Proč vlastně vzniká nový úřad pro kybernetickou bezpečnost?
On to není nový úřad. Jde o nový odbor na Národním bezpečnostním úřadě (NBÚ), který bude mít nakonec 34 lidí. Nevzniká tedy žádná úplně nová instituce. Když jsme začali připravovat věcný záměr nového zákona o kybernetické bezpečnosti, začaly nám chodit připomínky s obavami, že tady vzniká nové „ministerstvo“, se kterým se bude muset oficiálně komunikovat a bude plné nových problematických úředníků. NCKB je tedy jen součástí NBÚ.
Proč právě NBÚ by měl být tím, kdo bude podobnou instituci provozovat?
Dělení na vládní a národní pracoviště bylo koncipováno už od začátku. CZ.NIC v rámci memoranda provozoval a provozuje národní CERT, který zastřešuje kybernetickou bezpečnost a funguje podle komunity národních CERTů a jejích metodik. Ale nebylo tu nic na úrovni státu. Ministerstvo vnitra proto podepsalo s CZ.NIC memorandum, podle kterého vedle funkce národního CERTu vykonával CZ.NIC také funkci toho vládního. Podle našich informací a poznatků ale funkce vládního CERTu byla provozována spíše formálně. Nemáme informace o tom, že by se státní orgány do této struktury nějak masivně zapojovaly.
Formálně tedy vládní CERT spadal pod Ministerstvo vnitra, ale úplně dobře to nefungovalo. Ředitel NBÚ tuto situaci dlouhodobě kritizoval a nakonec se s ministrem vnitra a premiérem dohodl tak, že problematika kybernetické bezpečnosti přejde na NBÚ a vládní CERT budeme provozovat my. Máme s bezpečností určité zkušenosti, děláme utajované systémy, umíme certifikovat systémy a máme vybudovanou spolupráci s mezinárodními organizacemi. V každém případě bylo stávající situaci potřeba nějak řešit.
Mgr. Vladimír Rohel
Vladimír Rohel je ředitelem Národního centra kybernetické bezpečnosti. Vystudoval na Pedagogické fakultě UK zaměření matematika-chemie. Pracoval jako správce sítí na Ministerstvu obrany, poté stavěl české vojenské sítě v NATO a ÚNVP v SHAPE. V roce 2008 se stal ICT ředitelem NBÚ a nakonec ředitelem NCKB.
Co konkrétně má NCKB na starosti?
V rámci usnesení vlády z roku 2011 jsme se stali garanty kybernetické bezpečnosti v České republice a dostali jsme i konkrétní úkoly: přepracovat a inovovat strategii kybernetické bezpečnosti, aktualizovat akční plán ke strategii a vypracovat věcný záměr zákona o kybernetické bezpečnosti. Do roku 2015 musíme mít také plně funkční Národní centrum kybernetické bezpečnosti.
Některé termíny byly přímo šibeniční, ale všechny se nám podařilo splnit. Během pěti měsíců jsme napsali věcný záměr kybernetického zákona, který prošel všemi komisemi, radami vlády a nakonec i vládou. Stihli jsme i diskusi s odbornou veřejností a zapracování připomínek, které při tom vznikly.
Nyní pracujeme na přípravě textu zmíněného zákona. Po věcném záměru jsme dostali za úkol prakticky během čtrnácti měsíců napsat celý nový zákon, což také není příliš mnoho času. Opět nám hodně pomáhá diskuse s odbornou veřejností a její připomínky.
Co je na tvorbě takového zákona nejtěžší?
Nejhorší je, že vlastně nemáme odkud opisovat. Podobně komplexní zákony nikde ve světě nejsou. Objeli jsme spoustu států a partnerských CERTů a hledali jsme inspiraci. Hodně napřed jsou Spojené státy, ale ty jsou v mnohém specifické, takže tam můžeme sledovat jen trendy. Jejich mentalita je hodně jiná, oni třeba hodně hovoří o kybernetických válkách, takže tam se opisovat nedá.
Další státy pak tvrdí, že podobné zákony plánují nebo už je mají rok dva rozpracované a pořád je nemůžou dotáhnout. Důvod je obvykle ten, že na to nemají kapacity, není na to politická vůle, nebo se jednoduše čeká na „velký průšvih“, který se stane a donutí všechny jednat.
