Oběť si často sama stáhne malware a hacker dostane přístup v podstatě naservírovaný. Jednou z priorit NÚKIB je proto i vzdělávání v oblasti kybernetické bezpečnosti. „V kritické chvíli může správná reakce naskočit jen tehdy, když je zažitá. Lidé si musí uvědomit, že internet není bezpečné prostředí, že musí být obezřetní,“ vysvětluje Tomáš Krejčí, který se většinu svého působení na úřadu zabýval implementací zákona o kybernetické bezpečnosti a kontrolou plnění povinností, které z něj vyplývají.
Jak váš úřad při zajišťování kybernetické bezpečnosti Česka postupuje a co konkrétně řeší?
Hodně obecně řečeno má NÚKIB mimo jiné za úkol pomocí nástrojů, které mu dal zákon č. 181/2014 Sb., o kybernetické bezpečnosti, určit důležité subjekty pro chod státu, které jsou závislé na informačních a komunikačních systémech, a těm pomocí vyhlášky stanovit, co mají udělat pro to, aby byla zajištěna jejich kybernetická bezpečnost. Dále se například věnuje osvětě v kybernetické bezpečnosti, pořádá cvičení v této oblasti, monitoruje hrozby v kyberprostoru, provádí penetrační testování důležitých systémů, skeny zranitelností, ale například i dozoruje, zda subjekty plní povinnosti plynoucí ze zákona. A tyto kroky, které ale nejsou absolutním výčtem toho, co vše úřad dělá, slouží ke zvýšení kybernetické bezpečnosti v Česku.
Jaké specialisty pro plnění těchto úkolů potřebujete a jak je náročné je získat?
Kyberbezpečnost je vlastně multioborová disciplína. Potřebujeme mnoho šikovných lidí, od právníků přes specialisty na IT s dobrými technickými znalostmi až po odborníky na kryptografii. Takové lidi je ale obtížné najít. Proto se snažíme vytipovat vhodné kandidáty třeba už i na vysokých školách. Obecně se snažíme k sobě přitáhnout schopné lidi – buď s už dostatečnými znalostmi, nebo s potenciálem, který můžeme rozvíjet. Nabídnout jim můžeme zajímavou práci, různorodé projekty, spolupráci se zahraničím a to, že získají jedinečné zkušenosti v oboru, který má budoucnost.
Jaké máte zkušenosti s hlášením kyberbezpečnostních incidentů napadenými firmami? Převažuje snaha incidenty tajit, nebo podniky bez problému plní svoje povinnosti? Co firmám, které incidenty nehlásí, hrozí?
Zákon o kybernetické bezpečnosti se v tuto chvíli týká jen velmi omezené skupiny společností v Česku – v podstatě pod něj spadají jen subjekty důležité pro chod státu. A právě pouze u nich může NÚKIB vymáhat plnění povinností, jako je třeba právě hlášení kybernetických bezpečnostních incidentů. Společnosti k tomu přistupují různě. Někdo hlásí poctivě všechno, někdo skoro nic – my to zjistíme při kontrolách a pak hrozí provinilci pokuta.
Nahlásit incident je rozhodně výhodnější. Zaprvé to automaticky neznamená nějakou naši kontrolu a zadruhé můžeme v případě potřeby zasaženému velmi účinně pomoci – třeba i vyslat na místo náš tým rychlé reakce, jako se to stalo v minulosti například při útoku na jednu fakultní nemocnici, o kterém média informovala.
Kolik hlášení v průměru měsíčně obdržíte a jak jsou incidenty závažné?
NÚKIB přijímá hlášení desítek incidentů měsíčně. Závažnost se samozřejmě liší a pohybujeme se v rozmezí od těch méně závažných až po velmi závažné incidenty ohrožující například dostupnost služeb. Na našem webu naleznete veřejný měsíční report Kybernetické incidenty pohledem NÚKIB, kde je možné se dozvědět víc o řešených incidentech.
Tomáš Krejčí
náměstek ředitele pro řízení sekce Národního centra kybernetické bezpečnosti NÚKIB
Je absolventem oborů manažerská informatika a informační management na VUT v Brně.
V Národním úřadu pro kybernetickou a informační bezpečnost pracuje od jeho vzniku. Odborně se velkou část působení na NÚKIB zaměřoval na problematiku implementace zákona o kybernetické bezpečnosti a kontrolu plnění povinností, které z něj vyplývají.
Od července tohoto roku je náměstkem ředitele NÚKIB a řídí sekci Národního centra kybernetické bezpečnosti.
Kontrolujete zpětně, zdali napadené podniky zavedly preventivní opatření?
