John Stewart během návštěvy Prahy v prezidentském salonku v hotelu InterContinental přijímá jednu návštěvu za druhou. Hned po našem rozhovoru za ním mířil třeba šéf českého O2 Tomáš Budník.
Stewart je viceprezidentem společnosti Cisco Systems pro kybernetickou bezpečnost a mimo jiné radil americké vládě, co v této oblasti dělat. V rozhovoru pro Lupu se rozhovořil i na téma kybernetické špionáže.
Je kyberválka skutečná?
Nemám rád takovou volbu slov. Věřím, že síla slova je zde velmi důležitá. Válka je něco, co je deklarováno. Nejsem si vědom toho, že by někdo někdy řekl, že někomu vyhlašuje kybernetickou válku. Neustále jsou zde kybernetické konflikty. Firmy proti firmám, jednotlivci proti firmám, země proti zemím. Raději používám termíny, které přesně vystihují to, co se děje: kybernetický zločin, kybernetická národní špionáž, komerční špionáž – to je někdy i země proti firmám – kybernetické narušování a ničení, kybernetický terorismus. A pak je zde využívání kyberprostředí ve fyzických konfliktech.
Takže kybernetický konflikt…
Ano, to se děje neustále, pořád.
A zmiňované národní kybernetické špionáže, je to něco velkého, něco, co se rovněž děje pořád? Nebo jde o něco nahodilého?
Země se vzájemně špehují. Já vím, hrozně velká novinka (smích). Je to běžná praxe. Není to nic, co by nás mělo překvapovat, děje se to už dlouho. A internet je velice zajímavý způsob, jak špionáž provádět. Nemusíte třeba lidi fyzicky vystavovat nebezpečí.
Co já si každopádně dovolím tvrdit, je to, že špehování ve skutečnosti udržuje svět ve větším bezpečí. Proč to říkám: podívejte se na asi nejvíce nebezpečnou dobu, ve které jsme byli, a sice na studenou válku. Tam existovala vážná hrozba použití skutečně velkých destruktivních věcí, ale špionáž nás udržela v bezpečí. Sověti věděli, co dělají Američané, a naopak. A během druhé světové války přišly veliké ztráty a to, co válku ve skutečnosti ukončilo, byla špionáž. Neříkám, že vše na špionáži je v pořádku, ale většinou se díky ní zachovává mír.
John Stewart, viceprezident Cisca pro kybernetickou bezpečnost
Jsou státem placené kybernetické útoky jako Stuxnet aktem války?
Hm. Myslím si, že je to akt agrese. To se vracíme k té mé definici.
Dobře. Jak se každopádně mají napadené země zachovat, když je napadne virus placený jinou vládou či vládami? Jak mají reagovat?
To je na rozhodnutí vlád. Máte několik možností, každá země zareaguje jinak. Někdo neudělá nic, někdo bude protestovat v Haagu, někdo informace o útocích zveřejní, někdo podnikne reverzní útok. Možností je hodně a záleží na situaci. Pokud by měl útok ohrozit lidské životy, to už by bylo něco jiného, než třeba odstavení fyzické infrastruktury.
Zmínil jste studenou válku, Sovětský svaz versus Spojené státy. Není dnes situace v kybernetickém světě podobná? Spojené státy versus Rusko, versus Čína, Rusko versus Evropská unie, a tak dále?
To si nemyslím. Dnes existuje kolem třiceti zemí, které mají kybernetické nástroje schopné ofenzivy. Občas jsou velice sofistikované. A každá země má pro jejich využití jiné důvody. Za studené války se nástroje používaly pro zjištění, co druhá strana bude dělat s vojenskou technikou. Dnes do toho může být zamíchána třeba komerční či průmyslová špionáž – jak ukrást technologie pro prospěch mé země.
Myslíte si, že by kyberbezpečnostní a dejme tomu síťové společnosti měly spolupracovat se svými vládami? Měla by třeba Huawei spolupracovat s čínskou vládou, Kaspersky Lab s ruskou, Cisco s americkou?
Klíčové je říci, v čem by měly spolupracovat.
Pointa je v tom, že někteří zákazníci se například bojí technologií od Huawei, protože v nich může čínská vláda mít zadní vrátka.
