Huawei sice smí nakupovat americké komponenty, pořád ale nelze vyvážet součástky, jež by mohly mít dopad na národní bezpečnost. Varování NÚKIB zůstává nadále platné. „Mohu říci, že ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy a přijaly opatření ke snížení rizik,“ říká v rozhovoru pro LN Dušan Navrátil.
Úřady i firmy vzaly varování před Huawei a ZTE vážně, řekl ředitel NÚKIB |
LN: Jaký je výsledek šetření, které zjišťovalo, jak si stát hlídá, aby neměl v důležitých IT systémech riziková zařízení Huawei či ZTE?
Subjekty kritické infrastruktury a kritických informačních systémů jsme požádali, aby nám poskytly informace, jak řeší naše varování. Celkem to bylo 126 organizací, jež provozují 472 systémů. Z toho 75 organizací zařízení Huawei a ZTE nepoužívá, 49 ano. Jen dva subjekty nám nedodaly podklady. Nyní chystáme materiál pro Bezpečnostní radu státu, jež bude samozřejmě utajená a konkrétnější. Mohu však říci, že ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy a přijaly opatření ke snížení rizik. Třeba zavedení šifrování, logování změn či zálohování.
LN: To znamená, že skoro polovina organizací, jež spravují kritickou infrastrukturu, používá produkty Huawei a ZTE?
Může jít o switche, telefony či jakákoli jiná zařízení. Nelze samo o sobě takto hodnotit, jak moc jsou pro systém důležitá nebo ne.
LN: Zvýší obranná opatření požadavky na investice?
Každá bezpečnost stojí peníze. Je to jako s domem. Když zjistíte, že se ve vaší čtvrti prudce zvýšila kriminalita, také začnete investovat do mříží a nového zámku, abyste svůj majetek lépe ochránili. To samé platí i v IT. Když jsme začínali, ani se nevědělo, jaké kritické informační systémy stát používá. První, co jsme proto udělali, byl průzkum, co se využívá. Následně jsme nastavili standardy. Zhruba před dvěma lety jsme začali provádět kontroly. Díky nim poprvé vidíme, v jakém stavu se informační systémy vlastně nacházejí.
  |
LN: A výsledek?
Některé jsou ve velmi špatném stavu. Ale vidíme i pozitivní příklady. Pokud se bezpečnost nezanedbala a management do ní investoval, jsou patrné výsledky. Další problém je ale i to, že IT systémy pocházejí z 90. let a jsou staré. Vyvstává otázka, zda jsou schopné vyhovět dnešním standardům, nebo je potřeba pořídit nové. Příklady uvést nemohu, ale jde o systémy stěžejní pro fungování státu, musí se do nich investovat, tak to sdělíme vládě.
LN: Vnímá ministerstvo financí nutnost investic do kybernetické ochrany?
Děláme osvětu a pokoušíme se o ni i na ministerstvu financí. Obecně se má za to, že NÚKIB stojí ročně 300 milionů korun, čímž je zajištěna kybernetická bezpečnost. Takové úvahy však nezohledňují, že máme jen metodickou a kontrolní činnost. Zodpovědnost za informační systémy mají jejich správci – ministerstva, organizace a firmy.
LN: Jak se daří udržet specialisty na IT ve státní správě?
Náš úřad stále vzniká. Máme 200 lidí. Z toho je asi 120 zaměstnanců výkonných. Zbytek se věnuje ekonomicko-správní agendě a zabezpečení. Velké množství činností musíme dělat ze zákona i pro NATO a EU. Musíme mít kontinuitu růstu. Původní představa byla, že budeme mít 400 lidí. Nyní trochu válčíme s ministerstvem financí, protože letošní škrty zatím znamenají, že bychom měli dostat jen jednu pětinu dlouhodobě plánovaných míst. A to jsme požadavek z naší strany už o osm míst ponížili. V takovém stavu si neumím představit, jak budeme fungovat. Během interpelací nás ale podpořil premiér, takže pevně věřím, že se pro nás ta tabulková místa podaří najít. V současnosti jsou naši lidé přetížení. Pořád jsou to nadšenci. Pokud entuziasmus ale opadne, můžeme mít vážné personální problémy. IT experti chybí v soukromé sféře, natož ve státní správě. Poměr platů byl před třemi lety 1:1,7 mezi veřejnou a soukromou sférou. My navíc potřebujeme odborníky na kybernetickou bezpečnost, kteří už nejsou vůbec.
LN: Kde tedy hledáte?
Nabíráme mladé lidi, vychováváme si je a investujeme do nich čas i peníze. Snažíme se s nimi pracovat, takže jsme na tom trochu lépe než zbytek státní správy.
LN: Jak je Česko připravené odvracet kybernetické útoky?
Přesvědčili jsme Vojenské zpravodajství, aby si tuto oblast vzalo za své zákonným zmocněním. Některé části novely byly problematické a staly se politikem, v minulém období Poslanecké sněmovny tak zákon neprošel. Před několika dny jsem viděl nový návrh. Myslím si, že je daleko přijatelnější. Nás na tom eminentně zajímá, aby se vybudovaly ofenzivní kybernetické schopnosti státu.
LN: Co si pod tím má člověk představit?
Jde o to, abyste byl, samozřejmě v rámci vlastní obrany, schopný působit na území jiného státu. Státní aktér u nás například krade data, může však udělat i to, že vypne nějaký systém. Takové schopnosti bychom měli mít také, protože to za nás nikdo neudělá. Pokud je obrana před kybernetickými útoky dost silná, odstrašíte tím i možné útočníky.
