Každý z nás si musí uvědomit, že kybernetický útok na něj nebo jeho firmu má stejný účinek, jako když do něj udeří blesk

Na otázky CzechIndustry odpovídá Martin Uher, předseda představenstva společnosti CyberGym Europe
 
V minulých dnech jste podepsal se zástupci společnosti innogy SE smlouvu o společných trénincích kybernetické bezpečnosti v tréninkovém centru innogy, které bude založeno ve Frankfurtu nad Mohanem. Co pro vaši společnost tato smlouva představuje?
Je to skvělý projekt. Jsme šťastní, že právě naší společnosti se daří propagovat a prosazovat kybernetickou bezpečnost orientovanou na lidský faktor, nejen výhradně na odlidštěné technologie. Tréninkové programy budou komplexní a budou pokrývat růžné druhy hrozeb, včetně hybridních. Bezpečnostní experti jsou pro ochranu společností přinejmenším stejně důležití jako bezpečnostní technologie. Technologie bez vzdělaných lidí jsou jen hromadou železa, která vás vydá do rukou někoho, koho vůbec neznáte a nemáte šanci ovlivnit jeho výběr. Je skvělé, že v innogy SE to vidí podobně a rozhodli se být v této oblasti co možná nejvíce nezávislí. Je to projev zdravého rozumu a patřičné dávky sebevědomí.
 
Škody způsobené hackery jdou každoročně do stamilionů dolarů a neustále rostou. Nedostáváme se tak do situace „nekonečného příběhu“, přesněji do stavu, kdy kybernetická bezpečnost a kybernetické hrozby se budou neustále vyvíjet, přičemž nebude vítězů?
My, ti správní, musíme vyhrávat bitvy. Máte ale pravdu, že tato „válka“ jen tak neskončí. Musíme být připraveni se bránit, musíme poznávat naše zranitelnosti. Již nejsme schopni se zbavit závislosti na technologiích a řada činností již nemá takzvanou analogovou variantu – dokázali byste třeba vy vydat váš časopis bez počítačů? Kyberneticky závislé jsou sektory dopravy, veřejné správy, finančnictví, podstatná část energetiky, čím dál více zdravotnictví a školství. Obory, které si namlouvají svou kybernetickou nezávislost, jsou pak většinou závislé na jiných, které již kyberneticky závislé jsou – například na telekomunikacích nebo sektorové logistice.
Kybernetická nezávislost je již fikcí. Pokud jsme na něčem závislí tak moc, jako na dostupnosti kyberneticky podmíněných služeb, je pochopitelné, že se tyto služby stávají cílem i prostředkem zločinu. Platí to zejména proto, že kybernetickou bezpečnost podceňujeme, vnímáme ji jako další náklad navíc. V průmyslu i službách jsou nyní aktivní zejména generace, které nebyly v kybernetické bezpečnosti vzdělány. Bavíme se o zavedení branné a finanční výchovy v základních školách, ale máme politiku rozvoje vzdělávání v kybernetické bezpečnosti? Jde o obor, který se mění a vyvíjí tak dynamicky, že dokonce musí reagovat na nové hrozby, technologie a procesy několikanásobně rychleji, než zvládneme provést člověka systémem od základní školy až do praxe. Troufám si tvrdit, že jiný takto dynamický a kriticky významný obor na pořadu dne nemáme. Pokud selžeme, budeme patřit mezi poražené nebo v lepším případě mezi závislé entity bez skutečné autonomie.
 
