Česko má nedostatek kybernetických odborníků. Škrty pro nás znamenají omezení, říká šéf kyberúřadu
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal před týdnem doporučení, jak lépe chránit 5G sítě. Dokument, pod který se podepsaly zpravodajské služby nebo třeba ministerstvo průmyslu a obchodu, má dva účely. „Jednak reálně poradit s výběrem dodavatelů a jednak ukázat, jak o tom stát přemýšlí,“ říká v rozhovoru pro Radiožurnál ředitel NÚKIBu Karel Řehka. Mluvil také o své budoucnosti v úřadu, nebo konfliktu na Ukrajině.
Minulý týden v pondělí kyberúřad vydal doporučení ohledně 5G sítí, proč?
Důvod, proč zrovna minulé pondělí, tam žádný není. To doporučení se táhne, jeho zpracování a příprava, od podzimu 2020.
Odborník: Začít řešit rizika 5G sítí u letišť měsíc před nasazením je pozdě. V Evropě to máme vyřešené
Číst článek
Původně byl náš záměr ho vydat už na jaře loňského roku, ale protože kolem toho bylo hodně diskuzí a dotazů, tak se nám to průběžně natahovalo. Pak se ještě čekalo na výsledek Bezpečnostní rady státu, kde byl projednáván mechanismus (pro posuzovaní důvěryhodnosti dodavatele, pozn. red). Dohoda všech institucí byla, že to vydáme plus minus na konci roku, na začátku letošního. Ale věcně bylo doporučení nachystáno už na jaře minulého roku.
Proč jste vydali takové doporučení, když není nijak závazné?
Ono to má dvě stránky, jednak reálně poradit s výběrem dodavatelů a jednak ukázat, jak o tom stát přemýšlí. Samozřejmě se k tomu chystá formální mechanismus a legislativa, která by v budoucnu měla zabezpečit, že stát bude schopen si ohlídat, omezit nebo případně vyloučit vysoce rizikové dodavatele kritických sítí. Rozumíme taky tomu, že průmysl už dnes potřebuje stavět, potřebuje mít informace a znát pohled státu. Legislativa se chystá, ale to bude nějakou dobu trvat. Rozhodli jsme se alespoň tímto doporučením naznačit, jak to stát vnímá. Tím, že to podepsala celá bezpečnostní komunita, ale i další klíčová ministerstva, třeba průmyslu a obchodu, tak to dokazuje shodu v pohledu státu.
V doporučení píšete, že je u dodavatele potřeba hlídat třeba i jestli pochází z demokratické země, ve které platí zákony nebo ochrana duševního vlastnictví. Je v silách operátorů tohle zjišťovat a rozlišovat?
My jsme se to snažili formulovat tak, že ty věci jsou opravdu dohledatelné a částečně měřitelné. Na druhou stranu se snažíme ukazovat, které faktory ukazují na bezpečnějšího dodavatele.
Škrty v rozpočtu na kyberbezpečnost
Vláda ve středu schválila rozpočet. NÚKIB oproti návrhu na letošní rok přišel o 28 milionů korun. Co to pro kyberúřad znamená?
Pro NÚKIB to určitě znamená omezení. My si teď děláme analýzu. Bude to znamenat omezení v některých investicích a provozu. Je možné, že potom se na základě nějaké reálné situace budeme pokoušet vyjednávat doplnění nějakých prostředků. Pokud to bude třeba souviset s českým předsednictvím Radě Evropské unie. Podle mě je důležité si uvědomit, že NÚKIB je organizace, která ještě pořád není vytvořená, pořád vzniká. Vlastně není ještě zdaleka na těch plných operačních schopnostech, které by potřebovala dnes.
Ohrožují tyto škrty kyberbezpečnost v Česku?
Jak říkám, musíme vyhodnotit konkrétní dopady. Musíme se uskromnit. Určitě to ale není tak, že končí svět. Jen jak se naše organizace teprve dobudovává, tak tady opravdu není moc prostor pro škrty.
Také říkáme, že pokud operátor není schopen některou věc vyhodnotit nebo mu vyjde některý aspekt negativní, neznamená to automaticky, že dodavatel musí být vyloučen. Vždy se tam kalkuluje, jak je dodavatel významný, musí se taky vyhodnotit, jaké jsou možnosti ho případně nahradit. To doporučení je ale opravdu jen doporučující. Samozřejmě u některých věcí je optimální, aby je nehodnotili operátoři. U některých aspektů je v lepší pozici stát, aby to hodnotil. Proto chystáme legislativu.
Pokud operátor bude chtít budovat síť už teď a bude se chtít poradit, tak mu řeknete, jestli je jeho výběr dodavatele v pořádku?
