Karel Řehka: Nejslabší článek kybernetické bezpečnosti je vždycky nepoučený uživatel

 20. 10. 2021      kategorie: Rozhovory

Karel Řehka je ředitelem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) již rok a půl. NÚKIB je ústředním správním úřadem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. S panem generálem Řehkou jsme již jednou, právě v souvislosti s jeho novou funkcí ředitele NÚKIB, vedli rozhovor v květnu minulého roku. Nyní po roce a půl ve funkci ředitele nás zajímalo, co vše se v rámci úřadu odehrálo, jaká očekávání se naplnila nebo jak reagovat na současné kybernetické hrozby, útoky či dezinformace.

Karel_Rehka_9197Foto: Karel Řehka (na snímku) je ředitelem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) již rok a půl. | NÚKIB

Pane generále, již rok a půl působíte na pozici ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). S jakým očekáváním jste NÚKIB přebíral?

S očekáváním spousty práce. Na jednu stranu se za těch pár let existence samostatného úřadu a před tím sekce Národního bezpečnostního úřadu udělalo strašně moc. V mezinárodních cvičeních se ČR umísťovala a stále umísťuje na vrchních příčkách, náš zákon o kybernetické bezpečnosti se stal předlohou podobných norem různě po světě, měli jsme velký respekt řady zahraničních partnerů a obecně se udělala skvělá práce. Jenže řada věcí se v tom rychlém vývoji zatím nestíhala řešit. Úřad neměl - a nutno říct, že stále nemá – dostatek lidí ani optimální nemovitou infrastrukturu, chyběla spousta věcí a hlavně podle mého chyběla jasná vize a na vládní úrovni schválená koncepce, jak má úřad do budoucna fungovat, jaké úkoly má plnit a jaké kapacity k tomu bude potřebovat. Proto jeden z prvních úkolů bylo vypracování koncepce rozvoje úřadu na další léta, kde je přesně specifikováno, co úřad dělá, kam se má dál rozvíjet a kolik lidí a peněz na to bude potřebovat. Tuhle koncepci včetně zdrojového rámce nám schválila vláda a považuji to za jeden z  úspěchů. Kyberbezpečnost a požadavky na NÚKIB se vyvíjí tak dynamicky, že je samozřejmě nemožné přesně předvídat potřeby na léta dopředu. K účinnému rozvoji ale potřebujete nějaký základní výhled, se kterým je pak třeba dále pracovat a aktualizovat ho. To naše koncepce rozvoje plní. V neposlední řadě je třeba dopracovávat a průběžně upravovat vnitřní procesy a schopnosti i kapacity přizpůsobovat bezpečnostnímu prostředí a hrozbám, které se neustále vyvíjí.

Splnila se v rámci řízení NÚKIB Vaše očekávání? Co bylo nejsložitější a co Vás např. překvapilo?

Očekávání jsem už do značné míry popsal v předešlé odpovědi. Dá se říct, že jsem do toho šel s vědomím toho, co mě čeká. Samotné nastartování zmíněných procesů a také vyjednávání s vládou, ministerstvy a partnery nebylo vždy snadné, ale většinou vše skončilo úspěchem. Samozřejmě přišly i situace, na které se dopředu těžko připravíte. Třeba loňská vlna útoků na nemocnice, před kterou jsme vydávali varování, případně letošní odhalení zranitelnosti MS Exchange serveru, které se týkalo řady institucí a bylo třeba je rychle zabezpečit, a vedle toho řada jiných krizových situací Ale i s tím jsme si myslím poradili. Musím říct, že v kritických chvílích jsme vždy dostali podporu a já si toho vážím.

Za poslední rok jsme také museli sehnat, přijmout a začlenit téměř padesát nových pracovníků, což je samo o sobě výzva. Teď už se průběžně chystáme na další rozšíření. Od počátku se také snažím posilovat interní i externí komunikaci úřadu a spolupráci s partnery. V životě asi nic není ideální, ale věřím, že i v této oblasti se nám leccos povedlo.

Nejsložitější na tom všem je asi skutečnost, že budujeme relativně novou organizaci a nové schopnosti, ale vedle toho už musíme denně bojovat s reálnými problémy a hrozbami. Dá se tedy říct, že tak trochu „stavíme letadlo za letu". Každopádně moje očekávání se zatím naplňují.

