16. 5. 2016
Tomáš Pojar, český diplomat, bezpečnostní analytik a
prorektor Vysoké školy Cevro Institut hovoří v rozhovoru o novém
fenoménu moderní doby: kybernetické útoky na kritickou
infrastrukturu státu i komerční firmy. Podle něj je dnes ideální
čas pro budování obrany proti kyberatakům.
Unikátní výcviková aréna je v Čechách
Veřejnost vás zná jako ředitele humanitární organizace
či diplomata. Méně již jako bezpečnostního experta…
Já jsem se posledních 25 let pohyboval v oblasti nejrůznějších
válčišť a v nejrůznějších krizových oblastech světa, ať už jako
humanitární pracovník, novinář, diplomat, bezpečnostní expert.
Konflikty a války a nejrůznější bezpečnostní krize jsem zažil na
vlastní kůži a odtud vychází moje znalosti. Navíc jsem prožil téměř
7 let života v Izraeli, který je "laboratoří" na bezpečnost
"par excellence" v celosvětovém měřítku. Mé zkušenosti proto také
hodně vycházejí právě z izraelské reality.
V současnosti v Česku pomáháte při realizaci poměrně
unikátního projektu v rámci Evropy. Mohl byste tento projekt
stručně popsat?
Izrael nejenom že válčí ve válkách konvenčních, ale je
samozřejmě napadaný i ve válkách kybernetických, a to už po dlouhou
dobu. Izrael díky nutnosti se účinně bránit a zároveň díky
obrovským investicím státu je prostě na poli kybernetické
bezpečnosti světovou velmocí bez ohledu na to, že má pouze 8,5
milionu lidí. Nyní se podařilo část izraelského know-how přenést
k nám prostřednictvím kybernetické výcvikové arény společnosti
CyberGym Europe nedaleko Prahy. Ta bude sloužit nikoli jenom pro
Českou republiku, ale pro Evropu. Aréna umožňuje využít zkušeností
z obrany izraelské kritické infrastruktury vč. energetického
sektoru, kam kromě výroby a distribuce elektřiny patří i ropný a
plynárenský průmysl.
Školil CyberGym už nějaké zástupce nebo odborníky
z českých firem?
Celá řada firem z Evropy, především
z energetiky, průmyslu a finančního sektoru byla již vycvičena
v aréně v Izraeli. Školily se tam i některé české subjekty,
většina však čeká, až bude otevřena aréna přímo tady, protože to
pro ně bude dostupnější a určitě i levnější. Aréna se staví v Řitce
u Prahy a naplno bude spuštěna 1. června, s tím, že teď tam
probíhá pilotní ověřování systémů a dva měsíce otevřených
dveří.
Stojíme na prahu kybernetické války?
Existuje v současné době pro oblast střední Evropy
reálné nebezpečí sofistikovaného kybernetického ataku?
Jsem přesvědčen o tom, že takové nebezpečí existuje a
dokonce si myslím, že by škodlivý útok nemusel být až tak
sofistikovaný, protože současné systémy prostě nejsou připraveny.
Na druhou stranu je pravda, že Česká republika naštěstí neleží na
frontové linii. Musíme dnes nicméně sledovat, co se děje nejen
v Izraeli nebo v USA, ale i jinde v Evropě, ve Velké
Británii, Německu a třeba i na Ukrajině a v Rusku. Podle toho
můžeme odhadovat, jaký útok a jakým způsobem pravděpodobně přijde i
k nám. Z geografického hlediska se útoky na energetickou nebo
průmyslovou infrastrukturu našim hranicím přibližují, a zároveň
jsou čím dál tím sofistikovanější.
Byly v nedávné historii vedeny kybernetické útoky proti
petrolejářským firmám?
Jeden z největších útoků byl veden na
saudsko-arabské ARAMCO, který vyřadil na více než 10 dní celou
počítačovou síť společnosti a v důsledku i produkci. Škody dosáhly
miliard dolarů. Častější jsou útoky na elektroenergetiku, nedávno
v Brazílii, USA, poslednímu velkému útoku čelili na Ukrajině.
Odehrávají se i drobnější útoky na infrastrukturu v západní Evropě,
ale naštěstí zatím o žádný masivní útok nešlo. Což neznamená, že
přijít nemůže. Naopak, z vývoje ve světě se dá usuzovat, že se
útokům na energetickou infrastrukturu nevyhneme.
To zní, jako kdyby byla za rohem kybernetická válka. Je
podle vás kybernetická válka efektivnější než ta běžná, vedená
konvenčními zbraněmi?
Já bych to řekl jinak. Každá současná válka vedená
konvenčními zbraněmi je zároveň vedená i v kybernetickém prostoru.
Kybernetická válka současnosti je nedílnou součástí válek jako
takových. K tomu, že se v minulosti bojovalo na zemi, ve
vzduchu a na moři, teď přibyl čtvrtý rozměr, a to je právě
kybernetický prostor. Éra kybernetických válek a kybernetického
soupeření již začala. Velký kybernetický konflikt, pokud
k němu dojde, nebude samostatnou válkou, ale bude součástí
nějakého širšího konfliktu.
Kritické místo: lidský faktor
Kdo jsou ti útočníci? To už asi nejsou jen nějací
studenti, kteří se předhánějí, kdo umí lépe hackovat...
Útočníky mohou být jednotlivci, kteří se předhánějí v
tom, co kdo dokáže napadnout. Mohou to být i nejrůznější aktivisté.
Například v USA vláda Spojených států každoročně vyhlašuje
největšího znečišťovatele ovzduší a vždy pro jistotu "vítězi"
oznámí výsledek dopředu. Nikoli kvůli tomu, aby se mohl dobře
mediálně bránit, ale protože vědí, že ve chvíli, kdy žebříček
znečišťovatelů bude zveřejněn, tak na něj okamžitě bude následovat
masivní útok "zelených" ideových hackerů.
Útočníky mohou být také zhrzení bývalí zaměstnanci, stejně tak to
může být i konkurence nebo prostí zloději i sofistikovanější
kriminální bandy. Nebo to mohou být nějaké cizí státy, které mají
zájem na oslabení kritické infrastruktury jiného státu. Pravdou
samozřejmě je, že schopnosti států, které do kybernetické obrany i
útoku systematicky investují, jsou výrazně větší než schopnosti
jednotlivců.
Zde se ale už bavíme o takzvaných sofistikovaných
útocích?
Záleží na tom, jak dobrá je obrana. Čím je lepší, tím
více musí být útok sofistikovaný. Státy mají možnost uvolnit
obrovské množství peněz, know-how a lidí, mají nepoměrně větší
možnosti než jednotlivci. Ale určitě i jednotlivec, jednotlivý
aktivista nebo zloděj může způsobit poměrně velké škody, a nemusí
se rozhodně jednat o sofistikovanou aktivitu nepřátelského státu.
Vždy záleží na konkrétní firmě a konkrétním útočníkovi, na jeho
motivech, na tom co a jak chce dosáhnout. Znáte-li vlastní
nepřátele, můžete se vždy lépe bránit. A zároveň víte, komu útok
můžete vrátit.
Útok může být veden ve formě elektronického útoku
prostřednictvím IT, ale pro překonání bezpečnostních opatření je
podle mně nezbytný živý člověk působící ve struktuře napadeného
subjektu.
Existuje celá řada studií ve světě, které ukazují
obrovské množství útoků a škod způsobených vlastními současnými
nebo bývalými zaměstnanci. Ať již se na útoku podílejí vědomě nebo
nevědomě. Některé ty studie hovoří o 55 %, jiné o 72 a některé
dokonce o 85 %. Vždy je to nad 50 %. Ochrana tedy nikdy není jen o
hardwaru a softwaru, ale vždy zároveň o chování lidí - o chování
útočníků a jejich motivaci včetně chování obránců a celého systému,
který chcete chránit. Izraelci dobře vědí, že když v kybernetickém
prostoru něco ubránili, nebo někde naopak úspěšně zaútočili, vždy
tou největší silou, respektive slabinou, ať už z pozice
obránce nebo útočníka, je nakonec lidský faktor. Koneckonců mě
právě tato izraelská zkušenost na Cevru inspirovala ke spuštění
postgraduálního programu MBA - Management a kybernetická
bezpečnost.
