V nejhorším případě mohli při kyberútoku na nemocnice umírat lidé
S šéfem NÚKIB Karlem Řehkou nejen o hackerských atacích na Česko a pátrání, kdo za nimi stál
Nebyl jste ani měsíc ve funkci a vydal jste druhé historické varování NÚKIB podle zákona. Zatímco první bylo obecnějšího rázu nebo týkalo se rizika firmy Huawei, tohle bylo velmi konkrétní - šlo o připravované kybernetické útoky v České republice. Jak byla situace vážná, když jste se rozhodoval?
Hodně. Institut varování je samozřejmě pro takové situace určený, je to varování před hrozbou. Nemůžeme si dovolit ho nadužívat, to by ztratilo efekt. Situace byla opravdu vážná.
A jak byste popsal laikovi, co se dělo?
Získali jsme informace od partnerů, které nemůžeme uvádět, že je tady reálná hrozba poměrně sofistikovaných kybernetických útoků většího rozměru, které by mohly zasáhnout více cílů informačních systémů, zejména zdravotnických zařízení. Získali jsme i poměrně konkrétní informace o jejich časovém rámci. Začali jsme je ověřovat z více zdrojů a taky jsme rozjeli vlastní technická opatření. Samozřejmě nikdy nemůžete říct stoprocentně věrohodně, co se děje. Udělali jsme si klasickou analýzu, vyhodnotili riziko a řekli si: Ta informace vypadá velmi realisticky. Zároveň jsme vzali kontext celé situace - máme pandemickou krizi a zdravotnická zařízení jsou extrémně důležitá. Pokud by k útoku opravdu došlo, což jsme tedy vyhodnotili jako reálné, bylo by to velké ochromení našich schopností a kapacit. Riziko útoku bylo vysoce pravděpodobné a možnosti dopadu hrozivé. Nešlo nevydat varování.
Říkáte, že jste dostali informace od partnerů. To vám někdo, třeba tajná služba, řekl, že od svých informátorů zjistil, že se něco takového připravuje? Nebo se v kybernetickém prostoru objeví indicie, z nichž se dá vyhodnotit, že jde o konkrétní útok na konkrétní instituce v Česku?
Nechtěl bych to specifikovat. Byla tam informace typu “Podívejte se, my víme, že tohle se může dít…” - ale zároveň se něco konkrétního dělo v kybernetickém světě, v jeho provozu, což umí analyzovat naši technici i technici partnerů. Dali jsme si dohromady mozaiku informací, kontext - a z toho vyplynulo, že informace o připravovaných útocích je s velkou pravděpodobností reálná.
NÚKIB už pár dnů před Vaším nástupem vydal upozornění, že nemocnice jsou v ohrožení: že hackeři se na ně snaží útočit skrze informace, zprávy, články o koronaviru, že se to děje i jinde ve světě…
Byly tu útoky v Benešově, Brně, Kosmonosích, vyhodnocovali jsme je v souvislostech. Bylo zřejmé, že nemocnice jsou v této době nejvíce zranitelné. Vydali jsme různá doporučení, výzvy k opatrnosti, nabízeli jsme monitoring zranitelnosti ušitý na míru zdravotnickým zařízením a kurzy pro personál. Některé systémy jsme skenovali, se společností CZ.NIC doporučili a nabídli bezpečné routery. Víme, že každý je zranitelný, ale informace, které nás dovedly k varování, se opravdu vymykaly běžnému stavu. Také jsme ihned informovali instituce kritické infrastruktury, které máme na starosti. Státní úřady, ministerstva, strategické podniky. Chtěli jsme, aby varování vyvolalo pozornost ve veřejném prostoru, aby se lidé na sítích více hlídali. A opravdu to zafungovalo: lidé byli ve střehu, obraceli se na nás, že něco zachytili, že potřebují poradit.
A co si tedy představit pod pojmem, že situace byla vážná?
