Ředitel NBÚ Dušan Navrátil: Zákon je lokální, ale kyberkriminalita funguje globálně
Kyberprostor se stává pátým operačním prostorem kromě země, vzduchu, vody a vesmíru. Kyberkriminalita je globálním fenoménem, který není jakkoliv teritoriálně ohraničen a který přináší velká rizika. „V dnešní době jsou stát i společnost závislé na informačních systémech,“ upozorňuje ředitel Národního bezpečnostního úřadu (NBÚ) Dušan Navrátil v rozhovoru pro Českou justici s tím, že v oblasti kyberbezpečnosti je potřeba neustále šířit osvětu.
Ředitel NBÚ Dušan Navrátil Foto: NBÚ
Ve vládní analýze tzv. bílých míst kybernetické bezpečnosti NBÚ napsal, že ve veřejné správě je citelný nedostatek odborníků na kybernetickou bezpečnost. Můžete říci, co to v praxi znamená a jak chcete tento problém řešit?
IT odborníci ve státní správě jsou placeni špatně a kvůli tomu je jich obrovský nedostatek, a to jak kvantitativní, tak i kvalitativní. Plat v soukromém sektoru je 1,7 násobek platu ve státní správě. Vzhledem k tomu, že IT odborníků je dnes nedostatek obecně, tak o poznání větší problém má státní správa, která není schopná tyto lidi zaplatit a už vůbec ne nabrat. Tento problém prohloubil i zákon o státní službě, kdy lidé přicházející do státní správy jsou rok na minimálním platu, musí dělat zkoušky a tak dále. Takže je to pro potenciální zájemce naprosto nelukrativní a nezajímavé. Vede to k tomu, že stát nemá vůbec kontrolu nad svými IT systémy a vše outsourcuje. Není tak schopen kontrolovat věcnou správnost systému, natož ho kontrolovat po odborné stránce. To je problém, na který upozorňujeme v bílých místech a vnímáme to jako velké bezpečnostní riziko pro český stát.
Vám tedy chybí lidé přímo v Národním centru kybernetické bezpečnosti (NKCB) nebo i v jiné oblasti, kterou NBÚ zastřešuje?
Co se týká NCKB, tak to zatím musím zaklepat, ale daří se nám lidi získávat. Je to díky tomu, že velice intenzivně spolupracujeme s vysokými školami. Vedeme diplomové práce, máme stážisty a tak dále. Pracujeme zkrátka se studenty již během studia a myslím si, že nabízíme velmi kreativní, zajímavou a perspektivní práci. Proto v současné době nemáme zásadní problém, ale ta situace se také mění z toho důvodu, že klesá nezaměstnanost. V současné době ale nejsme schopni sehnat lidi na bezpečnostní prověrky.
Jak to řešíte a jak to ovlivňuje vaši činnost?
Dostali jsme nyní navýšení tabulek, protože nám přibyla práce v souvislosti s novelou atomového zákona a dalšími změnami. Navíc v současné době armáda nabírá další lidi, takže se stupňují počty prověrek, což vláda vzala na vědomí. Získávání nových lidí je u nás o to složitější, protože ti lidé musí sami dostat prověrku. Musíme dodržovat zákonem dané lhůty u provádění prověrek, takže to řešíme například přesčasy.
V rámci novelizace zákona o kyberbezpečnosti, která je transpozicí směrnice EU, někteří odborníci vyslovují obavy, aby povinnosti vykonávat opatření Národního bezpečnostního úřadu, například povinně uzavírat smlouvu o cloud computingu nebo hlásit prostřednictvím zástupce bezpečnostní incidenty, nechtěl stát uvalit na mnohem více subjektů, než je tomu nyní. Je tato obava na místě?