Kybernetické útoky jsou, jak vyplývá z Vašich slov, nejrychleji rostoucí hrozbou, které v dnešní době firmy čelí. Nejvíce ohroženy jsou prvky kritické infrastruktury, neboť útoky na ně představují možné škody velkého rozsahu. Nakolik jsou ohroženy hackery a lze se před jejich útoky úspěšně chránit?
Provozovatelé kritické infrastruktury, ale také státy a výrobci, to začínají chápat. Hackerské útoky na tyto systémy mohou být součástí vojenských operací, ale také projevem terorismu, kybernetického chuligánství nebo kyberaktivismu.
V posledních letech se stále častěji objevují kybernetické útoky, provedené bývalým nebo současným zhrzeným zaměstnancem. To znamená, že provozovatelé kriticky důležitých systémů musejí být schopni se bránit nejen proti vnějšímu nebezpečí, ale také proti insiderům (lidem, kterým například sami dají přístup do své sítě). Rozbíjí to dříve populární koncept bezpečného perimetru.
Obrana je možná. Musí být komplexní a systematická. Musí začínat u návrhu nového systému, musí být brána v úvahu při implementaci, musí být součástí provozní péče a končí daleko později, než fyzická likvidace nebo vyřazení systému. K tomu jsou potřeba lidé, hodně lidí.
 
Nabízí se otázka, jak se trénuje kybernetická bezpečnost?
Kybernetická bezpečnost a obrana je komplexní disciplínou. Skutečný kybernetický obránce, cyber warrior, musí znát technologie, protokoly, procesy, právní rámec legální kybernetické obrany, efektivní komunikaci, řízení krizí, sociální podstatu kybernetických útoků, forenzní metody a nástroje, musí mít dobrou znalost chráněných aktiv, musí studovat publikované zranitelnosti a popsané útoky, atd. Mohli bychom ve výčtu pokračovat ještě tak dvacet minut.
Takových supermanů není na trhu mnoho. Spíše by se dalo říct, že jsou nedostupní. Proto se moderní trénink kybernetické bezpečnosti zaměřuje na týmové schopnosti obránců, na schopnost komunikace, sdílení úloh, zapojení nekybernetických rolí (právníci, manažeři, pracovníci fyzické bezpečnosti, provozní technici a podobně). Schopnost spolupracovat, chápat vztah probíhajícího útoku ke klíčovým aktivům, stejně jako schopnost odolat sérii krycích útoků, které odvedou pozornost obránců od toho hlavního – to jsou pro kybernetické obránce obtížné disciplíny. K tomu je třeba umět rozlišovat mezi provozními a bezpečnostními události a incidenty, reprioritizovat opatření a činnosti, eskalovat, komunikovat, ale zároveň nepřekročit zákon.
Je toho hodně, co se musí kybernetický obránce naučit. Některé dovednosti může získat v teoretických kurzech, akademiích, ve škole. Podstatnou část se ale musí naučit praktickým výcvikem, tréninkem. Schopnost správně řídit letadlo nebo závodní auto nezískáte přečtením ilustrované příručky. Po přečtení skript můžete získat pocit, že to umíte. To však může být to nehorší, co vás může potkat – falešný pocit, že obstojíte. Ve fyzickém světě to může znamenat křížek u silnice, ve světě jedniček a nul budou následkem ukradená data, pozměněné účetní údaje, nebo také stojící vlaky nebo katastrofická průmyslová havárie.
 
Koncepci výcvikové arény CyberGym vytvořila stejnojmenná izraelská společnost, která svůj komplex provozuje blízko elektrárny Orot Rabin poblíž Tel Avivu. Řekněte nám o ní více.
Koncept CyberGym je postaven na třech základních pilířích: ochrana kritické infrastruktury a průmyslová bezpečnost, vojenský výcvik týmů a špičkové teoretické vzdělávání akademické úrovně. Není náhodou, že komplex leží právě poblíž vyznaného energetického zařízení. Energetika jako strategické odvětví je logickým cílem těch nejsofistikovanějších útoků, dokonce takových, které se bezprostředně vůbec neprojeví a jsou součástí konceptu pre-conflict management. To prakticky znamená, že útočník jen vytvoří podmínky pro to, aby v budoucnu mohl udeřit v rámci nějaké kampaně nebo fyzického konfliktu. Jedná se o ty nejzákeřnější průmyslové útoky a zpravodajské operace.
V takových případech obránci musejí být schopni realizovat reaktivní opatření v rámci procesů incident response, recovery a continuity management, přitom ale musejí být souběžně schopni řešit úlohy na poli prevence a detekce dalších možných útoků.
Také na řešení takto komplexních úloh jsou obránci připravováni jak v izraelském, tak českém centru CyberGym. České centrum navíc pokrývá lokání právní, technologická a regulatorní specifika.
 