Nemohu mluvit za jiné firmy, je na nich, co dělají. My každopádně nechceme spolupracovat s vládami na tom, abychom někomu ubližovali. Spolupráce s vládami může být ale velice prospěšná. A tím myslím pro všechny, ne pouze pro vlády. Takže když například spolupracujeme s českou vládou a vyměňujeme si informace o hrozbách, vláda si udrží obranyschopnost a my získáme informace o tom, jaké útoky se dějí. Co by nám naopak nijak nepomohlo, je to, kdybychom spolupracovali na nějakém sledování a podobně. Tímto způsobem s vládami nespolupracujeme, ani s tou americkou. Tady jsme nakreslili jasnou čáru.
Je pro Cisco jako americkou firmu těžké dělat byznys třeba s Čínou?
Ne. Náš byznys v Číně roste, to za prvé. A za druhé, do Číny jako firma často létáme, i já osobně, a od tamní vlády slýcháme, že spolupráce má být vzájemně prospěšná. Máme v Číně výrobní kapacity, výzkumné centrum, mezi zákazníky máme banky i poskytovatele služeb. Občas se objevují věci, které se nám nelíbí – žádosti o předání zdrojových kódů, inspekce a podobně. Tam říkáme, že něco takového udělat nemůžeme. Říkáme, že když něco takového uděláme, museli bychom to udělat i s ostatními, jinak by to bylo nebezpečné. Dáme nahlédnout do zdrojových kódů, stejně jako každé jiné zemi, ale předávat nic nebudeme.
Před pár dny jsem v Číně byl a připojení k internetu je tam velká otrava, pořád jsem musel kvůli blokování používat VPN a Tor. A pokud vím, minimálně část takzvaného velkého čínského firewallu běží na Ciscu. Jaké jsou tedy hranice, kam jít a kam ne? Sice tedy nechcete spolupracovat s vládami ve špatných oblastech, ale na druhou stranu si jako vláda mohu koupit váš produkt a blokovat na něm přístup k citlivým věcem.
To, co chrání data po celém světě, může být použito i pro blokování a kontrolu. Je to odlišná země. Máme komerční technologii, která se dá použít různými způsoby. Země mají vlastní autonomii v tom, co s tou technologií dělají. Chtějí se chránit, a když si zvolí tuto cestu, tak dokud to lidi nezraňuje, je to jen využití komerční technologie. Stejně tak je internet dnes využíván teroristy. Měli bychom internet zrušit? Musíte se dívat na to, co s internetem dělá majorita.
Existuje dnes jeden otevřený a svobodný internet, nebo jich je tu víc a odlišných?
Nemyslím si, že by tady byl jeden internet, který by se všude choval stejně. Často je to o tom, že se jednotlivé země snaží zabránit lidem chodit na špatné stránky – zavirované, škodlivé, odporující zákonům. To je západní styl. Sice to není zcela otevřený internet, ale něco je blokováno, dejme tomu, pro naše dobro.
A pak jsou tu země, které na národní úrovni volí filtrování provozu, z různých důvodů. Indie má věci, o které se obává, Čína má jiné, Rusko zase jiné. My jako firma věříme, že když je internet používán pro dobré věci, každý by měl mít stejné příležitosti, síťovou neutralitu a podobně. Osobně se ale obávám, že se svět v oblasti internetu bude více odtrhávat, bude zde větší a větší separace. Jsou to volby států.
John Stewart, viceprezident Cisca pro kybernetickou bezpečnost
Ano, už i u nás může ministerstvo blokovat weby s hazardem.
Přesně. Doufám ale, že se to nebude dál rozšiřovat.
Souhlasíte s tím, že vlády získaly velkou kontrolu nad internetem? Sice ho nemohou příliš ovládat na úrovni standardů, ale mohou donutit třeba providery k určitým krokům. Internet ovládají nepřímo.
To rozhodně mohou a dělají to. Každá země má kapacity na to něco takového dělat. Nicméně si stejně myslím, že je velice těžké kompletně internet ovládnout. Jsou zde VPN, jsou zde bezdrátové vysílače na hranicích Jižní a Severní Koreje, takže v DMZ zóně mohou lidé ze severu získat přístup k připojení z jihu. Jsou zde satelitní spoje. Jsou zde pokusy o kompletní kontrolu, ale vůbec to není jednoduché, ať se snažíte jakkoliv.
Co je lepší pro Cisco jako firmu? Řekněme, že nějaká země chce zavést systém pro blokování něčeho na internetu, což pro vás vytvoří obchodní příležitost v dodání technologií. Co je lepší pro byznys, dodat něco takového, nebo otevřený internet?