NÚKIB ale například také zpracovával novou Národní strategii kybernetické bezpečnosti a její Akční plán, vydal řadu upozornění, doporučení, analytických a osvětových materiálů, tvořil nové legislativní a regulatorní normy, podílel se na výzkumu a vývoji, vyslal do zahraničí další zástupce, uspořádal řadu školení a cvičení a mnoho věcí se děje i v ostatních působnostech úřadu, jako například v ochraně utajovaných informací v informačních a komunikačních systémech, v kryptografické ochraně a v budování schopností neveřejné služby globálního družicového navigačního systému Galileo. Práce na NÚKIB je důležitá, pestrá a rozhodně se u ní nenudíte.

V jaké kondici se  NÚKIB  nachází nyní? Je podle Vás personálně a i po odborné stránce ustálen?

To ještě zdaleka není. Zmíněná koncepce plánuje do roku 2027, kdy je předpoklad, že by NÚKIB měl mít 417 zaměstnanců. To je do značné míry dáno předpokládanou kapacitou infrastruktury. Dnes jich máme cca 270. A vývoj rozpočtu úřadu je plánován podobně. Tato čísla odrážejí, co všechno chceme vybudovat a hlavně dobudovat. Navíc již dnes na nás padají další požadavky a potřeby, se kterými jsme původně nepočítali, a je jasné, že ani tento počet nebude dostatečný. Delší časový horizont plánování je dán dvěmi věcmi. Jedna věc je náročnost všech těchto akcí. Adekvátní budovu třeba za rok těžko postavíte. Druhá věc je nedostatek expertů, což je celosvětový problém. I kdybychom nyní dostali všechna tabulková místa, která plánujeme na rok 2027, nemáme je tak rychle kým obsadit. Lidí se nám hlásí dost, ale ne každý splňuje odbornou kvalifikaci a má předpoklady a chuť se dále rozvíjet. I proto jsme rozjeli spolupráci s vysokými i středními školami a chceme ji do budoucna dále rozvíjet. Jednak proto, abychom mohli pozitivně ovlivňovat způsob, jakým se v ČR kybernetická bezpečnost učí. A také proto, abychom mohli být od začátku v kontaktu s novými talenty v oboru. Práci na komplexní strategii, která by pomohla překonat problém kritického nedostatku odborníků na kyberbezpečnost, jsem si stanovil jako jednu z priorit na příští rok. Jedná se totiž o stále nedoceňovaný a urgentní problém strategického významu.

Jak se za poslední dobu vyvíjel kybernetický prostor s ohledem na kybernetické hrozby či útoky?

Počet útoků kontinuálně narůstá a narůstá i jejich sofistikovanost. To je celosvětový trend a naše čísla ho jen potvrzují. Navíc je prakticky jisté, že situace se bude postupně zhoršovat. Čímž se vracím k předchozí odpovědi a zmínce o nedostatku expertů. Když dnes půjdete studovat kybernetickou bezpečnost, rozhodně se nemusíte bát o práci.

Kromě toho jsou tu samozřejmě často zmiňované přelomové technologie, jako je umělá inteligence nebo kvantové počítače. Ani jedno v tuto chvíli nepředstavuje bezprostřední hrozbu, ale vývoj musíme bedlivě sledovat, protože tyto technologie mají potenciál výrazně změnit hřiště, na jakém se nyní pohybujeme.

Odkud hrozby/útoky/dezinformace přicházejí nejčastěji, kdo je jejich nejčastějším šiřitelem a co lze proti tomu dělat?

To je několik věcí naráz. Předně zdůrazním, že dezinformacemi se NÚKIB primárně nezabývá. Slovo „informační" v našem názvu odkazuje na bezpečnost utajovaných informací v informačních a komunikačních systémech. Co se týče kyberútoků, tak velká část z nich pochází zcela jistě od kyberkriminálních skupin. Ty mají motivaci obvykle čistě finanční: například vám ukradnou či zašifrují data a chtějí výkupné za jejich opětovné odemčení nebo nezveřejnění. Jiná je motivace státních aktérů, kteří se zpravidla zaměřují na kyberšpionáž a získávání citlivých informací nejen od státních institucí, ale také třeba výsledků výzkumu v akademické sféře, know-how firem a dalších.

