Karel Řehka, ředitel Národního úřadu pro kybernetickou a informační bezpečnost FOTO: Národní úřad pro kybernetickou a informační bezpečnost / se souhlasem
FOTO: Národní úřad pro kybernetickou a informační bezpečnost / se souhlasem
Jaké jsou největší kybernetické hrozby pro Českou republiku, ale i pro běžného uživatele internetu, a jak se jim nejlépe bránit? Nejen na tyto otázky pro deník FORUM 24 odpovídal ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Karel Řehka.
Jaké jsou v současné době největší kybernetické hrozby pro ČR? A jak se vlastně kybernetická bezpečnost naší země v posledních letech proměnila?
Mezi největší hrozby pro kybernetickou bezpečnost ČR patřily v uplynulém roce nově zveřejněné zranitelnosti, ransomwarové útoky a phishing či spear-phishing. Jednou ze změn, kterou jsme zaznamenali, je rychlost, se kterou útočníci zneužívají nově zveřejněných zranitelností. Rok 2021 ukázal, že útočníci se snaží nové a závažné zranitelnosti přidat do své palety nástrojů co nejdříve, aby využili chvíle, než je organizace opraví. Například zranitelnost Log4Shell, která kybernetickým světem otřásla na konci minulého roku, začali útočníci zneužívat už 24 hodin po jejím zveřejnění. To klade větší tlak na organizace a jejich rychlé a systematické řízení zranitelností.
Druhou změnou je kyberkriminální prostředí. Většina ransomwarových útoků, které jsme v minulém roce zaznamenali, byla způsobena ransomwary, které jsou pronajímány jako služba (tzv. RaaS – Ransomware as a Service). Kyberkriminální skupiny svůj kód za finanční obnos nabízejí komukoliv, kdo chce ransomwarový útok provést. Takových útoků tak logicky přibývá, protože je stále jednodušší je uskutečnit. Jedním z typických rysů RaaS se v roce 2021 stalo tzv. double extortion (dvojí vydírání). V daném případě útočníci soubory oběti nejen zašifrují, ale zároveň také exfiltrují. Obětem pak vyhrožují, že pokud nezaplatí výkupné, jejich data zveřejní nebo prodají dále.
Z hlediska schopnosti vynakládat velké zdroje a vést velmi sofistikované útoky samozřejmě mezi nejvážnější hrozby nadále patří i státní aktéři nebo jimi podporované skupiny. Zde se většinou jedná o kybernetickou špionáž, ale v extrémních situacích může jít i o destruktivní útoky na kritickou infrastrukturu státu. V kontextu současného bezpečnostního prostředí v tomto směru nelze nezmínit Rusko. Je to stát, který nás řadí mezi své nepřátele a nijak se tím netají. Navíc je to stát, který vůči nám již v minulosti neváhal vést různé rozvratné aktivity. A v neposlední řadě je to stát, který se v minulosti opakovaně choval v rozporu s principy odpovědného chování států v kyberprostoru, který disponuje schopnostmi vést ofenzivní kybernetické operace a který v minulosti tyto schopnosti neváhal použít. Mezi hrozby pro naši kybernetickou bezpečnost lze zařadit i jiné státy, v kontextu dnešní bezpečnostní situace je ale nutné Rusku věnovat zvláštní pozornost.
Proč jste na počátku února vydali doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice?
Bylo žádoucí vytvořit dokument, který by představil pohled státu na problematiku bezpečnosti dodavatelského řetězce, a poradil tak sektoru v oblasti elektronických komunikací v zabezpečení svých sítí. Ačkoliv stát svou pozici v tomto ohledu již deklaroval a komunikoval – zmínit mohu například Pražské návrhy, které byly výstupem mezinárodní konference v roce 2019, nebo 5G EU Toolbox či Varování NÚKIB proti společnostem Huawei a ZTE z roku 2018 – doporučení takového charakteru v Česku chybělo. Spolu s dalšími partnery z bezpečnostní komunity nyní pracujeme na návrhu mechanismu pro posuzování a omezování rizik spojených s dodavateli do infrastruktury elektronických komunikací, jak nám bylo uloženo Bezpečnostní radou státu na konci loňského roku. Již nyní je patrné, že implementace takového mechanismu bude vyžadovat změnu legislativy, což není proces na několik týdnů, a vydání doporučení má do této doby podat sektoru elektronických komunikací pomocnou ruku a poskytnout mu kritéria, jejichž aplikací je možné navýšit bezpečnost sítí.
