Éra neviditelných kybernetických válek již začala

Tomáš Pojar, český diplomat, bezpečnostní analytik a prorektor Vysoké školy Cevro Institut hovoří v rozhovoru o novém fenoménu moderní doby: kybernetické útoky na kritickou infrastrukturu státu i komerční firmy. Podle něj je dnes ideální čas pro budování obrany proti  kyberatakům.

Pojar

Unikátní výcviková aréna je v Čechách

Veřejnost vás zná jako ředitele humanitární organizace či diplomata. Méně již jako bezpečnostního experta…
Já jsem se posledních 25 let pohyboval v oblasti nejrůznějších válčišť a v nejrůznějších krizových oblastech světa, ať už jako humanitární pracovník, novinář, diplomat, bezpečnostní expert. Konflikty a války a nejrůznější bezpečnostní krize jsem zažil na vlastní kůži a odtud vychází moje znalosti. Navíc jsem prožil téměř 7 let života v Izraeli, který je "laboratoří" na bezpečnost "par excellence" v celosvětovém měřítku. Mé zkušenosti proto také hodně vycházejí právě z izraelské reality.

V současnosti v Česku pomáháte při realizaci poměrně unikátního projektu v rámci Evropy. Mohl byste tento projekt stručně popsat?
Izrael nejenom že válčí ve válkách konvenčních, ale je samozřejmě napadaný i ve válkách kybernetických, a to už po dlouhou dobu. Izrael díky nutnosti se účinně bránit a zároveň díky obrovským investicím státu je prostě na poli kybernetické bezpečnosti světovou velmocí bez ohledu na to, že má pouze 8,5 milionu lidí. Nyní se podařilo část izraelského know-how přenést k nám prostřednictvím kybernetické výcvikové arény společnosti CyberGym Europe nedaleko Prahy. Ta bude sloužit nikoli jenom pro Českou republiku, ale pro Evropu. Aréna umožňuje využít zkušeností z obrany izraelské kritické infrastruktury vč. energetického sektoru, kam kromě výroby a distribuce elektřiny patří i ropný a plynárenský průmysl.

Školil CyberGym už nějaké zástupce nebo odborníky z českých firem?
Celá řada firem z Evropy, především z energetiky, průmyslu a finančního sektoru byla již vycvičena v aréně v Izraeli. Školily se tam i některé české subjekty, většina však čeká, až bude otevřena aréna přímo tady, protože to pro ně bude dostupnější a určitě i levnější. Aréna se staví v Řitce u Prahy a naplno bude spuštěna 1. června, s tím, že teď tam probíhá pilotní ověřování systémů a dva měsíce otevřených dveří.

Stojíme na prahu kybernetické války?

Existuje v současné době pro oblast střední Evropy reálné nebezpečí sofistikovaného kybernetického ataku?
Jsem přesvědčen o tom, že takové nebezpečí existuje a dokonce si myslím, že by škodlivý útok nemusel být až tak sofistikovaný, protože současné systémy prostě nejsou připraveny. Na druhou stranu je pravda, že Česká republika naštěstí neleží na frontové linii. Musíme dnes nicméně sledovat, co se děje nejen v Izraeli nebo v USA, ale i jinde v Evropě, ve Velké Británii, Německu a třeba i na Ukrajině a v Rusku. Podle toho můžeme odhadovat, jaký útok a jakým způsobem pravděpodobně přijde i k nám. Z geografického hlediska se útoky na energetickou nebo průmyslovou infrastrukturu našim hranicím přibližují, a zároveň jsou čím dál tím sofistikovanější.

