V oblasti kybernetické bezpečnosti bylo Česko ve srovnání se zbytkem světa takovou spící Růženkou, popisuje Daniel P. Bagge, český kyberatašé ve Washigtonu, situaci ještě zhruba před osmi lety. Od té doby se podle něj Česká republika dokázala vyšvihnout mezi absolutní světovou špičku. Čeští odborníci na kybernetickou bezpečnost vyhrávají mezinárodní soutěže a školí týmy Severoatlantické aliance. 

Přinášíme pokračování rozhovoru s předním českým odborníkem na bezpečnost v kybernetickém prostoru. Na otázku, jak si jako Česká republika ohledně kyberbezpečnosti stojí v mezinárodním srovnání, odpovídá Daniel Bagge stručně: „Jsme dobří.”

První část rozhovoru si můžete připomenout ZDE.

Říkáte, že jsme dobří, ale buďte konkrétnější. V čem? Čím to je? 

V České republice máme velký lidský potenciál. Máme opravdu nesmírně schopné lidi. Technologie je možné nakoupit, procesy je možné okopírovat, nastavit, převzít, ale pokud nemáte schopné lidi, kteří přemýšlejí inovativně, pak vám jsou veškeré technologie světa i veškeré procesy prostě k ničemu.

Můžu  uvést několik příkladů. Česká republika byla v podstatě do roku 2011 na úrovni státu v oblasti kybernetické bezpečnosti taková Šípková Růženka. Na státní úrovni. Na úrovni akademické sféry a soukromé sféry jsme byli velmi napřed. Máme tady špičkové firmy v oblasti kybernetické bezpečnosti, v akademické sféře máme jedny z prvních CERTů, což jsou bezpečnostní týmy, které mají světový věhlas.

Ačkoliv se na státní úrovni ke kybernetické bezpečnosti přistoupilo poměrně pozdě, podařilo se dát dohromady nesmírně zajímavý mix schopných lidí, ať už na té technické nebo strategické úrovni. Oddělení kybernetické bezpečnosti, které tehdy spadalo pod Národní bezpečnostní úřad, zpracovalo například legislativní návrh zákona o kybernetické bezpečnosti, který byl první svého druhu na světě.

Ostatní státy řešily kybernetickou bezpečnost buďto nijak nebo to měly podchycené formou nějakých jiných legislativních rámců, ale vlastní samostatný legislativní rámec pouze na kybernetickou bezpečnost neměly. Navíc jsme kyberbezpečnost neměli schovanou pod žádným ministerstvem nebo zpravodajskou službou, ale měli jsme určenou národní autoritu, která je za oblast zodpovědná a která měla možnost komunikovat i se soukromým sektorem a akademickým sektorem a dalšími vládními úřady.

Daniel P. Bagge, český kyberatašé ve Washingtonu

Jak jste postupovali, když jste neměli moc kde čerpat inspiraci?

Začali jsme velmi záhy identifikovat, co je v České republice kritická informační struktura a dělali jsme to jinak než jinde. Mnoho států to definuje politicky, ukáže prstem a řekne: Toto je důležité. U nás jsme měli set kvantitativních kritérií, která musí být splněna, abyste byli prohlášeni kritickou informační strukturou.

Instituce, které do této kategorie spadaly, měly potom zhruba rok na implementaci požadavků definovaných zmiňovaným zákonem. Všechny kritické subjekty, ať už ve státní nebo soukromé sféře, věděly velmi dobře, co se po nich chce. Kromě regulace jsme poskytovali i silnou metodickou podporu.

Takže jsme, řekněme, nebyli tím zlým regulátorem, který by pokutoval, vyhrožoval, zavíral, rušil provoz a podobně. Chodili jsme a pomáhali, vysvětlovali, co se po nich chce, jak se to dá udělat a podobně. Dokonce jsme jim pomáhali i s lobbingem, aby na to sehnali finance. Protože nemůžeme chtít po institucích, aby něco implementovali, když na to nemají v rozpočtu peníze.  Takže jsme se jim snažili pomoct je zajistit.

Takto jsme postupovali několik let na té národní úrovni a zároveň jsme poměrně silně rozvíjeli i tu technickou část, takzvaný vládní CERT, GovCERT, což je zkratka pro Computer Emergency Response Team.

Kyberútoky nanečisto

A tam se vám podařilo sestavit zmiňovaný skvělý tým?

Ano, tam se nám podařilo shromáždit velmi schopné lidi, kteří vyhrávali světové soutěže. Například různé simulace kyberútoků pořádané Severoatlantickou aliancí. V roce 2017 jsme zvítězili, v roce 2018 jsme byli třetí, v roce 2019 jsme byli druzí. Nedávno organizovalo NATO a jeho bezpečnostní centrum, které sídlí v estonském Tallinu cvičení nazvané „Locked shields“.

Jde o asi největší cvičení zaměřené na kybernetickou bezpečnost na světě. Simuluje reálný kybernetický útok, spolu se vším, co by takový útok provázelo. To znamená, že se tam se na nějakém kybernetickém polygonu postaví infrastruktura, která vychází z toho, jak reálně vypadá v elektrárnách, čističkách odpadních vod a dalších zásadních zařízeních pro chod státu. Pak je tam tým hackerů, kteří se snaží onu infrastrukturu zničit a každý stát se snaží svoji infrastrukturu naopak ubránit.

