Bitva o technologie Huawei v kritické infrastruktuře státu ukázala, že se kolem nás opět stahuje opona. Spíš než železná je tentokrát křemíková. "Čeká nás otázka, zda nám bude blízký liberální demokratický model podobně smýšlejících států a budeme nakupovat jejich produkty, nebo naopak budeme nakupovat od autoritářských režimů se snahou kontrolovat obsah internetu a cenzurovat ho," říká v rozhovoru pro Voxpot zástupce ředitele Vojenského zpravodajství a ředitel technické sekce Václav Žid.
V rozhovoru jsme se věnovali také tomu, jak bude vypadat kontrola českého internetu jeho úřadem po schválení novely zákona o Vojenském zpravodajství. V současném znění dává novela vojenským zpravodajcům možnost sledovat dění na sítích pomocí speciálních detekčních nástrojů. “Může se stát, že se v budoucnu změní majetkové poměry v některých firmách a prakticky může dojít k jejich převzetí kapitálem, který s námi nebude úplně spřízněný. I proto je nutné, abychom i tu nejzazší možnost pro zajištění obrany ČR měli,” obhajuje instalaci sond, které mají sledovat dění na internetu a včas odhalit chystající se útok. Ptali jsme se i na to, jak budou vypadat odvetná opatření proti kybernetickým útočníkům, zda v případě neodvrácení útoku bude skládat účty nebo jak se liší přemýšlení o obraně mezi Českem a USA, kde Žid studoval Univerzitu národní obrany.
Vojtěch Boháč: Vojenské zpravodajství buduje od roku 2018 Národní centrum kybernetických operací, které může vést. Před nedávnem jsme publikovali rozhovor s Miroslavem Feixem, který vede kybernetické síly v armádě. V čem se vaše centrum liší?
Václav Žid: Já si myslím, že tady je to rozdělené tak jako v každé jiné operační doméně (země, vzduch, moře, blízký vesmír, kyberprostor, pozn. red.), kde potřebujete mít nějaký prvek, který vám zajistí informace, zasadí je do kontextu, a pak tady těmi informacemi zásobuje ozbrojené složky, které v dané doméně působí. Myslím, že se vzájemně doplňujeme. Hodně se mluví o aktivním zásahu, ale my ten aktivní zásah vlastně můžeme použít už teď. To nám umožňuje mezinárodní právo. Jakýkoliv stát se může aktivně bránit, k tomu má ozbrojené složky. My jsme došli k tomu, že je tady skutečně mezera v rámci naší obrany, a že je vhodné, aby Vojenské zpravodajství mohlo ve skutečně nejzávažnějších případech zasáhnout. V jiných doménách by to bylo o tom, že bychom vyhlásili stav ohrožení státu nebo válečný stav, spustili nějaké plány obrany a pak se do toho pustili. V tom cyberu máme pocit, že pro ty skutečně nejzávažnější případy bude čas kritický a úplně to tak nepůjde.
Svět směřuje k tomu, že budou vytvořeny technologické aliance a jde o to, jaké hodnoty která ta aliance bude mít a ke které se připojíme.
Kybernetické útoky se většinou vedou přes pronajaté nebo nakoupené servery ve třetích zemích a málokdy je reálné s úplnou jistotou vystopovat původce útoku. Smíříte se při protiútoku s tím, že zničíte, dejme tomu, server, přes který ten útok přichází, nebo máte ambice jít v odvetách i dál proti reálnému původci, který ale nemusí být na sto procent jistý?