Byly v nedávné historii vedeny kybernetické útoky proti petrolejářským firmám?
Jeden z největších útoků byl veden na saudsko-arabské ARAMCO, který vyřadil na více než 10 dní celou počítačovou síť společnosti a v důsledku i produkci. Škody dosáhly miliard dolarů. Častější jsou útoky na elektroenergetiku, nedávno v Brazílii, USA, poslednímu velkému útoku čelili na Ukrajině. Odehrávají se i drobnější útoky na infrastrukturu v západní Evropě, ale naštěstí zatím o žádný masivní útok nešlo. Což neznamená, že přijít nemůže. Naopak, z vývoje ve světě se dá usuzovat, že se útokům na energetickou infrastrukturu nevyhneme.

To zní, jako kdyby byla za rohem kybernetická válka. Je podle vás kybernetická válka efektivnější než ta běžná, vedená konvenčními zbraněmi?
Já bych to řekl jinak. Každá současná válka vedená konvenčními zbraněmi je zároveň vedená i v kybernetickém prostoru. Kybernetická válka současnosti je nedílnou součástí válek jako takových. K tomu, že se v minulosti bojovalo na zemi, ve vzduchu a na moři, teď přibyl čtvrtý rozměr, a to je právě kybernetický prostor. Éra kybernetických válek a kybernetického soupeření již začala. Velký kybernetický konflikt, pokud k němu dojde, nebude samostatnou válkou, ale bude součástí nějakého širšího konfliktu.

Kritické místo: lidský faktor

Kdo jsou ti útočníci? To už asi nejsou jen nějací studenti, kteří se předhánějí, kdo umí lépe hackovat...
Útočníky mohou být jednotlivci, kteří se předhánějí v tom, co kdo dokáže napadnout. Mohou to být i nejrůznější aktivisté. Například v USA vláda Spojených států každoročně vyhlašuje největšího znečišťovatele ovzduší a vždy pro jistotu "vítězi" oznámí výsledek dopředu. Nikoli kvůli tomu, aby se mohl dobře mediálně bránit, ale protože vědí, že ve chvíli, kdy žebříček znečišťovatelů bude zveřejněn, tak na něj okamžitě bude následovat masivní útok "zelených" ideových hackerů.
Útočníky mohou být také zhrzení bývalí zaměstnanci, stejně tak to může být i konkurence nebo prostí zloději i sofistikovanější kriminální bandy. Nebo to mohou být nějaké cizí státy, které mají zájem na oslabení kritické infrastruktury jiného státu. Pravdou samozřejmě je, že schopnosti států, které do kybernetické obrany i útoku systematicky investují, jsou výrazně větší než schopnosti jednotlivců.

Zde se ale už bavíme o takzvaných sofistikovaných útocích?
Záleží na tom, jak dobrá je obrana. Čím je lepší, tím více musí být útok sofistikovaný. Státy mají možnost uvolnit obrovské množství peněz, know-how a lidí, mají nepoměrně větší možnosti než jednotlivci. Ale určitě i jednotlivec, jednotlivý aktivista nebo zloděj může způsobit poměrně velké škody, a nemusí se rozhodně jednat o sofistikovanou aktivitu nepřátelského státu. Vždy záleží na konkrétní firmě a konkrétním útočníkovi, na jeho motivech, na tom co a jak chce dosáhnout. Znáte-li vlastní nepřátele, můžete se vždy lépe bránit. A zároveň víte, komu útok můžete vrátit.

Útok může být veden ve formě elektronického útoku prostřednictvím IT, ale pro překonání bezpečnostních opatření je podle mně nezbytný živý člověk působící ve struktuře napadeného subjektu.
Existuje celá řada studií ve světě, které ukazují obrovské množství útoků a škod způsobených vlastními současnými nebo bývalými zaměstnanci. Ať již se na útoku podílejí vědomě nebo nevědomě. Některé ty studie hovoří o 55 %, jiné o 72 a některé dokonce o 85 %. Vždy je to nad 50 %. Ochrana tedy nikdy není jen o hardwaru a softwaru, ale vždy zároveň o chování lidí - o chování útočníků a jejich motivaci včetně chování obránců a celého systému, který chcete chránit. Izraelci dobře vědí, že když v kybernetickém prostoru něco ubránili, nebo někde naopak úspěšně zaútočili, vždy tou největší silou, respektive slabinou, ať už z pozice obránce nebo útočníka, je nakonec lidský faktor. Koneckonců mě právě tato izraelská zkušenost na Cevru inspirovala ke spuštění postgraduálního programu MBA - Management a kybernetická bezpečnost.

