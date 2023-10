„Dochází k DDoS útokům proti izraelským úřadům a k propagaci narativu Hamásu,“ popisuje Lukáš Kintr. „Kyberprostor nerespektuje geografické hranice a zajištění jeho bezpečnosti je o spolupráci,“ dodává čtyřiatřicetiletý ředitel kyberúřadu. I proto měl tento týden jednat se svým izraelským protějškem, delegace ale kvůli útokům Hamásu nedorazila. V rozhovoru pro iROZHLAS.cz popsal také svůj první rok ve funkci i chystaný kyberzákon a jeho dopady. Rozhovor Praha 7:00 14. října 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít „Pokud je váš přístup racionální, tak už dnes kybernetickou bezpečnost řešíte. Pak se pro vás příliš nezmění,“ říká o chystaném kyberzákonu Lukáš Kintr | Foto: René Volfík | Zdroj: iROZHLAS.cz

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) má svého vyslance, takzvaného cyber attaché, také v Izraeli. Neplánujete ho stáhnout kvůli konfliktu, který tam minulý týden propukl?

Jsme s ním v kontaktu. Je tam vyslaný i s rodinou a naší snahou je pro ně zajistit bezpečí, to mě v tuto chvíli zajímá nejvíc. Zatím ho stahovat neplánujeme. Konflikt začal překvapivě a vyvíjí se z hodiny na hodinu, sledujeme to.

Říkáte, že začátek konfliktu, tedy útok teroristické organizace Hamás na Izrael, byl překvapivý. Nešlo ale jeho náznaky pozorovat v kyberprostoru ještě před fyzickým útokem?

Samozřejmě že i tento konflikt má kybernetickou rovinu. My jsme nic takového nezaznamenali, to ale neznamená, že se to nestalo.

Z informací, které máme, víme, že ze strany Hamásu dochází k DDoS útokům (zahlcení webových stránek, k poškození nebo úniku dat nedojde, web se ale jeví uživatelům jako nedostupný – pozn. red.) proti izraelským úřadům, dále také k propagaci narativu Hamásu na internetu. Otázkou je, co ukáže čas, protože ne všechny věci v informačním prostoru jsou dnes jasné.

Kromě Izraele, Bruselu a Washingtonu má NÚKIB nově, od 1. října, svou kancelář také v australské Canbeře. Proč zrovna tam?

Je to pozice, o kterou jsme dlouhodobě usilovali, její otevření se chystalo několik let. Naše kolegyně Veronika Kolek Netolická bude mít na starost celou oblast Indo-Pacifiku.

V tomto regionu jsme jednou z prvních evropských zemí, která pozici otevírá. Dává nám to náskok v navazování partnerství a úzké spolupráce s místními autoritami v oblasti kyberbezpečnosti.

Region Indo-Pacifiku je pro nás zajímavý v mnoha ohledech. Na aktéry v kyberprostoru se dívá z jiné strany a aktivně je vnímá, protože jsou geograficky blízko.

Zároveň ale kyberprostor nerespektuje geografické hranice a zajištění jeho bezpečnosti je o spolupráci.

Chystáte se otevřít pozici cyber attaché ještě v nějaké další zemi?

Jsme spokojení a teď to neplánujeme. Zvažujeme ale, jak přistoupíme jakožto autorita v kybernetické oblasti k obnově Ukrajiny. Je možné, že tam bychom svého zástupce vyslat mohli. Ale teď to není na stole, protože obnova Ukrajiny souvisí s tím, že konflikt musí mít nějaké řešení.

Rychlá změna



Ředitelem NÚKIB jste se stal neplánovaně loni na začátku července, kdy váš předchůdce Karel Řehka nečekaně skončil, aby se ujal funkce náčelníka generálního štábu české armády. Jaký byl váš první rok?

Změna byla neplánovaná a rychlá. Zejména začátek rychlost ovlivnila. Současně k té změně došlo ve chvíli, kdy odstartovalo české předsednictví v Radě Evropské unie. V původních záměrech předsednictví jsem měl mít úplně jinou roli. Ale i díky skvělému týmu kolegů, kteří se na předsednictví dlouhodobě připravovali, se to podařilo zvládnout.

Prováděl jste po svém nástupu nějaké velké změny, třeba personální?

Tím, že jsem byl ve vedení týmu už předtím (Kintr byl náměstkem ředitele NÚKIB – pozn. red.), tak jsem celou řadu věcí měl možnost ze své pozice ovlivnit. Spíš jsem chtěl pokračovat ve věcech, o kterých jsme se ve vedení déle bavili, byly nachystané, ale nedokončené.

