Hlavní navigace

Dušan Navrátil (NBÚ): Velké kyberútoky na český stát už probíhají, stojí za nimi jiné země

Autor: NBÚ
Jan Sedlák

Jeden z českých úřadů od prosince čelí velkým kybernetickým útokům. Česko pomalu začíná budovat větší kapacity, aby podobným situacím umělo čelit.

Na jeden z významných státních rezortů od prosince míří poměrně masivní kybernetické útoky. Národní bezpečnostní úřad říká, že jde o útoky jiného státu. Státní systémy jsou údajně prozatím oťukávány. 

Stát začíná kybernetickou bezpečnost stále více řešit. Vznikne proto i nový Národní úřad pro kybernetickou a informační bezpečnost. Připravuje ho bývalý šéf celého NBÚ Dušan Navrátil, kterého nedávno ve funkci vystřídal dosavadní šéf BIS Jiří Lang

Navrátil v rozhovoru pro Lupu mluví o změnách a útocích, připojil se k němu také jeho náměstek Jaroslav Šmíd.

V jednom z oficiálních prohlášení jste řekl, že kybernetická bezpečnost na NBÚ je něco jako vaše dítě. Co to znamená?

Dušan Navrátil (DN): (Smích) Ano, vnímám to tak. Částečně je to také dítě pana náměstka Šmída, který mě celou dobu hecoval. Jsme taková dvojka. On je ten, kdo to vymýšlí, a já to potom realizuji. Kybernetická bezpečnost v našem státě řešená nebyla. Když skončilo ministerstvo informatiky, které by tuto oblast teoreticky mohlo řešit, nikdo to nedělal. Já byl na bezpečnostní radě státu vždy kritikem ministrů vnitra, že to nedělají. Pak se nám podařilo přesvědčit ministra Pecinu, že to vnitro začne dělat. To pak přijalo Aleše Špidlu jako koordinátora, který připravil první strategie. Pak se změnila politická reprezentace a zase se nic nedělo. V červnu 2011 jsem tak šel za premiérem, že začneme dělat kybernetickou bezpečnost. Premiér souhlasil, dokonce jsme dostali peníze. Dali jsme si úkol, že vybudujeme Národní centrum kybernetické bezpečnosti a připravíme zákon o kyberbezpečnosti.

Jaroslav Šmíd (JŠ): Což tehdy bylo nové, protože všichni stavěli jenom týmy CERT. Říkali jsme, že problematika je daleko širší, dnes to naštěstí opisují i jiné státy.

DN: To se nám podařilo udělat, od začátku jsme velice intenzivně komunikovali s odbornou veřejností, což se vyplatilo. Myslím, že máme velice dobré vztahy. Podařilo se nám velice dobře domluvit s národním CERTem a CZ.NIC. Máme vynikající vztahy, dělba práce je daná a funguje to perfektním způsobem. Po pěti letech nyní máme základní – a myslím, že vynikající – tým. Je to také legislativně ukotveno. Nyní je ještě ve sněmovně transpozice směrnice NIS. A bude se vytvářet nový úřad pro kybernetickou a informační bezpečnost.

Dušan Navrátil
Autor: NBÚ

Dušan Navrátil

V odborné komunitě i navenek každopádně byla výrazně vidět i role Vladimíra Rohela, který se nyní přesouvá do nové role koordinátora kyberbezpečnosti…

DN: Pan Rohel od nás úplně odchází. Tento měsíc končí. Došlo k tomu, že jak dochází k navyšování tabulek, nastala i reorganizace. Vzniklá oddělení jsou navěšena pod pana náměstka Šmída. Pana Rohela bych chtěl velmi ocenit, zejména v začátcích odvedl hodně velmi konkrétní práce, zejména v technické části. Rozhodl se odejít, ale zase do organizace, se kterou budeme velice úzce spolupracovat.

Co je to za organizaci?

JŠ: Jde do Národní agentury pro komunikační a informační technologie (NAKIT). Asi víte, že tam došlo k nějakým personálním změnám, je tam personální problém a pan Rohel by je měl posílit.

