Lidovky.cz: Co budou muset operátoři splnit, aby jim NÚKIB posvětil výstavbu sítě 5G?
Aukci kmitočtů má na starosti ministerstvo průmyslu a obchodu (MPO) a Český telekomunikační úřad (ČTÚ). My jsme do zadávacích kritérií přidávali bezpečnostní podmínky. Bylo dopředu jasně řečené, že kdo bude provozovat 5G síť, stane se provozovatelem kritické informační infrastruktury. Z toho vyplývá, že bude muset plnit i příslušné nároky na její zabezpečení v souladu se zákonem a vyhláškou o kybernetické bezpečnosti.
Lidovky.cz: Co to znamená pro využití čínských produktů od firem Huawei a ZTE, které jsou podezírány, že spolupracují s bezpečnostními složkami Pekingu?
Provozovatelé budou muset zohlednit použité technologie v analýze rizik. Mají k tomu od nás metodické pomůcky a pokyny. Musejí zohlednit také varování NÚKIB z prosince 2018.
Největší kybernetický útok v dějinách Spojených států. Hackeři bez povšimnutí několik měsíců získávali citlivá data |
Lidovky.cz: Co je předmětem analýzy rizik?
V zásadě je náš systém kyberbezpečnosti postavený tak, že odpovědnost leží na správcích informačních systémů. Ti si musejí udělat analýzu rizik. To znamená, že u každého systému musejí vyhodnotit, co je důležité a nutné chránit. A to včetně rizik, která systémům hrozí. Musejí mít například speciálně ošetřené dodavatelské smlouvy. Musejí také umět sledovat logy či mít zabezpečené přístupy do systému. To kontroluje NÚKIB.
Lidovky.cz: Budou moci operátoři využít technologie Huawei a ZTE?
Ani dnes neplatí, že nikde nesmějí mít provozovatelé prvky Huawei a ZTE. Někde vám může z analýzy rizik vyjít, že jsou u nich bezpečnostní rizika nízká – anebo máte dostatečně silně nastavená protiopatření.
Lidovky.cz: Mnohem jasnější by ale bylo, kdyby platil úplný zákaz těchto produktů v kritické informační infrastruktuře. Jak se na to díváte?
Bylo by to asi jasnější, to máte pravdu. V IT komunitě máte ale naopak silné hlasy, které nechtějí, aby se jasně pojmenovali zakázaní dodavatelé. Současný stav založený na řízení rizik jim vyhovuje víc.
Lidovky.cz: Něco vám ocituji: „Stát není ve formulaci požadavků na 5G sítě transparentní a vyhýbá se jasné definici. Například kteří dodavatelé jsou důvěryhodní a kteří ne,“ stěžoval si nedávno na odborném semináři k 5G zástupce společnosti O2. Proč není stát transparentní?
Hodně věcí, které se objevují v médiích, je vytrženo z kontextu. Co jste citoval, byl spíše ojedinělý hlas. Zástupkyně Svazu průmyslu a dopravy zase v jiné otázce na semináři říkala, že s NÚKIB dlouhodobě spolupracuje a považuje nás za stoprocentně transparentní.
Lidovky.cz: Jednou z výtek bylo také to, že nekomunikujete s byznysem. V létě k tomu přijal usnesení i podvýbor sněmovny. Změnili jste přístup?
Nesouhlasím, že bychom s byznysem nekomunikovali. Určitě je ale vždy možné dělat věci ještě lépe. Od nástupu do funkce jsem neodmítl jediné jednání, pokud je v adekvátním formátu. Pravda je, že se například běžně samostatně nesetkávám s jednotlivými vendory (dodavatelé – pozn.red.), ale na odpovídajících platformách se setkáváme. Co se však operátorů či různých asociací týče, tam jsem nikdy jednání neodmítl. Když panovaly nějaké nejasnosti, které chtěli operátoři vyjasnit, vždy jsem na setkání s nimi přišel.
Trump odvolal šéfa agentury pro kybernetickou bezpečnost, který odmítl tvrzení o volebních podvodech |
První setkání s operátory, odbornými sdruženími i dodavateli proběhlo na půdě ČTÚ na jaře. Osobně jsem se ho účastnil. Vzal jsem s sebou i odpovědného náměstka a další relevantní pracovníky. Dvě hodiny jsme otevřeně diskutovali. Říkali jsme jim vše, co ale zároveň opakujeme celou dobu.
Na sněmovním podvýboru pro ICT, telekomunikace a digitální ekonomiku jsem byl rovněž. Víte, co několikrát explicitně zaznělo? Že konečně začínáme pořádně komunikovat, což účastníci vnímají jako pozitivní směr. Usnesení vyznělo jinak, ale neptejte se mě proč. Já ho nepsal.
Varování k Huaweii platí
Lidovky.cz: Stále nerozumím tomu, proč nevytvoříte seznamy bezpečných a rizikových dodavatelů.