Takový průšvih ještě nenastal?
Třeba v Holandsku byla velkým impulzem kauza DigiNotar. Bohudík to celou zemi posunulo výrazně kupředu. O problematiku se začalo zajímat mnoho lidí, kteří o ní doposud nevěděli. Například politici, kteří většinou o technice mají jen mlhavé představy, začali najednou vnímat praktické dopady, které to přineslo.
Čtěte: Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar
Téměř ze dne na den viděli, jaké to má právní důsledky. Když vám někdo úspěšně zaútočí na certifikační autoritu, může vydávat neoprávněně podpisy. Najednou před sebou máte dva dokumenty s pravými podpisy, ale víte, že jeden z nich je vlastně falešný. Jak je rozeznat?
V Česku máme například datové schránky a mnoho dalších důležitých elektronických služeb. Když se bavíme třeba s tvůrci eGovernmentu a ptáme se jich, co by se stalo, kdyby někdo hacknul certifikační autoritu, tak nám říkají, že ty důsledky ani nechtějí domyslet. Veškeré doručování, datové schránky, všechno by padlo. Vše by bylo najednou zpochybnitelné.
V Holandsku je už vidět, že si všichni uvědomili to podstatné. Nemusí tomu rozumět do detailů, ale ví, o čem celá problematika je a táhnou za jeden provaz. Policie, zpravodajské služby, národní centrum, komerční oblast i politická reprezentace a všichni mluví jednou řečí a chtějí být nejbezpečnější zemí v kyberprostoru. A já si myslím, že se jim to nakonec povede.
A jak je to v Česku?
V praxi to hodně lidí nebere příliš vážně. Často nám vyčítají, že jde o teoretické úvahy a že se to v praxi nemůže stát. Ale když si uvědomíme, co všechno už je dnes závislé na počítačích, tak si nutně musíme položit otázku, jak by stát v případě nějakého velkého úspěšného útoku vlastně fungoval? Jak by občan komunikoval se státem?
Všichni to bereme jako samozřejmou věc, která prostě funguje. Nikdo ale nedomýšlí, jaký by mělo vliv, kdyby to fungovat přestalo. A nemuselo by to být ani na dlouhou dobu, stačí chvíle. Ještě nedávno se tady všichni rozčilovali nad nefunkčním registrem vozidel. Tam sice nešlo o kybernetický útok, ale už to způsobilo velké problémy.
Teď se blíží období daňových přiznání a mnoho podnikatelů ho dnes podává elektronicky přes nějaký portál. Co když takový portál nebude fungovat třeba v důsledku masivního DDoS útoku, se kterým nebudeme moci nic udělat? Kdo ponese právní zodpovědnost za to, že jste nemohl podat daňové přiznání? Bude to vaše vina? Vina státu? Nebo datové schránky, u kterých je platná fikce doručení. Co když budou týden mimo provoz?
Co s tím můžeme udělat?
Na úrovni státu by mělo existovat „něco“, co bude řešit jakési povědomí, dělat prevenci a vzdělávání. Právě na vzdělávání se chceme hodně zaměřit. V zahraničí se už například i v mateřských školách děti učí základy bezpečnosti. Mají k tomu krásné pomůcky, třeba pexesa, na kterých se naučí co je virus, jak se chová a podobně.
Právě prevenci považujeme za velmi důležitou, od těch nejmenších dětí až po vysoké školství. Máme uzavřené smlouvy s univerzitami, probíhají jednání o konkrétní spolupráci s Masarykovou univerzitou a ČVUT. Měly by vzniknout nové obory zaměřené na kybernetickou bezpečnost. Ty nám budou vychovávat odborníky, kteří pak půjdou přímo do institucí.
Hodně lidí se obává ze strany NCKB odposlechu a cenzury. Může k něčemu takovému dojít?
Některé instituce budou mít za povinnost nám sdělovat incidenty a spolupracovat s námi. Ale ony stále zůstávají majiteli svých sítí a my nemůžeme a ani nechceme do jejich sítí vstupovat a monitorovat je. Vše zůstává na provozovateli sítě. Nic jako špionáž tady probíhat nebude, to není náš úkol a ani nebude.
