Šéf Vojenského zpravodajství: Čas je v kyberobraně klíčový, novela zákona všechna bílá místa nesmaže
Česko nemá kybernetickou obranu a nemůže se tak aktivně bránit hackerským útokům. Změnit to má novela zákona o Vojenském zpravodajství. Zpravodajská služba podle jejího ředitele Jana Berouna díky novele bude moct hlídat, co se v internetové síti děje, předvídat útok, odrazit ho a případně zaútočit zpět. Říká to v rozhovoru pro Radiožurnál.
Novela zákona o Vojenském zpravodajství už leží v Poslanecké sněmovně. Pokud projde v současném znění, co všechno by se změnilo?
Získáme zásadní možnost - a s námi celá Česká republika - detekovat útoky a signalizovat dopředu, že se nějaký kybernetický útok chystá.
Oproti původnímu znění novely je ta současná omezenější. Například nebudete moci plošně monitorovat síť. Budete i přesto schopni kybernetickou obranu dělat?
My jsme nikdy nebyli schopni plošně monitorovat síť ve smyslu sběru obsahu zpráv. To se nikdy nechtělo, a dokonce ten zákon to výslovně zakazuje. Tam došlo k upřesnění, abychom si všichni rozuměli, že nám jde o signalizování útoku a o nějaké atributy, že se nějaký útok připravuje nebo probíhá.
Vojenské zpravodajství by v budoucnu mohlo mít možnost hlídat internetovou síť a případně zaútočit proti hackerům.
Jaké informace budete sbírat?
V podstatě jen metadata, která budou naplňovat námi stanovené indikátory toho, jak by mohl probíhat nějaký útok, nebo data, která následnou analýzou vyhodnotíme, že by mohly předpovídat nějaký útok. Opravdu jen provozní údaje, nic víc.
Jak si mám představit provozní údaj?
I ta shoda nad definicí metadat není jednoduchá. Nejsou to data, která by říkala něco o účastnících provozu nebo o obsahu zpráv.
Jak je bude sonda předávat vám?
To bude normálně elektronicky propojené, budeme získávat data z normálního provozu.
Bude komunikovat na dálku?
Bude komunikovat na dálku.
Tyto nástroje budou jen u operátorů?
Ne, budou i u poskytovatelů internetového připojení.
Jak se bude kontrolovat, že fungují správně?
My nemáme žádný problém, a říkáme to od samého začátku, že všem subjektům, kam to chceme umístit, tak jim ty krabičky, ty sondy, dáme k analýze. Aby si to odzkoušeli, aby jim to nijak nenarušovalo provoz. Následnou analýzou zjistíme, jestli v té době na síti něco bylo nebo nebylo a jestli jsme to zachytili správně, nebo ne.
Může se operátor nějak bránit tomu, aby byly sondy v jeho systémech?
Bránit se může, ale my nepředpokládáme, že by docházelo k takovým sporům. Základem všeho je spolupráce a dohoda. Nemá smysl vykonávat činnosti, i když se týká tak zásadní věci jako kybernetická obrana, na základě nějakých sporů a trucu. My předpokládáme dohodu a vyjednávání.
Reportérka Radiožurnálu: Odkud se šíří kyberútoky na české nemocnice nevíme, vyšetřování může trvat měsíce
Číst článek
Kdo sondy Česku dodá?
Ti dodavatelé můžou být různí, různí státní hráči. Zatím nemáme specifikované, kdo by měl být výhradním nebo preferovaným dodavatelem.
Jak ověříte, že v nich není skryté jiné zařízení, že to není produkt jiné zpravodajské služby? CIA například kontrolovala kryptovací společnost, kterou využívaly jiné zpravodajské služby…
Tu sondu budeme testovat nejenom my, ale dáme ji k testování i ostatním subjektům. Je i v našem zájmu, aby se nic takového nestalo. Byl by paradox, kdyby českou zpravodajskou službu využila jiná zpravodajská služba, aby jim něco nasadila do sítě. To bychom byli za úplné trotly.
Defenzivní obrana
Proč má na starost kybernetickou obranu zrovna vojenské zpravodajství?