Před tři čtvrtě rokem nebyl v Evropě jediný stát, který by to měl takto jasně vyřešené. Dnes to řeší každý stát jinak. Velká Británie po veletoči dospěla k závěru, že Huawei při budování 5G nechce vůbec. Ještě několik měsíců zpátky mi přitom zástupci Británie říkali, že nevědí, jaké bude jejich finální rozhodnutí. Pak dospěli k závěru, že tyto technologie vyloučí úplně, a firmám dali v přechodném období čas, aby Huawei nahradily. Další skupina zemí v EU připravuje pravidla k 5G tak, že se dá odhadovat, že na konci dospějí ke stejnému závěru jako Britové.
Náš přístup je jít evropskou cestou, jak od členských států žádá Evropská komise, aby existoval harmonizovaný přístup v rámci celé EU. Bezpečnost 5G bychom měli naplnit pomocí nástroje zvaného EU Toolbox, který zahrnuje sadu opatření. Jedno z nich říká, že musíme být schopni omezit i úplně vyloučit vysoce rizikové dodavatele. V tomto ohledu nám ještě něco chybí.
Lidovky.cz: Co nám chybí?
Jsme ve fázi, kdy se bavíme s ČTÚ, MPO ale i ministerstvem zahraničních věcí a zpravodajskou komunitou a připravujeme stanovisko pro nejvyšší politickou reprezentaci země. Bude obsahovat varianty dalšího možného postupu v opatření SM03 z EU Toolbox o vysoce rizikových dodavatelích. V dohledné době několika týdnů by se to mohlo dostat na Bezpečnostní radu státu. Některé varianty vyžadují i změnu legislativy. Dokud ale nebude návrh hotov, nechci zacházet do podrobností.
Kybernetický útok na norský parlament: hackeři se dostali do mailů k datům některých poslanců |
Lidovky.cz: Půjde tedy o doporučení pro vládu, jak ohlídat to, aby rizikové technologie nemohly být v 5G?
Vyhodnotili jsme EU Toolbox. Za Česko říkáme, že jsme v tomto ohledu splnili kriterium o rizikových dodavatelích jen částečně. Budeme cestou Bezpečnostní rady státu navrhovat, jak dál postupovat. Nechci předjímat výsledek.
Lidovky.cz: Je možné, že by NÚKIB ještě stáhl varování proti Huaweii a ZTE?
To si nemyslím. Musely by se změnit podmínky, kvůli kterým bylo vydané. Kdybych dostal dostatečné důvody, abych ukončil jeho účinnost, jako například při varování před útoky na české nemocnice, tak bych se tím zabýval. Nemám náznaky, že by se něco takového mohlo v dohledné době stát. Operátoři to vědí.
Lidovky.cz: Mimochodem, firma Huawei v minulosti skloňovala možnost, že by podala proti varování žalobu. Učinila tak?
O žádné žalobě nevím. Pozornost nedávno vzbudila právní studie advokátní společnosti, která Huawei v Česku zastupuje. Rozporovala právní postup NÚKIB. Podobné argumenty se už ale v minulosti objevovaly v komentářích v různých médiích. My na to ale máme vlastní právní názor. Na základě toho nic měnit nebudeme. Ještě dodám, že si v zákonné lhůtě společnost nepodala proti varování NÚKIB ani stížnost na nesprávný úřední postup.
Slabiny špitálů a nové sídlo
Lidovky.cz: Minulý týden uplynul rok od prvního rozsáhlého kyberútoku na nemocnici v Benešově. Víte už , kdo za ním stál?
Otázku původu útoku nemohu komentovat. Souvisí to ale s důležitou věcí, kterou je atribuce, neboli přisouzení útoku konkrétní skupině, popřípadě státu. Zabývá se tím i nedávno vydaná Národní strategie kybernetické bezpečnosti pro roky 2021 až 2025.
Lidovky.cz: Vím, že ve strategii navrhujete vytvořit národní systém pro atribuci kybernetických útoků. Co by to mělo být?
To je sada postupů od zjištění útoku, analýzy i následné reakce. Například můžete otevřeně útočníka pojmenovat a útok odsoudit. Můžete postupovat i se spojenci či partnery. Za konkrétní útoky už uvalila EU také sankce. Úplně krajní možností je, že stát provede i protiútok. Chceme, aby se pravidla pro reakci na kyberútoky víc formalizovala. S přibývajícími útoky zjišťujeme, o jak komplexní a složitou problematiku jde.
Promlouvá do toho kromě forenzní analýzy, jak byl útok proveden, například mezinárodní spolupráce. Zjistíte, že útok šel přes cizí stát. Pak do toho může vstoupit i zpravodajská služba, která přinese poznatky k možnému podezřelému. Když už s nějakou mírou pravděpodobnosti zjistíme, kdo za útokem stál, musí si stát umět také vyhodnotit, co s tím dál. Může jít o kriminální akt, kterým se má zabývat policie. Může jít ale také o mezinárodně politicky motivovaný útok. Pak nastává úvaha, jestli budeme reagovat sami, nebo to zvedneme třeba na úrovni EU – anebo o tom z nějakého důvodu mluvit nechceme. Ve finále jde o politické rozhodnutí.
