Vedení moderních konfliktů se neomezuje jen na ohraničené území válečných operací, proto je nutné zajistit komplexní ochranu, mobilitu, energetické rezervy a hospodaření s nimi, včetně kybernetické podpory a ochrany. Důležité je zabezpečení výstavby míst velení AČR pro úkolová uskupení, NATO Response Force, Battle Group EU apod. V rámci komunikace Ministerstva obrany ČR pak musí být zajištěn plynulý a zabezpečený provoz resortních komunikačních a informačních systémů (KIS). Vše výše uvedené má na starosti Agentura komunikačních a informačních systémů (AKIS). Jejím ředitelem je od října loňského roku plukovník Jan Jelínek, kterého jsme požádali o rozhovor.

Foto: Bez spojení není velení | AKIS

Můžete nám stručně představit Agenturu komunikačních a informačních systémů?

Agentura komunikačních a informačních systémů má mnoho úkolů, a tak nelze úplně stručně povědět, co vše vlastně dělá. Na našich webových stránkách si lze přečíst, že zabezpečujeme výstavbu míst velení AČR pro ÚU, NRF, BG EU, ARRC, IZS a KŘ, což představuje jednu z nejdůležitějších činností, ale nic to neříká běžnému čtenáři. Pokud bych měl jednoduše a srozumitelně představit Agenturu KIS v jedné větě, pak bych použil: Agentura KIS je poskytovatel spojení a provozovatel informačních systémů resortu MO. Spojení je reprezentováno vlastní infrastrukturou na bázi mikrovlnných, rádiových a satelitních pojítek. Dále využíváme vlastní metalické a optické kabely a v neposlední i vlastní informační systémy, se kterými dnes resort denně pracuje a komunikuje. Nejrobustnější informační systém, který AKIS provozuje je Štábní informační systém AČR, který aktivně využívá 28 000 uživatelů, nicméně celkem AKIS provozuje 43 informačních a komunikačních systémů.

Jak je tato služba ochráněna? 

Je třeba se zamyslet nad tím, co je myšleno větou: služba ochráněna. Začnu tím, že veškerá infrastruktura pro přenos dat a hlasu je kompletně v naší správě. Celou jsme si ji vybudovali, a tak by se dalo říct, že víme o každé potencionální hrozbě, byť tou největší je vždy uživatel. Dále máme zapnuté šifrování napříč přenosovou infrastrukturou a v neposlední řadě jsou data šifrována i samotným informačním nebo komunikačním systémem. Takže z pohledu odposlechu jsou data, troufám si říct, velmi dobře ochráněna.

Foto: Plukovník Jan Jelínek | AKIS

Voják či resortní zaměstnanec má tedy 2 telefony? Svůj osobní a pak služební?

Snažíme se nastavit takový systém, aby uživatel nemusel mít dva mobilní telefony, i když z pohledu bezpečnosti by to bylo nejlepší. Při vyhodnocování jsme došli k názoru, že je lepší nabídnout uživatelům možnost mít služební mobilní telefon s určitou mírou bezpečnosti i pro soukromé použití. Proto dnes celý resort provozujeme na produktech Apple Inc., kdy máme u mobilního operátora služeb GSM vlastní APN (Access Point Name). To znamená, že všichni uživatelé resortu mají datové služby uzavřené a směrované na infrastrukturní prostředky ve správě AKIS. Jelikož však v tomto spatřujeme ještě potencionální riziko, snažíme se vybudovat nové moderní hlasové služby, které by obsahovaly další nadstavbu a v APN by pak běžela vnitřní VPN, ve které by byl poskytován interní hlasový systém. Pro lepší představu bych řekl, že daný systém bude podobný jako známý „kecálek“ WhatsApp, čili uživatel bude mít možnost volat, psát, provádět videohovory s každým uživatelem v resortu MO.

Pak tu máme stolní telefony, které jsou zde s námi od roku 1997, jejich doba expirace je již 10 let za zenitem, a tak se snažíme je v tomto a příštím roce zmodernizovat. Dnes probíhá s uchazeči soutěžní dialog a já pevně věřím, že najdeme kompromis, který povede ke splnění úkolu – moderní a mobilní hlasové služby 21. století.

Máte zahraniční vzory, podle kterých byste chtěli sítě postavit a provozovat?