V době, kdy se o tom rozhodovalo, v roce 2015, tak došlo k analýze, kterou nedělalo vojenské zpravodajství. Dělal to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ta prvotní myšlenka byla proto, aby se začaly budovat aktivní schopnosti kybernetické obrany. Abychom mohli budovat aktivní schopnosti, tak k tomu potřebujeme tu pasivní část kybernetické obrany. Jedná se o činnost, která musí podléhat nějakému utajení, je tam mezinárodní spolupráce, výměna zpravodajských informací, nutnost operativního nákupu techniky... Tak z toho vyšlo, že se jedná o činnost obrannou. Obrana České republiky, která má prvky vojenské činnosti a je tam zpravodajská aktivita. Padlo to na Vojenské zpravodajství.
Kybernetickou obranu má v gesci Národní centrum kybernetických operací (NCKO) Vojenského zpravodajství, to už nějakou dobu funguje. Co tedy teď dělá, když novela ještě neplatí?
Nám už ten zákon o zpravodajských službách poskytuje nějaké možnosti tak, abychom začali budovat kapacity. Máme tady usnesení vlády, které to dává do gesce Vojenského zpravodajství, což je silný dokument. Probíhají přípravy z hlediska budování kapacit, tréninku, výcviku, navazování mezinárodní spolupráce.
Z armády do čela kybernetického úřadu. ‚Převratné změny nemám v plánu,‘ říká generál Řehka
Číst článek
Jaké nástroje bude moct NCKO používat k aktivní obraně, bude vytvářet nějaké svoje nástroje?
Samozřejmě, že si bude vytvářet vlastní nástroje, ale bližší specifikace opravdu není možná. To už bychom tomu nepříteli řekli opravdu všechno.
Jakým způsobem se bude muset dobudovat NCKO, pokud novela projde?
Co do počtu lidí, co do specializace lidí. Určitě tím bude vydán jasný signál i ze strany státu, že to s kybernetickou obranou myslíme vážně, že pro ty lidi má smysl spojit kariéru a životy s kybernetikou ve prospěch České republiky a s armádou.
Česko kybernetickou obranu teď nemá, znamená to, že se nemůže vůči hackerským útokům bránit?
Určitě nemáme kapacitu a zákonné možnosti na ofenzivní obranu.
Tak jak se to teď řeší?
Bráníme se defenzivně.
V podkladech k novele vojenské zpravodajství píše, že kybernetická obrana je soubor opatření a činností a že je nutná spolupráce více složek. Můžete mi to na nějakém příkladu vysvětlit, jak by to tedy v praxi mělo vypadat?
Těch subjektů, které se podílejí na nějakém vyšetřování nebo prevenci útoku, je celá řada. Je to NÚKIB, nějakou činnost zastává policie při kriminálním vyšetřování, poskytovatelé internetového připojení, těch subjektů je celá řada. Naším cílem je to, abychom maximálně využívali těch znalostí a informací, které už mají. My jsme k tomu doplnili spíš to, kde působit nemůžou, pak tomu dodat nějakou nadstavbu, analýzu těch věcí a navzájem se informovat zpětně.
Zjistit přesně, kdo útočí, trvá dlouho. Podle Národního úřadu pro kybernetickou a informační bezpečnost je to v řádech týdnů, měsíců a někdy to ani zjistit nejde. Jak rychle zjistíte, na koho zaútočit zpět?
To už je aktivní obrana, nějaký protiútok. Rozhodování o tom už není v působnosti vojenského zpravodajství. My poskytneme vládě nebo zákonným adresátům, co jsme zjistili. Pak musí dojít k politické atribuci útočníka a nějakému rozhodnutí.
Babišovy e-maily ve sněmovně: poslanci chtějí pro vládu školení i manuál, jak se chránit před hackery
Číst článek
Vy ale budete zjišťovat, odkud se útočilo…
Jasně, ale tu konečnou atribuci by nikdy neměla dělat zpravodajská služba. Zpravodajská služba tady není od toho, aby do světa hlásila, že je to ten a ten státní aktér.
Co když se spletete?
V tomto není smysluplné být ukvapený. Ani ta aktivní obrana by nikdy neměla způsobit větší následek než je původní útok. Je to jako s jakoukoli jinou obranou, přece se nebudeme bránit tak, že si způsobíme ještě větší škody.
