Lze nebýt v kyberprostoru? Je kyberprostor spíše prostředek nebo místo pro snadnější sdílení informací? Mohou být nástroje, které tady používáme také zbraně? Je kvantový přenos dat řešením pro zajištění bezpečnosti v kyberprostoru? O tom všem jsme si povídali s předním odborníkem na kyberbezpečnost, pedagogem Vysoké školy CEVRO Institut a čestným prezidentem Českého institutu manažerů informační bezpečnosti (ČIMIB) Ing. Alešem Špidlou. Tento díl našeho diskusního pořadu CZ DIALOGY navíc jasně ukazuje, jak je hranice mezi civilním a vojenským prostorem tenká.

Video: Rozhovor s předním odborníkem na kyberbezpečnost Ing. Alešem Špidlou / CZ DEFENCE

Podle Aleše Špidly nelze ve vyspělé společnosti nebýt v kyberprostoru. Technologie promořují naši společnost tak, že to vlastně ani nejde. A jak je to s hranicí mezi civilním a vojenským prostorem? Civilní prostředky se mohou stát také zbraněmi. „Tou zbraní není mobilní telefon jako spíše to, co obsahují určité aplikace,“ vysvětluje přední odborník na kyberhrozby a doplňuje: „Civilní aplikace mohou být zneužity pro útok, který má potom důsledky i do obrany státu, protože aplikace jsou zranitelné. Někdy kolem roku 2014–2015, když probíhaly boje na východě Ukrajiny, využívala tento způsob ruská strana, i když tehdy se o tom moc nemluvilo. Rusové se díky zavirované aplikaci dostali do mobilních telefonů ukrajinských vojáků, kteří je používali na výpočet balistické dráhy u houfnic. V okamžiku, kdy pak Ukrajinci danou aplikaci použili, tak Rusové znali jejich přesnou polohu a poslali tam raketu. Dalším příkladem je, že ukrajinští vojáci třeba dostávali podvržené esemesky: Voloďa, Uteč za hranice! Podpis máma, snoubenka, nebo milenka. Když odpověděli, tak v ten moment je lokalizovali.“  Klíč je však také v nastavení systému ochrany. „Ten systém to prostě nesmí dovolit. To je to samé, jako když vojín Manning stáhnul dvě stě padesát tisíc depeší a nahrál si je na cédéčko, na kterém měl fixem napsáno Lady Gaga. A pak je prodal do WikiLeaks. Jak to, že tam někde nezačaly houkat sirény a svítit červená žárovka?“ ptá se Špidla.  

Nabízí se otázka, jak dlouho válka v kyberprostoru vlastně probíhá. Podle Aleše Špidly je potřeba vidět, že po roce 2010 existovala v Číně celá divize, která se věnovala kybernetickým útokům, tedy kolem 29 000 lidí. Když se k tomu přidají různé podpůrné organizace, hovořilo se až o 50 000 lidech. „Pokud bereme informační operace jako součást boje, tak v tom jsou Rusové hodně dobří. Přišli na to, že co se týká klasických zbraní, tak Západ neuzbrojí. Zjistili ale, že jim stačí pár počítačů, a to je pro ně cesta. S útoky je vždy potřeba spočítat škody, a ty jsou v případě takto vedených útoků veliké. Celosvětově je průměrná škoda jednoho kybernetického útoku na firmu 28 milionů dolarů. U nás se škody na obce nebo městské části pak pohybují řádově v milionech korun a v těch nižších jednotkách milionů korun je to v okamžiku, kdy je obec či městská část na případné útoky připravena a dokáže se rychle zotavit,“ říká Špidla. Jako příklad uvádí městskou část Prahy 5, kde se díky dobré připravenosti dokázali zotavit do devíti dnů po útoku, což je podle něj v našich podmínkách téměř zázrak. U škod obecně nejde podle Špidly pouze o přímou ztrátu dat, ale o další náklady, například na specialisty, kteří pracují na opravě systému. Nabízí se tedy otázka, zda a v jaké výši by měly firmy investovat do své ochrany. Podle Aleše Špidly jsou investice do obrany před kyberhrozbami stanovitelné jako hrubý poměr investic do ICT technologií, kdy objem ochranných prostředků se pohybuje někde na úrovni 10 %.  Ale rozhodně to není jednorázová investice, je to nekonečný boj. Musí se počítat s investicemi do odborníků, protože kybergangsteři jsou vždy o krok napřed a využívají k tomu ještě vyšší systémy, jako je třeba umělá inteligence.

