Novinky Mediální výstupy

IT síť je jako dveře do bytu

(Lidové noviny) Ve válce, která právě teď probíhá, přestala platit úplně všechna pravidla i v kyberprostoru. „Najednou padají zábrany v tom, co si kdo dřív dokázal představit jako cíl útoku,“ říká v rozhovoru pro LN Zdeněk Zajíček, poradce premiéra pro digitalizaci a místopředseda ODS.

Máme se bát o kybernetickou bezpečnost? Nejen kvůli tomu, co se děje v Rusku, ale i kvůli tomu, že nikdo neví, co bude dělat Čína a další mocnosti?

Nepoužíval bych slovo „bát se“, nicméně obezřetní jsme v této věci měli být dávno. V kybernetické bezpečnosti jsme v mnohých případech situaci podceňovali nebo stále podceňujeme. S válkou na Ukrajině se to vše umocňuje. Zažili jsme příběhy jako benešovská nemocnice, která byla v roce 2019 po útoku hackerů paralyzovaná a musela částečně omezit operace a další zdravotní výkony, a znamenalo to pro ni ztrátu asi 60 milionů korun. Anebo nedávné napadení některých webů státu či systémů na radnicích. Doteď nám možná nedochází, v jak propojeném světě žijeme, jaká rizika a nebezpečí mohou s kybernetickými útoky nastat a jaké dopady to může mít nejen na fungování úřadů, ale celých států a společnosti obecně.

Co konkrétně máte na mysli?

Podívejme se třeba do oblasti energetiky, do vodárenství, ale i do dalších systémů, které jsou dnes čím dál více spojeny s internetem a přenosem informací po síti. Riziko kybernetického útoku přirozeně vzrůstá. Jak víte, dnes můžete na dálku ovládat třeba vytápění svého bytu či domu. Stejně se ale ovládají i ventily ve vodárnách nebo v čistírnách odpadních vod. A to jsou samozřejmě místa, na které lze útočit. A může to mít stejný dopad jako hození granátu do nějakého doupěte, kdy tam všechno vybuchne a voda teče všemi směry. Tohle dnes můžete způsobit i tím, že vodárnu napadnete po síti. S rozvojem všech možností, kdy jsme schopni řadu věcí ovládat na dálku, vzrůstá i riziko napadení. Přesto všechno se ale dnes ukazuje, že stále nejjednodušší a nejméně nákladný způsob, jak informační systémy napadnout a donutit je dělat nestandardní operace nebo se dostat k citlivým údajům, je skrze člověka u „klávesnice“, tedy skrze nepoučeného, nezkušeného nebo neopatrného uživatele. Proto je třeba dbát jak na bezpečnost všech těchto systémů a počítat s tím, že k jejich napadení může dojít, ale také se věnovat daleko více edukaci a osvětě každého z nás. A to především podle toho, s kterým systémem nebo zařízením pracujeme nebo přicházíme do styku. Jedná se tedy o trvalou identifikaci rizik, jejich včasné odhalování a eliminaci včetně důsledného prověřování a zvyšování znalostí a dovedností nás koncových uživatelů. Platí to zejména pro systémy kritické infrastruktury, kam patří nejen vybrané státní systémy, ale také systémy bank, pojišťoven, mobilních operátorů, energetických společností a dalších podniků zásadní důležitosti.

Jak na tom tedy v péči o kybernetickou bezpečnost jsme?

Řekl bych, že v průměru lépe než stát je na tom komerční sféra, kam spadají právě vodárny, plynárny, banky a další. Je to tím, že firmy do kybernetické bezpečnosti investovaly dlouhodobě a průběžně. A také že mají ve svých řadách dobře placené odborníky. Nechci tím ale říci, že je na tom některé ministerstvo nebo některá část státní správy špatně. Nicméně kdybych měl s nějakou mírou znalosti poměřit, jací odborníci na těch věcech pracují, jak se o tom diskutuje, jak se identifikují rizika a jak vypadá snaha ta rizika eliminovat, tak docházím k závěru, že je tento přístup daleko vlastnější komerčnímu sektoru. Je to nepochybně i v důsledku zájmu o klienta, který požaduje dobře poskytovanou službu.