Jestli je nebo není něco v pořádku, to říct nemůžeme, na to teď nemáme mandát. Dnes ale například pořád platí naše varování proti společnostem Huawei a ZTE. A je nějaký mechanismus, kdy správci kritické informační infrastruktury toto musí zohlednit ve své analýze rizik. Rozhodně se nebráníme nějakým konzultacím, to probíhá už teď. Ale nemůžeme říct: ano, toto je správně, ne, toto je špatně. Na to nemáme nástroj.
A chybí tento nástroj?
Myslím si, že určitě chybí. To ukázala i analýza, jak Česko plní 5G security toolbox (doporučení Evropské komise o bezpečnosti 5G sítí, pozn. red). Tam se ukázalo, že v opatření SM03, což je strategické opatření, které říká, že musíte být schopni omezit nebo úplně vyloučit vysoce rizikové dodavatele ze sítí. Tam se ukázalo, že toto neplníme na sto procent. Plníme ho jen částečně. Máme nějaké mechanismy, ale zdaleka ne dobré. Myslím, že i vůči operátorům je dobré, aby existoval transparentní mechanismus.
Takže varování NUKIBu před Huawei a ZTE to neřeší?
Určitě to není optimální opatření. A není stoprocentní, neříká, že tyto společnosti jsou vyloučené z kritické infrastruktury. Není to dostatečný a dostatečně transparentní mechanismus.
Volá vám údajná technická podpora Microsoftu? Jde o vishingový útok, varuje kyberúřad
Číst článek
V tuto chvíli tedy už něco vzniká?
Vzniká legislativa, probíhají konzultace. Ten proces se potáhne několik měsíců.
Jak by měl ve výsledku vypadat?
To nechci předjímat. Teprve to vzniká. Když se podíváte do evropského Toolboxu, mluví o tom, že je potřeba hodnotit technické i netechnické aspekty. Tak to bude v tomto duchu. Aby se řeklo jasně, které aspekty se mají vyhodnocovat, kdo je vlastně významný dodavatel. Koho se to bude týkat přesně.
Ohledně doporučení, které teď vydal NÚKIB, čí to byla iniciativa?
Víceméně byla shoda mezi státními institucemi, které se podílejí na nastavení toho mechanismu. To je NÚKIB, který to dělá ve spolupráci s ministerstvem zahraničích věcí, s ministerstvem průmyslu a obchodu, zpravodajskými službami a zároveň s Českým telekomunikačním úřadem. Byla shoda všech institucí, že se udělá nějaké doporučení. Počáteční impuls přišel z Českého telekomunikačního úřadu.
V tom případě, proč není na tom dokumentu uvedený? Na úvodní straně jsou loga a názvy všech institucí, co jste teď vyjmenoval, ČTÚ tam chybí…
To je spíš otázka na ně. Co já můžu říct, tak všechny instituce, které se nějak podílí na tvorbě toho mechanismu, včetně tedy Českého telekomunikačního úřadu, určitě od začátku až do konce byly zahrnuty v procesu připomínkování a tvorby toho dokumentu.
Napětí na Ukrajině
Na konci ledna jste vydali upozornění, které se týká Ukrajiny a konfliktu na Ukrajině. Proč jste ho vydávali, byl to nějaký konkrétní impuls?
Tady máme za poslední roky poměrně bezprecedentní, vysoký stupeň politického a bezpečnostního napětí. Víme, že vždy, když dochází k takovému napětí, tak se to přelévá i do kyberprostoru a opačně. A vzhledem k povaze krize, k historii na východě Evropy, tak se dá usuzovat, že může hrozit vyšší pravděpodobnost útoku na Českou republiku.
Český kyberúřad radí olympionikům, ať svá zařízení chrání novými hesly. Vydal dvoustránkový manuál
Číst článek
Minimálně zvýšené riziko kyberšpionáže, to hrozí už akutně teď. Ale hrozí i jiné scénáře. Například to, že se i nechtěně mohou přelít některé útoky, které probíhají jinde, k nám. Cíl upozornění je v tom, aby subjekty, kterých se to týká, zaznamenaly, že vůbec něco takového hrozí. Dali jsme tam i konkrétní sadu doporučení, co si myslíme, že nám tu může hrozit a od koho.
Takže to ale není kvůli něčemu konkrétnímu?
Nebyla to žádná reakce na konkrétní incident, bylo to preventivní opatření. Například v minulosti se ale kyberútok na energetický sektor na Ukrajině přelil do celé Evropy.
Pokud tedy takové riziko hrozí, není pouhé upozornění málo?