Sítě nové generace se stanou páteří společnosti i ekonomiky a je důležité, aby byly budovány na bezpečných základech. Budou na nich závislé služby státu, ale i další kritické služby. Již nyní slyšíme od našich povinných subjektů z jiných sektorů, že na těchto sítích bude jejich chod do nějaké míry závislý. I to je důvod, proč 5G sítím a sektoru elektronických komunikací obecně věnujeme zvýšenou pozornost.
V čem spočívají největší úskalí a výzvy v oblasti zajištění kybernetické bezpečnosti u nás?
V běžném životě mezi největší úskalí patří i přes dílčí zlepšování tradičně nízké povědomí o významu kybernetické bezpečnosti, nízký důraz na zajištění bezpečnosti ve firmách i v osobním životě, dále pak v některých případech zastaralé technologie a další obecné problémy. Nejčastějšími typy útoků zůstávají phishing, podvodné e-maily a skenování vnější sítě. Nové výzvy generují také nové technologie, které přináší změny i v rámci tradičních odvětví.
Při pohledu z úrovně státu za strategické problémy České republiky v oblasti kybernetické bezpečnosti považuji následující čtyři. Zaprvé jsou to nedobudované instituce. Zde mám na mysli především NÚKIB, který je již příliš dlouho stále ve výstavbě a chybí mu schopnosti i kapacity, aby mohl poskytovat adekvátní služby. Zadruhé je to systémová neschopnost státu získat a udržet si minimální kritické množství odborníků na kyberbezpečnost a IT obecně. Zatřetí je to neexistující jednotná bezpečná a odolná ICT infrastruktura pro kritické prvky státu, která by se dala účinně chránit a bránit. Začtvrté je to chybějící legislativa pro posuzování a snižování rizik spojených s dodavateli IT produktů a služeb do strategicky významných systémů státu. Nejedná se o jednoduché výzvy. Na druhou stranu nejde ani o nic, co by se nedalo začít relativně rychle řešit, pokud bude vůle to řešit a věnují se tomu adekvátní zdroje. Pokud chceme budovat prosperující a bezpečnou digitální společnost, budeme to muset vyřešit. Čím později se k tomu odhodláme, tím obtížnější a nákladnější to bude.
Jakým způsobem může NÚKIB proti hrozbám postupovat? Kde jsou jeho hlavní úkoly a v čem spočívá ta nejdůležitější role?
Můžeme o hrozbách informovat a můžeme komunikovat návod k jejich minimalizaci, pokud existuje. To informování může být adresné, tedy směřované konkrétním subjektům, nebo plošné, tedy adresované všem. Můžeme také stanovit povinnost zavést určitá opatření, která hrozby snižují, a po určitých, předem definovaných subjektech také vymáhat jejich splnění. To však vždy záleží na konkrétní hrozbě a konkrétní situaci. Vedle toho také musíte myslet na to, že pokud někomu chcete nařídit nějakou povinnost, musíte vědět, co taková povinnost způsobí, a dát návod, jak ji splnit. To není vždy jednoduché. Pomáháme ale také prováděním auditů, odhalováním zranitelností, penetračním testováním, pomocí při osvětě a vzdělávání, organizací cvičení, vydáváním metodických materiálů, šetřením příčin již proběhlých incidentů, zpracováváním analytických materiálů a dalšími aktivitami.
V extrémních případech, kde to situace vyžaduje a kapacity dovolí, pomáháme také se zvládáním incidentů na místě.
