobře, že to vzniká pod Vojenským zpravodajstvím?

Já, abych se přiznal, berte to jako můj soukromý názor, s tím mám trošičku problém, protože spíš bych viděl tu jednotku v rámci armádních struktur, protože armáda má chránit stát proti vnějšímu nepříteli, proti vnějším útokům. Nicméně pokud bych to vzal jako jakýsi start, nějaké období, kdy z toho centra se vyvine ta armádní jednotka nebo se to přesune do armádních složek, tak si říkám, no chvála Bohu za to.

Úkolem Dušana Navrátila, tedy ještě donedávna šéfa Národního bezpečnostního úřadu, bude vytvořit tento Národní úřad pro kybernetickou a informační bezpečnost?

To je jiný úřad.

To je úřad, který je aktuální dnes, kdy došlo k výměně na čele NBÚ. Tento úřad, o kterém mluvím, úřad vedený Dušanem Navrátilem, má teprve vzniknout. Kdo se tedy fakticky stará o kybernetickou bezpečnost dneska?

Ono je to trošičku jinak. V rámci Národního bezpečnostního úřadu existuje Národní centrum kybernetické bezpečnosti. To se stará o bezpečnost kritické infrastruktury, významných informačních systémů, státní správy. A toto centrum bude vyčleněno, bude transformováno do specializovaného úřadu, Národního úřadu pro kybernetickou a informační bezpečnost. Ale ten záběr zůstane stejný. To znamená, kritická informační infrastruktura, významné informační systémy státní správy, k tomu přijdou šifrovací nástroje, informační systémy pro zpracování utajovaných informací.

Takže tyto dvě organizace mají společného jenom...

Kyberprostor.

Jenom kyberprostor. Kompetence a zodpovědnosti se liší?

Ano.

A jejich spolupráce?

Intenzivní.

Musí být.

To nejde bez spolupráce. Skoro bych řekl, celoplošné. I s privátní sférou.

Jak do toho chcete vtáhnout privátní sféru? Tedy vy ne, ale jaký je váš názor na to?

Já osobně bych s tím problém neměl, protože podle mě kybernetická bezpečnost je otázkou pudu
sebezáchovy. Nejenom firmy, instituce...

Hackeři KLDR nabourali vojenský server Jižní Koreje. Zřejmě získali důvěrná data

Číst článek

Jde o byznys těch firem?

Firmám to chrání byznys. Určitě nechtějí investovat své peníze do prostředí, ve kterém sviští digitální rakety a kalašnikovy a já nevím, co všechno.

Myslíte, že i to je důvod toho, že třeba sdružení CZ.NIC nebo ICT Unie zaslaly otevřený dopis předsedovi vlády, který se týká připravované novely zákona, to je ta předpředotázka, o které jsme se bavili, o Vojenském zpravodajství, kdy chtějí, aby premiér pozastavil přípravy tohoto zákona, aby se otevřela diskuse s odborníky a zástupci průmyslu. K tomu aktuální zpráva. Poslanecká sněmovna bude tuhle novelu zákona v druhém čtení projednávat až v březnu. Dohodli se o tom zástupci parlamentních stran. Čtete to jako snahu vyhovět těm citovaným sdružením?

Já to čtu jako snahu napravit drobný nedostatek, a sice slabou komunikaci o tomto zákonu. Já, když si vzpomenu, jak vznikal...

Pardon. Komunikaci koho s kým?

Komunikaci všech se všema. Všech zainteresovaných se všema. Když se tvořil zákon o kybernetické bezpečnosti, tak probíhala diskuse Národního bezpečnostního úřadu s odbornou veřejností, byli přizváni zástupci politických stran. Ta diskuse, ten zrod toho zákona byl bolestný, ale nakonec se povedlo dílo, které prošlo, řekl bych, na naše poměry nebývale lehkým schválením. A přihlásily se k tomu opravdu jak instituce státní správy, tak firmy a profesní sdružení. Tady já vidím snahu to trošičku napravit, třeba to nevnímají jako chybu. Ale my se prostě musíme dohodnout. My nemůžemev té válce zůstat jako nahý v trní. Tam nám nic jiného prostě nezbývá.

Občas se mluví o e-Governmentu - elektronizaci veřejné správy. Tahle kybernetická válka se má k tomu e-Governmentu, který by měl usnadnit život občanům, zejména ve styku s úřady a úřadům jako takovým, se má k nim jak? Ohrožuje je to?

Houstnoucí atmosféra v kyberprostoru ohrožuje jakýkoliv důležitý informační systém. Stačí zmínit příklad Estonska, které je velmi daleko v elektronizaci státní správy, a ti to schytali naplno. Těm se to prostě zhroutilo, protože jim to shodili ruští hackeři. A tady, pokud vytváříme prvky e-Governmentu, už je musíme vytvářet s vědomím, s analýzou rizik, která v tom kyberprostoru hrozí, a musíme použít principu, tomu se říká bezpečnost v návrhu, „Secure by design“, nebo bezpečnost v architektuře, „Secure by architecture“, a už když se tvoří ten záměr nebo ten návrh toho informačního systému, tak už se tam musí klást důraz na bezpečnost. Bez toho to prostě nejde. To nefunguje.

Je nějaké jednoduché řešení?

Tady jednoduché řešení není. Nicméně co se týká bezpečnosti, tak já si myslím, že cesta k národnímu cloudu je tou cestou, která výrazně dokáže zvýšit bezpečnost e-Governmentu.

Není to tak, že jeden cloud, tedy jedno jakési virtuální úložiště, je tím nejzranitelnějším právě proto, že je jenom jedno?

To není jedno úložiště, to jsou distribuovaná úložiště. Víte, ano, na jedno místo se dobře útočí, ale jedno místo se také lépe chrání.

Jan Pokorný Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít