Lhát si v bezpečnosti je cesta do pekla, říká kyberveterán Aleš Špidla
Petra Javornická
23. 05. 2024
„Potíž je nedostatek odborníků na kybernetickou bezpečnost. Jenom ve státní správě jich chybí asi 1000. Mně je 67 let, jsem ve starobním důchodu a pořád mi někdo nabízí práci,“ říká Aleš Špidla. Jak vypadalo zavádění české kyberbezpečnostní legislativy? Co radí problematikou nepolíbeným firmám a institucím? A jaké to bylo, když se sám ocitl pod
Vy jste byl u zavádění kyberbezpečnosti do české legislativy, respektive jste stál za strategií, která před 10 lety vyústila v první zákon o kybernetické bezpečnosti nejen v ČR, ale v celé Evropě. Na jaké překážky jste tenkrát naráželi?
Nedávno mi jiný kyberveterán připomínal, že nás tehdy všechny chtěli upálit. Zaznívaly argumenty typu, proč dělat další zákon. Nebo proč ho zavádět, když ho jinde v Evropě ještě nemají. Proč radši nepočkáme a od někoho to nezkopírujeme. Takový ten náš klasický český přístup. Ale povedlo se, byť já pak přímo u formulace zákona nebyl, nemám právnické vzdělání a jako klasický ajťák bych jim asi moc nepomohl.
Předtím jsem byl povolán na ministerstvo vnitra. Ministr Martin Pecina mě jmenoval ředitelem odboru kybernetické bezpečnosti. Znělo to vznešeně, ale byl jsem na začátku šéfem jenom sám sobě, neměl jsem žádné podřízené ani finanční zdroje. Na strategii jsem velké peníze nepotřeboval, ale pak bylo potřeba vybudovat dohledové centrum, a to už nešlo. Takže bylo dobře, že ta agenda přešla pod Národní bezpečnostní úřad.
Významnou roli sehrálo i sdružení CZ.NIC, které se dočasně ujalo role vládního úřadu pro kybernetickou a informační bezpečnost. Nejdřív jsem se ovšem musel vypořádat s námitkami tehdejšího ministra Radka Johna, který odmítal podepsat memorandum se sdružením, které má v názvu slovo „NIC“. To už jsem psychicky fakt nedával.
Proč jste tenkrát chtěli podobný zákon zavést?
Především bylo zapotřebí legislativně ukotvit kybernetickou a informační bezpečnost kritické infrastruktury. A taky bohužel platí, že státní úředník pohne zadkem, jenom když na to má zákon. Takže abychom stát vtáhli do problematiky kybernetické bezpečnosti, potřebovali jsme legislativu.
Nejtěžší boje se vedly o to, kdo všechno bude do kritické infrastruktury spadat, respektive nespadat.
Problém byl hlavně se zdravotnictvím, protože definice kritické infrastruktury v této oblasti vycházela z vládního nařízení 432/2012 Sb., které mluví o zdravotnických zařízeních s počtem akutních lůžek nad 2500. A taková nemocnice tady nebyla ani jedna. Takže poté žádná nespadla ani pod zákon o kybernetické bezpečnosti.
Což se nemocnicím několikrát vymstilo.
Je to tak. Přitom zdravotnictví to tehdy bralo jako své velké vítězství. Dodneška jsem jim to neodpustil!
Ale ten zákon jako takový byl postavený dobře. Když přišla evropská směrnice NIS, které se teď zpětně říká NIS1, překrývala se s naší legislativou cca z 95 procent. Až nám podezření, že ji v Bruselu od nás malinko opsali.
Teď přichází směrnice NIS2. V čem vidíte její pozitiva?
Musíme samozřejmě počkat, jak konkrétně se propíše do české legislativy. Jsem ale rád, že se upouští od definice jednotlivých informačních systémů, které se mají „chránit“, a přechází se k přístupu přes službu. Když použiju příklad ze zdravotnictví: nedíváme se na ochranu nemocničního informačního systému, ale chráníme schopnost nemocnice poskytovat služby, které jí určuje zákon.
Já úplně nesnášel argument, že čím míň systémů označíme z hlediska kyberbezpečnosti za významné, tím to vyjde levněji. Jeden chráněný systém v děravé infrastruktuře je přece k ničemu!
Další pozitivní věc, kterou v NIS2 vidím, je důraz na řízení rizik. Jde vlastně o odklon od bezhlavého nakupování škatulí, o kterých jste zrovna slyšeli někoho mluvit na chodníku. Ne, uděláte si analýzu rizik, budete přesně vědět, kolik vás jaký průšvih může stát a kolik vás budou stát konkrétní opatření, co těm průšvihům předcházejí. A podle toho budete hledat a nakupovat.
Ne jako když si v jedné nejmenované instituci koupili sofistikované řešení. A pak po pěti letech s hrůzou zjistili, že má přijít kontrola na čerpání dotací a oni to mají pořád na parapetu zabalené v krabici. Tak to vybalili, zapojili do zásuvky, přidali nějaké kabely, aby to blikalo, a šli kontrolorům otevřít dveře.
S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Zobrazit článek
A třetí pozitivní bod NIS2 vidím v jednoznačném určení zodpovědnosti vrcholného vedení za kyberbezpečnost.
Jaké výzvy směrnice přinese pro české firmy a instituce?
Vypadá to, že se dotkne opravdu velkého množství subjektů. I těch, které to doteď vůbec neřešily: od výrobců zdravotechniky po automobilky. Řeknete si, proč by měli kyberbezpečnost řešit výrobci aut. No jo, ale v autě je víc procesorů než v menším datovém centru!
Potíž je nedostatek odborníků na kybernetickou bezpečnost. Jenom ve státní správě jich chybí asi 1000. Mně je 67 let, jsem ve starobním důchodu a pořád mi někdo nabízí práci. A ten hlad bude po zavedení opatření z NIS2 ještě mnohonásobně větší.
Velký problém bude u riskařů – specialistů na řízení informačních rizik. I podnik střední velikosti bude muset mít minimálně dva takové experty na plný úvazek. A školy jich dnes pořád připravují jen úplné minimum.
Nedávno jsem slyšel argument, že si to přece každý může zaplatit jako službu. Ale i tyhle firmy brzo dojdou, poptávka bude obrovská.
Ve státní správě bych jako cestu viděl seskupování subjektů v rámci resortů. Ale může to fungovat i mimo státní správu, třeba v rámci společných oborů. Mohlo by vzniknout jakési dohledové centrum pro skupiny nemocnic nebo se spojí energetické subjekty. Dohledový proces je i díky umělé inteligenci čím dál automatizovanější, takže by to nemuselo být nereálné.
My jsme to pro zdravotnictví navrhovali už před lety. Úplně si vybavuju, jak nás přijal náměstek ministra ve své velké kanceláři s tlustým kobercem. A použil dva klasické argumenty, které mě dokážou spolehlivě vytočit: Není na to politická vůle. A proč bychom něco měnili, když to doteď fungovalo.
Vy poměrně často školíte kyberbezpečnost ve firmách a institucích, které jsou tím tématem nepolíbené. Co jim radíte? Čím začít?
První rada je vždycky stejná: přestaňte si lhát. Lhát si můžete v účetnictví, ale lhát si v bezpečnosti je cesta do pekla. A pokaždé dodávám větu, která je mým mottem na LinkedInu: Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy.
A pak se jich ptám, spíš jako externí filozof než jako kyberbezpečák, co je živí a co to může ohrozit.
Měli jsme takhle schůzku s provozním ředitelem několika špitálů a ten nám řekl, že nejlukrativnější jsou pro ně operace. Tak jsme řešili, co je může ohrozit. A nakonec jsme prošli všechno možné od cétéčka po výtahy, co vozí pacienty na operační sál. Přesně takhle komplexně se musíte naučit přemýšlet.
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Zobrazit článek
Další krok je udělat si přehled, co z hlediska bezpečnosti na čem závisí. Kde co máte. A jaký je aktuální stav.
Dělal jsem projekt pro Svaz měst a obcí a objel jsem to od vesnic po velká města. U těch nejmenších byli pokaždé vyděšení, když se dozvěděli, že mám přijet. Ale pak se zpravidla ukázalo, že nějakou základní ochranu v počítačích mají. Jenže zanedbávali organizační věci. Zeptal jsem se třeba, kdo se dostane do serverovny. A oni, že každý, komu dají na podatelně klíče. „A mně by je dali?“ zeptal jsem se. „Vy vypadáte důvěryhodně, vám určitě jo.“
Jde prostě o to, dívat se na kyberbezpečnost z co nejvíce stran.
Hrozně mě potěšil přístup generálního ředitele Výzkumného ústavu železničního. Najal si mě na školení a pozval tam úplně všechny zaměstnance včetně uklízeček. Pro mě to byla trochu výzva z hlediska obsahu přednášky, ale principiálně je to správně: kyberbezpečnost je otázka celé instituce. Ostatně platí známý bonmot, že největší zlo v IT jsou uklízečky, protože mají nadání vysavačem vyškubnout ten nejdůležitější a nejnenápadnější kabel.
A pak je samozřejmě dobré mít zpracovaný DRP – Disaster Recovery Plan, postup, co máte dělat, když se stane průšvih, typicky kyberútok, jako byl třeba ten na benešovskou nemocnici.
Vy sám jste zažil hackerský útok na úřad Prahy 5, kde máte dodnes na starosti kyberbezpečnost.
My jsme takový plán naštěstí měli, byli jsme schopni vše nahodit v podstatě vzápětí. Nakonec jsme s tím ale na radu odborníků chvilku počkali, dokud jsme celý systém ještě jednou neprověřili. I tak jsme po 9 dnech byli zpátky v normálním provozu.
Součástí DRP jsou mimo jiné priority jednotlivých systémů. Ve státní správě jde o různé zákonné povinnosti, lhůty. Přišly za námi například holky z matriky, že mají jen 3 dny na nahlášení nebožtíka, svatby nebo rozvodu.
CIO Agenda 2024: Kyberzločin je jen byznys
Zobrazit článek
V benešovské nemocnici žádný DRP neměli, a tak jim v první chvíli nedošlo, jak velký průšvih je například, když vám vypadne systém pro výdej stravy. Najednou nevíte, kdo má co za dietu, čím můžete někoho třeba i zabít.
Na Praze 5 jsme rovněž byli pojištění. Pojistka stála 170 tisíc a vyplatili nám už 3,6 milionu. Už nás ovšem nikdo nepojistí. Což je paradox, protože z každého útoku se poučíte, takže se pravděpodobnost škod u dalšího incidentu snižuje.
Jak jste ten útok tenkrát prožíval? Stoupl vám adrenalin?
Když vám šéf IT zavolá ve 2 ráno, neskáčete radostí. Ale byli jsme připraveni, věděli jsme, co dělat, což vás uklidní. Navíc já mám i hodně kamarádů, odborníků na telefonu, když si s něčím nevím rady. Propojování lidí, kteří vědí, co dělat, je klíčové. Proto doporučuju všem mít po ruce kontaktní matici, kterou můžete v případě potřeby vytáhnout a nebýt na ten průšvih sám.
Co si z rozhovoru odnést?
- „Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy,“ říká Aleš Špidla.
- Na NIS2 Špidla oceňuje, že upouští od definice jednotlivých informačních systémů, které se mají „chránit“, a přechází k přístupu přes službu.
- Česko má nedostatek odborníků na kyberbezpečnost. Cestou by mohlo být sdružování subjektů podle resortů či oborů.
- O kyberbezpečnosti je nutné přemýšlet komplexně. V nemocnicích můžou být napadený systém stravy a nefungující výtahy stejně kritické jako selhávající CT.
- Mějte vedle DRP kontaktní matici, ať na to v případě průšvihu nejste sami.
Petra Javornická
Marketingový specialista pro B2B
Byl pro vás článek užitečný?