Obecně pravidelně kontrolujeme, jak námi regulované subjekty plní bezpečnostní opatření daná zákonem a vyhláškou. Máme na to dokonce speciální odbor. A zároveň samozřejmě taky můžeme prověřovat, jak tyto subjekty implementují různá varování nebo ochranná opatření, která vydáváme podle aktuální situace tak, jak nám ukládá zákon o kybernetické bezpečnosti.
Jaký máte prostor pro řešení nahlášených kybernetických incidentů?
Upřímně řečeno – kapacity sice máme, ale v současné době jsou omezené. NÚKIB není stále dobudovaný a sehnat dostatečný počet odborníků není jednoduché, o tom už jsme mluvili. Kdyby se sešlo víc závažných incidentů v jeden moment, museli bychom si určit priority, kam pošleme naše týmy rychlé reakce a kde to může chvíli počkat. Ale to je podobné třeba i u lékařské záchranné služby. Nikdo nemá neomezené možnosti.
Jak se vyvíjejí rizika kyberbezpečnosti a množství a závažnost incidentů v souvislosti s aktuálními událostmi, jako je pandemie a nyní válka na Ukrajině?
Kybersvět je zrcadlem toho reálného, takže to samozřejmě má zásadní vliv. Kdykoli nastane nějaká krizová situace, ať už jde o válku, povodně, pandemii nebo cokoli podobného, přiláká to pozornost útočníků, podobně jako v přírodě souboj velkých zvířat přiláká pozornost supů a hyen. Ti se vždycky snaží zneužít zmatku, protože vědí, že právě v takovou chvíli je nejvyšší šance, že někdo třeba i pod vlivem emocí udělá chybu. Například otevře zavirovanou přílohu e‑mailu a podobně. My se snažíme to předvídat, být rychlejší a přimět všechny povinné subjekty k preventivním krokům.
Spolupracujete se zahraničními úřady podobného typu, jako je NÚKIB? Jaké máte z této spolupráce zkušenosti?
Samozřejmě, spolupráce s ostatními partnery je klíčová a vnímáme ji do budoucna jako jednu z hlavních součástí naší strategie kybernetické bezpečnosti. Máme na to i speciální vyslance – cyber attaché, kteří pracují v zahraničí. V kybersvětě jsou totiž informace tím nejcennějším a jejich výměna se spojenci je pak velkým přínosem. Sdílet zkušenosti s incidenty nebo varování před podezřelou aktivitou patří mezi základní stavební články štítu, kterým Česko chráníme.
Co může NÚKIB dělat pro zvýšení šance na postih kyberzločinců?
Úřad se zaměřuje na ochranu systémů důležitých pro fungování státu, nikoli na vyšetřování trestné činnosti poté, co se stala, nebo na trestání viníků. Boj s kyberzločinem a vyšetřování trestné činnosti je v gesci orgánů činných v trestním řízení, především policie. A my s nimi v případě potřeby samozřejmě spolupracujeme.
Stáhněte si přílohu v PDF
Kde vidíte největší slabiny v kybernetické bezpečnosti v českých firmách a organizacích? Máte nějaké mezinárodní srovnání?
Největší slabinou je lidský faktor. Systém může být nastaven sebelíp, ale člověk prostě může z mnoha příčin udělat chybu a ty zabezpečené dveře nechtěně otevřít. Oběť si sama stáhne malware a hacker nemusí ani tolik využít svoje znalosti, aby dostal přístup v podstatě naservírovaný. Jednou z priorit NÚKIB je proto i vzdělávání v oblasti kybernetické bezpečnosti. Snažíme se třeba zvrátit mylný názor, že kyberbezpečnost je věcí pouze IT oddělení. Tak to není a zodpovědnost má každý, od řadového zaměstnance až po nejvyšší úrovně topmanagementu – ten navíc musí zajistit adekvátní zdroje a podmínky.
Na co by se měly české firmy a organizace zaměřit, jaká rizika jsou v současné době nejvíce aktuální?
Je to právě zmíněné vzdělávání – je potřeba školit, školit a školit. Zní to otřepaně a nudně, ale opakování je matka moudrosti a v kritické chvíli může správná reakce naskočit jen tehdy, když je zažitá. Lidé si musí uvědomit, že internet není bezpečné prostředí, že musí být obezřetní. Musí mít na paměti, že všechna nařízení a omezení mají smysl a nikdo je nevydává jen proto, aby jiným znepříjemnil život. Štěstí prostě přeje připraveným. Kdo chce být aktivní, může sledovat naše webové stránky a taky využít školení, která jsou zdarma dostupná na našem webu www.osveta.nukib.cz.
Článek byl publikován ve speciální příloze HN ICT revue.
