Evropa je extrémně závislá na technologiích, elektřině a infrastruktuře a nové teroristické útoky mohou mířit právě tímto směrem. „Třeba kybernetickými útoky na přepravní společnosti,“ říká expert na kybernetickou bezpečnost Tomáš Přibyl.

Přibyl je ředitelem dvou českých IT společností – Corpus Solutions i nově vzniklé CyberGym Europe, která díky spolupráci s izraelskou společností CyberGym dokončuje v Řitce ve středních Čechách první evropské centrum pro simulaci kybernetických útoků v reálném prostředí. A hlavně na obranu proti nim.

• Hned pár metrů od vašich pražských kanceláří je krajské policejní ředitelství – jak je na tom podle vašich zkušeností česká policie a obecně bezpečnostní složky se svou IT kompetencí?

Osobně si myslím, že potíž ve státní správě je v tom, že stát má problém udržet schopné a zkušené lidi. Stát umí vytvořit zajímavé podmínky pro práci, umí dát přístup k zajímavým technologiím, umí lidi vyškolit, ale když pak daný člověk dostane nabídku z komerční sféry, je velmi složité jej ve složkách s regulovanými platy udržet.

• Co s tím? Když odmyslíme možnost, že by na ně stát sehnal extra peníze…
  

  Tomáš Přibyl, CyberGym Europe

   

V oblasti kybernetické bezpečnosti a všude tam, kde je zapotřebí vysoce sofistikovaných lidí, může fungovat dohoda mezi státem a komerční sférou. Stát je schopen ty lidi najít, vyškolit, investovat do nich a v ideálním případě by je mohl řízeně tak říkajíc odložit do komerční sféry. Tam si ti lidé vydělají peníze, které si díky svým kompetencím zaslouží. Ale v případě nějakého ohrožení, kdy je stát bude potřebovat, si je může stáhnout zpět.

• Takový model někde funguje?

Funguje to tak v Izraeli. Je to model vysoce funkční a účinný. Možná by to i u nás mohl upravovat zákon o domobraně, nebo nějaký podobný zákon. Přinejmenším v oblasti kybernetické bezpečnosti si něco takového dovedu velmi dobře představit. Problém je, že vyspělost společnosti je v tomto smyslu nízká a nikdo toto téma systémově neřeší.

V Česku vede švejkovský přístup

• Podle nedávného hodnocení Mezinárodní telekomunikační unie je Česko v připravenosti na kybernetické útoky na 41. místě na světě po boku Ruska a Gruzie. Nejlépe připravenou zemí jsou USA a dále Kanada a Austrálie. Je to naše umístění adekvátní tomu, jak vážně kybernetické hrozby bereme?

I když Česká republika má zákon o kybernetické bezpečnosti, v samotné realizaci pokulháváme. Řada států je mnohem dál. Deficit vidím i v připravenosti a ochraně kritické infrastruktury u soukromého sektoru.

• Čím to je? Tím, že chybí bezprostřední zkušenost s tím, jaké dopady může mít opravdu rozsáhlý kybernetický útok?

Míra edukace na trhu pořád není taková. Často je to vnímané jako zákonná povinnost, která se z podstaty věci odkládá a nechává na poslední chvíli, ne jako nutnost k tomu, aby si uchránili svůj byznys. Je to trochu švejkovský přístup.

• Kdo je ve vztahu ke kybernetickým útokům nejohroženější?

Jsou to sektory průmyslu, kde kyberútok – použitý jako vojenská zbraň – napáchá co nejvyšší škody. Logicky si odvodíte, že jde o kritickou infrastrukturu typu energetika, doprava, telekomunikace. Je ale potřeba vnímat, že i firmy, které nejsou v kategorii kritické infrastruktury, mohou být cílem útoku se záměrem získat potřebná data. Typicky třeba citlivá data z pojišťoven, bank… Vlastně každý může být prostředníkem k útoku.