V obecné rovině lze říct, že posláním NÚKIB je posilovat bezpečnost a odolnost České republiky v kyberprostoru. K budování kybernetické bezpečnosti máme národní strategii, kterou schvaluje vláda. Naše Národní strategie kybernetické bezpečnosti pojímá její budování jako celospolečenské úsilí. NÚKIB je ze zákona zodpovědný za tvorbu této strategie a zároveň se snaží být lídrem a hlavním koordinátorem celospolečenského úsilí k jejímu naplňování. To je naše nejdůležitější role.
Rád bych ale připomenul, že NÚKIB vedle této veřejně dobře známé a populární role plní také úkoly spojené s ochranou utajovaných informací v informačních a komunikačních systémech a s kryptografickou ochranou. Tyto a některé další méně známé úkoly jsou neméně důležité a pro bezpečnost státu naprosto zásadní.
Jste spokojen se současným stavem, jakým se NÚKIB po vašem nástupu v březnu 2020 rozvíjí?
Ano i ne. Na jednu stranu se snažím být realista. Vím, že řešení komplexních problémů nějaký čas trvá. Co se samotného NÚKIB týče, jsem vcelku spokojený. Podařilo se nám sestavit koncepci rozvoje a přesvědčit vládu, aby ji schválila. K tomu došlo v srpnu 2020. Od podzimu 2020, tedy za rok a půl, se nám podařilo personálně rozšířit NÚKIB o 40 % a velmi pokročit v budování nemovité a ICT infrastruktury. To vůbec není málo. Věřím také, že se nám kontinuálně daří navyšovat reálný výkon organizace, zlepšovat poskytované služby a naplňovat naše poslání. V dalším rozvoji pokračujeme podle plánu. Strašně moc si vážím podpory, které se nám dostává od ústavních činitelů, partnerů i od veřejnosti, a snažím se, abychom si ji zasloužili. V tomto ohledu jsem spokojený. Navíc na NÚKIB pracuji s řadou úžasných lidí, kteří mi fakt přirostli k srdci. To samo o sobě považuji za štěstí.
Na druhou stranu ale také vnímám problémy, které v budoucnu neodvratně budou mít negativní dopady na bezpečnost České republiky a které se dlouhodobě podceňují a neřeší. Nedobudovaný NÚKIB je jen jeden z nich. Tady to osobně vnímám tak, že je toho pokroku na můj vkus příliš málo a příliš pozdě. Navíc jsou oblasti, kde jsme k nějakému řešení ještě ani nevykročili, a to mě frustruje. Jsem ale nenapravitelný optimista, takže věřím, že nakonec bude dobře.
Před časem byly kybernetickými útoky zasaženy některé nemocnice a zdravotní zařízení. Proč podle vás směřovaly útoky právě do této oblasti? Nešlo jen o jakousi zkoušku před útokem na jiná zařízení?
Útoků na zdravotnická zařízení výrazně přibylo s příchodem koronavirové pandemie. Podle našich poznatků si útočníci nemocnice vybírali záměrně, protože pro ně představovaly jednoduchý cíl s vidinou velkého zisku. Kybernetická bezpečnost bývala v nemocnicích opomíjeným tématem. Finance většinou směřovaly přímo na lékařskou péči, ne do kyberbezpečnostních technologií a odborníků, jakkoliv jsou i oni pro zachování lékařské péče důležití. S příchodem pandemie se navíc nemocnice ocitly v nové situaci, které se musely obratem přizpůsobit. Tlak na jejich neustálé fungování byl vyšší než kdy jindy. Toho využily zejména ransomwarové skupiny, které věřily, že nemocnice v takové situace pravděpodobněji zaplatí výkupné, aby obnovily chod svých systémů co nejdříve.
Jsou některé měsíce z hlediska útoků „oblíbenější“?
Obecně evidujeme menší aktivitu v kyberprostoru v letních měsících, naopak incidentů většinou přibývá v září a na přelomu roku.