To je celkem odvážná štace.

JŠ: Pro nás tam pan Rohel sedí velice dobře. Ono to tam má punc ještě z Odštěpného závodu, ale musí se z toho stát funkční podnik. Jak víte, připravuje se projekt národního cloudu, a je třeba, aby tam vše fungovalo.

To nepochybně. Původní návrh na státní cloud byl dost problematický. Což jste ostatně kritizovali i vy jako NBÚ.

JŠ: Také nás překvapil a také jsme ho nedostali k připomínkám a bylo to trošku narychlo.

Role národního koordinátora tedy zaniká?

JŠ: Zřejmě nějakou dobu bude fungovat. Spolupracujeme s mezinárodními organizacemi, komerčními subjekty, s Microsoftem, Ciscem, izraelskými firmami. To všechno musí někdo zastřešovat. Není možné, aby si to dělali sami referenti.

DN: Měl by vzniknout ten nový úřad, takže nejspíše dojde k celkové reorganizaci. A jak přesně bude vypadat, to ještě není zcela jasné. Představu ale máme.

Dušan Navrátil
Autor: NBÚ

Dušan Navrátil

Zmínili jste, že odchod pana Rohela souvisí s novými tabulkami a podobně. Nesouvisí to také s tím, že proběhla změna ve funkci ředitele NBÚ?

DN: Ne, to určitě ne.

JŠ: Určitě se nerozcházíme ve zlém. A jsme rádi, že si pan Rohel našel místo, kde budeme moci spolupracovat. Pod Radou vlády pro informační společnost vznikly pracovní týmy, které budou připravovat projekt státního cloudu. A pan Rohel je tam za NAKIT, shodou okolností pro bezpečnost. Myslím, že bude přínosem pro firmu, a snad se mu tam podaří něco změnit. Nevím, jak tomu přispějí personální změny, které v NAKITu nastaly, ale když už podnik vznikl, tak by měl fungovat.

Vy budete mít od prvního února roli vládního zmocněnce pro kybernetickou bezpečnost. Co to přesně znamená? A jak se bude dále postupovat? Připravíte založení nového kyberúřadu a pak plynule přejdete do role jeho ředitele?

DN: Ředitele musí jmenovat vláda. Jestli to budu já, nebo někdo jiný, to nevím. Role zmocněnce je nachystat rozdělení úřadu a připravit vytvoření nového úřadu. Funkce zmocněnce pak zanikne.

A máte ambice být ředitelem nového úřadu?

DN: Jak jsem řekl, je to moje dítě, takže celkem logicky bych rád funkci zastával. Ale o tom nebudu rozhodovat já.

Kdy nový úřad začne fungovat?

DN: Zhruba někdy v létě, případně koncem léta.

Vysvětlete mi ještě to dělení a vytváření nového úřadu.

DN: Do nového úřadu přechází současné Národní centrum kybernetické bezpečnosti (NCKB) a navíc tam přechází certifikace informačních systémů, které obsahují utajované informace, dále krypto a další jednotky. Vznikne nový úřad, který by měl mít srovnatelné postavení s NBÚ. Sídlo bude mít v Brně, bude nutné vytvořit v uvozovkách týlové složky, od ekonomů přes právníky a auditory až po řidiče. Na to dostáváme 35 tabulek, které bychom měli do léta zaplnit. Detašované pracoviště bude v Praze, kam odejdou krypto a podobně.

NBÚ už tedy nebude řešit kybernetickou bezpečnost?

DN: Přesně tak. NBÚ bude mít na starosti bezpečnostní prověrky a podobně.

JŠ: V podstatě se z NBÚ oddělí sekce, která se týká ochrany informací v bezpečnostních systémech. Technické věci z NBÚ odchází a bude to čistě administrativní úřad na prověrky a tak dále.