Rád bych se dostal na úroveň izraelské armády, bohužel nemáme tolik programátorů a IT odborníků, abychom se tam dostali v blízké budoucnosti. Avšak je nutné si uvědomit, že Izrael je permanentně ve vojenském stavu, a tak je dobré využít jeho znalostí a zkušeností i pro nás, když je ochoten je s námi sdílet. A nejen izraelská armáda, ale i americká, německá či francouzská si buduje vlastní komunikační systém pod místním operátorem, kterého využívají v mírovém stavu.

To musí být velmi zajímavá práce. Jak je to s rekrutací? K prvnímu lednu se rozeběhla náborová kampaň, která by měla nalákat nové spojaře.

Je to přesně tak. Naším cílem je nabídnout veřejnosti přihlášení do armády a stát se tak vojákem z povolání. A je jedno, jestli má člověk jen základní vzdělání, uplatnění by mohl nalézt například jako řidič bojových spojovacích prostředků. Nebo naopak pokud má někdo vysokoškolské vzdělání, mohl by se stát IT juniorem. Problém vidím ve způsobu naší komunikace. Nově potřebujeme komunikovat s vnějším světem tak, aby nám bylo rozumět, a zároveň jsme byli konkurenceschopní. Právě z tohoto důvodu je spuštěna náborová kampaň s názvem „Spojař nové generace“, ve které jsou nabízeny všechny druhy pozic – od těch základních až řekněme po ty technicky nejvyšší, které v současné době můžeme nabídnout. K tomu spouštíme nové webové stránky, aby si uchazeč přečetl, koho hledáme a jak nás lze kontaktovat. Stránky obsahují i dotazník, kde je možné uvést, co by zájemce například chtěl uplatnit v resortu a zda náhodou pro něj nemáme vhodnou pozici. Chceme tak předejít situacím, aby na rekrutační středisko přišli zájemci a byli zařazeni k jiným jednotkám, které nemají s IT nic společného. Nadto jsme spustili i druhou webovou stránku, na které spojaře představujeme lidovější formou, takzvanou hantýrkou, aby bylo vidět, co ve skutečnosti děláme.

Co by měl případný adept na službu u AKIS umět? Jaké by měl mít vlastnosti nebo vzdělání?

Kdybyste se mě zeptal v roce 2006, tak bych vám řekl, že musí mít skvělé IT vzdělání, mít nejen základní IT background, ale měl by znát i dost pokročilých IT věcí. Jsme však v roce 2023, situace je úplně jiná a v tomto případě jsem rád za každého člověka se zájmem o IT, plus jsem zároveň ochoten investovat do jeho vzdělání. Už to není o tom, že by se jednalo o člověka tzv. hotového, ale naopak jsem v situaci, kdy uchazečům říkáme: „Chcete u nás pracovat? Přijďte, my vás rádi naučíme vše od úplného základu až po pokročilé věci, pokud o to opravdu budete mít zájem.“

Foto: Uchazečům říkáme: „Chcete u nás pracovat? Přijďte, my vás rádi naučíme vše od úplného základu až po pokročilé věci, pokud o to opravdu budete mít zájem.“ | AKIS

Člověk k vám tedy jde s touhou učit se takzvaně od píky. Znamená to, že v ten okamžik také žádá o prověrku? Jde o dlouhodobý proces?

Samozřejmě u nás platí, že uchazeč musí splnit zákonné podmínky na dané systemizované místo a jednou z nich je určitě bezpečnostní prověrka. Pro umístění pak není rozhodující, zda mu prověrka byla vydána, ale že splnil podmínky pro její získání. Následně probíhá řízení, které je přesně dané zákonem. Prověrka na „důvěrný“ stupeň trvá 3 měsíce, na stupeň „přísně tajné“ 9 měsíců. V případě neúspěšného řízení se musíme s uchazečem rozejít.

Jak je to s výcvikem a fyzickou kondicí spojařů?