To jsou dvě věci. První věc je atribuce. Atribuci považujeme v rámci naší komunity za poměrně důležitou. V České republice vznikla pracovní skupina, která řeší právě atribuce. Jsou tam kromě nás i další bezpečnostní sbory a my se skutečně chceme v té atribuci někam posunout. Atribuce má několik úrovní. První je technické zkoumání toho, co se děje. Druhá úroveň je to zasadit do širšího kontextu díky všezdrojové analýze. Třetí záležitost je následně udělat rozhodnutí a přisouzení na úrovni politiků. To znamená, že se ty složky na základě analýzy dohodnou a předloží vládě stanovisko, že se s nějakou mírou pravděpodobnosti domnívají, že lze provést atribuci. Úplně na vrcholku té pyramidy je dlouhodobá reakce státu. To je otázka, jaké mocenské nástroje stát zvolí. Zda půjde o diplomatické řešení, silové řešení, sankce nebo restrikce. USA přišly s podobnou iniciativou, kde se o těch atribucích chtějí bavit s podobně smýšlejícími státy, vyměňovat si informace, aby se v rámci EU a NATO ta atribuce skutečně dařila.
A co se týče protiútoku?
To bude vždy o nějakém zvážení. Proto je v zákoně popsáno, že musí jít skutečně o něco, co je jedinečné, co má možnost ovlivnit naše zájmy, hodnoty, zdraví občanů, nesnese to odkladu a nemůžete požádat o zásah někoho jiného. A vždy se tam bude nějakým způsobem vážit i ta proporcionalita. A ano, může se skutečně stát, že bude vyřazena z provozu infrastruktura, z které probíhal útok, tím pádem my zamezíme aktivním zásahem tomu nejhoršímu. A ano, ta infrastruktura vůbec nemusí patřit útočníku, může to být nějaká pronajatá infrastruktura někde úplně v jiné zemi.
Když se bavíme o aktivních opatřeních, která by směřovala mimo Českou republiku, tak jde primárně o vypnutí té konkrétní infrastruktury, ze které přichází útok?
Přesně tak. Můžete někoho přesvědčit, aby to vypnul. Můžete nějakým způsobem klamat, můžete odstrašovat. Jeden ze scénářů počítá s tím, že byla zcizena třeba citlivá nebo utajovaná data, tak potom můžete ten server, kde se ta data nachází, zašifrovat. Takže to nemusí být destruktivní, může to být skutečně i opatření takového charakteru.
Co když někdo k útoku zneužije infrastrukturu v Česku?
I my jsme vůči našim partnerům vázaní dbát na kybernetickou bezpečnost. Mít naše systémy v pořádku tak, aby od nás nechodily útoky někam jinam. Může se ale samozřejmě stát, že i v rámci Česka bude nějaká infrastruktura zneužita a bude se z ní útočit na jiný stát. A pak je to o spolupráci. Někdo nám může říct, že z Česka dochází k útoku a díky tomu, že máme navázanou spolupráci, tak nás jako stát mohou požádat o součinnost a nemusí vůbec dojít k tomu aktivnímu opatření proti nám. Vždy je snazší prostě zvednout telefon a říct: “Odtud k něčemu dochází” a tam si to místní pořeší. Kdyby to bylo z našeho území, tak pro nás je snazší zavolat policii a nechat ji to vyřešit. Policie může přijít do toho datového centra a nechat tam něco vypnout nebo zajistit, než abychom my tam útočili, to je nesmysl.
Připravujeme se na nejhorší
Když u nás probíhaly útoky na nemocnice, zaznělo, že jsme od spojenců dostali informaci o možných útocích nějakých 30 hodin dopředu. Znamená to, že naši spojenci monitorují naše sítě ještě dřív, než to novela zákona umožní Vojenskému zpravodajství?
Když poskytujete takovou informaci, tak neodhalujete své zdroje. Každý si zdroje hlídá, ta informace může být například ještě nějak limitovaná, komu ji postoupit nebo vůbec zda ji postoupí. Stejně tak, pokud my bychom disponovali informací, že se někde v zahraničí chystá teroristický útok, tak ji poskytneme. Na původci té informace potom bude záležet, co k ní bude ochoten poskytnout navíc, jestli bude ochoten jít do nějaké hlubší spolupráce.
V současném znění novely zákona o Vojenském zpravodajství se povedlo dojít na kompromis v otázce monitorovacích sond instalovaných Vojenským zpravodajstvím do sítí. Současné znění je takové, že Vojenské zpravodajství bude sondy instalovat jen v krajním případě, kdy se nedomluvíte s poskytovateli internetu na sdílení informací. Kdo bude dodávat ty sondy?