Obecně se daleko více investuje do softwaru a hardwaru a
zapomíná se na lidský potenciál...
Ano, hardware a software jsou nesmírně důležité, ale lidé
jsou stále naprosto zásadní. Jakýkoliv systém bez lidí nesestavíte,
nezprovozníte ani neubráníte. Útočník jde vždy po největších
slabinách oběti. A tím nejslabším článkem jsou lidé nebo způsob,
jakým ti jednotliví lidé daný systém špatně postaví a
provozují.
Investice do vlastní bezpečnosti
Izrael s osmi miliony obyvatel je menší než Česko a
přitom dokáže dlouhé roky odolávat prakticky permanentním útokům.
Co je podstatou úspěchu Izraele na poli obrany, ve které
představuje absolutní světovou špičku?
Jednak je to jejich vůlí k přežití a jednak tím, že
dávají na vlastní obranu 7,5 % HDP. My nejsme schopni dát ani 1 %.
Nejde o to, že bychom měli dávat stejně, jsme přece jen
v diametrálně odlišné situaci. Zavázali jsme se nicméně
k výdajům ve výši 2 % a pokud bychom naše sliby dodržovali,
byli bychom lépe připraveni. Izraelci navíc paralelně s tím dávají
4,5 % HDP do vědy a výzkumu, my se sotva, když to všechno
posčítáme, možná dostáváme opět k 1 %. Kromě vůle k přežití,
k vlastní obraně, stojí za úspěchem Izraelců právě vůle
k neustálým inovacím. Propojíte-li obranu a inovace se silnou
ekonomikou, vytvoříte excelentní firmy, produkty a systémy, které
vám zajistí relativní bezpečnost a sekundárně možnost know-how,
hardware i software úspěšně vyvážet do zahraničí. Na jednu stranu
Izraelcům nezávidím, že jsou v permanentní válce. Na druhou
stranu jim ten tlak nedovolí upadnout do letargie. Nakonec jsou ze
své složité situace schopni vytěžit maximum.
Jak přistupuje ke kybernetickým hrozbám útoků EU?
Žádný jednotný postup Evropy, ať už na bázi
Severoatlantické aliance nebo na bázi členských zemí EU v tuto
chvíli neexistuje, byť je o něj do určité míry snaha. Záleží na
aktivitě konkrétních států. Některé skutečně ať již formou zákonů
nebo investic svoji ochranu berou vážně a jsou lépe připraveny. Ti
nejpřipravenější budují vlastní kybernetické jednotky. Jsou ale
také státy, které nedělají vůbec nic. Česko je někde zhruba mezi. O
něco se snažíme, což je samozřejmě dobrá zpráva. Je ale ještě
dlouhá cesta k tomu, aby celý systém naší ochrany skutečně
fungoval.
Od letošního ledna u nás vstoupil v platnost Zákon o
kybernetické bezpečnosti. Jak motivuje strategické firmy, aby
začaly budovat ochranu proti možným atakům z kyberprostoru?
Máme zákon a bylo zřízeno Národní centrum kybernetické
bezpečnosti a pomalu se začíná brát kybernetická obrana vážně i na
Ministerstvu obrany. Zákon napomáhá, na druhou stranu není rozhodně
dokonalý. Například sankce jsou zanedbatelné a nepůsobí tedy
v tomto směru motivačně. Máme tu nicméně určitý základ, který
naznačuje i budoucí směřování. Každá firma by se v tuto chvíli
měla zamyslet nad tím, jak z dnešního pohledu zákon naplňuje a
zároveň si může jednoduše odvodit, kam se svět, resp. Evropa i
Česká republika budou v blízké budoucnosti posouvat, na co je třeba
se připravit v horizontu následujících 5-10 let. Firmy by se
ale měly chránit zejména s ohledem na vlastní pud sebezáchovy,
s ohledem na vlastní přežití. Podobně jako dnes ve světě, bude
i u nás pokračovat viditelný nárůst útoků zaměřených na kritickou
infrastrukturu.