Dušan Navrátil
Autor: NBÚ

Dušan Navrátil

A co si pod tím představit, že vzniká nový samostatný úřad? Jde o nějaké mocenské ambice, nebo je to znak toho, že vláda bere kyberbezpečnost seriózně?

DN: Když si NBÚ bral kyberbezpečnost na starost, byl to jediný úřad, kde něco takového mohlo vzniknout. Byl zde úzký okruh odborníků, na kterých se dalo stavět, a pak zde byla vůle vedení. Bylo to mnohem jednodušší, než kdyby to vzniklo pod nějakým ministerstvem.

JŠ: Jak jste říkal ty dvě varianty, tak ta druhá je správně. Už v říjnu vláda schválila materiál o dalším rozvoji kapacit.

DN: Bylo jasné, že se to dříve nebo později rozdělí. Asi je to dobře, protože pak bude nová vláda a kdo ví, jaké bude mít priority. Domnívám se, že takový úřad v České republice skutečně chybí. A budou se na to nabalovat další technické věci, které nikdo nedělá. Jak dochází k digitalizaci a elektronizaci společnosti, přichází nové problémy, kam se podíváte. Stát určitou zodpovědnost za fungování digitálního prostředí má. Ale vždycky jsme se snažili, aby zásah státu byl v rozumných mezích.

JŠ: Trošku se přiblížíme modelu, který má Německo.

DN: A zároveň nechceme být zpravodajská služba. To je mnohem výhodnější, protože komunikace se světem či CERT týmy je možná a dobrá, a kdybychom byli zpravodajci, byl by to problém. Tam, kde jsou vládní CERTy pod zpravodajskými službami, tak uvažují, že je dají pryč.

Před pár měsíci jste oznámili, že v Brně bude postavena nová budova pro až 400 lidí, v nějakém delším časovém horizontu. To platí?

JŠ: Když se podíváte do světa, třeba Britové v loňském roce oznámili vybudování velkého kybercentra v Londýně. Další státy rozšiřují kapacity. U vojenských složek vznikají nová centra. Trend je po celém světě. Navíc máme požadavky ze strany NATO.

DN: Plány platí. Vznik centra (NCKB) byl ze začátku trochu náhoda, protože tady pan náměstek přišel s tím, že je tam vhodný barák, který by se nám líbil a ve kterém bylo krypto. Univerzita tam školila šifranty pro armádu. Pak se to přesunulo do univerzity a budova byla volná. Byl to nakonec dobrý tah, Brno vnímáme jako takové Silicon Valley v Česku a spolupráce s univerzitami je tam vynikající, zejména s Masarykovou univerzitou. Co se týče nabírání lidí, což je obecně dost problém, tak se nám daří. V Brně jsou lidi, i když konkurence na pracovním trhu tam je velká. To je zajímavé. Jsme státní správa, takže nejsme nijak oslnivě placení, ale na druhé straně nabízíme velice zajímavou, perspektivní a atraktivní práci. Je tam velice dobrý kolektiv a prostředí, takže lidé přicházejí.

JŠ: Za celou dobu nám odešli dva lidé. Jedna slečna, která dostala stipendium někde v Michiganu, a pan Rohel. A ta slečna se nám ještě vrátí. Takže lidé jsou zřejmě spokojení.

Slibujete si něco výrazného od vysokoškolských oborů zaměřených na kyberbezpečnost, které v Brně vznikají?

DN: Na Masaryčce jsem měl před asi třemi čtyřmi lety rozhovor s panem rektorem Bekem, kdy jsem ho přesvědčil, že by bylo dobré v tomto začít. Snažíme se, aby obory začaly vznikat i na dalších školách, teď jednáme s Univerzitou obrany. Vítáme to a podporujeme. Navíc v Brně působí docent Radim Polčák, který mimochodem dělal základní filozofii zákona o kyberbezpečnosti. Spojit techniky a právníky, to je něco – hádali se mi tu až do osobní nevraživosti (smích). Problém je ten, že odborníků bude málo a firmy mají tu výhodu, že si studenty zavazují už třeba ve druhém ročníku.