Jste s Karlem Řehkou v kontaktu? Stalo se vám za ten rok, že jste si k němu šel třeba pro radu?

Jsme v úzkém kontaktu a moc si toho vážím. Za dva roky ve funkci odvedl ohromný kus práce, za to bych mu chtěl ještě jednou poděkovat. Rozhodně na nás nezapomněl. Ačkoliv má teď jiné zaměření, tak oba vyhledáváme příležitosti pro spolupráci.

Kdo byl aktivní, má výhodu

Co vás nyní hodně zaměstnává, je příprava nového zákona o kybernetické bezpečnosti. Ten aktuálně platný, deset let starý, přestal stačit. Můžete shrnout, co v novém zákoně bude?

Návrh zákona vznikl z několika důvodů. Jednak jsme využili deseti let zkušeností, které máme s aktuálně platným zákonem o kybernetické bezpečnosti. To jsme se snažili do nového zákona promítnout, aby fungoval lépe.

Nejobsáhlejší částí nového zákona je transpozice evropské směrnice NIS2, která přináší asi nejvýraznější změnu ve skokovém nárůstu regulovaných institucí. Z aktuálních čtyř stovek se posuneme nejméně k šesti tisícům.

Co je to směrnice NIS2? Směrnice Evropského parlamentu a Rady přináší změny do zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již nyní podle aktuálního zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Ze 400 subjektů se povinnost rozšíří na celkem šest tisíc subjektů. NÚKIB spustil speciální web věnovaný této změně.

Nejtřaskavější a nejvíc připomínkovaná je třetí část, která řeší prověřování bezpečnosti dodavatelských řetězců. Ty nejpřísnější podmínky bude muset splňovat jen zhruba asi 150 subjektů a u nich navíc jen nějakých částí systému.

Půjde o organizace, které jsou zásadní pro chod společnosti: telekomunikace, systémy pro platby nebo pro distribuci elektrické energie.

Za přípravou tohoto mechanismu je pět let intenzivní práce. Je to také plod varování před používáním softwaru i hardwaru společností Huawei a ZTE, které NÚKIB vydal v roce 2018.

Pokud bych byla majitelkou firmy, jak zjistím, že se mě nový kyberzákon týká?

Doporučuji jít na náš web, který jsme v souvislosti s transpozicí evropské směrnice NIS2 spustili. Tam jsou v dokumentech tabulky, kde to najdete.

Pokud zjistím, že ano, že nově bude moje firma jedním z takzvaných regulovaných subjektů, co budu muset udělat?

Je těžké dát obecnou odpověď, protože klíčové je, jak ke kybernetické bezpečnosti dnes přistupujete. Pokud je váš přístup racionální, tak už dnes kybernetickou bezpečnost řešíte.

Pak se pro vás příliš nezmění. Jen budete muset nastavit komunikační linky směrem k NÚKIB, abychom měli jasné, kam se máme obrátit, pokud chceme odvrátit nějakou hrozbu. Také budete mít povinnost nám hlásit kybernetické incidenty.

Bude mě to jako firmu stát více peněz?

Je to nová regulace, která s sebou vedle nové povinnosti nese i nové náklady. Pokud kybernetickou bezpečnost dnes podceňujete a neřešíte, tak to přinese řadu změn a s tím i finanční náklady. Budete muset nově zavádět bezpečností opatření.

Na druhou stranu, pokud jde o bezpečnost dodavatelského řetězce, máme v živé paměti, co se dělo v oblasti energetiky po invazi Ruska na Ukrajinu, kdy jsme se ze dne na den potřebovali zbavit nevýhodné závislosti na ruské ropě a plynu. Všichni víme, kolik to stálo úsilí, peněz a pod jakým časovým tlakem se to dělo.

Nechceme dopustit, aby se vybudovala podobně nezdravá závislost na dodavatelích konkrétních technologií.

Nový kyberzákon bude znamenat více práce i pro vás. Tím, že se zvýší počet regulovaných subjektů, budete i vy potřebovat více lidí, kteří je budou kontrolovat. Kolik lidí budete nabírat?

Odhadem půjde o desítky lidí, pokud jde o směrnici NIS2. Pokud jde o bezpečnost dodavatelských řetězců, půjde maximálně o nižší jednotky lidí.

Kde je vezmete? Máte navázanou spolupráci třeba s univerzitami?

Všeobecně se snažíme podporovat, aby k nám lidé chodili na stáže. To se dlouhodobě ukazuje jako cenný zdroj nových zaměstnanců, kteří k nám po dokončení školy nastoupí. Snažíme se ale rozvíjet spolupráci také se středními školami.

