Revue AOBP: Na aktuální téma s ředitelem NBÚ Dušanem Navrátilem
Kybernetická bezpečnost se v posledním období stává stále důležitějším faktorem celého systému bezpečnosti státu. V nejbližší době má být Vládě České republiky předložena Zpráva o stavu kybernetické bezpečnosti v ČR.
Vážený pane řediteli, v roce 2011 Vláda ČR ustavila NBÚ gestorem problematiky kybernetické bezpečnosti v České republice. Čeho od té doby NBÚ na poli kybernetické bezpečnosti dosáhlo, co považujete za vaše největší úspěchy?
Vláda České republiky nás stanovila gestorem a národní autoritou v kybernetické bezpečnosti v říjnu roku 2011. Kromě jiného nám zadala úkol vytvořit úplně nové, specializované pracoviště, které jsme nazvali Národní centrum kybernetické bezpečnosti, ve zkratce NCKB. Pro upřesnění, nejedná se o nový subjekt, ale o organizační složku NBÚ. A právě vybudování NCKB se postupně blíží do úplného finále. Minulý rok v květnu jsme slavnostně otevřeli rekonstruované a modernizované pracoviště v Brně a to společně se získáváním pro věc zapálených pracovníků považuji za jeden z na šich největších úspěchů, od kterého se odvíjí naše všechny další výsledky.
Za druhý pomyslný milník v rámci našich dosavadních aktivit pak považuji vytvoření legislativního rámce v oblasti zajišťování kybernetické bezpečnosti v zemi. K tomu došlo ve druhém pololetí roku 2014 a za milník tento zákonodárný rámec považuji především proto, že až do nynějška podobné předpisy v právním řádu České republiky zcela chyběly a i u zahraničních partnerů tato legislativa bývá spíše výjimkou. Konkrétně se jedná o přijetí zákona č. 181/2014 Sb., takzvaného Zákona o kybernetické bezpečnosti, a schválení jeho prováděcích právních předpisů, mezi které patří standardizační vyhláška a vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria. Vytvořili jsme tedy ojedinělou zákonodárnou koncepci zaměřující se na nastavení systému koordinace a kooperace mezi nejdůležitějšími subjekty kybernetické bezpečnosti a na zavedení bezpečnostních opatření k ochraně informačních a komunikačních systémů důležitých, případně přímo kriticky důležitých pro stát.
Za poslední, ale rovněž důležité pak považuji úspěšné splnění či průběžnou realizaci dalších úkolů vyplývajících ze Strategie pro oblast kybernetické bezpečnosti 2012-2015. Mohu tedy s klidným svědomím konstatovat, že v České republice byla od roku 2012 úroveň kybernetické bezpečnosti navýšena.
Strategie pro oblast kybernetické bezpečnosti 2012-2015 byla podle Vašich slov již naplněna a před několika týdny došlo k její aktualizaci. Nebo se jedná o přijetí zcela nové Strategie? Ano, jedná se o zcela novou Národní strategii kybernetické bezpečnosti. Experti z NCKB na ní začali pracovat již v roce 2013. Jak už jsem uvedl, nejedná se o pouhou aktualizaci předchozí strategie, ale přijetí zcela nové strategie, která se odlišuje obsahem, logickým členěním textu i celkovým designem dokumentu. Tato nová strategie je určena pro období let 2015 až 2020 a její návrh prošel meziresortním připomínkovým řízením v průběhu srpna a září 2014. Veškeré tehdejší připomínky byly úspěšně vypořádány, a nová strategie tak byla v prosinci 2014 schválena Bezpečnostní radou státu a před nedávnem, konkrétně 16. února, byla schválena Vládou České republiky.
V čem přesně se tato nová Strategie odlišuje od té předchozí?