JŠ: Navíc po těchto lidech bude ještě větší poptávka. Jednak jejich zvýšenou potřebu vyprodukoval náš kyberzákon, a ještě se teď objeví evropské GDPR. Do lidí investujeme, platíme jim drahá školení, přednášíme na školách a tak dále. Ale samozřejmě už začíná i to, že lidi začínají mít děti a hypotéky, a to už pak doma těžko vysvětlují, proč mají dvakrát tak menší plat než v soukromém sektoru.

V současné době se pod argumentem, že je třeba mít také ofenzivní kybernetické kapacity, připravuje novela zákona o vojenském zpravodajství. Jak vy se na ni díváte, je dobře napsaná?

DN: Obecně zde vidím tři nohy. My děláme kybernetickou bezpečnost, tedy ochranu kritické infrastruktury, zajišťování chodu státu. Vedle nás je kybernetická kriminalita, kterou má na starosti policie. A potřebujeme ještě třetí nohu, a tou je aktivní obrana. Schopnost aktivně zasáhnout, pokud bude nutno. Já jsem přesvědčoval armádu čtyři nebo pět let, aby tu aktivní obranu začala dělat. Nakonec jsme se domluvili, že ji bude dělat vojenské zpravodajství. A pro nás je důležité, aby toto zpravodajství mělo schopnosti aktivní obrany.

Dušan Navrátil
Autor: Ministerstvo obrany ČR

Dušan Navrátil

To je jasné. Jde mi ale spíše o to, jestli je ten zákon dobře napsaný. Vy jste říkali, že zákon o kybernetické bezpečnosti jste velice konzultovali s odborníky a komunitou. V případě vojenského zpravodajství se ale nic takového nestalo.

JŠ: My potřebujeme, aby někdo v České republice měl schopnost aktivní obrany. My to dělat nemůžeme a ani nechceme, například z důvodu spolupráce s partnery, výměny informací a tak dále. Část aktivní obrany v zákoně vítáme a budeme spolupracovat.

Český stát dnes nemá schopnosti aktivního kybernetického útoku?

JŠ: My o žádné nevíme. Je možné, že některá ze služeb nebo skupina, kterou stát podporuje, ji má.

Když se bavím s různými odborníky ze světa, tak často říkají, že ofenzivní kapacity má tak 10 zemí na světě.

DN: Česko je zatím na začátku.

A bude něco takového v budoucna kriticky důležitou složkou obrany?

DN: Tak, jako má stát stíhačky, měl by mít i tuto schopnost. Jestli ji využije, nebo nevyužije, je věc druhá. Obávám se, že v této věci nám nikdo nepomůže.

JŠ: I v rámci NATO bylo deklarováno, že Aliance nebude budovat takového schopnosti, protože se v tom spoléhá na členské státy. Bude záležet na tom, jak se budou útoky vyvíjet. Když probíhá DDoS útok, je lepší odstřelit řídicí servery než se bránit milionům počítačů.

Registrujete v Česku kybernetické útoky na stát? Na soukromý sektor se útočí běžně, ale co ministerstva a úřady?

DN: Je to reálná věc. Ty útoky už tady jsou. Vnímáme je jako útoky spíše testovací, které zjišťují stav určitých sítí, a je vysoká pravděpodobnost, že za těmito útoky stojí nějaký stát.

Řeknete, jaký stát, či více států?

DN: Zatím je to testování a nemáme informace o tom – ale nemůžeme to vyloučit – že by došlo ke krádeži dat nebo něčemu takovému. Ale testování systémů už probíhá. A je dost masivní a jde na jeden dost zajímavý úřad.

JŠ: V průměru ze dvou tisíc adres denně chodí útok na konkrétní resort. Už od poloviny prosince.

DN: A není to ministerstvo kultury (smích).

Po posledních prezidentských volbách ve Spojených státech se hodně mluví o zásahu hackerů podporovaných ruskou vládou. Objevují se také obavy z možných zásahů do nadcházejících voleb v evropských zemích. Očekáváte něco takového i v sérii voleb, která letos čeká Česko?

