Jakou měrou jste se podílel na vzniku Národního centra pro kybernetickou bezpečnost a zákona o kybernetické bezpečnosti?
My, jakožto Masarykova univerzita, jsme na tvorbě architektury zákona o kybernetické bezpečnosti i celého systému kybernetické bezpečnosti spolupracovali s Národním bezpečnostním úřadem několik let. Podíleli jsme se na koncepčních úvahách a přípravu zákona průběžně konzultovali. Toto téma nás poměrně dosti zajímá a jsem rád, že si návrh zákona i přes všechny politické turbulence v posledních měsících, proklestil svoji cestu do Poslanecké sněmovny.
Jak dlouho probíhaly tyto konzultace a za jak dlouho byla na světě konečná verze návrhu zákona a otevření NCKB? Jak jste s tímto výsledkem spokojený?
Nejsem jistý, jak dlouho to trvalo, ale první koncepční úvahy začaly už v době, kdy byla iniciativa v gesci Ministerstva vnitra. Pak gesci převzal NBÚ a s ním se vše začalo hýbat kupředu. Myslím si, že to šlo relativně správnou cestou a to tak, že se nejdřív poměrně důkladně diskutovalo o samotné koncepci a celé strategii, až následně se vypracoval věcný záměr a ve výsledku také paragrafové znění. Trvalo to několik let, ale závěrečná fáze byla rychlá a ukázalo se, že právě díky důkladné přípravě nedošlo k žádným politickým, ani organizačním kontroverzím. S tímto výsledkem můžeme být relativně spokojení.
Před vznikem každého zákona je třeba položit si otázku, zda je opravdu nutné dotčenou oblast normativně upravit. Proč Česká republika potřebuje zákon o kybernetické bezpečnosti a s ním spojený NCKB?
Odpověď na tuto otázku nalezneme v praktické zkušenosti. Zhruba před rokem jsme tu měli jeden koordinovaný kybernetický útok, který byl i mediálně prezentovaný.[1] Postupně byly napadeny zpravodajské webové servery a prezentační webové servery bank a operátoři se začali obracet jeden na druhého, někteří i na Masarykovu univerzitu, s žádostmi o informace a snažili se zjistit, jak je ten útok velký a jak se proti tomuto útoku mohou bránit. Ukazuje se, že na vyšší úrovni koordinace obrany, především před kybernetickými útoky a jinými kybernetickými bezpečnostními incidenty, je potřeba normativní úpravy zcela evidentní. Mimo to i ze soukromého prostoru je cítit poměrně silný tlak, aby tady něco takového vzniklo.
Opravte mě, pokud se mýlím, ale nemáme na tuto agendu policii?
V tomto směru se mýlíte (smích). Policie je tu od toho, aby vyšetřovala a stíhala trestné činy. Zde se dá uplatnit paralela s protipožární ochranou. Hasiči jsou tady od toho, aby předcházeli vzniku požáru, a když nějaký požár vznikne, tak aby ho pokud možno co nejrychleji uhasili. Zatímco police je tady od toho, aby vyšetřila kdo je žhář a našla důkazy, pomocí kterých jej může stíhat, usvědčit a následně umožnit soudní stíhání. Podobným způsobem je zde potřeba hasiče pro kybernetické bezpečnostní incidenty.
Když k něčemu podobnému dojde, po jaké době se, dle Vašich zkušeností, útok podaří odhalit a jaké informace jsou vyhledávány?
To je právě další otázka, protože z hlediska vyšetřování je možné s množstvím důkazů pracovat ještě po týdnech nebo měsících od útoku samotného. Zatímco okamžitá obrana při bezpečnostním incidentu je otázkou minut, maximálně hodin. Navíc, k efektivní obraně je potřeba reakce dokonce i v řádu vteřin.
Zákon o kybernetické bezpečnosti není zaměřen na fyzické osoby, ale na instituce. Nemyslíte si, že by měly být upraveny i vztahy osob fyzických?
Ne. Je ještě příliš brzo na to uvažovat o tom, že by měl každý nějakou objektivní formou odpovídat za to, co dělá jeho počítač. Tady má ten zákon skutečně velmi úzkou osobní působnost, tedy pouze na správce těch systémů, které jsou důležité z hlediska bezpečnosti ČR. V první řadě jde o systémy, které mají kritickou důležitost pro fungování státu a pak to jsou systémy, které jsou z jiného důvodu důležité. Jak jsem však již uvedl, jedná se o národní bezpečnost, takže pokud vypadne nějaký místní informační systém nebo systém nějakého podnikatele, tak to sice je nepříjemnost, ale není to otázka, která by měla spadat do působnosti tohoto zákona.