Bude mít vaše protiopatření nějaké mantinely?
Ty mantinely jsou stanoveny zákonem. Bude k tomu existovat vládní dokument, který bude popisovat typové situace. Aktivní protiútok je nejkrajnější řešení, ten zákon počítá s celou škálou měkčích opatření. Od klasické defenzivní obrany po to, že informaci předáme NÚKIBu, policii, v případě zahraničních misí armádě.
Jak bude fungovat kontrola?
Kontrola je tam navrhována za využití stávajících institutů, parlamentní kontroly, nezávislé kontroly. I když ta bude muset být ještě zpřesněná. Bude i vnitřní kontrola, vznikne Úřad vnitřního inspektora. Mám strach z toho, abychom to nepřekontrolovali, abychom dělali i něco jiného než jen kontrolu.
Na druhou stranu ten inspektor bude vybírán z vašich řad. Činnost Vojenského zpravodajství tak bude kontrolovat samo Vojenské zpravodajství?
Tady ten člověk bude příslušníkem Vojenského zpravodajství, abychom měli alespoň nějakou kontrolu nad tím, jak se ten člověk chová, nad jeho bezpečnostní prověrkou, že nám nevynáší nějaké informace. Ten člověk se dostane k velmi citlivým informacím. Když tohoto člověka nebudeme mít pod nějakou kontrolou, tak v podstatě máme špiona uprostřed organizace.
‚Čas je klíčový‘
V současnosti už byly situace, kdy by stát kybernetickou obranu využil, kdyby ji měl?
Kdyby vygradovala situace co do rozsahu a hloubky v době koronaviru, například útoky na nemocnice. Kdybychom věděli stoprocentně, kdo útočí, tak to byla situace na hranici aktivní obrany. Ta situace mohla velmi rychle přerůst do naprosté tragédie.
Umíte už teď říct, kdo útočil na nemocnice?
Ne.
A byli jste do toho nějakým způsobem zapojeni?
Podíleli jsme se na té analýze.
A dá se odhadnout, kdy budou výsledky analýzy?
Nedá. A není to věc, která je určena v první řadě pro veřejnost. Tu atribuci musí provést politici a ti musí být informováni jako první.
Schválí vláda novou pravomoc pro Vojenské zpravodajství? Mělo by se starat o kyberobranu Česka
Číst článek
A ti zatím nejsou informováni?
Ne.
Ostravská nemocnice má za to, že útoky na ni byly cílené, hackeři třeba využívali konkrétní lidi v nemocnici nebo hackovali Slezskou univerzitu, přes kterou se snažili zaútočit na nemocnici. O tomto máte informace?
Cílené to je v 90 procentech. Ale co vám to řekne?
Ale tady se bavíme o tom, že hackeři využívali přímo jména lidí, kteří tam pracují…
Ano, co vám to řekne? Útoků na konkrétně Českou republiku jsou tisíce. Samozřejmě útok na nemocnici v době koronakrize je vážnější, kdyby těch útoků bylo deset na klíčové nemocnice, tak to už je vážný problém.
Jak by tedy Vojenské zpravodajství mohlo v tomto případě odpovědět?
Kdybychom se bavili o aktivní obraně, tak cílem je eliminace útočníka. Ale to nemusí být kybernetický protiútok. Těch opatření může být celá řada, můžeme se třeba domlouvat s tím státem, odkud útočník je.
Jsou tyto reakce dostatečně rychlé?
Čas je v tomto naprosto klíčový, ale neděláme si ambice, že tím zákonem odstraníme všechna bílá místa v kybernetické obraně. I ta společnost se s tím musí sžít. Třeba za rok zjistíme, že pravidla a lhůty jsou nastaveny tak, že v praxi by nás to neochránilo a budeme to měnit.
Jak se kybernetická obrana řeší v jiných aliančních státech?
Různě. Každá země úplně jinak.
Inspirovala se Česká republika někde?
Nemáme jeden model, je to česká národní cesta, která vychází z naší historie, legislativního rámce. Naopak od nás se na začátku inspirovali Slováci, kteří ten zákon opsali od nás a nějakým způsobem ho upravili do podoby, kterou má dneska.
A tam už funguje?
Ano.