Obecně se daleko více investuje do softwaru a hardwaru a zapomíná se na lidský potenciál...
Ano, hardware a software jsou nesmírně důležité, ale lidé jsou stále naprosto zásadní. Jakýkoliv systém bez lidí nesestavíte, nezprovozníte ani neubráníte. Útočník jde vždy po největších slabinách oběti. A tím nejslabším článkem jsou lidé nebo způsob, jakým ti jednotliví lidé daný systém špatně postaví a provozují.

Investice do vlastní bezpečnosti

Izrael s osmi miliony obyvatel je menší než Česko a přitom dokáže dlouhé roky odolávat prakticky permanentním útokům. Co je podstatou úspěchu Izraele na poli obrany, ve které představuje absolutní světovou špičku?
Jednak je to jejich vůlí k přežití a jednak tím, že dávají na vlastní obranu 7,5 % HDP. My nejsme schopni dát ani 1 %. Nejde o to, že bychom měli dávat stejně, jsme přece jen v diametrálně odlišné situaci. Zavázali jsme se nicméně k výdajům ve výši 2 % a pokud bychom naše sliby dodržovali, byli bychom lépe připraveni. Izraelci navíc paralelně s tím dávají 4,5 % HDP do vědy a výzkumu, my se sotva, když to všechno posčítáme, možná dostáváme opět k 1 %. Kromě vůle k přežití, k vlastní obraně, stojí za úspěchem Izraelců právě vůle k neustálým inovacím. Propojíte-li obranu a inovace se silnou ekonomikou, vytvoříte excelentní firmy, produkty a systémy, které vám zajistí relativní bezpečnost a sekundárně možnost know-how, hardware i software úspěšně vyvážet do zahraničí. Na jednu stranu Izraelcům nezávidím, že jsou v permanentní válce. Na druhou stranu jim ten tlak nedovolí upadnout do letargie. Nakonec jsou ze své složité situace schopni vytěžit maximum.

Jak přistupuje ke kybernetickým hrozbám útoků EU?
Žádný jednotný postup Evropy, ať už na bázi Severoatlantické aliance nebo na bázi členských zemí EU v tuto chvíli neexistuje, byť je o něj do určité míry snaha. Záleží na aktivitě konkrétních států. Některé skutečně ať již formou zákonů nebo investic svoji ochranu berou vážně a jsou lépe připraveny. Ti nejpřipravenější budují vlastní kybernetické jednotky. Jsou ale také státy, které nedělají vůbec nic. Česko je někde zhruba mezi. O něco se snažíme, což je samozřejmě dobrá zpráva. Je ale ještě dlouhá cesta k tomu, aby celý systém naší ochrany skutečně fungoval.

Od letošního ledna u nás vstoupil v platnost Zákon o kybernetické bezpečnosti. Jak motivuje strategické firmy, aby začaly budovat ochranu proti možným atakům z kyberprostoru?
Máme zákon a bylo zřízeno Národní centrum kybernetické bezpečnosti a pomalu se začíná brát kybernetická obrana vážně i na Ministerstvu obrany. Zákon napomáhá, na druhou stranu není rozhodně dokonalý. Například sankce jsou zanedbatelné a nepůsobí tedy v tomto směru motivačně. Máme tu nicméně určitý základ, který naznačuje i budoucí směřování. Každá firma by se v tuto chvíli měla zamyslet nad tím, jak z dnešního pohledu zákon naplňuje a zároveň si může jednoduše odvodit, kam se svět, resp. Evropa i Česká republika budou v blízké budoucnosti posouvat, na co je třeba se připravit v horizontu následujících 5-10 let. Firmy by se ale měly chránit zejména s ohledem na vlastní pud sebezáchovy, s ohledem na vlastní přežití. Podobně jako dnes ve světě, bude i u nás pokračovat viditelný nárůst útoků zaměřených na kritickou infrastrukturu.