Tento problém nevnímám a s tímto názorem jsem se příliš nesetkal. Od ledna 2015 platí zákon o kybernetické bezpečnosti. To je zákon, který byl v této oblasti jedním z prvních na světě. Když jsme ho připravovali, tak jsme velice intenzivně komunikovali s odbornou veřejností a myslím si, že máme poměrně masivní podporu. Díky tomu, že existuje tento zákon, který má stejnou filosofii jako Směrnice o informační a síťové bezpečnosti (tzv. NIS), tak pro nás není žádný problém s implementací do naší legislativy. Jestli to někdo říká, tak to jsou zřejmě lidé, kterým to vadí z nějakého jejich osobního důvodu. Jako zástupci ČR jsme byli při tvorbě směrnice NIS velmi aktivní – a to nemyslím jen zástupce NBÚ, ale třeba i zástupce národního CERT a další.
Některým úřadům se nelíbí návrh zákona o Vojenském zpravodajství z dílny Ministerstva obrany. Ten by této tajné službě přidělil za úkol kybernetickou obranu Česka. Napříkad NBÚ kritizuje, že zákon nebude efektivní, protože zpravodajcům neposkytuje dostatečné kompetence. Jste tedy celkově proti této změně a jak byste kybernetickou obranu navrhoval legislativně uchopit vy?
Oblasti kybernetiky jsou tři: bezpečnost, kriminalita a obrana. Kybernetická bezpečnost, tu děláme my, to je ochrana kritické informační infrastruktury a jiných důležitých systémů. V dnešní době jsou stát i společnost závislé na informačních systémech. My jsme garantem kybernetické bezpečnosti v rámci státu. Další oblast je kyberkriminalita, to znamená kriminální činy v oblasti kybernetiky, které šetří policie a státní zastupitelství. Tou třetí oblastí je pak kybernetická obrana. Na nedávném summitu ve Varšavě bylo rozhodnuto, že kyberprostor je pátý operační prostor kromě země, vzduchu, vody a vesmíru. To znamená, že ČR musí mít v této oblasti i ofenzivní schopnosti. Když se chcete bránit, musíte umět i útočit. Domníváme se, že tyto schopnosti by měla mít naše armáda. Proto když jsme připravovali strategii kybernetické bezpečnosti, která je provázena Akčním plánem, tak jsme se s ministerstvem obrany a vojenským zpravodajstvím dohodli, že to budou dělat oni a začnou budovat tyto kapacity. Dělba práce je jasná. Co se týká té novely, tak jsme měli představu, že se tam objeví i tato oblast, což se nestalo. Chceme, aby se to doplnilo. Zatím je to v připomínkovém řízení a vyjednává se. Podle současných informací je to na dobré cestě.
Zmínil jste policii a státní zastupitelství. Jak úzce s nimi spolupracujete a jak vypadá spolupráce NBÚ se soudci? Objevují se názory, že většině soudců chybí v oblasti kyberkriminality byť jen základní orientace.
S policií funguje úzká spolupráce, v Brně na NCKB má policie vlastní kancelář. Domlouváme se na koordinaci a spolupráci. Vznikla sekce kyberkriminality pod Útvarem pro odhalování organizovaného zločinu, nyní je pod Národní centrálou pro boj s organizovaným zločinem. Co se týká soudců, samozřejmě tento problém vnímáme a snažíme se šířit osvětu. Měli jsme i školení na Justiční akademii. Díky iniciativě nejvyššího státního zástupce Pavla Zemana jsme uspořádali společné setkání s předsedy krajských soudů a krajských státních zastupitelství. Hovořil jsem tam mimo jiné o případu, který se stal a byl problematický. Tím je předběžné rozhodnutí Městského soudu v Praze z prosince minulého roku o používání Centrálního úložiště elektronických receptů, kdy došlo k celkem paradoxní situaci. Systém elektronických receptů je zařazen do významných informačních systémů, to znamená, že je to důležitý systém pro fungování našeho státu. Systém je v počáteční etapě, takže to ještě nebyl tak zásadní problém, ale došlo k tomu, že Městský soud vydal předběžné opatření a zakázal provozování tohoto systému. Což nás překvapilo v momentě, kdy jsme dostali hlášení o kybernetickém incidentu. To samé by se mohlo stát u systému vyplácení sociálních dávek nebo důchodů. A to kdyby soud udělal, tak by se nevyplácely dávky či důchody.