• Vy se chystáte v únoru 2016 otevřít tréninkovou arénu zaměřenou na ochranu proti kyberútokům. Tréninky máte už teď pokud vím dlouho dopředu naplněné. Dá se říct, kdo jsou vaši klienti?

Pracujeme s firmami z bankovního sektoru, máme velkou poptávku z energetiky, která si uvědomuje svoje deficity. Ale spolupráci máme i se státními orgány na středoevropské úrovni – s centry kybernetické ochrany Rakouska, Rumunska Bulharska.

• Nějak nevím, co si pod tou arénou představit. Kyberútoky člověk vnímá spíš jako virtuální softwarovou hrozbu než něco, kvůli čemu se musí stavět aréna…

Když si chce dnes někdo nechat zkontrolovat, jak je na tom jeho bezpečnost, objedná si takzvané penetrační testy. Jenže ty mají významné omezení – pracujete v reálné infrastruktuře a nesmíte při nich tedy nich shodit, zničit… Představte si, že by si třeba ČEZ nechal udělat penetrační testy a v rámci nich by se jim kompletně zastavila elektrárna. To by asi nešlo. Ale v aréně vystavíte, co je potřeba, co nejvěrněji naemulujete realitu, a můžete trénovat všechny fáze vysoce sofistikovaných a komplexních útoků. Hlavním cílem je naučit fungovat tým. To nejsou jen lidé zodpovědní za obranu, ale výstupy musí zpracovávat zároveň právníci, třeba kvůli pozdějším důkazům pro vyšetřování, marketing s ohledem na informace zákazníkům a tak dále.

Na straně útoku může stát armáda

• Vy jste se inspirovali v Izraeli, převzali jste koncept tamní CyberGym. Proč by se ale v globalizovaném světě měli jezdit školit experti do Česka, do Řitky, když mohou za originálem rovnou do Izraele?

Izraelci nás tu budou po nějakou dobu supervizovat, předávají nám know-how i zkušenosti a neměl by tu být žádný kompetenční deficit mezi trenéry v Izraeli a v Česku. Roli může hrát i komplikovaná bezpečnostní situace v Izraeli. Vnímám to i jako šanci i pro Českou republiku vybudovat si v této oblasti významné postavení v rámci Evropy. Protože žádná podobná komerční aréna v celé Evropě není.

• Asi je v Česku na čem stavět i díky referencím a kompetencím z IT oblasti – vznikl tu Avast, AVG…

Přesně tak. Jsou tu české firmy s velkým renomé. Kromě toho tu má své investice spousta velkých světových IT firem. Jsou tu schopní lidé s velkým potenciálem.

• Přečetl jsem si, že vaše investice je v řádu miliónů dolarů, což není až tolik. Dá se říct, že to hlavní je právě onen lidský potenciál?

To nepochybně. Jde o celé know-how, o vyzrálý koncept stojící na izraelské metodice. Berte to tak, že kybernetická válka je i souboj vizí a myšlenek. Kdo je dnes špička v oblasti útoků? Určitě Čína, Rusko, Amerika. Tam si najít ta dvě procenta špičkových lidí je daleko jednodušší než v Izraeli s limitovaným počtem lidí. Rozdíl je proto v metodice, do níž Izrael investoval obrovské prostředky tak, aby si lidi tvrdě vycvičil a vychoval. Ruský nebo čínský hacker je určitě schopný, ale má to od přírody, neumí to předávat dál.

• Jak těžké bylo Izraelce přesvědčit, že to know-how mají předat právě vám?

Našli jsme se vzájemně. Uvědomil jsem si, že obor se zásadně změnil, protože na straně útoku může stát armáda. A jak chcete jako komerční firma soupeřit s armádou s jejími možnostmi a rozpočty? Hledal jsem proto cestu, aby naši lidé pochopili, jak vypadá profesionální hacker rekrutující se z armády. Logicky mne to zavedlo do Izraele a dohodli jsme se. Koupili jsme si od nich know-how a jde o oboustranně výhodnou spolupráci.

