Jako ICT ředitel NBÚ jste byl u implementace řešení pro behaviorální analýzu sítě, které je jakousi nadstavbou monitoringu datových toků. Tato moderní technologie umožňuje automaticky analyzovat provoz v síti a odhalovat nežádoucí aktivity. Rozšířena je především v USA, co vedlo Národní bezpečnostní úřad k nasazení takovéhoto řešení?

Řešení jsme implementovali asi před dvěma lety. Chtěli jsme především posílit bezpečnost internetové sítě a optimalizovat provoz. Tím pádem bylo potřeba zjistit, co se v síti děje. V té době jsme přitom neměli žádné robustní řešení, SIEM (technologie pro analýzu bezpečnostních incidentů v reálném čase – pozn. red.), síťové prvky, které by dokázaly provoz na síti monitorovat. Přemýšleli jsme tedy nad tím, jak to udělat. NBA určitě nebyla jedinou zvažovanou variantou, nicméně vyšla nám jako optimální a nyní má ve skládačce řešení posilujících bezpečnost své místo. Umožnilo nám to hlavně poznat, co vše se v naší síti děje a jaké anomálie se zde vyskytují. To, že jsme schopni rozpoznat charakter datových toků, má zároveň nezanedbatelný vedlejší efekt – začaly jsme totiž dělat měsíční analýzy a vyhodnocení, díky kterým následně provoz v naší síti optimalizujeme.

Dodavatelé těchto řešení často zmiňují jako výhodu snadnost a rychlost nasazení NBA. Jiné věc je následná údržba systému...

Udržování aktuálního řešení není problém. Práce ale samozřejmě neskončila s implementací. Část provozu jsme byli schopni identifikovat a odladit na začátku, říct který je povolený a který ne. O části provozu však na začátku nevíte, je tedy potřeba systém naučit, jak se ke konkrétním incidentům postavit. Jak už jsem říkal, děláme měsíční zpětné analýzy, při kterých obvykle najdeme jednotky případů, se kterými následně pracujeme. Správce pak musí přijít, dohledat zdroj a říct, zda to je, či není povolené. A to není při dnešní hypertextové komunikaci na internetových stránkách jednoduché.

Jak hodnotíte bezpečnost systémů veřejné správy a potenciál pro nasazování NBA?

Když jsme pro vládu vyhodnocovali dotazníkové šetření, kde jsme na úřadech mapovali zabezpečení jejich kritických informačních systémů, překvapilo nás, že dopadlo poměrně dobře. Původně jsme očekávali horší stav. Zabezpečení je samozřejmě třeba vždy potřeba vnímat v rámci konkrétní sítě. Je jasné, že úřad v malé obci o čtyřech, pěti počítačích nebude nasazovat složité řešení na bázi behaviorální analýzy. Důvodem nejsou jen peníze, ale i smysluplnost takového kroku. Na druhou stranu, u větších systémů je výhodou takové sofistikované řešení použít.

Smysluplnost nasazení různých bezpečnostních mechanismů je samozřejmě dána i výší potenciálního rizika pro daný systém. Jak aktuální jsou podle vás hacktivistické hrozby v oblasti systémů veřejné správy a v oblasti soukromých provozovatelů kritických infrastruktur?

Myslím si, že každá hrozba je důležitá a je třeba se jí náležitě věnovat. Když někdo provede DDoS útok na stránky vlády, není to nic veselého a musí se to řešit. Pokud ale někdo odstaví, dejme tomu informační systém nemocnice, která potom nemůže přijímat pacienty, jsou důsledky mnohem horší. Takové případy se stávat nesmí. Podceňování útočníka by se nám nemuselo vyplatit. Když v ringu prohraji s profesionálním mistrem v těžké váze, je to prohra, která netěší, ale když mne porazí amatér z ulice, mrzí to o to víc. V tom je jediný rozdíl. Pořád je to ale prohra, a my nechceme prohrávat a budeme pro to dělat maximum.

Dostávat informace a nezrazovat zdroje

Vláda v roce 2011 pověřila NBÚ přípravou tzv. kybernetického zákona. Ten by měl ošetřovat oblast zabezpečení systémů kritické informační infrastruktury, a to jak pod správou státních, tak privátních subjektů. Proč nebyl tento zákon, který by měl být metodickou podporou při řízení bezpečnostních incidentů, například systémů ISVS, připraven dříve?

