Před třemi lety začal v Česku platit průkopnický zákon o kybernetické bezpečnosti. Ukazuje, jaké systémy jsou nejdůležitější pro chod státu, a je potřeba je speciálně hlídat. Ve všem mají prsty odborníci spjatí s Masarykovou univerzitou.
Zatím sedí v budově v Mučednické ulici, za pár let by se ale měli přestěhovat do nového sídla v Černých polích. Řeč je o Národním úřadu pro kybernetickou a informační bezpečnost, který vznikl vloni vydělením z Národního bezpečnostního úřadu. Úkoly spojené s kybernetickou bezpečností narostly tak, že bylo potřeba jim věnovat speciální pozornost. Nejen kvůli několika velkým počítačovým útokům, které v posledních měsících položily sítě doma i v zahraničí a způsobily, že si lidé možné nebezpečí ještě o něco víc uvědomují. S novým sídlem se počítá také s nárůstem počtu specialistů, kteří se ochraně sítí budou věnovat. Přibude jich několik stovek.
Hlídači
Jedním z jejich lídrů by měl být i Radim Ošťádal, současný vedoucí odboru s názvem vládní CERT a 30letý absolvent Fakulty informatiky Masarykovy univerzity. Skupina s pro laika neproniknutelným názvem pečuje právě o subjekty, které nový zákon definuje jako kritickou informační infrastrukturu – úřady, nemocnice, banky nebo poskytovatele energií. CERT u nich zajišťuje preventivní opatření proti kybernetickým hrozbám, upozorňuje je na možná nebezpečí, pomáhá jim vyztužit systémy a pořádá pro ně školení.
„Obecně leží správa systémů na jednotlivých organizacích, my je nemáme suplovat. Jednotlivá ministerstva a úřady ale nemají prostředky na to, aby držely zaměstnance, kteří by jim dělali forenzní analýzu, penetrační testy nebo analýzu malwaru. To je potřeba centralizovat a od toho jsme tady my. Když se něco stane, právě u nás se dá dohromady tým, který to bude řešit,“ přibližuje roli svého týmu Ošťádal.
To „něco“, co by se mohlo stát, ilustruje třeba rozsáhlým útokem, který se udál v květnu a postihnul více než 70 zemí. Škodlivý software, který zasažený počítač drží jako rukojmí a žádá výkupné za odblokování a zpřístupnění dat, ochromil mimo jiné nemocnice po celé Anglii.
Škody byly zásadní, ale podle Ošťádala trochu zbytečné. „Útočníci při tomto útoku využili známou zranitelnost systémů, kterou Microsoft několik měsíců předtím opravil. Zrovna v tomto případě se ukázalo, že u daných subjektů nefungují ani základní bezpečnostní mechanismy, třeba kontrola techniky.“
Do hodnocení, jak by při masivním útoku obstály české sítě, se Ošťádal vzhledem k charakteru svojí pozice pouštět nechce. „Troufám si ale tvrdit, že na takové základní chyby by se u nás nepřišlo. Za několik posledních let jsme se ohromně posunuli, jednotlivé organizace už se naučily, že je potřeba bezpečnosti věnovat čas lidí, pozornost i peníze,“ myslí si Ošťádal.
Poukazuje ale na to, co chybí pořád: lidé. Mladé a skokově se rozvíjející kyberbezpečnostní odvětví pořád bojuje s tím, že mu chybí patřičně vyškolení IT specialisté i profese, které řeší návazné problémy. Vždyť samotnému Ošťádalovi je teprve 30. Za pár let v oboru byl ale u podstatné části jeho vývoje.
Korporát? Ne, díky
Kyberbezpečnost ho chytla už na bakaláři na fakultě, kde studoval obtížnou matematickou informatiku. Bavilo ho pronikání do systémů i to, že je díky svým znalostem dovede bránit. Jistě, mohl pracovat v jedné z mezinárodních firem, které dnes v Brně mají svoje pobočky, a na pár let si to i vyzkoušel. Jenže práce v korporátu nebyla nic pro něj.
„Vadila mi ta svázanost, že na každou hloupost existuje manuál. Na Národní bezpečnostní úřad jsem před lety nastoupil proto, že jsem dostal možnost podílet se na vývoji úplně nových věcí,“ povídá informatik, který se z člena malého týmu propracoval na vedoucího větší skupiny a dnes šéfa jedné z velkých částí nového úřadu.