Zaprvé si nemyslím, že to je kompromis. Já jsem skutečně přesvědčený o tom, že je to nyní kvalitativně lepší řešení. Popsat tu kybernetickou obranu je docela výjimečná legislativní snaha. My jsme zpravodajská služba, která nemá velké zkušenost s tím, že by komunikovala něco s veřejností, že by měla najít nějaký legislativní rámec, který bude vyhovovat odborné veřejnosti a na kterém se shodnou i politické strany. Připravujeme se na ty nejhorší věci, které nás mohou v kyberprostoru postihnout, ale od začátku jsme počítali s tím, že budeme využívat i méně invazivní metody, než je nasazení nástrojů detekce.
Jak bude tedy vaše monitorování sítě vypadat?
První krok je domluva s operátory. Zatím se s námi všichni chtějí domluvit a uzavřít smlouvu o spolupráci. Pro ně je důležité chránit svůj byznys a poskytovat kvalitní služby a my jim jsme schopni poskytnout nějaké informace, což oni jen vítají. Stejně tak my, pokud zjistíme, že máme informace o nějakém konkrétním útoku, který by mohl přijít, tak nás zajímá, zda něco takového tady probíhá nebo ne. Když jste třeba zmínil ty nemocnice, tak po útoku se ukázalo, že některé IP adresy, z kterých ten útok probíhal, tak tady tu infrastrukturu oťukávaly v lednu nebo v již v prosinci předchozího roku a někteří provozovatelé tu našli záchyty. Čili je to o včasné detekci a varování. To je jedna metoda. Druhá metoda, která tam přibyla, je, že v případě, kdy nebudeme mít uzavřenou smlouvu, ale bude se skutečně řešit konkrétní útok, tak si můžeme ty informace vyměnit a spolupracovat po dobu toho konkrétního útoku. Funguje to tak, že vezmete telefon, obvoláte ty kolegy, řeknete, co se chystá, každý si ty indikátory zadá do svých systémů a řekne, jestli se něco se děje nebo neděje. Až třetí možností je to, že bychom se uchýlili k tomu, že ve správním řízení někam nasadíme vlastní nástroj detekce. Nicméně všichni ti velcí hráči mají svoje týmy, svoje sondy, data, takže úplně nepředpokládáme, že bychom tam ty sondy dávali.
Čtěte také: Karel Randák: Češi jsou Češi. Moře po kolena a každý vás pošle do pr*ele
Stejně ale sondy v zákoně zůstaly…
Ten zákon musí řešit úplně tu nejkrajnější možnost. Ono se taky může stát, že se tady v budoucnu změní majetkové poměry v některých firmách a prakticky může dojít k převzetí některé firmy kapitálem, který s námi nebude úplně spřízněný. Pak se může stát, že tu bude subjekt, který nebude chtít spolupracovat. Takže i proto je nutné, abychom i tu nejzazší možnost pro zajištění obrany ČR měli.
Vraťme se ještě k tomu, od koho ty sondy budeme kupovat.
Ten výběr je důležitý, rozhodně by to nemělo být tak, že uděláme prosté výběrové řízení na nejnižší cenu. Tady budeme skutečně povinováni, aby se vybral produkt, který bude kvalitní, bezpečný, a na kterém se shodneme i s provozovatelem infrastruktury. Může se zapojit i český průmysl. Například v Brně byly firmy, které byly ve vývoji vysokorychlostních sond poměrně daleko a měly i granty od americké armády, tak by byla skoro škoda si toto nechat utéct.
Takže to není něco, co už by bylo nakoupené?
Ne, to ne.
Spoustu věcí dokážeme vyřešit ad hoc improvizací. To je taková naše schopnost, kterou někdy udivujeme zahraničí.