Nás vlastně nikdy nebude zajímat obsah. Je nám jedno, kdo co přes síť přenáší. Pro nás jsou podstatné jen hlavičky paketů a hlášení incidentů. Monitoring provozu si provádí každý vlastník sám, my jim určitě nebudeme instalovat žádná vlastní monitorovací zařízení. Nikdo po nás žádné sledování nechce, ale je nám to často podsouváno některými médii a částí veřejnosti.
Stejně tak nebudeme mít žádné vyšetřovací pravomoci. To je a bude starost policie České republiky. Pokud se někde objeví třeba dětská pornografie, pravděpodobně se o tom ani nedozvíme. Nás zajímá jen kritická infrastruktura a sítě státní správy. Pokud bychom se ale už o takové věci dozvěděli, automaticky ji předáme policii, která si bude provádět šetření sama.
Může ale dojít v rámci zvýšení bezpečnosti k regulacím přístupu k síti?
Je to jako v silniční dopravě. Byly doby, kdy jste si mohli jezdit, jak jste chtěli. Pak ale vznikla určitá pravidla a skoro všichni jsou nakonec rádi, že existují. Řidiči se cítí bezpečně a zároveň se dostanou tam, kam chtějí. Nikdo se už dnes nepodivuje nad tím, že se na červenou stojí.
Podobně je to i na internetu. Cílem není někomu v něčem bránit, ale zajistit bezpečnost a dostupnost služeb všem. Samozřejmě i tady budou existovat nějací „piráti silnic“, ale pak musíme mít připravené vhodné mechanismy a říct jim: „Takto ne, je tu většina těch slušných a ti potřebují síť spolehlivě využívat.“
Takže k jisté regulaci podle vás dojít musí?
Neumím si představit, že by Úřad nějakým způsobem reguloval veřejný internet. Vyčítali nám i to, že ho budeme vypínat. Já si ani teď neumím technicky představit, jak bych vypnul internet (smích). Internet byl naštěstí zkonstruován tak, aby to nebylo tak jednoduše možné.
Třeba v Egyptě už to dokázali a v Číně ty možnosti mají také…
Nejsme Čína a nejsme Egypt! My jsme právní stát, fungujeme v rámci Evropské unie a máme nějaké závazky. Zrovna s Egyptem a Čínou to není úplně správné porovnání. V různých státech světa se také dějí různé věci, ale u nás k nim nedojde. Takovou zvůli si stát nemůže dovolit. Minimálně dvacet let už jsme někde jinde.
Nechceme a nemůžeme nikoho odpojovat od internetu. My jen vyzveme nějaký subjekt a řekneme mu, že víme o problému v jeho síti. Jestli se sami rozhodnou dočasně se odpojit od internetu, odstranit zdroj útoku a pak se zase připojit, to je na nich. Nikdy jim nebudeme přikazovat, aby se odpojili. Budou mít jen povinnost to „nějak“ vyřešit.
Stát si musí v prvé řadě chránit informace a důležité komunikační kanály. Tam jistě nějaká regulace podle zákona nastane. Ale bude to opět regulace ve smyslu: „Máte na starosti tuto svou síť, my to víme a plynou vám z toho jisté povinnosti.“ Nebudeme mít ale právo tam nakráčet a začít rozkazovat.
Takže nebudete kontrolovat sítě úřadů?
Nemáme a nebudeme mít kapacity, abychom nějak řídili všechny sítě všech státních úřadů. Ty sítě patří jednotlivým subjektům a zákon o kybernetické bezpečnosti jim nařídí, aby se o ně staraly podle nějakých předem daných pravidel. Ta si nevymýšlíme od stolu, ale vzali jsme mezinárodní ISO normu a použili jsme ji pro tvorbu pravidel.
Teď vyšlo například úplně čerstvé ISO 27032, které se týká přímo kybernetické bezpečnosti, a to už je v našem zákoně a připravovaných vyhláškách zapracované. Pokud něco ještě v ISO není nebo je norma zastaralá, vycházíme z aktuálních nejlepších praktik a doporučení. Nesnažíme se být nejchytřejší a jít proti všem, ale naopak bereme to, co je v současnosti „nejlepší na trhu“.