To je zajímavá otázka, nad tím jsem nikdy takto nepřemýšlel. Věříme, že to, co žene byznys dopředu, je čím dál více připojených zařízení a lidí. Proto vidíme obří příležitosti v internetu věcí, další průmyslové revoluci. Chceme být poskytovatelem technologií, kterému lze důvěřovat. Ale abych odpověděl na otázku, nemyslím si, že by něco z toho bylo výhodnější pro byznys. Co by bylo nevýhodné, je to, kdybychom museli naše technologie měnit podle požadavků některých vlád. To dělat nebudeme.
Každý se na problematiku dívá jinak. Západní firmy mají například výrobu v Číně, vývoj ve východní Evropě a byznys v Rusku. Čínské firmy mají výrobu doma, ale další části jinde. Každý vnímá riziko jinak a jinde. Tím chci říci, že chceme být transparentní pro všechny.
Jsou zde některé jiné firmy podobné Ciscu, které nejsou transparentní?
Nemyslím si, že by se všechny firmy chovaly stejně. Vím, jak jednáme my. Publikujeme materiály online, přiznáme, když se něco nepovede. Proto vyzývám všechny firmy, aby to dělaly také. Ať říkají, co dělají a co ne.
Jsou zde dva typy důvěry – implicitní a explicitní. U té implicitní si zákazník řekne něco jako „Cisco je v pohodě, těm věřím“. U té explicitní se pak porovnává, co přesně jsme řekli, napsali, sdělili a k čemu se zavázali. Pak s tím můžeme být konfrontováni. Věřím té druhé variantě.
Vy osobně jste měl poradní roli v kabinetu amerického prezidenta. O co přesně šlo?
Byl jsem součástí poradního sboru předtím, než nastoupil prezident Obama. Bylo nás tam asi 40 a psali jsme sadu doporučení pro 44. prezidenta Spojených států a vládu – co je nutné udělat pro zlepšení situace a schopností země v kyberprostoru. Také jsme doporučovali, jak zlepšit spolupráci vlády a soukromé sféry v této oblasti, pro dobré účely. Podíleli jsme se na tvorbě kyberbezpečnostní strategie země, která v té době vznikala. Také jsme hodnotili materiály, které vláda považovala za potenciálně problematické. Poté, co byl Obama zvolen, jsem z komise odešel. Ale neustále dáváme rady kongresu a Bílému domu, spolupráci jsme rozšířili i do dalších zemí, jako je Austrálie.
Jak moc důležitá je kybernetická bezpečnost pro Spojené státy?
K tomu mám pár příkladů. Máme poradní sbor, celé velké kybernetické oddělení v armádě, jsou to tisíce lidí. Před pár dny jsme jmenovali prvního CISO (Chief Information Security Officer, šéf kyberbezpečnosti – pozn. redakce) v rámci federální vlády a už sedmý rok výrazně rostou výdaje do kybernetických aktivit.
Zároveň je velice důležité, jak si v této oblasti vedou soukromé společnosti, protože bezpečnost je v tomto případě v obou rukách, soukromých i vládních. V Česku je to stejný případ. Při obraně toto sladit je ta nejtěžší část. A tady se všichni stále učíme.
Měly by státy zaměstnávat hackery, nebo řekněme kybernetické vojáky?
Opět záleží na zemích. Některé země mají kybernetickou bezpečnost postavenou pouze na obraně, nikoliv na ofenzivě. Zde najímání státních hackerů nedává smysl. Pokud je ve hře i aktivní vývoj nástrojů, to je jiná věc. Některé státy říkají, že něco takového je takzvaná aktivní obrana.
Před pár měsíci jsem dělal rozhovor se zakladatelem a šéfem Check Pointu Gilem Shwedem. Řekl mi, že do budoucna bude velmi významnou součástí kybernetické ochrany nějaká forma umělé inteligence. Souhlasíte s ním?
AI rozhodně bude hrát důležitou roli ve zpracování dat. Je zde příliš mnoho dat na to, aby je lidské bytosti mohly vstřebat a třídit. Takže co se týče zpracování dat, tady souhlasím. Potřebujeme inteligentní systémy, abychom se mohli chránit. V Ciscu skrze stroje denně analyzujeme 3,5 PB dat. Není šance, aby to zvládli lidé.
Hádám, že vaše výzkumná a vývojová pobočka v Praze, která vznikla po odkupu Cognitive Security, je v tomhle AI snažení důležitou součástí?
Ano, to je. Je to jedna z našich důležitých částí zabývající se zpracováním dat, vývojem algoritmů pro kyberbezpečnost. S Prahou velice počítáme, je zde spousta talentů. Ale je čím dál těžší tyto lidi získat, každý najímá a otevírá R&D centra.