Mohl byste nastínit fungování samotného NCKB v praxi?
V praxi by to mělo vypadat tak, že pokud má útok skutečně parametry závažného bezpečnostního incidentu, bude nahlášen na NCKB a to bude koordinovat nejrůznější obranné nebo ochranné aktivity. Celé je to postavené na prevenci, čili spravující subjekty (zákon říká povinné subjekty) kritických nebo významných informačních systémů budou mít povinnost sami zavést určitá bezpečnostní opatření a být v permanentním kontaktu s NCKB a tímto způsobem krizi řešit. Důraz je tedy kladen především na prevenci a na standartní zabezpečení. To co se děje v případě incidentu už je potom otázka reaktivních opatření nebo protiopatření.
Co vlastně si můžeme představit pod pojmem “kybernetický útok”?
Typickým příkladem kybernetického útoku je např. tzv. DDoS útok, tedy distribuované vyřazení nějaké služby prostřednictvím zahlcení nejrůznějšími požadavky. Spáchání tohoto útoku je technicky relativně jednoduché. Je pouze třeba “znásilnit” několik tisíc počítačů, které opakovanými výzvami k cílovému místu toto místo zahltí tak, že zkolabuje.
Když už jste to nastínil, jaká je obrana proti přetížení serverů?
Existují nejrůznější technické postupy a je potřeba mít implementován ochranný systém. To je jedna věc, mít nějaké standartní postupy, které se v takovém případě aktivují. Neznamená to však začít vytrhávat zařízení ze zdi a přerušovat dodávky elektrické energie do těch napadených systémů (smích). Extrémně důležité je v tomto směru mít jakousi mapu útoku nebo informace o tom, jak je útok veden – a od toho je zde právě NCKB. Tyto informace bude NCKB vyhodnocovat, shromažďovat a zprostředkovávat za účelem obrany.
Kdo tvoří personální substrát NCKB, který bude pracovat s informacemi? Budou tyto informace citlivé?
Z hlediska bezpečnostního se může jednat o velice citlivé informace. Nejde však o osobní údaje, protože ve skutečnosti nejde o vyšetřování toho, kdo útok spáchal, ale předně o obranu před útokem v momentě, kdy je veden. V tomto směru bude NCKB primárně fungovat s personálním substrátem tvořeným specialisty na kybernetickou bezpečnost. Budou tam samozřejmě i právníci a lidé, kteří budou odpovědní za kontakt s nejrůznějšími dalšími bezpečnostními složkami.
Jak je to s náklady vynaloženými na vybudování a běh takové instituce?
Co se týče fungování NBÚ a NCKB, tak jde o extrémní lowcost. Vždy, když někam přijedeme do Evropy a říkáme, s jakými prostředky se to podařilo ustanovit, tak si myslí, že si z nich děláme legraci (smích).
Samotné NCKB funguje pouze na svém personálním substrátu, nebo má nějaké spojení se soukromou sférou, např. kvůli vývoji nových technologií?
Tady samozřejmě musí existovat spolupráce, s tím se i do budoucna počítá. Stát v této oblasti nikdy nebude mít svůj vlastní vývoj bezpečnostních opatření, nikdy nebude vyrábět bezpečné routery, vyvíjet antivirové programy, apod. V tomto směru spolupráce být musí a myslím si, že se nám již ve fázi přípravy zákona podařilo aktivovat soukromou sféru k tomu, aby se vedly společné debaty. I díky tomu si myslím, že zákon a celý systém národní kybernetické bezpečnosti je v dnešní době na velmi solidní odborné úrovni.
-
Děkujeme panu docentovi Radimu Polčákovi za přijetí pozvání do našeho diskuzního pořadu Právo o páté a za přiblížení této problematiky. Zvukový záznam najdete v archivu pořadu (http://www.mixcloud.com/pravoopate/), kde je diskuse rozdělena do časových bloků. Můžete si tak samostatně zvolit otázku, která vás konkrétně zajímá.
Pro vaše dotazy, připomínky, ale i pro přehled připravovaných dílů jsme k dispozici i na facebooku: https://www.facebook.com/pravoopate
Jsme rádi, že nás sledujete.
Diskuze k článku ()