V našem světě je zbraní mobilní telefon, případně radiostanice, ale stejně tak je to server, PC, satelitní modem atd. Obecně musí spojař umět střílet a má i základní bojový výcvik. Ale zároveň – vždycky říkám – server neuběhám. Můžete být fyzicky sebevíc vycvičený, ale jakmile dostanete do ruky novou technologii a máte ji nakonfigurovat, tak je jedno, jestli uběhnete tři kilometry za 12 minut, to vám nepomůže. Musíte mít znalosti, zkušenosti a ty se získávají jen praxí a učením, nikoliv „šaškováním“ na oválu nebo v posilovně. Proto je pro mě mnohem důležitější, co dotyčný nosí v hlavě, než zda vypadá jako fitness trenér/ka.

Zmínili jsme ochranu komunikace z technického hlediska, to znamená šifrování atd. Co školení uživatelů, kteří používají danou síť? Jak lze zabránit tomu, aby se informace nedostávaly směrem ven?

Každý v resortu MO má nějaký stupeň utajení podle zákona 412/2005 Sb. O ochraně utajovaných informací. Na mé pozici je prověrka přísně tajná. Proto zaměstnanci procházejí ročním školením, kde se dozví, jaké informace se smí sdílet a jak a komu je lze dle zákona předávat. K zabránění úniků informací máme určité technické možnosti, ale největší dírou do a ze systému je vždy uživatel a ten pokud není dostatečně znalý, pak vám ani sebelepší zabezpečení nepomůže. Resort provozuje striktně oddělenou infrastrukturu od internetu a tento trend bude platit i v budoucnu. Ale to nezabrání tomu, aby se data z těchto systémů nedostala ven, když to bude chtít provést uživatel. Proto je nutná osvěta v podobě ročních školení.

Náčelník generálního štábu na velitelském shromáždění zdůraznil, že armáda stárne a že je tento trend potřeba nějakým způsobem zastavit a zvrátit. Týká se to také vás?

Samozřejmě se to týká i AKIS. U vojáků z povolání máme průměrný věk 47 let a u občanských zaměstnanců je to 50 let. Z tohoto plyne, že demografická křivka je proti nám. Já se nebojím říct, že pokud dnes nezačneme nabírat „mladou krev“, pak spojaři velmi brzo „vymřou“. Pak nám nezbyde, než upustit od některých ambicí a opravdu rezignovat na některé služby, které poskytujeme.

Chcete tím říct, že můžete omezit jisté schopnosti, které nyní máte?

Ano, přesně k tomu mířím. Jestliže nebudu mít dostatek lidských zdrojů, pak budu muset navrhnout omezení některých služeb, protože bez lidí tato práce dělat nejde. Ve svém proslovu u příležitosti uvedení do funkce jsem mluvil o tom, že lidi jsou to nejcennější, co máme. Můžeme mít nové moderní technologie, ale bez lidí, kteří je dokáží používat a nabídnou je koncovým uživatelům, jsou tyto technologie úplně k ničemu. A bez lidí to opravdu nepůjde. Proto velmi kvituji, že ředitel Sekce komunikačních a informačních systémů MO generál Šnajdárek rozjel zmiňovanou kampaň s názvem Spojař nové generace, na které spolupracujeme napříč AČR.

Foto: Můžeme mít nové moderní technologie, ale bez lidí, kteří je dokáží používat a nabídnou je koncovým uživatelům, jsou tyto technologie úplně k ničemu. | AKIS

Pojďme do budoucnosti. Je kvantové spojení řešením pro dokonalejší spojení? Podílíte se jako AKIS na vývoji tohoto systému?

Kvantové spojení je pro nás momentálně nepoužitelné. Zaznamenal jsem, že jsou tady snahy využít kvantový počítač a kvantová spojení k určitým možnostem, ale v rámci resortu MO zatím nevidím hmatatelné využití takového stroje či spojení. Naopak pro mě, resp. pro resort je vývoj kvantových PC výzva, protože již dnes je nutné při budování nových systémů přemýšlet o nasazení tzv. kvantově odolných šifer. 

Používá se ještě systém morseovky?

Ano. Máme i pravidelná cvičení, i když je to spíše na ústupu. Nicméně je to spojení, které chceme stále zachovat. Můžeme to v uvozovkách nazvat jako druh S.O.S. spojení, který se dá použít v momentě, kdy vše ostatní selhalo.

Jaká je vaše spolupráce s NÚKIB?