Co si pod tím představit?

Příkladem mohou být třeba banky. Představte si, že by ji někdo napadením systému ochromil na tři dny nebo týden. To by znamenalo nejen velkou škodu kvůli transakcím, které kvůli tomu neproběhnou, ale také kvůli vzniku velkého reputačního rizika. To si banky nemohou dovolit, protože se pohybují na velmi konkurenčním trhu. Čili investice dlouhodobě směřují nejen do kybernetické bezpečnosti při vývoji systémů, ale i do jejich údržby a změny. U státu je to bohužel jinak. Tam přirozený zájem o klienta a další motivy nejsou tak silné. Tlak na kvalitu a bezpečnost systémů se proto musí uplatňovat jiným způsobem, který prostě bolí a drhne. Buď proto, že se s nákladem na kybernetickou bezpečnost v ICT projektech v dostatečném rozsahu nepočítá anebo to není vyhodnoceno jako zásadní riziko či stát prostě nemá dostatek zkušených odborníků.

Změnil na tom něco vznik Národního úřadu pro kybernetickou a informační bezpečnost?

Pomohl. Jednoznačně především v tom, že existuje instituce schopná pohlížet na kybernetickou a informační bezpečnost celoplošně a v mezinárodních souvislostech. Jenže je třeba si uvědomit, že jedna instituce za nás nemůže vyřešit všechna rizika a nástrahy digitálního světa. A už vůbec není taková instituce schopná ochránit či ubránit všechny.

Co tedy s tím?

Ochrana a obrana je především věcí každého z nás. Nikdo nepřemýšlí o tom, že by za něho někdo řešil zabezpečení jeho vlastního bytu nebo domu. Když nechám klíče od vchodu do svého domu či bytu povalovat na chodníku, musím počítat s tím, že můžu mít brzy nejen vykradený svůj byt, ale také že tím zvyšuju riziko pro ostatní nájemníky. Ti sice nikomu klíč od svého bytu nedali, ale za jejich dveřmi číhá kvůli mé neopatrnosti velké riziko. A co děláme, abychom ochránili sebe a svůj majetek? Nenecháváme jen tak pohozené klíče, máme bezpečnostní vložky, dva zámky na dveřích, bezpečnostní čidla a kamery a také často máme všímavé sousedy, kteří odhalí podezřelý pohyb. A v kybernetickém světě musíme postupovat stejně, prostor České republiky je v něm náš společný dům. Můžeme si sice každý chránit svoje dveře u svého bytu, ale když budu nechávat otevřené dveře do domu, budeme zvyšovat riziko pro ostatní.

Co tedy dělat?

Jsem pro daleko větší spolupráci mezi veřejným a soukromým sektorem a využít přednosti vlastní každému z nich. Inovace, nové příležitosti, tlak na klientskou spokojenost, ale i na důvěryhodnost, bezpečnost a spolehlivost přináší zcela přirozeně soukromý sektor. Je to trvalý konkurenční tlak, který ho žene dopředu. I proto je daleko více tlačený do ochrany a obrany svých služeb a systémů. Naopak veřejný sektor je obdařen schopností fixovat pravidla chování a zajišťovat jejich vymáhání. Ta pravidla se však v digitálním věku musí rychleji přizpůsobovat novým technologickým změnám.

Čím by se mělo začít?

Cestou je podle mě vytvoření legislativních podmínek pro oboustranně výhodnou spolupráci veřejného a soukromého sektoru. Jednou z možností, kterou jsme už legislativně otevřeli, je určitě přechod do cloudu a cloudových řešení pro veřejnou správu. Soukromé subjekty se už touto cestou dávno vydaly. Sdílení společné infrastruktury, sdílení společných vývojových platforem a sdílení softwarových aplikací je něco, co přináší společné výhody, společnou odpovědnost a také společnou bezpečnost. ICT služby se díky cloudu staly flexibilnější, dynamicky reagující na neočekávané zvýšení poptávky či potřeb, vedou k větší standardizaci hardwarových i softwarových nástrojů, ale i procesních postupů.

(Autor: Ivana Pečinková)