Dušan Navrátil působí jako ředitel Národního bezpečnostního úřadu od roku 2006 Foto: NBÚ
Z čeho taková chyba podle vás pramení. Pomohlo by školení soudců v oblasti kyberbezpečnosti?
My bychom především byli rádi, aby se na nás soudce v takovém případě obrátil a zeptal se nás, o co jde. Soudcům to nelze vyčítat, nejsou schopni pojmout a rozumět všem novým věcem. Předběžné opatření bylo zrušeno během 14 dnů po intervenci Státního ústavu pro kontrolu léčiv. Pro nás je to ale velice nepříjemný precedens.
Když jste o oblasti kyberbezpečnosti mluvil se soudci, byli otevřeni vaším návrhům?
Myslím si, že to pochopili. Kyberprostor je pro soudce oříškem i ve vyspělém světě. Nastala nezvyklá věc a to je věc neohraničeného teritoria. Zákon je lokální, ale kyberkriminalita funguje globálně. Se státními zástupci jsem zažil kouzelnou debatu o místní příslušnosti – po třičtvrtě hodině se do toho vložil nejvyšší státní zástupce s tím, že by případně rozhodl. To nejsou místně příslušné věci, ale globální. Jde o nové fenomény a do starých škatulek se nevejdou a stále se vyvíjí. Někde jsou dál, například v USA, kde mají kyberkriminality podstatně více a mají tak více zkušeností.
Ptám se i z toho důvodu, že když se v Poslanecké sněmovně debatovalo nad tím, v jaké podobě by se měla uchovávat majetková přiznání soudců, zaznívaly od justičních autorit hlasy, že nejlepší by bylo majetková přiznání podávat v papírové podobě a ukládat je u předsedy Nejvyššího soudu. Podle těch argumentů, které ve sněmovně od zástupců soudnictví zazněly, by to bylo nejbezpečnější. Co na takový názor říkáte?
Já se v tomto okamžiku musím smát, nezlobte se na mě. Pro mě je to humorný argument, který pramení z neznalosti prostředí. Samozřejmě může být elektronický systém, který je uzavřený. My zde děláme bezpečnostní prověrky, které nejsme schopni dělat papírově a to je případ, kdy systém není napojen na internet. Teoreticky pokud se něco zanedbá, tak se dá dostat samozřejmě do všeho, ale dá se dostat i do papírových dokumentů. V tomto případě se dá udělat takové zabezpečení, které bude mít stejná rizika, jako když to bude v papírové podobě.
V roce 2015 Česká justice informovala o tom, že na Nejvyšší státní zastupitelství zaútočili hackeři. Můžete popsat, jak běžný je v současnosti takový incident a jak moc byl vážný?
Byl to jeden ze způsobu útoků, tzv. ransomware. Ten spočívá v tom, že se vám někdo nabourá do systému, zašifruje vám data a znemožní jejich obnovení. Pak vás začne vydírat. Data vám odšifruje, pokud za to zaplatíte. Toto je nový fenomén, který je nyní v USA hodně častý ve zdravotnictví. Šifrují se data nemocnic a potom se platí výpalné. Takový pokus byl i na NSZ, ale byl to jen pokus, který se nepodařil. Spolupracovali jsme při řešení problému a dali jsme NSZ nějaká doporučení. Výše výkupného se odvíjí od toho, jak důležitá data se podaří zašifrovat.
Z jakého důvodu k útoku došlo a proč se nepodařil?
Detaily bych zde nespecifikoval. Útoky jsou většinou kvůli tomu, že systém je nedokonalý a někde se něco zanedbalo. Může také jít o selhání jednotlivce, jako kliknutí na něco nebezpečného nebo používání slabých hesel a podobně. Na druhou stranu, pokud je ten útočník sofistikovaný a má dostatek času a prostředků, u systému, který je napojen na Internet prolomí i důslednou ochranu.