Zákon se týká především státních firem MERO a Čepro, které pro stát přepravují a skladují strategické rezervy ropy a pohonných hmot. Vyplývá také zákonná povinnost postarat se o kybernetickou bezpečnost pro zahraničního vlastníka českých rafinérií Unipetrol, který je součástí polského polostátního PKN ORLEN?
Zaleží na tom, kdo spadá do definice kritické infrastruktury. Dle mého názoru tam dnes celá řada subjektů, které by do ní spadat měly, chybí. Doufám, že se seznam subjektů bude dále rozšiřovat. Zákon je ale jen jedna část motivace, druhou je motivace investovat do vlastní bezpečnosti a tím i do vlastního přežití. Žádný akcionář by neměl bezpečnost podceňovat. Mnohým se to již nevyplatilo. 

V poslední době jsme byli svědky krize v komunikaci mezi zástupci státních firem a polským vlastníkem rafinérií. Myslíte si, že by se měla v případě zajištění strategické bezpečnosti v rámci ropného sektoru zajišťovat spolupráce nejen na komerční, ale především na státní úrovni?
Samozřejmě je třeba komunikovat s Polskem jakožto silným vlastníkem PKN Orlen, stejně tak jako je třeba komunikovat s Maďarskem a se Skupinou MOL. Bez vzájemné komunikace by byla naše situace složitější. Do určité míry jsme nad vlastní kritickou infrastrukturou kontrolu ztratili, naštěstí ne nad veškerou. Stále máme například přímou kontrolu nad ropovody, naproti tomu již nevlastníme páteřní plynovody. To neznamená, že je všechno ztraceno. Musíme prostě dělat všechno pro to, aby celý systém fungoval a aby části kritické infrastruktury, ať už je vlastníkem kdokoliv, byly alespoň pod nějakým dohledem státu z pohledu bezpečnosti. A to zejména s ohledem na možné krizové situace, které mohou nastat. Nakonec je to na státu, aby i během skutečné krize nebo války zajistil alespoň základní fungování celého systému.

Malé i střední firmy

O vlastní kybernetickou bezpečnost by se měly starat podle vás i malé a střední firmy?
O svou kybernetickou bezpečnost by se samozřejmě měly starat i malé a střední firmy, protože ve chvíli, kdy vám někdo ukradne know-how, peníze nebo vás zcela znedůvěryhodní na trhu, tak můžete obratem skončit. Na druhou stranu odpovědnost státu je výhradně v rozsahu kritické infrastruktury, tedy základního fungování státu. Stát by neměl být zaopatřovacím ústavem a neměl by se starat o to, jak mají zajištěnu kybernetickou bezpečnost jednotlivé firmy, které nespadají do kritické infrastruktury a jejichž krach by neměl celospolečenský dopad.
Ve světě existuje spousta firem, které zkrachovaly kvůli kybernetickým útokům, poté, co je přímo oslabily a způsobily přímé ztráty, například krádeží peněz nebo nejrůznějších citlivých údajů. Nebo například v sousedním Německu v důsledku kybernetického útoku nedávno zatuhla vysoká pec, což znamenalo její fyzickou likvidaci. Daleko zásadnější a často nevyčíslitelné bývají nicméně nepřímé následky v podobě ztráty důvěry u klientů a odběratelů. Firmy, které následkem kybernetického útoku ztratí důvěryhodnost, se automaticky ocitají na pokraji bankrotu. Řada z nich v byznysu skončí.
Je na vlastnících firem, nakolik cítí nebezpečí, nakolik do své bezpečnosti investují a nakolik si myslí, že se jim to vyplatí. Nebo nakolik risknou to, že na ně žádný útok nepůjde. Až čas ukáže, jestli se při zanedbání investic do bezpečnosti jednalo o dobrý úsudek, či ne. Někomu to nakonec může vyjít, jiný na podcenění rizika tvrdě doplatí.

