Česko zbrojí na hackery. Nástrahy webu mají znát i nejmenší děti

Proč vzniká tento zákon?
Cítíme, že je potřeba. Má na to pochopitelně vliv i to, že kybernetických hrozeb přibývá. Když se podíváte na statistiky, i když v Česku jich moc není, trend je jasný. Je vidět, že se v této oblasti něco děje, že hrozby a útoky narůstají a je potřeba s tím něco dělat. K tomu potřebujeme mít zákon, který vymezí mantinely. O tom, že státy musí vstupovat do této oblasti, se dnes už téměř nediskutuje. Bere se to jako jasná věc. 

Dotkne se běžných uživatelů internetu?
Myslím, že běžných uživatelů se dotkne tím, že by internet měl být časem spolehlivější a bezpečnější. Asi jako se pravidla silničního provozu dotknou běžného chodce. V tomto duchu se to běžných uživatelů dotkne. Ale že by tam byla nějaká regulace nebo povinnosti na jejich straně, to ne.

Podle chystaného zákona by premiér mohl vyhlásit stav kybernetického nebezpečí. V jaké situaci by nastal?
Musela by to být doopravdy pohroma pro Českou republiku v rámci kybernetiky, která ještě nenastala a snad ani nenastane. Dalo by se to částečně přirovnat k situaci v Estonsku, kde před několika lety byl masivní útok. Přestala fungovat základní infrastruktura, bankomaty a spousta dalších věcí. Byly narušeny základní funkce státu. Ani ve stavu kybernetického nebezpečí však nehrozí, že by se v případě potíží vypnul internet v celé republice. Jde o to, aby ten, kdo má ve své síti potíže, je dokázal vyřešit. A to případně i tak, že ji dočasně odpojí.

Co by hrozilo při napadení informačních systémů například elektráren, tepláren nebo nemocnic?
Jde o to, jestli se bavíme o lokálním, nebo celostátním napadnutí. U celostátních lze doopravdy hovořit o stavu kybernetického nebezpečí, reálnější jsou ale spíše lokální útoky. Může se stát, že když bude například elektrárna řízena nějakým systémem, může dojít k poruše a jejímu zásadnímu výpadku.

Materiál navrhuje, aby vybrané státní i soukromé subjekty předávaly informace o kybernetických útocích a bezpečnostních rizicích. O jaké subjekty se jedná a co je čeká?
V síti se děje spousta různých aktivit a my máme zájem, pokud se stane kybernetický bezpečnostní incident, aby nám byl nahlášen. Vybrané státní úřady a subjekty kritické infrastruktury (jedná se například o energetické podniky či nemocnice - pozn. red.) budou nahlašovat informace takzvanému vládnímu CERTu (Computer Emergency Response Team), který bude součástí Národního centra kybernetické bezpečnosti. Celkem to budou desítky privátních subjektů, u státní správy to může jít až ke stovce. Ostatní soukromé subjekty budou v kontaktu s takzvaným národním CERTem, který je provozovaný v rámci sdružení CZ.NIC (vede registr doménových jmen .CZ - pozn. red.).

Na straně státu se bude jednat o ministerstva či krajské úřady?
Ministerstva a jejich sítě budeme chránit prvořadě. U krajských úřadů by to mělo končit, nechtěli bychom se starat o všechny obce. Státní úřady si musí určit, které z jejich informačních systémů jsou doopravdy kritické, tedy důležité pro chod státu, a které jen významné, tedy důležité pro chod dané organizace. Problémem určitě nebude například stravenkový systém, byť si umím představit, že když nepůjde, může to způsobit v daném úřadě revoluci. Závažnější by bylo například napadnutí registru vozidel.

Jak se soukromé firmy tváří na povinnost nahlašovat bezpečnostní rizika? 
Ze začátku jsme vnímali jejich obavu z nejistoty. Nevěděly, co od nás jako od státní správy mohou čekat. Při přípravě zákona ale zjistily, že akceptujeme jejich připomínky a plníme slovo. Důvěra se postupně rodí. Navíc vědí, že bezpečnost je i v jejich vlastním zájmu.