Téměř ve všech ohledech, tato nová strategie pro náš stát představuje obsahově zásadní předěl ve vnímání kybernetické bezpečnosti a typově odpovídá současným trendům v oblasti tvorby těchto koncepčních dokumentů ve světě. Konkrétně se pak oproti minulé strategii kvalitativně přesouváme od budování základních kapacit nezbytných pro zajištění základní míry kybernetické bezpečnosti směrem k její – mu dalšímu hlubšímu a pokročilému zajišťování.
Můžete rozvést, jakým novým kybernetickým bezpečnostním hrozbám čelí v současné době Česká republika a zdali jsou v rámci této nové strategie reflektovány? Jak se změnily za působení NBÚ od roku 2011 bezpečnostní poměry v rámci kyberprostoru?
Obecně řečeno, Česká republika se potýká s celým spektrem hrozeb a rizik v rámci svého bezpečnostního prostředí, a především ty kybernetické v posledních letech exponenciálně narůstají a významně se zvyšuje jejich relevantnost. Závislost nejen veřejného, ale i soukromého sektoru a celé společnosti na ICT se stává stále zřetelnější a ochrana informací a jejich sdílení je v dnešní době čím dále zásadnější jak pro vnitřní, tak pro vnější bezpečnost České republiky.
Pokud bych měl přiblížit logickou strukturu celého dokumentu nové strategie, tak nejprve je představena vize České republiky pro oblast kybernetické bezpečnosti, přesahující časový rámec této strategie, tj. v jaké ideální pozici bychom se jako Česká republika chtěli nacházet v horizontu několika let v oblasti kybernetické bezpečnosti. Dále jsou definovány základní principy, které chceme jako stát následovat při zajišťování kybernetické bezpečnosti. Na tuto první obecnější část pak navazuje kapitola o konkrétních výzvách na poli kybernetické bezpečnosti jak pro Českou republiku, tak i pro mezinárodní prostředí, v jehož rámci se Česká republika nachází. A závěrem jsou představeny hlavní strategické cíle, které těmto výzvám čelí, a ze kterých vychází konkrétní Akční plán kybernetické bezpečnosti České republiky na období let 2015 až 2020, na jehož přípravě v současné době intenzivně pracujeme (pozn. redakce – rozhovor byl uskutečněn dne 27. února 2015).
Co se tedy týče kybernetických bezpečnostních hrozeb, ty jsou identifikovány spolu s dalšími výzvami v části „Výzvy“. Konkrétně se jedná o 19 výzev, které v České republice identifikujeme v současné době jako zásadní. Jedná se o hrozby, problémy a trendy, kterým naše republika a její občané čelí, a na které musí stát určitým způsobem reagovat. Jedná se například o to, že ČR jakožto země, využívající ke svému zabezpečení moderní technologie používané i dalšími státy, může sloužit útočníkům jako testovací objekt před samotným útokem na naše spojence či jiné státy s větším strategickým významem, užívající stejné technologie a zabezpečovací mechanismy a procesy jako my. Dále zřetelně vnímáme vzrůstající závislost obranných složek státu na informačních a komunikačních technologiích. Konkrétně informační a komunikační technologie ve stále větší míře pronikají do systémů, sítí i samotné techniky obranných složek státu, například vojenské letecké a jiné. Zranitelnosti těchto technologií a hrozby jejich narušení nebo zničení včetně působení kybernetických útoků výrazně zvyšují rizika negativního dopadu na plnění základních schopností obranných složek při obraně státu a při plnění závazků vyplývajících zejména z členství v Severoatlantické alianci a Evropské Unii. Obranné složky státu musí mít schopnost efektivně reagovat na hrozby plynoucí z kyberprostoru a aktivně participovat na jejich zneškodnění.