Co se týče včasnější přípravy zákona, nějaké pokusy zde byly, ale nikdy se to nedotáhlo do konce. Podle mě chyběla obecná podpora, která dnes v podmínkách našeho úřadu je, a to zejména v osobě ředitele NBÚ pana Navrátila, který se o převod kompetence k nám zasadil a kybernetickou bezpečnost chápe jako jednu z důležitých priorit tohoto úřadu i státu. K tomu, aby to vše mohlo bezvadně fungovat zejména na úrovni státu, je pochopitelně nezbytný právě připravovaný zákon.

Jaké přínosy by měl zákon přinést subjektům provozujícím kritickou informační a komunikační infrastrukturu?

Přínos zákona vidím mimo jiné ve standardizaci. Měl by dát minimální a optimální standardy, které budou muset subjekty provozující kritickou infrastrukturu splnit. Standardy, na kterých zákon staví, vycházejí z toho nejlepšího, co je aktuálně na trhu dostupné, například z mezinárodních ISO norem, především řady 27 000, nebo best practices velkých mezinárodních firem jako Cisco, Microsoft a dalších. Standardizace ale nebude jediným přínosem. Subjekty budou úřadu sdělovat kontaktní údaje pro řešení problematiky kybernetické bezpečnosti a udržovat je aktuální. Budou na základě zákona řešit incidenty ve svých sítích nebo kontrolovat, zda problém, který se vyskytl v jiné síti, se nevyskytuje i u nich. To souvisí s důležitou ambicí Národního centra kybernetické bezpečnosti, kterou je fungování jako jakýsi informační HUB. Samozřejmě za podmínek ochrany zdroje informace a sdílení pouze nezbytných technických detailů.

Zákon by se měl dotknout vedle státních provozovatelů kritických informačních sítí také soukromých poskytovatelů elektronických komunikačních služeb a sítí. Tedy především operátorů, providerů, ale také bank. Vybrané subjekty budou mít povinnost reportovat své bezpečnostní incidenty národnímu, respektive vládnímu CERTu (Computer Emergency Responce Team), u jiných bude tato možnost dobrovolná. Celý systém přitom bude smysluplný, pokud se do spolupráce zapojí co nejvíce subjektů. Jak toho docílit?

Klíčovým prvkem je důvěra. Je zřejmé, že pokud by nám například některá banka nahlásila bezpečnostní incident a my zveřejnili její jméno, poškodí to její pověst na trhu. A to rozhodně není náš zájem, protože do budoucna by si takový subjekt spolupráci určitě rozmyslel. Jde o to dostávat informace a nezrazovat zdroje. V rámci předcházení bezpečnostním incidentům tak budeme šířit jen technické informace. Myslím si, že ze strany komerčních subjektů, které budou muset povinně reportovat své incidenty, ale i těch, pro které to bude nepovinné, je vůle se dohodnout

Již jste zmínil Národní centrum kybernetické bezpečnosti. Jeho sídlo roste v Brně, dokončeno by mělo být v roce 2015. Jakou roli bude mít v rámci institucí starajících se u nás o bezpečnost?

Centrum kybernetické bezpečnosti je organizační složkou NBÚ. Pro veřejnou správu a kritickou infrastrukturu budeme klíčovým partnerem při řešení a prevenci incidentů. Pokud tedy například dojde k nějakému problému a postižený subjekt nám jej nahlásí, pomůžeme v rámci našich možností s jeho řešením. Současně budeme o incidentu informovat ostatní partnery, a pokud budeme znát možné řešení, sdělíme i to. Znovu podotýkám, že tato informace bude očištěna o konkrétní identifikaci příslušného subjektu. Zároveň však nebudeme direktivně stanovovat, co má kdo jak dělat. Obecně prosazujeme myšlenku individuální odpovědnosti. Pokud tedy budeme například chtít po úřadech, aby prováděly analýzu bezpečnostních rizik, nebudeme určovat, jaké řešení a od kterého výrobce mají nasadit. Každý subjekt to musí vyhodnotit sám vzhledem ke svému systému.

Komu budou organizace veřejné správy a komerční subjekty reportovat incidenty a která instituce bude vydávat doporučení a protiopatření?

Součástí centra bude pracoviště vládního CERTu a tomu budou zmíněné subjekty reportovat, předpokládám, že elektronickou formou. Vydávat doporučení nebo protiopatření pak budeme jak z úrovně centra, tak i úřadu.

Lukáš Dolníček