Já vnímám NÚKIB jako úřad, který mámentorovat a určovat, jak máme fungovat v kyberprostoru. I když s ním máme nastavené relativně dobré vztahy, tak se nám nedaří prosadit naše novější chápání některých věcí. Jako příklad si vezmu šifrování, které jsme tu zmiňovali na začátku. Dnes je použití hardwarového šifrátoru mantrou pro spojení v utajených systémech dle zákona č. 412/2005 Sb., ale my bychom rádi použili softwarové šifrování založené na standardizovaném algoritmu. Dále se nepotkáváme ve vnímání potencionálních rizik, uvedu příklad: riziko v tzv. „blackboxech“. Co tím myslím? Dnes dostaneme výrobek od firmy X, jenž je certifikován zemí A, která tvrdí, že algoritmus šifrování je implementován dle nějakých procesů a standardů. My to akceptujeme a daný výrobek nasadíme do naší infrastruktury, přičemž o daném „blackboxu“ od výrobce X víme pouze to, co je napsáno v základních dokumentech. Tento problém se netýká pouze šifrátorů, ale všech HW prostředků, které jsou nasazené v infrastruktuře. Nejsem bláhový a plně si uvědomuji, že si v ČR nemůžeme vše vyrábět. Chtěl bych se ale dožít situace, že NÚKIB bude více spolupracovat v oblasti vědy a výzkumu, a to nejen s resortem MO, ale i s jinými organizacemi a Česká republika bude mít vlastní národní šifru, která bude plně pod kontrolou ČR, a to včetně výroby.

Ministryně Černochová v rámci svého „Desatera pro obranu“ řekla, že kyberprostor je vlastně novou doménou aktivního bojiště armády 21. století. Vnímáte to tak, že by jeho agenda měla spíše přejít pod armádu?

Úplně si to nemyslím. Kyberprostor se netýká pouze armády, ale týká se celé České republiky. Představte si takovou situaci, že by došlo k napadení infrastruktury poskytovatelů internetu, na kterých jsou v dnešní době všichni připojeni. To je kyberútok. Tento kyberútok bude využívat zranitelnost, nebo cílený backdoor v nějakém produktu konkrétního výrobce, který poskytovatelé mají ve své infrastruktuře. To povede k nedostupnosti mezinárodní sítě Internet. Co to bude znamenat v praxi? Nepůjdou čističky, bankomaty, pokladny v obchodech, semafory, úřady, televize, rádia …, výsledkem bude chaos. A proto si myslím, že je tady NÚKIB, který by měl říct „STOP! Tohle se stát nesmí“. To znamená, nemůžeme se bavit jen o resortu MO. V ČR by měl vzniknout něco jako národní operátor, který by poskytoval služby pouze úřadům, státním organizacím, ministerstvům atd., všem kteří mají kritickou infrastrukturu, protože jedině pak se můžeme bavit o tom, že nad touto sítí máme stoprocentní kontrolu a víme, jak ji chránit proti vnějším vlivům.

Funguje již takový národní operátor například v zahraničí? 

Proč bychom nemohli být průkopníky? Z pohledu IT na to koukám tak, že pokud tady máme zákon o Vojenském zpravodajství (VZ), který má dohlížet na infrastrukturu a na prvky kritické infrastruktury, tak by se to přece jednoduše kontrolovalo, pokud by zde byl národní operátor, a tím pádem by nedocházelo ke třenicím s operátory třetích stran. Myslím tím civilní operátory, protože VZ by si opravdu chránilo jenom svůj perimetr. A kritickou infrastrukturou není jenom to, co používá armáda, ale vše co je definováno dle zákona č. 240/2000 Sb., o krizovém řízení. To musí fungovat i ve stavu ohrožení státu, kdy tímto stavem může být i kybernetický útok.

Foto: V našem světě je zbraní mobilní telefon, případně radiostanice, ale stejně tak je to server, PC, satelitní modem atd. | AKIS

Pojďme k družicím. Naše armáda v současné době asi nemá své vlastní družice. Máte o ně do budoucna zájem?

Již dlouhou dobu platí, že bez spojení není velení. A velmi jednoduše zarušíte signál, který vede mezi dvěma stožáry, případně mezi BTSkami, které slouží mobilním operátorům, ale mnohem hůře dokážete zarušit něco, co je ve vesmíru. Dostali jsme se tak do další domény, která je nyní diskutována. A ano, resort MO se zabývá variantou mít vlastní vojenské pásmo, nikoliv družice, které budeme využívat právě v případě, že ztratíme spojení na našem běžném komunikačním kanálu. 

