Minulý týden vláda schválila Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2019. S náměstkem Národního úřadu pro kybernetickou a informační bezpečnost Lukášem Kintrem jsme diskutovali nejzásadnější trendy z hlediska české kybernetické bezpečnosti. Kteří zahraniční útočníci byli u nás v loňském roce nejaktivnější? Jak ochránit nemocnice v průběhu pandemie? Bude se zakazovat TikTok? A proč Vojenské zpravodajství potřebuje sondy ke sledování internetu?
Ondřej Zacha: V minulé výroční zprávě jste označili za nejčastější státní útočníky Rusko a Čínu. V rozhovoru pro server Aktuálně.cz jste pak opakoval slova ředitele BIS Michala Koudelky, že Čína je asertivnější a Rusko je mírně oslabené sankcemi. Jak se to za ten rok změnilo?
Lukáš Kintr: V té nejobecnější rovině to asi platí. Přiznám se, že nevím, jak je to teď aktuálně s těmi sankcemi, ale obecně ta asertivita Číny je výrazně větší.
Zároveň hned v úvodu letošní výroční zprávy zmiňujete sofistikovaný špionážní útok na státní instituci, který s 85 procentní pravděpodobností přisuzujete skupině Sofacy, v bezpečnostní komunitě spojované s ruskou rozvědkou GU (dříve GRU). Znamená to, že Ruské útoky jsou závažnější než ty Čínské?
Otázkou je, kolik útoků se podaří identifikovat. Samozřejmě, máme nějaké schopnosti, ale pořád nám, jako státu, nějaké kapacity chybí. Je tedy otázka, o jakém množství útoků víme. To, co je v té zprávě rozebíráno, je určitě nejsignifikantnější a vše nasvědčuje tomu, že za tím útokem stojí skupina, která bývá spojována s tou tajnou službou. Ale i z toho procentuálního vyjádření vidíte, že je tam nějaký prostor. Je to silná domněnka, ale jestli to tak opravdu je, to je na dlouhou debatu. Vždy pracujete s nějakou pravděpodobností, protože nezvratné důkazy o pachatelích kybernetických útoků se získávají opravdu těžko.
Všichni, kteří o tom pochybovali, měli v jarních měsících možnost seznámit s tím, co se může stát, když budeme kybernetickou bezpečnost podceňovat. Od té doby jsem nezaznamenal žádný hlas, který by to zpochybňoval. Spíš naopak, je velký tlak na to, abychom se jí zabývali.
Takže by se dalo říct, že v minulém roce byla Čína pořád asertivnější, ale ty útoky pravděpodobně z Ruské strany byly závažnější, co se týče dopadu?
Přemýšlím, jestli jsme schopni se pod takové tvrzení podepsat. Je to zjednodušení celého komplexního problému. Pokud se budeme bavit o útocích, které jsme v té výroční zprávě zmiňovali, tak asi ano. Pak jsou tady ale třeba ty útoky na nemocnice, kde atribuce, pokud se nepletu, nijak neproběhla. Minimálně v Benešově policie případ odložila a je otázka, kdo za tím stál a jakou měl motivaci. Závažnost tohoto útoku, ze strategického pohledu, nebyla tak velká, ale dopad na běžného občana byl určitě výraznější.
Když ještě zůstaneme u tohoto útoku, co to bylo za instituci?
To se nezlobte, to nebudu komentovat.
Zároveň loni čelilo útoku Ministerstvo zahraničních věcí. Zdroje Deníku N to přisuzovaly právě GRU. Bylo to Ministerstvo zahraničních věcí?
Jak jsem říkal, to nebudu komentovat. Nezlobte se.
Vysoké školy a výzkumné ústavy ohrožuje kyberšpionáž
Mluvíte tam také o kybernetické špionáži. Kromě zmiňovaného útoku upozorňujete i na aktivity skupiny Winnti, odborníky spojované s Čínou. Na jaké cíle u nás tito útočníci cílí?
Nevím, jestli se opět do tohoto pouštět. V obecné rovině však lze říci, že je zásadní rozdíl v motivaci kyberzločinců a státních aktérů. Kyberkriminální aktéři mají zájem hlavně o finanční zisk, ať už to jsou zpeněžitelná data nebo ten nejprostší způsob, pomocí ransomware si říct o výkupné za zašifrovaná data. Dále záleží skupina od skupiny na míře sofistikovanosti. Státním aktérům pak jde hlavně o získání nějakých informací, díky kterým budou mít strategickou výhodu nebo díky kterým dokáží ovlivnit veřejné mínění a tím opět získají strategickou výhodu.