To cvičení je ale ještě širší, protože kromě tohoto technického aspektu  řeší i netechnický aspekt. Každý tým musí poskládat něco, co v našich podmínkách simuluje Bezpečnostní radu státu – tedy strategický tým. Dále je tam mediální tým, který má za úkol uklidňovat veřejnost, vysvětlovat jí, co se děje, že sice může docházet k výpadkům elektřiny, ale že se na tom pracuje, že je to z těch a těch důvodů a tak dále.

Pak je tam právní tým, který “dohlíží”, aby vše, co se děje, bylo v souladu s mezinárodním právem. Závěrem dvoudenního cvičení je vyhodnocení. A jak jsem říkal, v roce 2017 Česká republika zvítězil, letos nás porazila pouze Francie.

Jako laik jsem schopná vyjmenovat v rámci českých IT úspěchů program T602, pak antiviry, Avast, AVG. Doplníte mě ještě nějak?

Jen bych asi opravil, že T602 byl software. Dalo se v něm psát i počítat. Společnost Software 602 s textovým editorem přišla do Spojených států ještě předtím, než se objevil nějaký Microsoft Office. Kromě zmiňovaných světově používaných antivirů bych ještě zmínil vyhledávač Seznam.

Je to jediný vyhledávač, který má v některé západní zemi majoritu nad Googlem. Všude na Západě převládá zcela Google. K českým úspěchům, ale řadím i vznik Národního úřadu pro kybernetickou a informační bezpečnost  (NÚKIB), důvod už jsem popsal před chvílí.

Češi cvičí Američany

Jak pro takový úřad sháníte v malém českém rybníčku odborníky? 

Naší velkou devizou je, že nadstandardně komunikujeme s partnery na národní úrovni, ale i aktivně vyhledáváme talenty na školách. Vyvíjeli jsme vlastní předměty, vedli jsme diplomové práce, nečekali jsme, kdo k  nám propadne systémem nebo se nám přihlásí, ale zcela cíleně jsme šli po konkrétních lidech, ty  jsme vyloženě skautovali.

Jsme teď mezinárodně natolik uznávaní, že sami pořádáme technická i netechnická cvičení pro naše zahraniční partnery. Například jsme dělali cvičení pro americký kongres ve Washingtonu nebo pro velitelství NATO ve Virginii. Hodně školení jsme vedli na Balkáně.

Některé státy, které nebudu jmenovat, přejaly třeba kompletně i náš český legislativní rámec. My jsme unikátní tím, že jsme ho byli schopni nejen implementovat do národní legislativy, ale hlavně v něm fungovat. To, že jsme malá země nám v tomto ohledu paradoxně pomáhá. Protože naše řešení jsou univerzální.

Jak tomu mám rozumět?

Když si vezmete třeba Spojené státy, které mají naprosto robustní systém, kde v rámci kyberbezpečnosti pracují tisíce lidí, tak jejich řešení nejsou aplikovatelná v dalších zemích, které mají pět, deset, klidně i padesát milionů obyvatel. Naše řešení jsou univerzální, a tím pádem aplikovatelná i jinde. A především jsou funkční. Tím neříkám, že Česká republika má vyřešenou kybernetickou bezpečnost, naopak.

Útočí se neustále

Z toho, co jste říkal by to přitom svádělo spíš k optimismu…

Myslím tím, že čím hlouběji v této problematice proniknete, tím více vnímáte rizika a chápete, jak je důležité je řešit. Spousta států neřeší kybernetickou bezpečnost tak do hloubky a mají pak dojem, že jsou v pohodě. Protože o některých bezpečnostních incidentech ani nevědí nebo se jim nedějí, respektive nevědí, že se jim dějí.

Specifikum kybernetických bezpečnostních incident je, že jsou zdánlivě “neviditelné”.  Moc často se nestává, aby výsledkem kybernetického incidentu byl například požár nebo výbuch. Už sice nastaly situace, kdy nebezpečí přešlo z digitálního světa do toho “hmotného”, ale většinu útoků jakoby nevidíte, nejsou hmatatelné, pro spoustu lidí proto jakoby neexistovaly.

Útoky o kterých mluvíte se i u nás dějí na denní bázi?

Ano, dějí se na denní bázi.

A jakého jsou typu?

Je tam všechno možné. Pohybujeme se v digitálním světě, kde neexistují nebo neplatí standardní zákony jako ve fyzikálním světě. Tudíž v podstatě jediné, co vás limituje je možnost technologie, která jde neustále dopředu a vaše vlastní fantazie či řekněme invence, jak se dostat do nějakého systému.

Ty incidenty můžou být způsobené schválně nějakým hackerem, nějakou kriminální skupinou nebo to může být třeba i špatným nastavením. Dopadem takového incidentu ale může být například to, že přestane fungovat nějaký komunikační nebo informační systém.

Ve chvíli, kdy se jedná o databáze, které schraňují statisíce osobních údajů, třeba na úrovni státu nebo se jedná o systémy napojené na elektrárny a vodovody, tak dopady takových útoků můžou být katastrofické pro bezpečnost obyvatelstva. My sice nevnímáme, nevidíme onen informační tok těch útoků, ale jejich dopady bychom pocítili. To vše je potřeba řešit na denní bázi.

Partnerem rubriky (Ne)bezpečná síť je ISECO.cz