Jak přesně tedy nový zákon instituce zasáhne?
Každá síť by měla mít svého správce a bezpečnostního správce. My chceme, aby naším kontaktem byl tento bezpečnostní správce. Potřebujeme mít kontakt na konkrétní osobu, která nám může předávat informace a my můžeme předávat informace jí. Například že se někde něco vážného děje, nebo že někde probíhá útok a je potřeba udělat protiopatření, protože v jejich organizaci mají podobné technologie a podobně.
Není možné psát dopis ministrovi: „Vážený pane ministře, je potřeba, aby vaši technici…“. Než by to probublalo na správná místa, našli bychom už jen spáleniště. My se potřebujeme bavit nakrátko a přímo se zodpovědnými lidmi. Nebudeme je nutit dělat nic navíc, oni stejně bezpečnost musí dělat už dneska.
Jaké jsou zatím jejich reakce?
Jsou většinou rádi, že budou mít na koho se obrátit. Když budou mít problém, můžou zvednout telefon a poradit se. Budeme fungovat jako jakýsi informační hub, protože budeme dostávat informace od firem, z komunity, Evropské unie, NATO či zpravodajských služeb. Tyto informace budeme cíleně šířit dál a budeme nabízet třeba i řešení. Nebudeme samozřejmě nikoho nutit instalovat konkrétní software a nasazovat konkrétní řešení. Zodpovědnost bude vždy na správci, je to jeho síť a on za ni zodpovídá. Budeme vždy požadovat vyřešení problému, ale konkrétní varianta řešení je na něm.
Budou existovat nějaké páky na organizace, které nebudou chtít spolupracovat a incidenty řešit?
Všichni budou mít za povinnost dodržovat určité předem dané standardy. Například budou muset udělat určitou „inventuru“ a vytvořit si analýzu rizik. Co je důležité, co je méně důležité a co vůbec. Minimální sada povinností bude vypadat nějak takto. Našim kontrolním nástrojem pak bude státní dozor. Ten už teď existuje a sleduje nakládání s utajovanými systémy. Stejný mechanismus využijeme i pro kybernetickou bezpečnost. Budeme tedy namátkově kontrolovat dodržování těchto standardů.
Kontroly budou namátkové a případně i cílené. Pokud zjistíme, že některá síť je více napadaná nebo z ní naopak přichází více útoků než je obvyklé, je v ní pravděpodobně něco špatně. To bude důvod je vyzvat k nápravě a pokud to nepomůže, můžeme tam zajít a začít to s nimi řešit. Pokud by ani tehdy nedošlo k nápravě, budeme mít k dispozici možnost udělit pokutu, ale to je opravdu až poslední varianta. Pro nás není podstatné někoho pokutovat, ale zajistit doopravdy bezpečnost. Pokud se od někoho dozvíme důležitou informaci, potřebujeme, aby všechny instituce zareagovaly na případnou výzvu.
Budete získané bezpečnostní informace zveřejňovat?
Budeme mít novou verzi portálu Govcert.cz, kde budou tyto informace zveřejňovány. Bude ale existovat i neveřejný portál, kam budeme vkládat informace pro ty subjekty, které s námi budou přímo spolupracovat. Budeme se totiž dozvídat některé informace předem, než budou zveřejněny. Máme například smlouvu s velkými dodavateli software a hardware, kteří nám tyto informace poskytnou. Ale nesmíme je zveřejnit, aby tyto zranitelnosti nebyly zneužity dříve, než budou ošetřeny.
Subjekty státní a veřejné správy a kritické infrastruktury budou mít do tohoto systému přístup a budou se důležité informace dozvídat jako první. Zároveň budeme přidávat doplňkové informace, jak se bude situace vyvíjet. Takže nejprve se dozvíme o problému, pak někdo vymyslí řešení a později ho někdo vylepší. Tohle všechno bude do našeho systému zadáváno.
Děkuji za rozhovor.
(Foto: Ondřej Hošt, Internet Info)