Nicméně v kyberprostoru je extrémně složité určit s jistotou, kdo za útokem či špionáží stojí. Z čistě technických informací to nevyčtete. Teoreticky na vás mohu útočit ze stejné budovy, ale bude to vypadat, že jsem na jiném kontinentu. K přisouzení odpovědnosti za útok konkrétnímu subjektu (tzv. atribuce) jsou nutné i netechnické informace, například poznatky zpravodajských služeb, diplomatické informace, kontextová analýza útoku a další zdroje.

Když jsme se bavili o těch výzvách, tak toto byla jedna z nich. Vybudování národního atribučního mechanismu byl jeden z těch velkých úkolů, které jsou nyní prakticky ve finále. Hlavní roli v přípravě tohoto mechanismu má Vojenské zpravodajství, ale NÚKIB je v něm z logiky věci také velmi významný.

A chránit se proti tomu všemu můžeme jen tak, že budeme kontinuálně posilovat odolnost naší ICT infrastruktury a celé společnosti, budeme budovat schopnosti a kapacity předvídání, detekce a reakce na hrozby v kyberprostoru a budeme v tom jako celá společnost včetně našich spojenců a zahraničních partnerů účinně spolupracovat. Je také důležité vědět, že se jedná o kontinuální a nikdy nekončící proces, nikoli o nějaký cílový stav. A to nejdůležitější je uvědomovat si, že kyberbezpečnost je především o lidech. To nejlepší, co můžeme pro naši bezpečnost udělat, je mít připravený dostatek odborníků a zbytek společnosti disponující základními znalostmi a povědomím.

Domníváte se, že současná osvěta o kybernetické bezpečnosti je v ČR dostatečná nebo máme ještě co dohánět?

Osvěty není nikdy dost a rozhodně nás čeká ještě spousta práce. Jeden z pilířů naší Národní strategie kybernetické bezpečnosti se jmenuje Odolná společnost. Tento pilíř předpokládá postupné budování společnosti, v níž mají všichni dostatečné povědomí o tom, jaké hrozby nás v kyberprostoru ohrožují a jak se jim vyvarovat. Za tím účelem jsme připravili řadu vzdělávacích materiálů, které jsou k dispozici na našem webu. A zároveň jednáme s Ministerstvem školství, mládeže a tělovýchovy o mnohem rozsáhlejších změnách vzdělávacího systému, které by napomohly vzniku zmíněné odolné společnosti. Je to běh na dlouhou trať, ale jiná cesta ke kyberneticky bezpečné společnosti nevede. Nejslabší článek kybernetické bezpečnosti je vždycky nepoučený uživatel, a proto v osvětě nesmíme polevit.

shutterstock_409299112Foto: Nejslabší článek kybernetické bezpečnosti je vždycky nepoučený uživatel, a proto v osvětě nesmíme polevit. | Shutterstock

Působil jste řadu let v AČR, včetně velení 601. skss, máte za sebou řadu zahraničních misí. Co lze nyní, s faktickým pádem Afghánistánu, podle Vás očekávat? Může současná či budoucí situace v Afghánistánu ovlivnit naše domácí bezpečnostní prostředí, včetně kybernetického prostoru?

Aktuální dění v Afghánistánu je na hony vzdálené tomu, čím se nyní zabývám, takže se k němu nechci příliš vyjadřovat. Myslím si ale, že na komplexní hodnocení je ještě příliš brzy, k tomu nám zatím chybí spousta informací. V dnešním globalizovaném světě nás samozřejmě může situace v jakémkoli citlivém regionu, kde se navíc protínají různé zájmy regionálních i globálních mocností, ovlivnit. Stejně tak platí, že to, co se odehrává v dnešním fyzickém světě, se projevuje i v kyberprostoru, a naopak.

Vnímáte rozdíl mezi velením armádní složky a řízením civilního úřadu jako je NÚKIB?