Jako vedoucí týmu stál i u jednoho z největších úspěchů českých kyberbezpečnostních expertů. Na začátku května se konalo největší a nejkomplexnější technické cvičení kybernetické bezpečnosti s názvem Locked Shields 2017. 900 odborníků, 25 zemí světa, konkurence jako hrom. A přesto v ní český tým porazil všechny soupeře včetně týmu Severoatlantické aliance.
Projekty pro americkou armádu i NATO
Na malý stát slušný výsledek. Ale žádná náhoda. V Česku se totiž poměrně brzy podařilo vytvořit silnou a pospolu držící bezpečnostní komunitu. Kromě už zmíněného vládního CERTu existuje ještě národní tým, který sleduje a pomáhá soukromým firmám, které nepatří do kritické informační infrastruktury. A mimo ně existuje ještě asi 24 bezpečnostních týmů při různých organizacích.
Dost z nich vyčnívá ten, který funguje při Ústavu výpočetní techniky Masarykovy univerzity. Proto, že jako první a dodnes jediný postavil cvičiště, kde se dají rozsáhlé počítačové útoky a obrana proti nim trénovat. A i proto, že jako dosud jediné české pracoviště získal certifikaci organizace Trusted Introducer, což ho řadí mezi 20 nejlepších týmů v Evropě.
Počátky bezpečnostního výzkumu na univerzitě spadají už do 80. let, kdy se začala stavět univerzitní počítačová síť. Od začátku se přitom myslelo na to, že by měly existovat také nástroje, které umožní kdykoliv pochopit, co se v síti děje. Členové týmu si postupně nabírali další úkoly a projekty, takže se o všem dozvídalo čím dál víc lidí a zájemci o spolupráci chodili z nejrůznějších míst. V roce 2007 experti z ÚVT uzavřeli dohodu o společném projektu dokonce s americkou armádou. Později došlo i na spolupráci s NATO a řadou projektů členy týmu zásobuje prostřednictvím ministerstva vnitra i český stát.
Členové bezpečnostního týmu nejsou běžní akademici, od začátku jim podle slov nynějšího vedoucího Pavla Čeledy šlo o to, aby se výsledky jejich práce daly co nejdřív uplatnit v praxi. Právě to byl jeden z důvodů, proč stáli o to, aby na fakultě vznikl Kybernetický polygon, cvičiště pro trénování počítačových útoků. „Potřebovali jsme mít síť oddělenou od běžného provozu, kde bychom mohli testovat útoky, které se můžou stát i ve skutečnosti. Že musí být oddělená, to bylo jasné, nemohli jsme si dovolit ohrozit fungování běžné sítě,“ vysvětluje Čeleda.
To nejdůležitější na polygonu jsou výpočetní kapacity, vidět je ale hlavně velký sál s 270palcovou obrazovkou, ke které se teď několikrát ročně sjíždí pracovníci českých ministerstev, úřadů a jiných organizací a dnes už také experti z jiných států, kde zatím takové zařízení nevybudovali.
„Pro nás je samozřejmě důležitější to, co všechno si díky místnímu vybavení můžeme zkoušet a co můžeme nabídnout partnerům. Ukazuje se ale, že důležitý je i ten fyzický prostor, protože si to s ním lidé všechno spojují a je to pro ně lépe představitelné,“ poukazuje Jan Vykopal, který má běžně na starost organizaci cvičení, jak nečekaně důležitou roli má pár metrů čtverečních prostoru, jenž se skrývá v nové přístavbě Fakulty informatiky MU.
Pryč z uniformy
Cesta obou mužů na Fakultu informatiky MU byla odlišná, i když oba se na ní ocitli zhruba ve stejnou dobu. Čeleda původně pracoval na Univerzitě obrany, zabýval se využitím technologií pro vojenské účely. Jenže když se vrátil ze studijního pobytu ve Francii, definitivně zjistil, že na dané pozici to na žádný velký a zajímavý výzkum nevypadá. Tak se vyplatil z tehdejšího místa a na návrh bývalého kolegy odešel na Masarykovu univerzitu.