Byly mezi útočníky i soukromé subjekty, které se snaží získat nějaké know-how?
To pak jde o průmyslovou špionáž. Jsou tu i medializované případy jednoznačně dokládající, že je vyvíjena činnost tímto směrem. Není to jen proti soukromým subjektům, ale třeba i proti univerzitám. Mnoho se toho teď napsalo i o aktivitách různých státních aktérů v souvislosti s vývojem vakcíny proti nemoci Covid-19, protože to je opravdu horké zboží. Takže státní výzkumné ústavy, vysoké školy nebo různá vědecká centra jsou v tomhle ohledu pod velkým tlakem a musí si své know-how, vědomosti a data chránit.
Probíhají takové útoky i u nás?
To není úplně otázka na nás, my jsme závislí hlavně na tom, co se dozvíme. Z vysokých škol pod zákon o Kybernetické bezpečnosti, pokud se nepletu, nespadá ani jedna, takže tam není ani oficiální povinnost nám hlásit, že jsou obětmi útoku. Je otázka, kdo je ochoten s tím jít ven a komu je to ochoten říct. V tomhle ohledu máme indicie, že takové útoky probíhají, ale nejsme schopni to podložit ničím konkrétním.
A uvažuje se v budoucnosti o zařazení univerzit pod tento zákon?
Konkrétně o tom se vede velká diskuze. Nedávno nás kontaktovala nejmenovaná vysoká škola, která chce toto téma znovu otevřít a začít řešit. Takže si myslím, že dřív nebo později k nějaké úpravě regulace může dojít. Pak je ale potřeba brát v potaz tu druhou stranu mince. Ano, my můžeme říct, že budeme regulovat úplně všechny, ale na to budeme potřebovat ohromný aparát a nemusí to být ta nejefektivnější cesta. Je možné, že třeba v těchto oblastech bude v budoucnu NÚKIB vystupovat jako koordinátor a bude to zajišťováno distribuovaně.
Teď je jasné, že kybernetickou bezpečnost nemocnic jsme podcenili
Na začátku jara proběhly ransomwarové útoky (kybernetické útoky, které blokují počítačový systém nebo šifrují data a požadují výkupné za jejich možné zpřístupnění pozn. red.) na Fakultní nemocnice v Brně, Ostravě a Olomouci. Jednalo se o zneužití probíhající pandemie?
Má soukromá domněnka je, že ano. Ti útočníci spoléhali na to, že nemocnice jsou pod takovým tlakem, že by mohly být ochotnější vyhovět případným výhrůžkám. Přitom k výhrůžkám ani nemusí dojít. Ke kontaktu mezi vyděračem a nemocnicí dojde, jen pokud o to ta nemocnice projeví zájem a je ochotná o tom uvažovat. NÚKIB obecně doporučuje tento kontakt vůbec nerealizovat. Je jen málo případů, kdy bylo vyděrači vyhověno a podařilo se zpětně dostat k těm datům nebo to pomohlo situaci vyřešit rychleji. Ani my, ani policie vyjednávání nedoporučujeme. Ale v tomto případě si myslím, že motivace útočníků byla určitě pandemií ovlivněna.
Takže v těchto případech k zaplacení výkupného nedošlo?
Já o tom nevím. Navíc konkrétní informace o incidentech neposkytujeme.
Zvládáte jako NÚKIB nějak suplovat chybějící kapacity ve zdravotnictví, aby se podobným útokům předešlo?
Snažíme se působit spíš koordinačně a preventivně a snažíme se úzce spolupracovat s Ministerstvem zdravotnictví. Z toho důvodu jsme dali dohromady například podpůrné materiály. NÚKIB bohužel nemá kapacity na to, aby do toho nějak aktivně vkládal své úsilí a zdroje. To bychom museli být opravdu robustní instituce, abychom to dokázali pokrýt. Nicméně musím kladně ohodnotit, že se spolupráci skutečně podařilo rozpohybovat a že je teď nastavená korektně a funkčně.
Teď v říjnu proběhne velké sektorové table-top cvičení (netechnické cvičení, testující reakci institucí na simulovaný kybernetický útok pozn. red.) pro zdravotnictví. Mělo by proběhnout v Brně a měli by se ho účastnit zástupci všech 16 námi regulovaných nemocnic. Máme pozvané i zástupce ministerstva zdravotnictví a naší snahou bude procvičit reálnou situaci, že dojde k nějakému incidentu, aby se zástupci těch nemocnic měli šanci seznámit s tím, jak taková situace vypadá.