Viděli jsme, co udělal útok s jednou nemocnicí. Byly tu reálné informace, a o nich tedy mluvit nemůžu, že bude napadeno mnohem více cílů. To by v době nouzového stavu a pandemie mohlo mít neuvěřitelný dopad. Tak jsme všechny varovali. Útoky se nakonec nemusely z nějakých důvodů odehrát, bylo tu taky riziko, že způsobíme zbytečný poplach. Ale do určité míry se odehrály, naše informace a analýzy se potvrdily.
A co už dnes víte o útočnících? Byl to jeden aktér nebo více aktérů? Proč útočili zrovna v Česku?
To bych teď spekuloval. Nechci se pouštět do nějakých tezí, to mi nenáleží. Můžu jen zopakovat, že phishingovým či spear-phishingovým útokům čelíme v podstatě pořád, ale tohle hodně vybočovalo.
Vy jste sami v doporučení institucím, jak se mají chovat, zmiňovali, že ty útoky jsou spíše spear-phishingové, tedy cílené - a zároveň v doporučení popisujete, že to je už mnohem složitější odhalit. Že mohou být velmi sofistikované. Dá se tomu čelit jinak než tím, že se instituce odpojí od vnějších okruhů? Jak probíhá souboj mezi vámi a hackery?
Když chcete zaútočit na nějaký systém, uděláte si jeho analýzu a útočíte na nejslabší místo. A nejslabším článkem velmi často bývají uživatelé, protože něco ze zvědavosti rozkliknou nebo třeba najdou flashku na chodbě, chtějí se podívat, který kolega tam má co nahrané, a strčí jí do počítače. Při spear phishingu ušijete klamný mail, klamnou zprávu, na míru, prozkoumáte zvyky dotyčného a pošlete mu něco, o čem bude přesvědčen, že to poslal někdo důvěryhodný. Potom můžete mít útoky, které jsou opravdu sofistikované, které najdou chyby v systémech, jež nikdo předtím nenašel - nebo prostě ty systémy skenují a najdou zranitelnost. Udělali jsme sérii všech možných opatření ve stylu: “Zablokujte si makra centrálně v dokumentech, upozorněte znovu lidi na phishing a na spear-phishing, odpojte si vzdálený přístup od otevřených sítí, odpojte to, co na sítích být nemusí, a zálohujte.” Když to všechno pokryjete, výrazně snižujete pravděpodobnost zranitelnosti systému. A samozřejmě paralelně s tím jsme chystali další věci. Třeba maximální navýšení kapacit výjezdových týmů, které by mohly podpořit v případě krize napadené subjekty.
Nepředpokládám, že útoky na nemocnice a další instituce byly kvůli krádežím peněz, tedy že to byl klasický kyberzločin. Máte už představu, co bylo cílem? Jestli to bylo jen narušení systému nebo krádež dat?
Nemáme. Samozřejmě se objevily různé teorie, kdo útočil, ale my jsme žádné informace neposkytli. To, co proběhlo, potřebuje hlubokou a komplexní analýzu různých hráčů - a to nějakou dobu trvá. Ale i když zjistíme podrobnosti, je otázka, zda je zveřejníme.
Kdyby se útok povedl, co by se mohlo stát?
To se nedá odhadnout. Když je to v době krize, kdy se počítá každé lůžko a každý ventilátor, a ještě se vám stane tohle, jak to může dopadnout? V nejhorší situaci můžou umírat lidi. Co se může stát, když vypnete elektrárnu? Nebo co se může stát, když vyřadíte nějaký obecní úřad? Ochromíte zemi nebo město.
Když jste zmínil jiné instituce, před časem ohlásilo útok Povodí Vltavy. Mohl směřovat třeba k poškození funkce přehrad?
My jsme správní úřad, útoky vyšetřují jiné instituce. Nejsme oprávněni v tomto směru nic komentovat. Jen v případě, že jde o modelovou věc, z níž se mohou ostatní poučit.