Ale někdo musí být poskytovatelem toho pásma? Budou mít hlavní slovo Spojené státy?

Ano, ten kdo má družice, pak je schopen poskytovat pásmo. V tomto případě se jedná o mezinárodní projekt, přičemž Česká republika měla v roce 2017 to štěstí se jako jediná postkomunistická země připojit k projektu satelitního pokrytí a dostat se tak mezi devět VIP států, které využívají satelitní vojenské pásmo. A ano, hlavním hráčem jsou USA.

Další oblastí jsou cloudové služby. Pentagon nedávno nakupoval od Applu a Googlu kapacitu pro vlastní cloudová úložiště.

Ano, také jsem to zaznamenal. Varianta cloudových služeb je výhodná, ale pouze pokud víte, k čemu je chcete používat. Cloud je něco, co máte mimo váš perimetr. Je to někde pryč a vy nad tím nemáte úplně jasnou kontrolu. Ano, máte napsáno ve smlouvě, že data jsou vaše, ale nikdy nebudete mít 100% jistotu, zda nad nimi neprobíhá analýza za přispění umělé inteligence (AI). Takže podle mě cloud ano, ale s rozmyslem. Umím si představit několik možností použití v resortu MO, asi nejjednodušší příklad jsou mailové schránky army.cz. Jsou to data, která běží v současné době na naší infrastruktuře, na našich hardwarových i softwarových prostředcích a stálo by za úvahu tohle vše postavit úplně mimo – tedy využít cloudových služeb, protože tam není nic utajovaného a je to komunikace, na které nejsme závislí.

Vraťme se ještě zpátky k družicím. Jejich využití se týká například i dronů vyšší generace, které mají nějaké vyšší mise?

Neřeknu nic tajného, když prozradím, že se o tom bavíme a doufám, že v blízké budoucnosti se nám podaří získat zařízení, které nám umožní zapojit i drony a další zařízení právě ke komunikaci s družicí - satelitem.

Pojďme k radiovým systémům HARRIS. Je k nim na úrovni Armády České republiky vyžadována bezpečnostní prověrka?

Radiostanice HARRIS jsou součástí komunikačního systému a ten je brán jako utajovaný dle zákona č. 412/2005 Sb. Byl tak certifikován, což znamená, že v něm lze zpracovávat/říkat informace do stupně utajení TAJNÉ. A protože neexistuje žádný sofistikovaný nástroj, který by dokázal odlišit, které informace jsou TAJNÉ a které nikoliv, pak je potřeba, aby každý, kdo pracuje s touto radiostanicí, měl prověrku na stupeň utajení TAJNÉ.

Například v americké armádě se však tento systém používá bez omezení. 

Vše vychází ze zákona 412/2005 Sb., dle kterého byl komunikační systém, ve kterém jsou radiostanice HARRIS nasazené, certifikován. V zákoně je přesně definované, co musíte pro ochranu dat provést, a protože v současně době nemáme žádný nástroj, který by dokázal odlišit, že informace kterou právě nyní říkáte – není tajná, tak nezbývá než využít administrativní bezpečnost. A tím pádem všem osobám pracujícím v daném systému nakázat mít TAJNOU prověrku dle tohoto zákona. Ano, pokud bychom systém znovu certifikovali a zavedli ho pod manipulaci s taktickou informací, pak možná nebude nutné mít daný stupeň utajení. Ale pak to bude znamenat, že vedle tohoto systému se bude provozovat další tajný systém. Další možností je aktualizovat zákon 412/2005 Sb., který byl aktualizován v roce 2020.

Zaznamenali jste v souvislosti s válkou na Ukrajině nějaké ponaučení ze způsobu komunikace?

Myslím si, že válka na Ukrajině nám ukázala dost věcí, které jsme si do té doby nedokázali představit. Asi nejzásadnější je uvědomění si, že nejde stavět systémy pro tzv. „stacionární“ použití, ale že je nutné mít takové, které jednoduše rozbalíte, spustíte a následně zas rychle i zabalíte. Dalším poznatkem je, že i když se připravujeme na boj ve více doménách, pak nejzásadnější boj bude pozemní a vzdušný, přičemž ten v kyberprostoru je bude doplňovat a bude vždy záležet na schopnostech nepřítele – co, jak a kdy provede. V neposlední řadě nám ale válka na Ukrajině ukázala, že i protivník potřebuje komunikační infrastrukturu na okupovaném území pro své potřeby. Proto vidíme, že spojení v daných oblastech zůstává funkční. 