Vy vámi regulovaným subjektům nabízíte zdarma penetrační testování a skenování zranitelností…
Ano. Máme ale omezené kapacity, takže se tvoří kratší nebo delší řada čekatelů. Penetrační testy jsou kapacitně náročná činnost. Provádíme ale i skeny zranitelností. To znamená jen to, že se podíváme na infrastrukturu té nemocnice nebo jiného subjektu zvenku a zjišťujeme, jaké má nedostatky v zajištění kybernetické bezpečnosti, které by bylo možné zneužít. Těm nemocnicím pak dáme report a řekneme, kde mají nedostatky.
Je pravda, že těchto služeb využilo jen minimum nemocnic?
Teď nedokážu říct přesné číslo. My jsme ale byli upřímně zaskočení tím, že ve chvíli, kdy se odehrával útok na Fakultní nemocnici v Brně a my jsme šli s tou nabídkou ven, tak jsme očekávali, že po ní skočí všichni. Místo toho byli ale všichni hodně zdrženliví. Často bylo tlumočené jako důvod, že je Covid, tak po nás nic nechtějte. Bylo tam částečně i nepochopení, to byla zase rezerva v komunikaci na naší straně. V té době jsme nezvládli stoprocentně vykomunikovat, co se za tím skenem zranitelností schovává a co jim to může způsobit. Takže tam byly i na jejich straně nějaké obavy, že si na nich tady NÚKIB bude něco zkoušet a ona ta nemocnice lehne a co si pak všichni počneme. Nicméně naši nabídku průběžně opakujeme a už jsme si hodně věcí vyjasnili, takže nemocnic, které tu službu využívají, postupně přibývá.
Jak je na tom celkově zdravotnictví, co se týče kybernetické bezpečnosti?
Podle nějaké rámcové představy, kterou máme, nevybočují ani jedním směrem. Na druhou stranu v diskuzích, které se od ledna na toto téma vedou, je často skloňováno, že je to problém, který byl podceněn. Nevěnovalo se mu dostatek pozornosti a zdrojů a je potřeba s tím něco dělat. Protože se to dotýká celé řady nemocnic, tak jsme se s Ministerstvem zdravotnictví, mimo jiné i z podnětu pana premiéra, rozhodli pro nějaké aktivní kroky, které se v těchto dnech rozjíždí, ať už na naší straně nebo na straně ministerstva. Protože NÚKIB reguluje jen 16 nemocnic z přibližně dvou set, které tady máme, je potřeba zařadit nějaký koordinační orgán. To je za nás ministerstvo.
Jak konkrétně budou vypadat tyto další kroky?
Nemocnice mají různé zřizovatele, ať už samotné ministerstvo, které jich má ale minimum, dále kraje, města, nebo soukromé subjekty. Proto je docela problém je nějak hromadně rozpohybovat a působit na ně jednotně. Pro ty, které regulujeme a spadají pod ministerstvo, připravujeme provedení auditu. Poskytujeme jim také e-learning abychom dokázali pracovat i s tou masou lidí, protože kyberbezpečnost je hlavně o lidech. Dále debatujeme s ministerstvem, jak posunout určující kritéria, na základě kterých bychom mohli regulovat více těch nemocnic. Ministerstvo chystá na dalších pět let strategii kybernetické bezpečnosti, kterou chce aplikovat na celý resort cestou zákona o zdravotních službách nějaké minimální požadavky pro zajištění kybernetické bezpečnosti a pravidelné školení personálu.
NÚKIB před několika měsíci připravil Minimální bezpečnostní standard využitelný jak pro nemocnice, tak pro další organizace, kde je komplexně popsané, co by měla jakákoliv instituce udělat, aby měla zajištěnou nějakou úroveň kybernetické bezpečnosti. Tento dokument by měl být základním podkladem pro úpravu zákona. Těch kroků je před námi celá řada, některé půjdou rychleji, některé pomaleji, ale když je s tím spojena změna legislativy, tak se to nedá výrazně uspěchat.
Bez novely Zákona o Vojenském zpravodajství jsme v kybernetické obraně slepí
Kybernetická obrana České republiky je dost o spolupráci. Máme tu nějakou širokou koncepci, které součástí je i armáda a Vojenské zpravodajství. Jak ovlivňuje vaši práci to, že stále není schválená novela zákona o Vojenském zpravodajství?
Kybernetická obrana je svěřena Ministerstvu obrany, potažmo Vojenskému zpravodajství a Velitelství kybernetických sil a informačních operací.