Hrozba civilizaci není v kalašnikovech

• Co je vlastně ve vašem pojetí kyberútok?

Z mého pohledu je to propracovaná záležitost, kde klíč je hlavně v přípravě. Musím rozumět tomu, kde je potenciální cíl. Musím pochopit firmu a lidi, kteří v ní pracují, vědět jak fungují. Lidi o sobě řeknou spoustu věcí na sociálních sítích, znáte jejich profesní zázemí, dají se tak identifikovat slabá místa a dá se předpovědět jejich chování v případě kybernetického útoku. Vždy se hledá nejslabší místo, spolu s tím se spouští kouřové clony, jež skryjí podstatu útoku. Dnes většina firem nemá žádnou strategii obrany a tak reagují chaoticky, jen reaktivně. Pak už je jen otázka, co je cílem, Zda získání dat, zničení, ochromení… Příprava i provedení trvá dlouho, pokud už firma vidí dopad, lze předpokládat, že samotný útok začal před půl rokem.

• Byly tady v Česku nějaké útoky, které stojí za řeč?

Byly tu poměrně primitivní útoky DDOS vedoucí k přetížení serverů. Ale to jsou přesně ty kouřové clony zakrývající skutečné a daleko sofistikovanější útoky. Pokud se to tak stalo, jsem přesvědčen, že jsou zavrtané v sítích a organizace, proti nimž ty útoky byly vedeny, o tom neví. Pro srovnání – izraelská elektrárna, kterou izraelský CyberGym chrání, má až 25 000 útoků denně, z toho tři až pět procent velmi vážných. Útočník může být odkudkoli. Dnes už se kyberútoky dají i levně koupit na internetu.

• Mluví se o tom, že by hackeři mohli být schopní převzít na dálku řízení letadel, či dokonce ovládnout jaderné zbraně. Jsou to skutečně reálné hrozby?

Kdo by si před pěti lety pomyslel, že je možné převzít kontrolu nad autem? Ale stalo se to. Podobná cesta nepochybně existuje i k letadlu. Lidé si to nechtějí připustit, nikdo tu nechce vyvolávat paniku, ale rizika jsou obrovská. Všude, kde tečou nějaké jedničky a nuly, jsou rizika z hlediska kybernetických útoků a je jedno, jestli jde o zařízení připojené na internet.

• Co islámská hrozba? Islámský stát vnímáme ji hlavně jako vousaté muže s kalašnikovy na terénních Toyotách… Mohou být ale hrozbou z kyberhlediska?

Vnímám to tak, že největší hrozba naší západní civilizace neleží v kalašnikovech, ale právě v kyberoblasti. Na tom jsme životně závislí. Islamismus v tomto směru reprezentuje poměrně velká rizika. I s ohledem na migrační vlnu – nevíte, kdo a kolik z těch lidí přichází se schopnostmi v této oblasti a mohou tímto způsobem ohrozit evropskou civilizaci. Evropa je extrémně závislá na technologiích, na IT a teroristické útoky lze páchat i jinou formou. Třeba kybernetickými útoky na přepravní společnosti. To je daleko jednodušší než propašovat zbraň do letadla. Nechci strašit, ale v profesionalitě scénářů, lze očekávat vlastně cokoli.

• Napadá mne, že firma jako je ta vaše, může být vlastně dost nebezpečná. Máte kompetence v oboru, kde je řada lidí, ani odpovědných úřadů nemá… Neměli byste mít vy a vaši lidé také bezpečnostní prověrky?

To byl dokonce izraelský požadavek. Musíme mít prověrky tak, abychom byli pro stát maximálně transparentní a čitelní. Stát musí vědět, co se tu děje. Všichni, kdo k nám nastupují, souhlasí s tím, že budou procházet prověrkou až na stupeň Tajné.