V oficiálních textech NÚKIB se mluví poměrně dost o „státních aktérech“, tedy o tom, že hackeři pracují pro nějaký stát, pro vládu. Zmínili jste jako možné riziko Rusko i Čínu. Nebyl za posledními útoky státní aktér?
Už jsem uvedl, že k tomu nic neříkáme. Nás zajímají všechny hrozby bez ohledu na to, jestli to je to státní aktér, nebo nestátní aktér - jestli je to kyberterorista, nebo kyberkriminálník. My musíme chránit náš kybernetický prostor přede všemi. Když jsem byl u vojáků, tak jsme se připravovali na obranu země bez ohledu na to, jestli na nás zaútočí státní aktér, teroristé nebo kdokoli jiný. Pravdou je, že pokud máte za sebou silného hráče, například stát, máte větší možnosti: můžete víc investovat, někdo vás chrání. Naším cílem je ale opravdu bezpečný a svobodný kyberprostor pro všechny v Česku - bez ohledu na to, kdo je hrozbou. Každá hrozba je špatná.
NÚKIB má v Evropě prestiž. Velmi přispěl k rozhodnutí Evropské komise nazvanému 5G Security Tool Box. Což je evropský předpis, jak budovat obranu v nově připravovaných sítích 5G, který upozorňuje také na nebezpečí působení států s nedemokratickými režimy. Ta doporučení jsou jistě inspirována vaším předchozím varováním před firmou Huawei a jejími vazbami na nedemokratickou čínskou moc.
Kybernetický prostor nezná geografické hranice. Neznají je útočníci, neznají je hrozby a častokrát ani systémy, protože vše je provázáno. Mezinárodní spolupráce je naprosto klíčová. Je to týmová hra. Spolupracují mezinárodní organizace a v Česku zase spolupracujeme s řadou dalších institucí včetně těch bezpečnostních. Je to o vzájemné důvěře, o výměně informací. A když mluvíte o tool boxu, o 5G síti, nasměrování k dodavatelským řetězcům, k provozu na sítích, tak ani tady nic neexistuje odděleně. Vše je nutné koordinovat, my jsme k tomu přispěli a za to jsem rád. Jsem rád, že máme důvěru, že sdílíme s českými i zahraničními partnery informace o hrozbách, že je umíme společně pojmenovat.
K vašemu nedávnému varování se vyjádřil i ministr zahraničí USA Mike Pompeo. Útoky odsoudil, mluvil přímo o vašem úřadu, velmi vás podpořil. NÚKIB má v americké exekutivě dobrou pověst, čím to je?
Myslím, že to je práce skvělých lidí z NÚKIB. Kamkoli se podíváte, má NÚKIB velmi dobré jméno.
Proč je tedy NÚKIB v takové nemilosti české exekutivy? Loni obrovské škrty v rozpočtu, úřad není personálně dostavěn, lidé sotva stačí hlídat, co jim zákon ukládá, je tu podivný odchod vašeho předchůdce. Proč vás vláda nebo třeba jen premiér nemají rádi?
Nechci se pouštět do hodnocení minulosti. S mým předchůdcem Dušanem Navrátilem se znám osobně a velmi si ho vážím. Podle mě to je opravdu srdcař, vlastenec a člověk, který pro tuto zemi udělal mnohé, nejenom na NÚKIB, ale i předtím na NBÚ. Opravdu zásadně se podílel na tvorbě zákona o kybernetické bezpečnosti, bez něj by tu ochrana kybernetického prostoru možná nebyla. Nebudu hodnotit, jak probíhala či neprobíhala jeho komunikace s vládou, to mi opravdu nepřísluší.
Potkal jste se s premiérem Babišem? Jaká je vaše komunikace s ním?
Nemůžu si teď v podstatě na nic stěžovat, cítím opravdu podporu. Pana premiéra jsem viděl krátce, promluvili jsme si a dostal jsem jediné zadání - vnímá narůstající důležitost kybernetické bezpečnosti a chce, aby náš úřad fungoval.
To zní obecně, dostal jste třeba záruku navýšení rozpočtu, můžete začít nabírat nové experty?