Je tedy možné říci, že Izraelci představují světovou špičku v ochraně dat a boji proti kyberzločinu?
Odpověď je prostá: ano.
Izraelci již dávno pochopili, že kybernetická bezpečnost je nedílnou součástí bezpečnosti státu, průmyslu, státních struktur nebo finančního sektoru.  V Izraeli je kybernetická bezpečnost součástí základního vzdělávání. Výzkum a vývoj v této oblasti je na špičkové úrovni a nadnárodní společnosti se předhánějí ve frontě na partnerství s některou z izraelských vysokých škol.
Izraelská vláda poskytuje sektoru kybernetické bezpečnosti a obrany zajímavé pobídky a úlevy a sama představuje pro domácí programy klíčového zákazníka.
Běžnou součástí izraelské bezpečnosti jsou policejní, zpravodajské a vojenské kybernetické jednotky a také velmi otevřená spolupráce (nikoliv však pro třetí strany) vládního a soukromého sektoru.  
Kdo navštíví izraelskou konferenci a výstavu Cybertech, pochopí za hodinu, jak hluboká může spolupráce státu a privátní sféry ku prospěchu všech být.
 
V Česku máte výcvikovou arénu v Řitce u Prahy. Proč jste si zvolili právě toto místo?
Je zde dostatek konektivity, prostory centra jsou bohatě dimenzované, máme dokonce podzemní část arény s fyzickými modely. Jde o lokalitu kousek za Prahou, ale stále pohodlně dostoupnou autem i příměstskou dopravou. Naši studenti vícedenních kurzů nejsou rozptylováni lákadly velkoměsta a nepřicházejí ráno se zarudlýma očima a vrávoravým krokem. Podařilo se nám najít a upravit velmi příjemný objekt, který mají naši studenti rádi. Tréninky v aréně v Řitce navíc, díky vnitřnímu členění budovy, umožnují během několika minut svolat všechny studenty například do učebny na rychlý briefing. To je praktické, pokud se jim například v nějaké praktické úloze nedaří a je potřeba jim vysvětlit nějaký teoretický aspekt řešené úlohy.
 
V souvislosti s podpisem smlouvy s innogy jste uvedl: „Lidský faktor je stále tím nejslabším článkem v obraně. Firmy si musí uvědomit, že za bezpečnost firemních dat nejsou zodpovědní jen IT profesionálové, a že je nutné se připravovat právě formou intenzivních tréninků. O naši unikátní expertízu v této oblasti se umíme podělit s experty a firemními technology po celém světě.“ Můžete to více konkretizovat?
Jde právě o propojení provozní, fyzické a kybernetické bezpečnosti. Často vidíme, že si provozní experti nerozumějí s IT specialisty, ti zase s pracovníky bezpečnosti a ti pro změnu s gestory výrobních aktiv. Zcela běžně se příznaky kybertického útoku vyhodnotí jako provozní událost – buďto na úrovni helpdesku, údržby nebo řízení provozu – a skutečný problém se vůbec nezačne řešit. My umíme naučit experty různých oborů, jak začlenit koncept kybernetické bezpečnosti do celkové bezpečnostní strategie organizace, do strategie rozvoje společnosti, na operativní úrovni potom komunikaci, koordinaci, součinnost a řízení aktivit ve složitých situacích. Umíme naše klienty naučit bránit se, bránit svá klíčová aktiva.
Navíc, jako jediní v Evropě, máme schopnost propojit trénink týmů kybernetických obránců se zcela unikátními metodami vícerozměrného sociomapování a analýzy sociální dynamiky týmu, který podrobujeme řízené zátěži. Jedná se o metodiku, vyvinutou experty společnosti QED pod vedením světově respektovaného matematika, psychologa a sociologa Radvana Bahbouha. Tyto metody prošly zátěží reálného nasazení, například ve speciálních armádních jednotkách.
 