Lidovky.cz: Jak jsme se poučili z útoků na nemocnice, aby se snížila rizika do budoucna?
Toho je mnoho. Víme, že zdravotnický sektor není v oblasti kyberbezpečnosti v ideálním stavu. Zjistilo se, že není správně nastavená legislativní regulace. Například chybí regionální pokrytí. Zjistily se problémy se vzděláváním i nedostatek odborníků na kyberbezpečnost. Ministerstvo zdravotnictví se snaží připravit vlastní strategii kybernetické bezpečnosti. Některé nemocnice se začaly sdružovat, aby si vytvořily společnou ochranu.
Lidovky.cz: Slyšel jsem o potřebě zvýšit počet nemocnic, které by měly splňovat přísnější regulaci v oblasti zabezpečení svých IT systémů. Můžete uvést, jak v této oblasti postupuje NÚKIB?
V současnosti pod regulaci NÚKIB spadají tři kategorie systémů. Kritická informační infrastruktura, významné informační systémy a systémy poskytovatelů základní služby, které tam přibyly relativně nedávno na základě směrnice NIS. Ohrožení všech systémů v těchto kategoriích by znamenalo ohrožení fungování státu, případně ohrožení bezpečí jeho obyvatel. Nemocnice spadají do kategorie poskytovatelů základní služby, ale aktuálně jsou kritéria nastavena tak, že tam spadá jen 16 největších nemocnic. Od prvního ledna vstupuje v účinnost novelizovaná vyhláška, podle níž bude nemocnic pod náš zákon spadat cca 46. Přesné číslo vyplyne až ze správních řízení, která musíme se všemi nemocnicemi provést.
Prakticky to bude znamenat, že nemocnice, které budou určené jako provozovatelé základní služby, budou muset své systémy mít zabezpečené podstatně lépe než dosud, což budeme moci kontrolovat. Ale plyne jim z toho i řada výhod. Budeme jim moci poskytovat naše služby, jako je penetrační testování či skeny zranitelností. Budeme s nimi sdílet informace o aktuálních hrozbách a obecně s nimi víc spolupracovat. Budou pro nás logicky vyšší prioritou.
Lidovky.cz: V NÚKIB pracuje prý jen omezený počet odborníků, kteří by dokázali pomoci napadeným institucím v případě masivnějšího útoku. Snad existují jen dva takové týmy. Je to pravda?
Abych odpověděl přímo, NÚKIB má brutálně omezené kapacity. Říkáme to dlouhodobě. Jsem rád, že se k tomu vláda postavila čelem a schválila Koncepci rozvoje NÚKIB, která je z dobrých důvodů v utajeném režimu. Koncepce počítá s tím, že bychom posílili právě i reakční týmy. Jde ale o jedno z mnoha opatření. Nemůže se také stát, že bude napadena velká nemocnice – je ve veřejném zájmu jí pomoci a my to uděláme –, ale oslabí se tím zároveň NÚKIB v reakci na další případné útoky.
Je však potřeba dodat, že NÚKIB tu není od toho, aby jezdil po napadených institucích. Platí, že za bezpečné nastavení systémů odpovídají samotné organizace.
Lidovky.cz: Jak jste na tom s počty zaměstnanců?
V roce 2016 usnesení vlády počítalo s tím, že bude mít Národní centrum kybernetické bezpečnosti (NCKB) 350 až 400 lidí. Když jsem na jaře nastupoval do funkce ředitele, pracovalo tu 221 zaměstnanců. Navíc NCKB je dnes pouze jednou ze součástí NÚKIB a úřad mimoto vykonává další činnosti, které jsou pro národní bezpečnost kriticky důležité. Nestěžuji si, jen dokládám, že NÚKIB není dobudovaný.
Narostla nám přitom obrovským způsobem agenda. Rostou počty kyberútoků, legislativy a přidávají se další otázky jako například zabezpečení cloudových řešení či certifikace EU. Světlo na konci tunelu je, že nám vláda ve zmíněné koncepci schválila středně- i dlouhodobý plán rozvoje. Během letoška jsme navýšili počty o dvacet lidí. Příští rok to bude dalších 28 a počty porostou i v dalších letech. I kdybyste mi nakrásně zítra zajistil 150 lidí, nebudu je mít kam posadit.
Lidovky.cz: Plánovalo se vybudování nového sídla NÚKIB. Jak daleko to je?
Stavba nové budovy v Brně je nevyhnutelná. Když nebude skluz, což je vždy nejisté, nejdříve ji budeme moci využívat v polovině roku 2026. Nyní máme pracoviště v pěti lokalitách, z nichž některé navíc nesplňují potřebné bezpečnostní parametry. Lidé vidí kyberútoky, ale my se zabýváme i dalšími kriticky důležitými úkoly. Jsme také například národní kryptoautorita pro utajené systémy.
Bez našich lidí by si ministerstva nevyměnila utajované informace mezi sebou ani se spojenci. Máme na starosti také veřejně regulovanou službu Galileo. Dalšími oblastmi, kterým se věnujeme, jsou výzkum, vývoj a vzdělávání.