Asi takhle, peníze teď potřebují všichni, zdravotnictví, armáda, školství, policie, průmysl, energetika. Jenže bez kybernetické ochrany vám nic z toho nebude fungovat, ta prostupuje vším. Poslední útoky potvrzují, jak může být skrze kybernetiku narušena bezpečnost státu, jak mohou být ohroženy životy lidí. Tohle vnímá premiér, vláda; kdokoli, s kým se bavím. A myslím, že je jim jasné, že k tomu NÚKIB potřebuje kvalitní personál, nemovitou i kybernetickou infrastrukturu, technologické zázemí. Úřad vznikl s nějakou vizí, jsme teprve v půli cesty.
Dostanete ty peníze?
To je teď na mně - abych předložil smysluplné a jasné požadavky našich investic v nějakém časovém horizontu. Na tom teď pracuji. A za předloženým plánem budu stát.
Tohle jsem slyšel v minulosti od spousty ministrů a šéfů státních institucí, nicméně jejich plány skončily nakonec více či méně v koši. Jakou máme záruku, že požadavky prosadíte?
Protože nejde jen o NÚKIB, ale o bezpečnost prostoru, v němž se už odehrává velká část státních ekonomických a dalších aktivit. NÚKIB velmi úzce spolupracuje s vládou, tajnými službami, policií, státním zastupitelstvím, soukromými subjekty, armádou. To není fráze, ta spolupráce je naprosto nutná jak v lidské, tak technologické rovině. Když budujeme stát, budujeme i kybernetický prostor státu - a tak to podle mého názoru vnímá i pan premiér.
Jak konkrétně?
Třeba loni na jaře jsme pořádali mezinárodní 5G konferenci o bezpečnosti nových sítí. Tam se deklarovala řada věcí, které potom dala do svých doporučení k bezpečnosti třeba Evropská unie, ale prosazuje je i řada jiných zemí, USA či Japonsko. Konference se odehrála pod záštitou premiéra, podílelo se na ní ministerstvo zahraničí i Úřad vlády. Podmínky tu tedy jsou, ale je má odpovědnost prosadit, jak budu umět naše investice a fungování obhájit. Teď se vážně rozjíždí digitalizace státní správy, máme tu tzv. digitální ústavu - tedy zákon o právu na digitální služby. Současná krizová situace to zřejmě ještě umocní a urychlí. Spousta lidí musí najednou dělat v režimu home office, probíhají tady videokonference, Ústřední krizový štáb je na videokonferencích, také vláda a ministerstva. V tomto prostředí je shoda na bezpečnosti kyberprostoru zásadní.
Co vás vedlo k tomu, že jste se rozhodl ucházet o post šéfa NÚKIB? Měl jste rozjetou vojenskou kariéru, pravděpodobně byste to dotáhl na náčelníka Generálního štábu.
To říkáte vy… Já jsem se nedíval na obranu země jen očima vojáka a klasické výzbroje. Spousta konfliktů se přesunula do kyberprostoru, to neříkám nic nového. Kybernetika se stala součástí obrany a součástí armády, je klíčová i ve vojenských operacích. Výběrové řízení jsem vzal jako příležitost dělat na něčem, co je extrémně důležité. Jsem rád, že to vyšlo, vážím si toho. Na ministerstvu jsem svůj záměr oznámil ministrovi i náčelníkovi Generálního štábu. Dohodli jsme se, že by bylo dobré, abych měl v budoucnu otevřenou cestu zpět do armády, a tak jsem využil institut přerušení služebního poměru.
Jako voják jste vydal knihu Informační válka, která se týkala hybridních hrozeb. Jak souvisí s prací NÚKIB, který má na starosti hlavně boj s „viry“?