Křemíková opona
Ptal jsem se na to částečně i proto, že na začátku letošního roku popsal americký deník Washington Post a německá televize ZDF to, jak CIA od 70. let prováděla operaci Rubikon, během níž použila firmu Crypto AG, aby tajně získávala utajené informace spojenců i nepřátelských zemí. Díváte se při výběru podobného hardwaru na to, že je možné, že tím můžeme někomu – třeba i spojencům – odevzdávat informace o vlastním obyvatelstvu, které bychom nutně vydávat nechtěli?
Samozřejmě, je to důležité. A prakticky celá otázka toho dodavatelského řetězce nás nenechává spát už dlouhá léta. On vůbec ten dodavatelský řetězec je zajímavá věc. Ještě před pár lety se tušilo, že to bude velké riziko. Pak to celé usnulo a přestalo se o tom mluvit. Teď se to vynořilo se všemi problémy a v celé nahotě nás, myslím i v EU a NATO, to přepadlo docela nepřipravené. Protože kdo získá technologickou převahu, kdo bude ovládat ty zásadní části technologického řetězce, tak prakticky ani nepotřebuje něco hackovat, protože prostě tu infrastrukturu má, vlastní jí, rozumí jí a umí ji použít. A pak nějakým updatem dokáže udělat změnu jakou bude chtít. Čili to je opět o rozdělení světa a nás čeká otázka, na kterou stranu se připojit. Zda nám bude blízký liberální demokratický model a model podobně smýšlejících států a budeme nakupovat jejich produkty, pokud je nedokážeme vyrobit sami, nebo naopak budeme nakupovat od autoritářských režimů se snahou kontrolovat obsah internetu a cenzurovat. O tom si myslím, že je dnes celý boj o sítě 5G.
Teď se vytlačují z kritické infrastruktury čínští technologičtí giganti. Trend je teď ale dostávat podobné společnosti ven nejen z kritické infrastruktury, ale doopravdy stvořit nějakou novou železnou oponu v technologiích. Jak se na ten trend díváte?
Samozřejmě by bylo výborné, kdyby se nám podařilo být technologicky nezávislí. Nicméně ČR asi nikdy nebude konkurovat technologiím, které má Tchaj-wan nebo USA. Asi se nedokážeme dostat k výrobě čipů, když to nedokáže ani Čína, která má po restrikcích ze strany USA problém s dalším rozvojem a s novými produkty. Svět směřuje k tomu, že budou vytvořeny technologické aliance a jde o to, jaké hodnoty která ta aliance bude mít a ke které se připojíme. Jsme si vědomi toho, že až přijdou krizové situace, tak se může stát, že něco u nás nebude dostupné. V případě, že budeme závislí zejména na jedné technologii nebo na technologii od jedné mocnosti, pak se může stát, že v době krizové situace nebude dostupné vůbec nic. Takže nějaká míra diverzifikace a namixování těch technologií bude asi nejlepší. Samozřejmě těžko budeme regulovat občany, co si mají koupit. Pro nás je nejpodstatnější se zaměřit na to, co nás nejvíc bolí a to je ta kritická infrastruktura a fungování státu.
V rozhovoru pro HN jste řekl: “Nelze vyloučit, že jednotlivé státy budou využívat technologie v kybernetickém prostoru tak, jako využívají stávající vojenskou techniku. Naší rolí je takové aktivity a schopnosti sledovat a před zbrojením jiných aktérů varovat českou vládu.” Jak se pozná, že nějaká země zbrojí v kyberprostoru? Jak to vypadá?
Myslím si, že dnes vidíme, jak se zbrojí na více úrovních. Nedávno v nějakém projevu mluvil americký ministr zahraničí Mike Pompeo o tom, jak si všichni dříve mysleli, že když Čínu pustíme do WTO (Světová obchodní organizace, pozn. red.), tak začne obchodovat s celým světem a třeba díky tomu přijme demokratické hodnoty. Ono se ukazuje, že se naopak nezměnila. Pompeo Čínu obvinil z vykrádání duševního vlastnictví pomocí kybernetických útoků.