DN: Nemůžeme to vyloučit.

JŠ: Víte velice dobře, kolik politických stran už u nás bylo hacknuto a napadeno a jejich data ukradena.

DN: Je problém útoky identifikovat. Jsme dost v počátcích. Začínáme vytvářet systém sond, někde jsme je už nasadili. Tam, kde je to hodně citlivé. Máme připravený projekt, kdy budeme ve státní správě nasazovat sondy, díky nimž bude možné monitorovat anomálie, nikoliv tedy samotný obsah. Zatím nevíme, co se na těch sítích děje. A obávám se, že politické strany už vůbec žádné sondy nemají. Otázka je, zda jsou schopné vůbec zjistit něco takového. Zde mám velkou obavu.

JŠ: Ještě k těm sondám. Resortům zapůjčíme koupené sondy, které budou mít ve své správě. Aby měly aspoň něco.

Ty sondy jsou něco ve smyslu toho, co se používá třeba u data retention?

JŠ: Je to na hranici sítě a ethernetu a je možné zjistit, jaký útok jde dovnitř a co ven, kdy a jak. Sledují se anomálie bez toho, že by se zachytával obsah komunikace. Zatím je zapůjčíme třem resortům, které mají nejvíce kritických systémů. Ostatním dáme připravenou dokumentaci k tomu, aby mohly vyhlásit výběrové řízení na získání prostředků z výzvy číslo 10, kterou se nám podařilo udělat s ministerstvem pro místní rozvoj a která je zaměřena právě na budování těchto systémů.

Jak se stát staví k nasazování čínských síťových produktů? BIS před časem varovala před Huawei a ZTE, v posledních zprávách už ale nic takového není.

DN: To je problém všude ve svědě. Je to politický a právní problém. Myslím, že ani ve Spojených státech to není příliš vyřešené.

JŠ: USA měly v jednom týdnu dvě studie. Jedna říkala, že jsou součást trhu, druhá řekla, že je to riziko. Případné restrikce se týkají jenom těch sítí, kam dosáhne vláda a kde mají právo říci, co v nich má být. Francouzi čínské produkty v sítích zakazují. Těch jsme se dokonce ptali. Prý se tam kvůli volnému trhu budou soudit, ale Francouzi nám řekli, že se klidně soudit mohou, ale nevyhrají to.

DN: Když jsem byl ve Francii, tak se mě ptali, kolik toho má Huawei u našich operátorů. Říkal jsem jim, že nevím, a oni řekl, že u nich není nic, že to zakázali.

JŠ: V Británii to řeší třeba tak, že povolí jenom certifikovaná zařízení. Takže se vše musí dát k certifikaci, která trvá tak dlouho, až to zařízení zastará. Jsou různé přístupy. Bavili jsme se s armádou a je třeba možné říci, že lze používat pouze taková zařízení, která jsou vyvinuta v členském státě (EU).

A u nás to tedy zatím řešeno není?

JŠ: Není.

A vy osobně máte obavy z čínských switchů a podobných zařízení?

DN: Já osobně bych raději používal technická zařízení ze zemí, se kterými jsme spojenci v rámci NATO nebo EU.

V jakém stavu je nyní mapování kritické infrastruktury státu?

CIF17_Rabaino_Lupa

DN: Začínali jsme na zelené louce, vůbec jsme nevěděli, jaké informační sítě v českém státě jsou. V mapování jsme na tom poměrně slušně v oblasti toho, co spadá pod „krizák“. Tam je to určeno z 80 či 90 procent. 

Ve směrnici NIS je to definováno trochu jinak, to jsou poskytovatelé základních služeb. Tam jsme se dostali do nových oblastí, které nemáme úplně osahány. Ale už na tom pracujeme. Doděláme to řádově asi do půlroku. Co se týče informací na toto téma, jsme na tom už celkem slušně.

Našli jste v článku chybu?