Snažím se tu opravdu jednoduše, normální řečí popsat fenomén informačního působení ve vojenských operacích. Byla to moje osobní iniciativa, nebylo to stanovisko armády nebo ministerstva. Informační válka není jen válka slov, propagandy, fake news. Je to soupeření o získání převahy v informačním prostředí. Je to třeba i fungování sítí, možnost je narušit, když vyhodíte do vzduchu vysílač. I průnik k vašim důvěrným informacím může být informační válka. Psal jsem tu knihu před pěti lety, nic podobného se v té době v české literatuře nedalo moc najít. Ale nebyla to odborná publikace, chtěl jsem téma přenést do širší veřejnosti. Dnes tu již máme řadu kvalitních a odborných publikací.
I tohle je tedy NÚKIB? Správní úřad s dosahem do informační války?
NÚKIB není jen kybernetická bezpečnost. Teď se mluví o útocích na nemocnice, je to hodně vidět navenek, ale NÚKIB má kompetencí víc. První je kybernetická bezpečnost. Potom je tu poměrně významná část podle zákona o ochraně utajovaných informací. Obecně je to ochrana utajovaných informací v komunikačních a informačních systémech, kam patří například kryptografická ochrana utajených systémů. Třetí kompetence se týká evropského družicového navigačního systému Galileo. Řeknu to jednoduše, tyhle oblasti jsou propojeny a my se snažíme zabezpečit dostupnost, důvěrnost a integritu informací. Nezkoumáme obsah fake news, zajišťujeme prostor pro bezpečnost a důvěryhodnost informací.
Potom je tady ještě termín kybernetická obrana.Ale tu nezajišťujete vy…
Je dobře, že ji zmiňujete. Pokud vím, brzy by měla Sněmovna projednávat novelu zákona o Vojenském zpravodajství, která kybernetickou obranu řeší. Garantem je Vojenské zpravodajství – a aniž bych za ně chtěl mluvit, tak na tenhle zákon čekáme i my jako na smilování boží. Kybernetická obrana je velmi důležitá a je načase, aby ten systém začal u nás fungovat. Je to stejné jako s bezpečností ve státě, kde máte ekonomickou bezpečnost, máte vnitřní bezpečnost, zahraničně-bezpečnostní problematiku a máte obranu. A podobné je to v kyberprostoru: nemůžeme mluvit o celkové kyberbezpečnosti, pokud nám nebude fungovat i kyberobrana. Je důležité, abychom fungovali my, kteří se zaměřujeme na ochranu sítí, ochranu kritické infrastruktury, systémů, ale zároveň je nezbytné, aby tu byla obrana, která je schopna dělat to, co obrana dělá. To znamená, že monitoruje útočníka a je schopna proti němu aktivně působit, což NÚKIB zákon neumožňuje.
Aktivně působit znamená i eliminovat?
Asi tak. Ptal jste se na to varování, to je dobrý příklad. Je tady krizová a velmi nebezpečná situace, hrozí velmi závažné útoky. Vyhodnotíte, že mohou způsobit ekonomické škody, mohou ohrozit životy. Varujeme lidi, dáváme doporučení, děláme preventivní kroky, abychom co nejvíce zabezpečili systémy a sítě. Ale zároveň by to chtělo někoho, kdo je schopen útočníka aktivně monitorovat, vyhledávat a působit proti němu. A to je kybernetická obrana. Doufám pevně, že se to povede a Vojenské zpravodajství k ní bude mít zákonné pravomoci - a že budou moci s námi plně spolupracovat. V opačném případě nám hrozí několikaleté zaostávání země v této klíčové oblasti bezpečnosti státu.
Nebude se Vám mimochodem stýskat po armádě?
Já ve svém profesním životě velký rozdíl nepozoruju – a není to klišé. Nejsem ve služebním poměru, ale v pracovním poměru, nicméně pro mě je to jenom jiná část bojiště. Beru to tak, že dělám to, co celý život. Celý život jsem pracoval pro bezpečnost České republiky. Většinu kariéry v uniformě na nějakém válčišti, teď dělám v civilním oblečení a na trochu jiném bojišti, ale pořád to pro mě je stejná věc.
Pokud jste v článku našli chybu, napište nám prosím na [email protected].