Zákon se týká především státních firem MERO a Čepro,
které pro stát přepravují a skladují strategické rezervy ropy a
pohonných hmot. Vyplývá také zákonná povinnost postarat se o
kybernetickou bezpečnost pro zahraničního vlastníka českých
rafinérií Unipetrol, který je součástí polského polostátního PKN
ORLEN?
Zaleží na tom, kdo spadá do definice kritické
infrastruktury. Dle mého názoru tam dnes celá řada subjektů, které
by do ní spadat měly, chybí. Doufám, že se seznam subjektů bude
dále rozšiřovat. Zákon je ale jen jedna část motivace, druhou je
motivace investovat do vlastní bezpečnosti a tím i do vlastního
přežití. Žádný akcionář by neměl bezpečnost podceňovat. Mnohým se
to již nevyplatilo.
V poslední době jsme byli svědky krize
v komunikaci mezi zástupci státních firem a polským vlastníkem
rafinérií. Myslíte si, že by se měla v případě zajištění
strategické bezpečnosti v rámci ropného sektoru zajišťovat
spolupráce nejen na komerční, ale především na státní úrovni?
Samozřejmě je třeba komunikovat s Polskem jakožto
silným vlastníkem PKN Orlen, stejně tak jako je třeba komunikovat
s Maďarskem a se Skupinou MOL. Bez vzájemné komunikace by byla
naše situace složitější. Do určité míry jsme nad vlastní kritickou
infrastrukturou kontrolu ztratili, naštěstí ne nad veškerou. Stále
máme například přímou kontrolu nad ropovody, naproti tomu již
nevlastníme páteřní plynovody. To neznamená, že je všechno
ztraceno. Musíme prostě dělat všechno pro to, aby celý systém
fungoval a aby části kritické infrastruktury, ať už je vlastníkem
kdokoliv, byly alespoň pod nějakým dohledem státu z pohledu
bezpečnosti. A to zejména s ohledem na možné krizové situace,
které mohou nastat. Nakonec je to na státu, aby i během skutečné
krize nebo války zajistil alespoň základní fungování celého
systému.
Malé i střední firmy
O vlastní kybernetickou bezpečnost by se měly starat
podle vás i malé a střední firmy?
O svou kybernetickou bezpečnost by se samozřejmě měly
starat i malé a střední firmy, protože ve chvíli, kdy vám někdo
ukradne know-how, peníze nebo vás zcela znedůvěryhodní na trhu, tak
můžete obratem skončit. Na druhou stranu odpovědnost státu je
výhradně v rozsahu kritické infrastruktury, tedy základního
fungování státu. Stát by neměl být zaopatřovacím ústavem a neměl by
se starat o to, jak mají zajištěnu kybernetickou bezpečnost
jednotlivé firmy, které nespadají do kritické infrastruktury a
jejichž krach by neměl celospolečenský dopad.
Ve světě existuje spousta firem, které zkrachovaly kvůli
kybernetickým útokům, poté, co je přímo oslabily a způsobily přímé
ztráty, například krádeží peněz nebo nejrůznějších citlivých údajů.
Nebo například v sousedním Německu v důsledku kybernetického
útoku nedávno zatuhla vysoká pec, což znamenalo její fyzickou
likvidaci. Daleko zásadnější a často nevyčíslitelné bývají nicméně
nepřímé následky v podobě ztráty důvěry u klientů a odběratelů.
Firmy, které následkem kybernetického útoku ztratí důvěryhodnost,
se automaticky ocitají na pokraji bankrotu. Řada z nich v byznysu
skončí.