To ano, toto je jen veřejné upozornění. Nejen my, ale i ostatní bezpečnostní složky ve státě, děláme i další opatření. Zabývala se tím vláda, bezpečnostní rada státu. Děláme si analýzy a predikce různých scénářů, vytipováváme si, co by mohlo nastat. Chystáme i kroky k prevenci nebo minimalizaci dopadu.
Kdyby konflikt eskaloval, kde čekáte největší nebezpečí?
To není na zveřejnění, ale určitě si takové analýzy děláme.
Den před upozorněním na kyberútoky spojené s Ukrajinou jste vydali s Vojenským zpravodajstvím doporučení pro olympioniky a veřejnost před odjezdem do Číny, jak si chránit technologie a soukromí. Nebylo pozdě dávat takové upozornění, když olympionici už téměř odjížděli?
Bylo to v souvislosti s olympiádou v Číně, ale v podstatě to je aplikovatelné pro kohokoliv, kdo musí cestovat do nějaké oblasti, kde je nějaká zvýšená možnost narušení osobních práv a kde se tolik nedbá na ochranu osobních údajů. A jestli to je pozdě nebo zavčas, těžko říct. Není primární role NÚKIBu hlídat, kdo kam jede. Samozřejmě když můžeme, tak pomůžeme. Na druhou stranu my jsme dopředu žádné dotazy k tomu nedostali. Navázali jsme komunikaci s Českým olympijským výborem a dohodli jsme se, že doporučení uděláme. Kdyby nás někdo asi oslovil dříve, požádal o konkrétní podporu, tak to vydáme asi dříve.
Nedostatek odborníků
V březnu to budou dva roky, co jste ředitelem NÚKIBu, co vás čeká dál?
Já doufám, že ještě ředitelování NÚKIBu. Samozřejmě tato pozice je jmenována a odvolána vládou. Je to čistě na vládě.
Šéf kyberbezpečnosti Řehka: Tlačíme na ministerstvo zdravotnictví, aby vytvořilo strategii proti hackerům
Číst článek
Takže nemáte žádné indicie, že by se chystala nějaká změna?
Já indicie určitě nemám. Ale to je otázka na vládu. Já si myslím, že jsem tady pořád platný. Jak dlouho tu ale budu, to není na mně. Já mám přerušený služební poměr jako voják z povolání, takže se logicky počítá s tím, že se v nějaké fázi musím do armády vrátit. Mám platný závazek.
Je nějaký projekt kyberúřadu, který chcete dokončit?
Pro mě je strašně důležité, aby NÚKIB měl kapacity a schopnosti, které potřebuje a které Česko od něj potřebuje. Já si myslím, že se taky musíme začít věnovat nedostatku kybernetických odborníků v Česku, a to je opravdu strategický problém, který nás dožene, pokud ho nezačneme řešit. Je to problém, který určitě přesahuje NÚKIB. Další věc, kterou si myslím, že budeme muset začít řešit je vytvoření odolné jednotné komunikační platformy pro stát a jeho kritickou infrastrukturu.
Co si pod tím představit?
Technické řešení, ICT infrastrukturu, která propojí kritické systémy ve státě. To bude pak umožňovat, aby se tam nasazoval jednotný standard, hlídat dodavatelské řetězce, detekovat hrozby. To dneska není. Dneska je rozdrobenost, kde si každá organizace udělá libovolné řešení, které potřebuje. Nějak si to poskládá, někam se připojí s minimální koordinací a provázaností.
To je v akčním plánu…
Ano, to je tam zmíněno. NÚKIB to dává dohromady, ale ne sám. Je to věc, která přesahuje NÚKIB. Řadu měsíců už na tom pracujeme. Model, který je doteď, neříkám, že je špatný, ale určitě není dostatečný. Množí se útoky, jsou sofistikované, nastupují k nám přelomové technologie, které umožňují dělat věci automaticky a ve velkém množství, i na straně útočníka. Jako stát budeme muset být schopni na toto reagovat a nasazovat stejně vyspělé nástroje a dělat věci efektivně. To je provázané i s nedostatkem odborníků.
Tato jednotná platforma je zmíněna i v programovém prohlášení vlády, cítíte tedy podporu politiků a vlády v tomto ohledu?
Tak určitě ano. Já vnímám jako velmi pozitivní, že vláda dává docela akcent na kyberbezpečnost, na digitalizaci obecně. A už jen to, že zřídila pozici místopředsedy vlády pro digitalizaci, je pro mě pozitivní věc. To téma se zvedá a věnuje se mu nějaká pozornost. To že se takové věci objevují i v programovém prohlášení, je pro mě určitě dobrá zpráva.