Takže to berete hlavně jako doménu Číny?
I v rámci NATO prakticky už léta vznikají velitelství kybernetických operací. Ze začátku defenzivní, nicméně poslední roky se některé státy hlásí k tomu, že budují ofenzivní schopnosti. V rámci NATO to funguje tak, že členské státy se mohou s těmi ofenzivními schopnostmi přihlásit a přispět do kolektivní obrany. Státní i nestátní aktéři zneužívají kybernetický prostor a chtějí získat ekonomické, diplomatické i vojenské výhody. Je problém, že těch útoků je čím dál víc a jsou složitější. Jsou uzpůsobené tak, aby nepřekročily pomyslný práh, je to takové okopávání kotníků. Není to nic, co bychom mohli nazvat ozbrojeným útokem nebo podobně. Ale děje se to a ty schopnosti ty státy mají.
Takže zbrojení v kyberprostoru je především o tom, že stát má více lépe vycvičených odborníků? Nebo tam jde i o konkrétní vývoj nástrojů, jak se dostat do cizích systémů?
Tady se dostáváme do té technologické převahy. Pokud budu mít převahu, budu vyrábět produkty, budu je dodávat, tak je budu umět i kontrolovat. Pokud ovládnu nějaký dodavatelský řetězec, nepotřebuji už hackovat. Samozřejmě je to i o expertech a odbornících, kteří dokáží vyhledávat a využívat zranitelnosti a mapovat neustále kybernetický prostor. Jak jsme se už bavili, příprava na útok zabere opravdu hodně času v porovnání s ostatními operačními doménami. A i když chcete mapovat své hřiště, tak ono se neustále mění, není to úplně jako v jiných doménách, kde dokážete zjistit, že se někde buduje například systém protivzdušné obrany nebo se přesouvají vojenské jednotky.
Když probíhají útoky hackerů s komerčním cílem, často se to děje tak, že si koupí nějakou zranitelnost, která ještě nebyla odhalena a přes tu se dostanou do cizího systému. Je to i váš postup, analyzovat technologie potenciálních útočníků a nakupovat jejich nezveřejněné slabiny?
Samozřejmě i tohle může být jedna z cest. Děje se to řadu let a jsou firmy, které se zabývají vyloženě vyhledáváním zranitelností. Co s nimi dnes můžete dělat? Buď prodáte zranitelnosti té firmě, která ten produkt vyvíjí a pomůžete jí s jeho zabezpečením, nebo ji prodáte státu. Jakýkoliv jiný postup by byl nelegální.
Skládání účtů
Novela zákona o Vojenském zpravodajství je obhajována tím, že má dovršit svěření vládního úkolu zajišťovat kybernetickou obranu ČR Vojenskému zpravodajství. Znamená to, že bude Vojenské zpravodajství skládat účty v případě, že nezvládne zemi adekvátně ochránit před útokem?
Samozřejmě, že když nám tady ten zákon rozváže ruce a naše schopnosti a kapacity nebudou použity tak, jak by měly, tak to může být předmětem kontroly nebo skládání účtů. Vždycky se bude muset posuzovat, co to bylo za útok, a jestli mu šlo zabránit nebo nešlo. Pokud tady bude nějaký aktér, který se upne na nějaký náš cíl, tak se může stát, že unikne pozornosti. Zkrátka vymyslí nějakou rozumnou phishingovou kampaň, která bude úspěšná a projde nám pod rukama. To je stejně jako bychom řekli, že se stal teroristický útok, někdo někoho napadl a pak přišla otázka, jak se stalo, že to ty služby nevěděly? Takže ano, může se stát, že se to prostě nedozvíme. Je to o celém systému koncepce zajišťování kybernetické bezpečnosti a obrany. O fungující kybernetické bezpečnosti, kde je silná funkce regulátora NÚKIB, který dbá na to, aby ta pravidla existovala, pak náš systém detekce a včasného varování a nakonec případně reakce.