Vyhláška k zákonu také stanoví bezpečnostní standardy, podle kterých vybrané instituce a firmy musí zabezpečit své informační systémy. Mají v tom v současnosti rezervy?
Dělali jsme loni průzkum ve státní správě a pozitivně nás překvapilo, že ten stav není špatný. Někde jsou pochopitelně nedostatky, ale nemůžeme říct, že by se státní správa o své systémy vůbec nestarala a že by hackeři u nás měli ráj na světě, to rozhodně ne. Letos se chceme soustředit na kritickou infrastrukturu a privátní sektor.

Získat do státní správy špičkové "ajťáky" není snadné

Proč budou dvě dohledová pracoviště, vládní a národní CERT? Nestačil by jeden?
Vládní pracoviště má své opodstatnění, protože jinak bychom nedostávali určité typy informací. Je tady například výměna informací mezi státy a spolupráce s NATO, které se spíše bude bavit se státem než se soukromoprávním subjektem. Potřebují někoho na úrovni státu. Národní CERT zase dokáže lépe regulovat soukromý sektor a může dělat některé činnosti, které nám nepřísluší. Tento model dobře funguje ve spoustě států. Je ale důležité, aby tato vrcholová pracoviště mezi sebou opravdu velmi úzce komunikovala.

Do CERTů se informace o potížích budou jen sbíhat, nebo je budou tyto týmy i samy vyhledávat?
Jenom sbíhat by bylo trochu málo, jedna z činností pochopitelně je i aktivní zjišťování informací. Máme už dneska smlouvy s velkými společnostmi, jako je třeba Microsoft. Veřejné informace budeme sdílet na webových stránkách govcert.cz, některé informace ale budou určené jen právě pro ty vybrané subjekty.

Národní centrum kybernetické bezpečnosti (NCKB), které vedete, má být plně funkční v roce 2015. Co dělá nyní?
Rozbíháme se, nabíráme další pracovníky, snažíme se vybavovat technické pracoviště. V tuto chvíli už máme systém na zpracování kybernetických incidentů a pracujeme na jeho rozšíření. Druhou částí centra je "teoretické pracoviště", kde se řeší legislativa nebo zahraniční spolupráce, například se pravidelně účastníme cvičení NATO.

Nakolik je těžké získat špičkové IT odborníky do služeb státu?
Je to hodně obtížné. Vzhledem k tomu, že se jako státní úřad řídíme tabulkovými platy, nejsme schopni v této oblasti konkurovat soukromému sektoru. Sehnat hotového špičkového odborníka pro naše potřeby je nemožné. Soustředíme se proto zejména na mladé lidi po vysoké škole. Musíme je za pochodu vzdělávat a naučit vysoce odborné činnosti. Zkušenosti ze zahraničí jsou bohužel takové, že část odborníků po určité době odchází do komerční sféry, protože jsou přeplaceni. S tím se ale víceméně potýkají všechny státy.

Národní centrum kybernetické bezpečnosti se má věnovat i osvětě. Jakým způsobem?
Především v rámci vzdělávání. Masarykova univerzita v Brně v podstatě kvůli nám zavede speciální obor, který by si ráda nechala akreditovat, kde se bude vyučovat kybernetická bezpečnost. V současné době tady takový obor není. Rádi bychom informačně podporovali i učitele informatiky na základních a středních školách, připravovali pro ně materiály a seznamovali je s trendy. Učit kybernetickou bezpečnost je ale možné už v mateřských školách. Je to nutné vždy dělat přiměřeně věku a nenápadnou formou, v zahraničí na to například šli pomocí omalovánek, pexesa a videí.

Když si dítě sedne k počítači, často si neuvědomuje rizika. Člověk si nezřídka myslí, že když sedí doma za počítačem, je schovaný a nikdo o něm nic neví. Není to úplně pravda. Sice je zamčený doma, ale to, co dělá na internetu, může vidět spousta lidí, kteří na to můžou reagovat. Dokonce když se mu povede něco k sobě nainstalovat, tak se spousta lidí může dívat k němu do počítače. Je potřeba na společnost působit, aby si takové věci uvědomovala.