V řadě věcí je to samozřejmě velmi odlišné, v řadě věcí je to ale také dost podobné. Práce s civilními zaměstnanci vyžaduje často jiné jednání. Musíte mnohem více přesvědčovat a mnohem méně nařizovat. To platí uvnitř, ale také vně organizace. Nejde ale jen o to, že je NÚKIB civilní organizace. Jde také o to, že na rozdíl od velení vojenské jednotce či složce řídíte ústřední správní úřad, pracujete s jinými působnostmi podle jiných právních norem, máte samostatnou kapitolu ve státní rozpočtu a existují mnohé další rozdíly. Vojenská jednotka či armádní složka bývá navíc více monolit a většina lidí má podobné zkušenosti a background. NÚKIB je v tomto asi různorodější, v poměrně malém kolektivu tu pracuje mnoho různých vysoce specializovaných odborností a osobností. Na rozdíl od armády jsme mladá organizace, takže spoustu věcí teprve nastavujeme a hledáme cesty. To má svoje potíže, ale mnohdy je to také výhoda.

Na druhou stranu je NÚKIB také bezpečnostní instituce a je součástí stejného bezpečnostního systému státu. Jsme také orientováni na hrozby a rizika, musíme je umět analyzovat, připravovat se na krize a umět je řešit. Musíme také plánovat a řešit přípravu a výcvik lidí. Stejně tak jako v armádě, je NÚKIB především o lidech. Je jedno, jestli velíte vojenské jednotce, nebo řídíte NÚKIB. Pokud chcete uspět, pořád musíte být lídr, musíte pracovat s lidmi, rozvíjet je, musíte se snažit jim rozumět, sloužit jim, budovat tým, přesvědčovat je o cílech, ukazovat jim cestu a motivovat je. Pokud jste byl voják a jste ředitel NÚKIB, musíte si taky uvědomovat, že to nejsou vojáci. NÚKIB je skvělý tým lidí, kterým jde o věc a kteří tou prací často žijí. Tak jsem to měl i v armádě, tohle je stejné.

Jak hodnotíte rozsah a formu dosavadní spolupráce mezi NÚKIB a Velitelstvím kybernetických sil a informačních operací (VeKySIO) či Centrem proti terorismu a hybridním hrozbám?

S VeKySIO určitou míru spolupráce máme již nyní. To se bude v budoucnu určitě dále rozvíjet tak, jako se postupně rozvíjí i toto nové velitelství. V naší běžné činnosti při ochraně ČR proti hrozbám v kyberprostoru je pro nás v mírovém stavu primárním partnerem především Vojenské zpravodajství a jeho Národní centrum kybernetických operací, které má ze zákona odpovědnost za kybernetickou obranu ČR. VeKySIO je zaměřené především na ochranu vojenských systémů a působení ve vojenských operacích. Máme ale mnoho společných zájmů a styčných ploch, kde je vzájemná spolupráce žádoucí. Může se jednat o vzdělávání a výcvik, informační podporu, výzkum a vývoj, sdílení některých schopností, výměnu zkušeností a další. To, že se nejen na úrovni nejvyššího vedení často osobně známe a důvěřujeme si, tomu navíc pomáhá.

S Centrem proti terorismu a hybridním hrozbám spolupracujeme při řešení některých projektů, ale naše zaměření je primárně na zajištění důvěrnosti, integrity a dostupnosti dat a informací. Jejich obsah zkoumáme jen do té míry, jak to souvisí s naší působností. Obsah informací, jejich vyhodnocování z hlediska dezinformací a působení cizího vlivu jsou zase doménou CTHH. Na poli hybridních hrozeb je třeba ale všechny poznatky dávat dohromady, vyhodnocovat je v celkovém kontextu a koordinovat reakci ve všech oblastech. Tady samozřejmě s CTHH, stejně jako s dalšími bezpečnostními složkami, spolupracujeme.

Gen. Karel Řehka

Vojenská kariéra generála Řehky je úzce spjata se speciálními silami, kde se vypracoval od velitele skupiny 6. speciální brigády, přes velitele skupiny leteckých návodčích, až po velitele 601. skupiny speciálních sil, kde působil v letech 2010 – 2014. V roce 2011 se stal velitelem Úkolového uskupení speciálních sil ISAF v Afghánistánu. Od listopadu 2014 do července 2017 zastával post ředitele na nově založeném Ředitelství speciálních sil Ministerstva obrany ČR. Ředitelem NÚKIB je od 20. března 2020.

 Autor: Michal Pivoňka

Spolupracujeme sCZ- LEXCZ - AOBP