Rok 2021 ale jasně ukázal na nový trend, kdy se aktivita útočníků výrazně zvyšuje se zveřejněním nových závažných zranitelností, které postihují velké množství systémů po celém světě. Útočníci se snaží takových zranitelností zneužít co nejdříve, ještě před tím, než je organizace opraví. Nejvýraznějším příkladem byl minulý březen, kdy jsme evidovali rekordních 30 incidentů, z nichž se většina pojila s masivním zneužíváním tehdy nové zranitelnosti MS Exchange Server.
Které útoky jsou podle vás pro běžného člověka nejzákeřnější? A jak se jim bránit?
Pro běžného uživatele pravděpodobně zůstávají nejzákeřnější techniky sociálního inženýrství, mezi něž patří i phishing a spear-phishing. Phishing je jedním z nejčastějších vektorů útoků, čemuž odpovídá i pravidelnost, se kterou se objevuje v našich incidentech.
Některé phishingové zprávy běžný uživatel pozná na první pohled, zejména jsou-li psané lámanou češtinou. Jiné je ale složitější odhalit. Podle incidentů, které evidujeme, jsou podvodné zprávy stále sofistikovanější. Některé z nich se snaží v uživateli vzbudit dojem urgentnosti. Příkladem jsou například phishingy a spear-phishingy ve formě exekutorské výzvy nebo potřeby si změnit přihlašovací údaje. Jindy útočníci podvodné zprávy pošlou v odpovědi na předchozí legitimní komunikaci své oběti, čímž zvýší zdání legitimnosti, a tudíž i pravděpodobnost, že budou ve svém útoku úspěšní.
Vedle technických opatření, která může přijmout samotná organizace, zůstává důležitým aspektem školení samotných uživatelů. Je potřeba, aby uživatelé věděli, jak phishingové a spear-phishingové zprávy vypadají, jaké jsou aktuální triky, které útočníci na své oběti zkoušejí, a tak byli schopni podvodné zprávy odhalit sami v případě, že technická opatření phishing nezachytí.
Každý z nás nemusí být technický specialista. Všichni ale potřebujeme mít základní povědomí o hrozbách v digitálním světě a základní návyky, jak se v něm pohybovat. Tak jako se malé dítě musí ve fyzickém světě naučit přecházet přes silnici, vědět, na co může sahat a na co ne, musíme se v dnešním světě všichni učit pohybu v kyberprostoru. Neměli bychom se toho bát, potřebujeme jen dávat pozor, mít otevřené oči a nebát se učit. I proto se NÚKIB poměrně intenzivně věnuje osvětě a vzdělávání v kybernetické bezpečnosti. Každý, kdo má zájem, najde dostatek výukových materiálů na našem webu, případně nám může zaslat dotaz a my ho nasměrujeme.
Na závěr jedna specifická osobní otázka. Pověstný byl váš loňský běh „Na střechu Česka“, kdy jste v červnu s minimálním odpočinkem uběhl trasu od sochy svatého Václava v Praze až na vrchol Sněžky. Pomáhá vám vaše vášeň pro běh v boji s kyberzločinem?
No, že by ten běh byl pověstný, je trochu přehnané tvrzení. Šlo spíše o osobní výzvu a soukromou akci, super zábavu a dobře strávený čas s rodinou a přáteli. Parťačky z týmu tomu vytvořily facebookové stránky, kde to kamarádi, známí, kolegové a kdokoli jiný mohli sledovat, a tím se to stalo veřejnější. Ale zpátky k otázce. Roky strávené u speciálních sil a v armádě obecně mě naučily, jak moc je udržování fyzické kondice důležité, nejen pro tělesné výkony, ale i pro duševní pohodu, rovnováhu a odolnost. Takže ano, běhání, stejně jako jiné fyzické aktivity, u kterých si člověk vyčistí hlavu a udržuje se fit, je pro mě i moji práci na NÚKIB důležité.