Jak velký je zájem firem a dalších společností v ČR o Vaše služby?
Mezi naše klienty zdaleka nepatři jen české společnosti. Dá se říci, že dominantními obory pro nás jsou provozovatelé kritické infrastruktury a finanční sektor. Většina našich klientů dbá na ochranu svých bezpečnostních postupů a know-how, proto je povětšinou nemůžeme jmenovat. Ochrana informací našich klientů je pro nás nedotknutelná.
 
Podle jakých kritérií si vybíráte klienty, nebojíte se, že by vaše know-how mohlo být zneužito?
Vzhledem k tomu, že je o nás známo, že se zásadně vyhýbáme pochybným nebo rizikovým zakázkám, již se na nás „podivní“ lidé téměř neobracejí. Pracujeme se společnostmi, které ve svých oborech představují špičku. Téměř všichni naši klienti mají nejrůznější certifikace, včetně bezpečnostních a jsou dlouhodobě známí. Čím citlivější je probírané téma, tím pečlivěji zvažujeme, zda zakázku přijmout. Zatím jsme museli odmítnout jen jednu poptávku a několik dotazů na služby, které by nebylo možné v České republice legálně poskytnout. Česká republika má velmi přísnou legislativu kybernetické bezpečnosti a například skupina kybernetických trestných činů je stíhatelná i exteritoriálně, na rozdíl od některých sousedních zemí.
 
Které podmínky musí splňovat účastníci tréninku?
To je velmi individuální. Máme tréninky pro juniorní i velmi pokročilé experty. Víme, jak připravit trénink pro velmi heterogenní tým, například tým seniorů operačního centra a forenziků společně s úplnými nováčky. Nezbytná je však kázeň a ochota dodržovat pravidla tréninku. Bez těchto ingrediencí se celý vzdělávací proces rozbije.
 
Jsme v Česku dostatečně připraveni na případný střet v kybernetickém prostoru?
Česká republika patří ke světovým premiantům kybernetické bezpečnosti. Přesto, podle našich analýz a zkušeností, to nestačí. Stále vidíme zranitelné systémy bez okamžité provozní náhrady; společnosti, které hloupě sází na to, že nejsou dostatečně atraktivní. Stále se setkáváme s firmami, které neřídí kybernetickou bezpečnost svých dodavatelů a výrobků; se společnostmi a organizacemi, kde typickou reakcí na kybernetickou krizi je běhání po chodbách, mávání rukama nad hlavou a vykřikování sprostých slov. Stále je před námi spousta práce, která musí začít u dětí a končit u kybernetických bojovníků.
 
Na co je třeba soustředit hlavní pozornost, abychom mohli konstatovat, že Česká republika je bezpečnou zemí i z hlediska ochrany kyberprostoru?
Především musíme přijmout myšlenku, že naše společnost je již plně kyberneticky závislá, stejně tak i veřejná správa, průmysl a služby. Musíme pracovat na systematickém vzdělávání dalších generací, které budou žít ve světě ještě zásadnějších kybernetických závislostí. Naše děti učíme jezdit na kole, když očekáváme, že to budou potřebovat. Stejně bychom měli přistupovat ke kybernetické bezpečnosti. Jestliže předškolní děti nejen jezdí na kole, ale i používají tablet nebo elektronické hračky musí vědět, co jim hrozí, pokud nebudou dodržovat základní pravidla.
Česká republika má velmi solidní základ kybernetické bezpečnosti. Legislativa kybernetické bezpečnosti v ČR se svižně vyvíjí. Chybí nám jen legislativa kybernetické bezpečnosti v militárním slova smyslu, ale tam se již také blýská na lepší časy.
V České republice na tom nejsme špatně, ale každý z nás si musí uvědomit, že kybernetický útok na něj nebo jeho firmu má stejný účinek, jako když do něj udeří blesk.