Zároveň kybernetická bezpečnost a obrana jsou věci, které jsou těsně propojené.
Myšlenka, že to takhle bude někomu přiděleno, byla poprvé zakotvena v Národní strategii kybernetické bezpečnosti, kterou vytváří NÚKIB. Není to tak, že by ji Úřad psal sám, ale s těmi nejužšími partnery vznikne nějaký koncept, který je pak šířeji diskutován. Národní strategie je opravdu nejvrcholovějším dokumentem kybernetické bezpečnosti v ČR a to, že tady stále nemáme nějaké kapacity v oblasti kybernetické obrany samozřejmě omezuje i naši práci, protože jsme, zjednodušeně řečeno, v určitém ohledu slepí. Nemáme detekční kapacity, které bychom měli mít. A teď nejde o nějaké aktivní kapacity, jak do toho kyberprostoru zasahovat, ale že máme omezenou schopnost detekovat. To nás omezuje v preventivní rovině, což má dopad i na NÚKIB, protože ten má být tím, kdo nastavuje opatření tak, aby došlo k maximální prevenci a zajištění. Navíc dnes nikdo není schopen s hrozícím nebo probíhajícím útokem něco aktivně dělat. Nemůžeme aktivně sledovat útočníka a v případě potřeby ho zastavit. Snažíme se útokům předcházet, ale když se to nepodaří, jsme bezbranní. NÚKIB může dělat jen prevenci a varovat, ale potřebujeme KO, když je třeba zasáhnout. Tyto kapacity můžou navíc případného útočníka zastrašit.
Nejkontroverznější součástí debaty o té novele jsou ty známé černé skříňky, tedy sondy k sledování internetu, které by vojenská rozvědka měla mít. Zároveň vy máte svůj vlastní sondovací projekt. Můžete přiblížit, jak funguje?
Podívejte, jsou sondy (zařízení k monitorování síťového provozu pozn. red.) různého typu a s různou viditelností. My jsme v tom našem projektu zapojili z našeho pohledu nejklíčovější resorty, kterým jsme na hranici jejich infrastruktury pomohli instalovat sondu, ze které dostáváme makro data. Ty agregujeme ze všech šesti zapojených institucí dohromady a úplně v tom nejglobálnějším měřítku sledujeme, jestli tam nedochází k nějaké podivné komunikaci. Nedíváme se do té komunikace samotné, ale monitorujeme provoz a datový tok, stejně jak to má v plánu Vojenské zpravodajství. Když identifikujeme nějakou podezřelou činnost, tak můžeme ověřit, jestli to probíhá na všech institucích, případně je upozornit a zjistit, zda je to něco běžného nebo nějaká anomálie rizikového charakteru. Pak jsme schopní varovat všechny dotčené a zainteresované subjekty. Ale celkově řešíme metadata. Jsme schopní zjistit, že odešel terabajt dat někam pryč, ale nevíme, co v těch datech bylo.
A kdybyste ten váš projekt porovnal s tím, co připravuje Vojenské zpravodajství.
Ne, že bychom se o tom nechtěli bavit, ale je nefér vyjadřovat se k instituci, která tady nesedí. Známe ten náš projekt, víme, jak funguje, a to, co připravuje Vojenské zpravodajství, je jejich byznys. V nejširším kontextu lze ale říci, že náš projekt je statický a stojí na dlouhodobém monitorování provozu. Kapacity Vojenského zpravodajství by měly v případě potřeby být schopné i cíleně sledovat útočníky.
TikTok zakazovat nebudeme
Minulý rok jste v Praze pořádali konferenci o bezpečnosti 5G sítí, letos se chystá další ročník. Co bude jejím cílem?
Hlavním cílem je oživení a zpropagování takzvaného Prague 5G Repository, do kterého by měl každý ze států, které mají chuť se zapojit, vložit svůj národní přístup, postoj a růžné standardy, metodiky, zákony a prostě to, jak se s tou problematikou ten stát popere. Ke spuštění tohoto projektu došlo už dřív, protože ta konference byla původně naplánovaná na jaro. Hodně zjednodušeně měl loňský ročník za cíl otevřít debatu o bezpečnosti sítí páté generace, pojmenovat ten problém a načrtnout nějakou hrubou osnovu, kudy dál. Letos bychom chtěli tu spolupráci trochu konkretizovat a narýsovat možnosti, jak tomu problému čelit dál.