Jako poslední bych pak rozvedl ochranu průmyslových řídicích systémů, tzv. ICS a SCADA systémů. Útoky na tyto systémy již v minulosti detekovaly i pracovníci našeho vládního CERT, zde mám na mysli např. malware Havex či malware BlackEnergy. Je tedy zřetelné, že se kybernetické útoky přesouvají i do oblasti kybernetické průmyslové špionáže a vyhledávání zranitelností u těchto prvků kritické infrastruktury a významných informačních systémů. Útočníci se opravdu stále více zaměřují na takové prvky informační infrastruktury, jakými jsou například energetické systémy, produktovody a informační systémy ve zdravotnictví. Tyto systémy, jejichž selhání může mít fatální následky, se však vyznačují vysokou heterogenností technického řešení, s čímž přímo souvisí i technická náročnost jakýchkoliv ex post analýz. Do výčtu bych pak mohl uvést i hrozbu Botnetů a DDoS/DoS útoků, inteligentní energetické sítě, nárůst informační kriminality, hrozby a rizika spjaté s užíváním sociálních sítí na internetu, nízká digitální gramotnost koncových uživatelů, koncept „internetu věcí“, apod.
Zmínil jste práci vládního CERT týmu, který funguje pod Národním centrem kybernetické bezpečnosti, respektive v rámci Národního bezpečnostního úřadu. Můžete nám přiblížit jeho dosavadní fungování? A kolik kybernetických bezpečnostních incidentů detekovalo toto od dělení za minulý rok?
Činnost vládního CERT, respektive Gov- CERT.CZ, se zaměřuje na mnoho oblastí zajišťování kybernetické bezpečnosti. Nejobecněji lze jeho aktivitu rozdělit na oblast operační, což představuje zvládání a řešení kybernetických bezpečnostních incidentů, a oblast analytickou, v jejímž rámci se pracovníci zaměřují na různá témata od průmyslových řídicích systémů přes penetrační testování až po reverzní inženýrství či forenzní analýzu.
Nicméně NCKB netvoří pouze tento bezpečnostní tým. Mimo GovCERT.CZ se zde nachází i neméně důležité Oddělení teoretické podpory, vzdělávání a výzkumu. Zatímco GovCERT.CZ je tým zejména IT specialistů zabývající se technickou stránkou kybernetické bezpečnosti zahrnující řešení kybernetických bezpečnostních incidentů subjektů spravujících důležité komunikační a informační systémy pro stát, uvedené oddělení teoretiků je odpovědné například za přípravu již zmíněné nové národní strategie kybernetické bezpečnosti, tvorbu kybernetických bezpečnostních politik, koordinaci a spolupráci s ostatními gestory bezpečnosti České republiky a zajištění plnění mezinárodních závazků a spolupráce v oblasti kybernetické bezpečnosti. Zároveň je také odpovědné za určování kritické informační infrastruktury státu a komunikaci mezi NBÚ a subjekty kritické informační infrastruktury, případně správci významných informačních systémů. Teoretické oddělení také poskytuje nezbytnou právní a administrativní podporu GovCERT. CZ, zabývá se tvorbou vzdělávacích politik a vzděláváním v oblasti kybernetické bezpečnosti a do budoucna i koordinací výzkumu v oblasti kybernetické bezpečnosti na národní úrovni.
Co se týče kybernetických bezpečnostních incidentů, jejich počet má vzrůstající tendenci a v posledních měsících minulého roku se objem incidentů pohyboval okolo sta zjištěných incidentů za měsíc. Ještě jednou zdůrazňuji slovo zjištěných, protože odborníci odhadují, že řada incidentů není včas odhalena. Detailní statistiky kybernetických bezpečnostních incidentů naleznete spolu s ostatními informacemi ohledně plnění cílů v budování kybernetické bezpečnosti České republiky za období roku 2014 ve Zprávě o stavu kybernetické bezpečnosti v České republice, která bude brzy předložena vládě České republiky, a poté i zveřejněna na našich webových stránkách www.govcert.cz.
Zdroj: Revue obranné a bezpečnostního průmyslu, Autor: Šárka Cook, Foto: NBÚ