Foto: V tomto díle našeho diskusního pořadu CZ DIALOGY jsme si popovídali s předním odborníkem na kyberbezpečnost Ing. Alešem Špidlou | Jan Juřica / CZ DEFENCE

České strategické i běžné instituce na tom podle Špidly nejsou z hlediska ochrany před kyberútoky špatně. Většina strategických firem spadá do kritické infrastruktury státu. Problém je s veřejnou správou, zvláště pak s obcemi, protože obce nespadají pod zákon o kybernetické bezpečnosti. „Ale představte si, že pod zákon o kybernetické bezpečnosti do roku 2017 nebo 2018 nespadala žádná nemocnice. Pak přišel útok v Benešově a škoda sedmdesát milionů korun. Fakultní nemocnice Brno – škoda 190 milionů,“ vzpomíná Špidla. Řešení tohoto stavu představuje podle něj novela evropské směrnice o bezpečnostní síti a informaci známá pod zkratkou NIS II. Intenzivně a s velkým předstihem na to reaguje návrh novely zákona o kybernetické bezpečnosti a návazné prováděcí předpisy. Podle Špidly jde o významné zpřísnění, které pomůže účinněji bojovat s tímto problémem. „V současné době má u nás povinnost vůči zákonu o kybernetické bezpečnosti 360 subjektů. To je strašně málo. Poté, co vstoupí v účinnost zmíněná novela zákona, bude jich minimálně šest tisíc, ale už teď se bavíme o dvanácti až patnácti tisících subjektech,“ vysvětluje Aleš Špidla. „Moje motto, které už mám mnoho let na LinkedInu je: Kybernetická informační bezpečnost není ale otázkou zákonů, je otázkou pudu sebezáchovy. Všichni ti, kteří se holedbají tím my nebudeme přijímat žádná opatření, my nebudeme investovat do kybernetické bezpečnosti, tak vypnuli pud sebezáchovy,“ doplňuje Špidla.  

Základem pro pokrok ve zvyšování kybernetické bezpečnosti v České republice je jednoznačně vzdělávání. Podle Aleše Špidly by se mělo začít už v předškolním věku, avšak s ohledem na rozvoj dítěte. „Jedna kolegyně se mi chlubila tím, že její dvouletý syn je na tabletu rychlejší než ona. Takže tam někde by se mělo začít. Je tady obrovská úloha rodičů, aby věděli, co dítě dělá. Ono je potichu a nezlobí. Jenomže s tabletem je problém, že když jej má dítě příliš často a příliš brzy, tak se mu nevyvine jemná motorika. Nechápe, že věci mají tři rozměry. Nebo potom ťuká na stránku knížky a očekává, že se otočí. V okamžiku, kdy je dítě potichu a nezlobí, by rodiče měli mít strach z toho, co syn z internetu stahuje a hrůzu z toho, co dcera na internet nahrává. Kyberbezpečnost by se měla vyučovat ve školách, protože po profesích, které mohou být součástí řešení kybernetické bezpečnosti, je už dnes a v budoucnu bude stále větší poptávka,“ vysvětluje přední odborník na kyberhrozby. „Deset tisíc institucí a firem spadne pod zákon o kybernetické bezpečnosti a budou potřebovat odborníky. NÚKIB jako regulátor bude potřebovat obrovsky rozšířit záběr té regulace, se kterou souvisí i kontrolní činnost. Takže zase bude potřebovat odborníky. Ve státních institucích už teď chybí stovky, ne-li tisíc odborníků na kybernetickou bezpečnost.“

Součástí komunikace v kyberprostoru je také jazyk. Obecným komunikačním jazykem je angličtina. Může ale soupeři přinést výhodu využití jiných jazyků, jako byl třeba za 2. světové války jazyk Navajo nebo v současnosti třeba čínština nebo ruština? „Nevím, jestli jde ruštinou něco utajit více. Váže se k tomu jeden humorný příběh z oblasti robotrollingu. Rusové spustili systémy s umělou inteligencí, které dokáží generovat tweety, dokáží měnit jejich význam a dokáží na ně odpovídat na Twitteru. Američani na to přišli pozdě, a to z jednoduchého důvodu. Přestože mají špičkový analytický nástroj, který pozná, že jde o robota, nezapnuli si tenkrát ruštinu, protože si mysleli, že všechno musí probíhat v angličtině,“ vypráví Aleš Špidla. Podle něj je jediná bezpečná informace ta, která nikdy v životě nebyla pořízena. A nejlepším utajením je mlčení.

Zdroj: CZ DEFENCE