V tomto kontextu se hodně řeší to vaše doporučení proti technologiím firem Huawei a ZTE v 5G sítích. Huawei teď nedostal bezpečnostní prověrku. Můžete nějak objasnit, co to pro ni vlastně znamená? Může třeba můj operátor nakupovat stále technologie od Huawei?
To je primárně otázka na Národní bezpečnostní úřad. V obecné rovině firmy potřebují bezpečnostní prověrku, pokud se chtějí ucházet o zakázku, v jejímž rámci se bude nakládat s utajovanými informacemi. Nemyslím si, že by to mělo mít na operátory nějak zásadní vliv. Na ty, které regulujeme, což jsou všichni tři největší, by mělo mít vliv právě to naše varování, kde říkáme, že je tady nějaká hrozba a je nutné ji zohlednit v jejich analýzách rizik.
Například iniciativa Spojených států o takzvaném čistém internetu (Clean Network) nezahrnuje jen technologie Huawei a ZTE, proti kterým jste varovali, ale i čínské aplikace, softwary a technologie dalších firem. Neplánujete nějaké podobné varování například proti populární aplikaci TikTok?
Když přestane fungovat TikTok, tak to neohrozí český stát, takže to rozhodně nespadá pod naši regulaci. Sociální sítě my vůbec neřešíme. Je potřeba brát v potaz to, jak ta technologie může ohrozit kritickou informační infrastrukturu, případně další kategorie regulovaných systémů.
Takže to, že lidé v rámci té infrastruktury nebo nějaké klíčové osobnosti používají TikTok nebo WeChat neřešíte?
V rámci těch systémů by tyto aplikace neměly být, protože si, podle mě, nikdo nedokáže obhájit, že potřebuje na kritické informační infrastruktuře TikTok nebo WeChat. K čemu? Takže už z toho principu by to mělo být oddělené a ani na zařízeních, které se do té sítě připojují, by toto nemělo vůbec fungovat. U TikToku se dlouhodobě řeší, co se děje s daty, kde jsou uchovávána, jak jsou analyzována a tak dále. To se ale bavíme o ochraně osobních údajů, to je otázka pro Úřad pro ochranu osobních údajů.
Takže vy takhle komplexní hrozby už neřešíte?
My řešíme to, k čemu nás zmocňuje zákon, a toto už je něco, co je mimo jeho rámec.
Po útocích na nemocnice už nikdo nezpochybňuje, že kyberbezpečnost je potřeba
Jak se změnilo fungování NÚKIB s novým ředitelem, generálem Karlem Řehkou, který nastoupil do funkce v březnu?
Pan Řehka přišel s nějakou vizí a první věc, kterou chtěl realizovat bylo, abychom si sedli a dali dohromady koncepci rozvoje Úřadu na období 2021-2027. Tu nám teď v srpnu vláda schválila, takže máme nějaké mantinely, ve kterých bychom se měli pohybovat a současně tam jsou nějaké cíle, ke kterým bychom měli směřovat. To je zásadní věc, co tu doposud nebyla. A má také chuť spolupracovat, což my kvitujeme a jsme za to rádi.
Takže NÚKIBu už nehrozí zánik, jak varoval minulý rok bývalý ředitel Dušan Navrátil po tom, co vláda odsouhlasila pro Úřad osm místo 48 nových míst?
V tuto chvíli si myslím, že NÚKIBu opravdu zánik nehrozí. Už jen ty jarní měsíce dokázaly, že je tady instituce tohoto typu potřeba. Tím, že máme nějaké zdroje přislíbené nebo zapracované v té koncepci, která je jako celek schválená, máme nějaký předpoklad, se kterým můžeme pracovat, a dává nám to klid na naši práci. Už nemusíme řešit ve kterém roce kolik kolegů budeme moct přivítat a tak podobně. V této rovině je to velký posun.
Takže to znamená, že z kybernetické bezpečnosti se stává skutečně priorita?
Já si myslím, že napříč politickým spektrem se všichni, kteří pochybovali, měli v jarních měsících možnost tváří v tvář seznámit s tím, co se může stát, když budeme kybernetickou bezpečnost podceňovat. Tam došlo k takovému wow efektu a od té doby jsem nezaznamenal žádný hlas, že by někdo zpochybňoval potřebu řešit kybernetickou bezpečnost. Spíš naopak, je velký tlak na to, abychom se jí zabývali. •
—
Rozhovor proběhl za přítomnosti a občasného doplnění informací od vedoucího oddělení komunikace Národního úřadu pro kybernetickou a informační bezpečnost Jiřího Táborského.