Takže si dokážete představit, že jako člověk zodpovědný za kybernetickou obranu budete v případě zásadního útoku, u kterého by se zjistilo, že se mu dalo předejít, rezignujete?
Rezignovat jako voják nemůžu, ale může se stát, že budu nějakým způsobem potrestán.
Jaký trest se nabízí?
Kázeňských trestů je v zákoně celá řada. Bude záležet na mých nadřízených. Taková skutečnost se pak negativně projeví v hodnocení a může vést ve finále k mému odchodu z armády.
Zákon nově stanovuje, že kontrolu nad vaší činností bude vykonávat člověk z vojenského zpravodajství. Proč máme věřit, že interní člověk nebude přivírat oči při kontrole nad něčím, co by šlo za hranou – například sbíráním dat nad vaše kompetence?
Zcela otevřeně, my jsme se bavili, že by to měl být člověk, na kterém bude v té komunitě panovat shoda, protože celé je to o důvěře mezi aktéry. Máme pocit, že jsme schopni získat exkluzivní informace, dát je do kontextu, chceme je nabídnou komunitě a stát se její součástí a společně pracovat na tom, že zajistíme bezpečnost a obranu státu. Chceme, aby ten člověk měl kredit, takže jsme v rámci vyjednávání oslovili komunitu aktérů s tím, jestli mají nějaké kandidáty. Ti kandidáti budou představeni ministrovi obrany a udělá se z nich výběr. Až ho vybereme, stane se příslušníkem Vojenského zpravodajství. Je to z toho důvodu, že my jsme vázáni mlčenlivostí. Ve zpravodajské službě funguje něco jako “need know”, tedy že dostáváte jen ty informace, které potřebujete ke své práci. Čili jde o to, aby on měl skutečně vhled do dění a nebyl to jen někdo, kdo si musí přijít zaťukat na dveře a požádat o informace, on bude plnohodnotným členem týmu a uvidí pod pokličky v té pomyslné kuchyni.
Takže to bude člověk, který bude sedět tady na Vojenském zpravodajství, ne na ministerstvu obrany?
Předpokládám, že ano.
Sílící role armády?
Novela zákona o Vojenském zpravodajství dává vojenskému zpravodajství nové kompetence nad rámec toho, co mělo dřív. NÚKIB zároveň vede bývalý generál Řehka. Spekuluje se, jestli na Hrad bude kandidovat další generál Petr Pavel. Čím to je, že v současné době armáda získává tak nezvykle silnou pozici?
Nevím, jestli armáda získává nezvykle silnou pozici. Nicméně myslím si, že odchod pana generála Řehky je ztráta pro armádu. Zase to je výhra pro NÚKIB. Já si myslím, že to je o nové generaci osob, které měly možnost studovat nejen tady, ale i prostřednictvím různých programů v zahraničí a dostali se na úplně jinou úroveň poznání. Co si budeme povídat, máme tady výborné školství, výborné vysoké školy, ale když se podíváte i do zahraničí, tak vám to otevře úplně jiné obzory. Takže já si myslím, že to je spíš o tomhle.
Vy sám jste studoval na Univerzitě národní obrany v USA. V čem vidíte největší rozdíl v přemýšlení o obraně v USA a v ČR?
Ono se to nedá úplně srovnat, protože vždycky do toho zasahuje kultura. Ať organizační nebo i naturel lidí. U nás mám pocit, že ten stát je velmi malý, hodně se tady známe a spoustu věcí dokážeme vyřešit ad hoc improvizací. To je taková naše schopnost, kterou někdy udivujeme zahraničí, protože se stává, že je ta improvizace úspěšná. V USA je to vždy o nějakém systému. Dbají na postupy, procedury, podnikovou architekturu a podobně. My jsme se o tom s nimi bavili a vždycky mi přišlo, že to jsou strašně složité systémy. Když si ale uvědomíte, že americké ministerstvo obrany má 3 miliony zaměstnanců, tak to už neuřídíte jen tak selským rozumem a ty systémy prostě potřebujete.