Je na vlastnících firem, nakolik cítí nebezpečí, nakolik do své
bezpečnosti investují a nakolik si myslí, že se jim to vyplatí.
Nebo nakolik risknou to, že na ně žádný útok nepůjde. Až čas ukáže,
jestli se při zanedbání investic do bezpečnosti jednalo o dobrý
úsudek, či ne. Někomu to nakonec může vyjít, jiný na podcenění
rizika tvrdě doplatí.
A jaká je podle vás pravděpodobnost, že byl úsudek
špatný a k napadení dojde?
Dnes se to dá asi i trochu vyčíslit, alespoň se o to
snaží například pojišťovny, už teď existují nejrůznější pojistky
pro případ kybernetických útoků. Cena pojištění se odvíjí od
velikosti firem, jejich zaměření a významu na trhu a z toho
plynoucí pravděpodobnosti útoku. Na většinu subjektů asi skutečně
ničivý útok nepůjde. Napadené a nepřipravené a nepojištěné firmy
však tvrdě narazí. Cena pojistky se samozřejmě odvíjí od
konkrétních bezpečnostních opatření. Je to stejné jako při
pojištění proti vloupání. Pokud nemáte bezpečnostní zámek, pojistka
je vyšší. Pokud nemáte dveře, nikdo vás ani nepojistí.
Připravenému štěstí přeje
Není veškerá aktivita kolem budování kybernetické
bezpečnosti předčasná? "Nač stahovat kalhoty, když brod je ještě
daleko"?
Připravujeme se teď na to, že k tomu brodu dříve či
později dojdeme. A vždy platí to, že připravenému štěstí
přeje. Počet útoků přibývá a v některých sektorech to
platí dvojnásob. Stejně tak stoupá sofistikovanost útoků a útoky se
geograficky přibližují České republice. My se ve stejnou dobu stále
více propojujeme a stáváme se na kybernetickém prostoru stále
závislejšími. Povědomí v české odborné i laické veřejnosti o
kybernetických hrozbách naštěstí stoupá.
Dnes navíc i díky výcvikové aréně CyberGym můžeme čerpat ze
zkušeností těch, kteří skutečné útoky zažili. Ten prožitek, byť
zprostředkovaný, je pak zcela klíčový pro vlastní nastavení systému
a pro jeho fungování v době krize, v době útoku. Nyní
máme stále čas se kvalitně připravit, abychom byli odolnější v
okamžiku, kdy k reálnému útoku dojde. A už vůbec bychom neměli
zaspat a říkat si, že nám žádné nebezpečí nehrozí. Jediné, co teď
nevíme, je kolik času nám na přípravu skutečně zbývá.
Co vy si osobně přejete do budoucna, aby se vám žilo a
pracovalo bezpečně?
Já mám Českou republiku rád. Prožil jsem spoustu času
života v různých krizových oblastech po světě a vždy jsem se
sem zpět rád vracel, rád tady žiju. Doufám, že si zachováme svoji
svobodu, bohatství i bezpečí. Jedno bez druhého koneckonců nejde.
Abychom žili i nadále v bezpečí, musíme vzít odpovědnost za svoji
bezpečnost do vlastních rukou.
Tomáš Pojar (1973)
vystudoval v Česku politologii a
mezinárodní vztahy a v Izraeli bezpečnostní studia, v minulosti
pracoval v neziskovém sektoru, mj. jako ředitel humanitární
organizace Člověk v tísni. Poté byl náměstkem ministra zahraničí a
v posledním období českým velvyslancem v Izraeli. V současnosti je
prorektorem pro zahraniční vztahy na vysoké škole CEVRO Institut,
kde působí jako pedagog v oboru Politologie a Bezpečnostní studia.
Zároveň je vice-presidentem Česko-izraelské smíšené obchodní
komory, kde se věnuje vztahům České republiky a Izraele především
na poli byznysu a bezpečnosti.
Autor: Tomáš Mikšovský, Zdroj: PETROLmedia