A jaká je podle vás pravděpodobnost, že byl úsudek špatný a k napadení dojde?
Dnes se to dá asi i trochu vyčíslit, alespoň se o to snaží například pojišťovny, už teď existují nejrůznější pojistky pro případ kybernetických útoků. Cena pojištění se odvíjí od velikosti firem, jejich zaměření a významu na trhu a z toho plynoucí pravděpodobnosti útoku. Na většinu subjektů asi skutečně ničivý útok nepůjde. Napadené a nepřipravené a nepojištěné firmy však tvrdě narazí. Cena pojistky se samozřejmě odvíjí od konkrétních bezpečnostních opatření. Je to stejné jako při pojištění proti vloupání. Pokud nemáte bezpečnostní zámek, pojistka je vyšší. Pokud nemáte dveře, nikdo vás ani nepojistí.

Připravenému štěstí přeje

Není veškerá aktivita kolem budování kybernetické bezpečnosti předčasná? "Nač stahovat kalhoty, když brod je ještě daleko"?
Připravujeme se teď na to, že k tomu brodu dříve či později dojdeme. A vždy platí to, že připravenému štěstí přeje. Počet útoků přibývá a v některých sektorech to platí dvojnásob. Stejně tak stoupá sofistikovanost útoků a útoky se geograficky přibližují České republice. My se ve stejnou dobu stále více propojujeme a stáváme se na kybernetickém prostoru stále závislejšími. Povědomí v české odborné i laické veřejnosti o kybernetických hrozbách naštěstí stoupá.
Dnes navíc i díky výcvikové aréně CyberGym můžeme čerpat ze zkušeností těch, kteří skutečné útoky zažili. Ten prožitek, byť zprostředkovaný, je pak zcela klíčový pro vlastní nastavení systému a pro jeho fungování v době krize, v době útoku. Nyní máme stále čas se kvalitně připravit, abychom byli odolnější v okamžiku, kdy k reálnému útoku dojde. A už vůbec bychom neměli zaspat a říkat si, že nám žádné nebezpečí nehrozí. Jediné, co teď nevíme, je kolik času nám na přípravu skutečně zbývá.

Co vy si osobně přejete do budoucna, aby se vám žilo a pracovalo bezpečně?
Já mám Českou republiku rád. Prožil jsem spoustu času života v různých krizových oblastech po světě a vždy jsem se sem zpět rád vracel, rád tady žiju. Doufám, že si zachováme svoji svobodu, bohatství i bezpečí. Jedno bez druhého koneckonců nejde. Abychom žili i nadále v bezpečí, musíme vzít odpovědnost za svoji bezpečnost do vlastních rukou.


Tomáš Pojar (1973) vystudoval v Česku politologii a mezinárodní vztahy a v Izraeli bezpečnostní studia, v minulosti pracoval v neziskovém sektoru, mj. jako ředitel humanitární organizace Člověk v tísni. Poté byl náměstkem ministra zahraničí a v posledním období českým velvyslancem v Izraeli. V současnosti je prorektorem pro zahraniční vztahy na vysoké škole CEVRO Institut, kde působí jako pedagog v oboru Politologie a Bezpečnostní studia. Zároveň je vice-presidentem Česko-izraelské smíšené obchodní komory, kde se věnuje vztahům České republiky a Izraele především na poli byznysu a bezpečnosti.

Autor: Tomáš Mikšovský, Zdroj: PETROLmedia

Diskuse

Petrol Magazín

Aktuální vydání2024/01 Téma číslaDistribuce pohonných hmot
Aktuální číslo

Přihlašte se k odběru novinek