Zatřese dnešní společností

Váš úřad pověřila vláda vybudováním české části evropské kvantové komunikační sítě. Mohl byste jednoduše shrnout, co to je?

Velmi zjednodušeně, tím pádem i trochu zkresleně: jak se posouvá výpočetní výkon všech počítačů, dosahujeme skokové změny v tom, co nám počítače budou umožňovat.

Na to musíme reagovat v oblasti zkapacitnění sítí, aby výpočetní výkon bylo možné využít při komunikaci na internetu, při sdílení velkých dat a tak dále.

„Nechceme dopustit, aby se vybudovala podobně nezdravá závislost na dodavatelích konkrétních technologií,“ říká Kintr | Foto: René Volfík | Zdroj: iROZHLAS.cz

Jednou z velkých výzev je zajistit bezpečnou komunikaci odolnou vůči ohromnému výpočetnímu výkonu tak, aby nebylo možné narušit stávající šifrovací algoritmy, na kterých bezpečná komunikace stojí.

Jsou odolné a spoléhají na to, že nikdo nemá v reálném čase dostatečný výpočetní výkon, aby šifru prolomil a dostal se k obsahu komunikace.

K tomu by měla kvantová infrastruktura sloužit, abychom si zvládali rychle vyměňovat šifrovací klíče, čímž dojde ke znemožnění prolomení šifry.

Kdo to prakticky využije?

Jakákoliv instituce, která bude stát o bezpečnou komunikaci. V nějaké formě také jednotlivci. Například když se dnes připojujete k internetovému bankovnictví, spoléháte na to, že komunikace mezi vaším počítačem a serverem banky je šifrovaná, že nikde po cestě neunikne vaše heslo.

Pokud dojde k masivnímu rozšíření tak výkonných počítačů, že bude pro útočníka realizovatelné narušit tuto komunikaci, tak to zcela zatřese s nastavením dnešní společnosti, protože najednou nebude bezpečné používat internetové bankovnictví. Na to se musíme nachystat.

Když to půjde dobře, kdy bude česká část v provozu?

Mezi lety 2026 a 2027 by evropská kvantová komunikační infrastruktura měla být v provozu.

Na konci října čeká zástupce NÚKIB cesta do amerického Bílého domu, kde proběhne setkání International Counter Ransomware Initiative. O co jde?

Je to iniciativa, do které jsme zapojeni dlouhodobě. Má za cíl sjednotit napříč státy přístup k ransomwaru (typ kybernetického útoku, při kterém dojde k zašifrování dat oběti, útočník za jejich zpřístupnění požaduje výkupné – pozn. red.). Ransomware je výzva po celém světě. Sdílíme tam zkušenosti a dobré příklady z praxe.

Snažíme si z toho vzít, co je pro nás na národní úrovni relevantní, a zvyšovat také povědomí o tom, jak se s ransomwarem vypořádat.

Co doporučujete: výkupné útočníkům platit, nebo neplatit?

Za nás rozhodně neplatit. Dobré je spolupracovat s NÚKIB i policií.

Na závěr by mě zajímalo, jestli Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) může zavolat jakákoliv firma nebo instituce, která je pod kyberútokem, a vy jí pomůžete?

Rozhodně ano, snažíme se být co nejvíce nápomocní. Když to dává smysl a instituce o to stojí, jsme schopní poslat naše kolegy přímo na místo.

Navíc nemusí jít ani o regulovaný subjekt (firmu či instituci, která spadá pod zákon o kybernetické bezpečnosti, v současnosti jich je přibližně čtyři sta – pozn. red.). I to nám zákon o kybernetické bezpečnosti dovoluje, pokud na to máme v danou chvíli kapacity.

Byl to případ i benešovské nemocnice, kterou na konci roku 2019 napadli hackeři. Strávili jsme tam více než čtrnáct dnů v kuse.

Nový zákon o kybernetické bezpečnosti NÚKIB připravuje nový zákon o kybernetické bezpečnosti, v nejbližší době ho projedná legislativní rada vlády. Pokud vše půjde dobře, začně platit na podzim 2024. Zákon je potřeba přepsat kvůli „přenosu“ evropské směrnice NIS2. Ta rozšíří počet subjektů, na které bude NÚKIB dohlížet – ze současných čtyř stovek na šest tisíc. Kromě toho díky novému zákonu si Česko bude moci pohlídat bezpečenost dodavatelských řetězců, tedy to, jaké firmy pustí do své nejkritičtější infrastruktury. Pod tuto nejpřísnější regulaci bude spadat přibližně 150 subjektů, například telekomunikace či elektrárny.