Nicméně pro vás musí být určitě potěšující, že Ukrajinci byli schopni využít lépe informační technologie, což jim pomáhá udržet rovnováhu na bojišti nebo dokonce jejich převahu.

S tím souhlasím. Ale je potřeba si uvědomit, že bez přístupu mnoha zemí a jejich pomoci, včetně technologických firem a gigantů, by to pro ně nebylo možné. V tomto duchu pozitivně vnímám i snahy vedení resortu MO, abychom využili znalosti těchto společností a zkusili je implementovat do resortního prostředí.

Foto: Momentka z rozhovoru s plukovníkem Jelínkem | Michal Pivoňka / CZ DEFENCE

Česká republika Ukrajině pomáhá morálně i materiálně od samého začátku války a ministryně Černochová a jiní představitelé vlády se to na rozdíl od ostatních států nebojí říkat. Nevzniká díky této otevřené rétorice pro resort obrany a pro ČR zvýšené riziko kybernetických útoků? Zaznamenali jste nějaké konkrétní útoky, které vás překvapily, pokud je to možné publikovat?

Pokud akceptuji myšlenku, že opravdu vědomě pomáháme Ukrajině, lze konstatovat, že náš venkovní perimetr je v uvozovkách pod stálou palbou z různých zemí. Mohu se podělit např. o poměrně čerstvou zprávu, kterou jsme odesílali NÚKIB, kdy se servery, na nichž máme publikovány webové aplikace a web army.cz ocitly pod DDoS útokem. Důsledkem byly nedostupné stránky pro veřejnost, avšak pro interní použití bylo vše dostupné. Jelikož se k danému typu útoku přihlásila ruská skupina NoName057, pak lze konstatovat, že je to za cílenou pomoc Ukrajině. Na druhou stranu tento typ útoku je docela častý, je relativně levný a zároveň i dost efektivní, protože tím demonstrujete, že umíte vyřadit chod dané organizace. To samozřejmě platí za předpokladu, že ten napadnutý systém používáte i pro nějaké činnosti a nikoliv jako resort MO, kdy to máme pouze jako statický web se základními informacemi pro návštěvníky stránek.

Když se bavíme o útocích na oficiální stránky resortu obrany, v minulém roce jsme zaznamenali minimálně dva útoky, které měly za cíl pád systému. Webové stránky byly po dobu několika hodin nedostupné. Vidíte zde nějakou souvislost nebo se jednalo o standardní napadení?

Co se týká výpadků, o kterých mluvíte, tak první výpadek byl vloni v březnu, kdy byl proveden DDoS útok na stránky www.army.cz. Byl to první útok takového typu. I když máme nakoupené technické prostředky, aby byl tento typ útoku zablokován, pak vše neproběhlo správně a stránky byly opravdu nějakou dobu nedostupné. Z toho jsme se ponaučili. Zjistili jsme, kde máme špatné nastavení a provedli jsme opravu. Od té doby proběhlo dalších pět DDoS útoků, kdy až ten poslední měl opět za následek nedostupnost webů. Bohužel tomuto typu útoků se nikdy nebudeme schopní úplně bránit, protože vždy narazíte na maximální technické omezení zařízení, které používáte. Když se kouknu na poslední útok na servery Microsoft, tak tam byl DDoS útok proveden se sílou 5,4TB/s a tomu jako resort nebudeme moc nikdy odolat. Proto je nutné mít v internetu opravdu jen ty služby, které nás jako organizaci nevyřadí z „boje“ v případě jejich nedostupnosti.

Plk. Jan Jelínek

Po studiu na Univerzitě obrany v oboru Vojenská technika - elektrotechnická, výstavba, údržba a bezpečnost ASV byl v roce 2004 ustanoven do své první vojenské funkce jako systémový inženýr střediska IS Praha 34. základny KIS. Jeho kariéra směřovala přes pozice náčelníků oddělení, úseku, centra, štábu až po současné zařazení ředitel Agentury komunikačních a informačních systémů.