To Vykopal na ní začal už jako student. Ve druhém ročníku se poohlížel po brigádě, která by nebyla jen o vydělávání peněz, ale taky ho někam posunula, až narazil na inzerát bezpečnostního týmu. „Začínal jsem tady jako tester, což je v oboru dost podceňované, ale nezaslouženě. Když chce člověk něco testovat, musí do značné míry rozumět všemu,“ vysvětluje Vykopal, který už u tématu zůstal. Udělal si doktorát a dnes má za sebou mimo jiné dvě funkční období v řídící komisi evropských bezpečnostních týmů, takže pomáhal směrovat fungování komunity v rámci celé Evropy.
Stejně jako u Radima Ošťádala, i u nich dvou zafungovala jako lákadlo k oboru vidina svobody práce a velkého rozvoje do budoucna. Totéž nadšení se teď Čeleda i Vykopal snaží přenést na svoje následovníky, protože i oni vidí stejný problém: Kvalitních lidí je i přes pokrok v posledních letech pořád málo. „Proto se snažíme těm našim zajistit co nejlepší podmínky, aby neměli důvod odcházet jinam. Taky hodně přemýšlíme nad tím, aby měli smysluplnou pracovní náplň. Oni totiž lidé v IT, pokud se s nimi takhle nepracuje, mají tendence projevovat se jako typičtí ajťáci,“ zdůvodňuje s úsměvem Čeleda.
Zákon jako marketing
Zhruba v půlce cesty mezi kancelářemi Ošťádala a Čeledy s Vykopalem sídlí Právnická fakulta Masarykovy univerzity a v ní člověk, který se výrazně podepsal na tom, jak průkopnický český zákon o kyberbezpečnosti vypadá: Radim Polčák, vedoucí místního ústavu práva a technologií. Podle slov současného ředitele Národního úřadu pro kybernetickou a informační bezpečnost Dušana Navrátila to byl právě on, kdo vytvořil filozofii zákona. Normy důležité mimo jiné proto, že ji Česko dokázalo schválit jako jedna z prvních zemí na světě.
Polčák autorství s úsměvem, ale rozhodně odmítá. „Vzal jsem, co už existovalo, a zformuloval jsem jednotlivé teze, aby se na tom dalo pracovat jako na právní úpravě,“ vrací se jeden z největších českých odborníků na informační právo zpět.
O nutnosti začlenit nějak ochranu důležité počítačové infrastruktury do legislativy se lidé z oboru bavili už před lety. Chvilku se ale řešilo, jak přesně to udělat. Polčák měl za to, že bude stačit úprava stávajících předpisů. Odůvodňoval to tím, že zákonů už je v tuzemsku víc, než dokážou právníci sledovat. Navrátil ale trval na svém: Chce to zvláštní zákon. „S odstupem času musím říct, že to bylo správné rozhodnutí. Mělo to spoustu politických a marketingových souvislostí. Novým zákonem se povedlo na celou problematiku upozornit jako na celek,“ vyzdvihuje Polčák.
Regulace (skoro) dobrovolná
Byla to ale citlivá práce. Zákon o kybernetické bezpečnosti vymezuje, které systémy jsou nezbytně důležité pro chod státu, což klade zodpovědnost na jejich správce a také vlastníky, pokud to není stát. Se svým majetkem si zkrátka nemůžou úplně dělat, co chtějí. Přestože byla tvorba zákona krokem na tenký led, prošel legislativním procesem zcela bez problémů.
Podle Polčáka především proto, že se na jeho tvorbě od začátku zároveň podílely také všechny subjekty, jichž se regulace měla dotknout. „Hned zkraje se vytvořila mapa organizací, kterých se změny dotknou. Jejich zástupci se účastnili jednotlivých schůzek a měli právo zákon připomínkovat a dávat k němu zpětnou vazbu. Navíc když věděli, jaké nové povinnosti je čekají, měli dostatek času se na všechno připravit,“ poukazuje právnický expert na soulad, ke kterému dochází jen málokdy.
Jak se ukázalo na pozdějších krocích Evropské unie, česká cesta vůbec nebyla špatná. Tvůrci zákona ho postavili tak, že jde v první řadě o právo na to mít fungující internet, a tedy o přístup k informacím Ne o konflikt bezpečnosti a ochrany osobních údajů, jak se problematika někdy rámuje. Později vypracovávané evropské regule stojí na obdobné filozofii.