Daniel Rous vystudoval obor „Tepelné a jaderné stroje a zařízení“ na Fakultě strojní VUT v Brně. Po vysoké škole působil krátce jako vědecký a výzkumný pracovník ve školícím a výcvikovém zařízení JE Dukovany se zaměřením na primární okruh JE Temelín. V letech 1993 až 2004 působil v různých funkcích ve zpravodajských službách ČR. Od roku 2004 pracuje v ČEZ jako ředitel útvaru ochrana Skupiny ČEZ. Profesně se zaměřuje zejména na problematiku ochrany kritické infrastruktury a informační a kybernetickou bezpečnost.
Vaše pole působnosti v bezpečnosti je široké. Mohl byste zmínit, s jakými útoky jste se setkali a jaké techniky obrany použili?
Skupina ČEZ je velká korporace, tak asi nikoho nepřekvapí, že škála útoků, se kterými se setkáváme, je široká. Řada útoků využívá chyb uživatelů nebo zneužití účtů. Typickými útoky, se kterými se dnes už jen málokdo nesetkal nebo o nich alespoň neslyšel, jsou phishing a ransomware. Nelze však opomenout sofistikovanější útoky, které míří na zranitelnosti a chyby HW/SW. Vlna útoků z přelomu února a března na zero-day zranitelnosti Microsoft Exchange je toho důkazem.
Obrana proti značné části útoků je založena zejména na kontinuálním vzdělávání uživatelů, kterému ve Skupině ČEZ věnujeme opravdu velkou pozornost včetně toho, že provádíme vlastní pseudo phishingové útoky, kterými se snažíme uživatele cvičit v rozpoznání typických znaků skutečných phishingových útoků. Nezbytnou součástí obrany je správné nastavení bezpečnostní infrastruktury, striktní řízení rolí a oprávnění, bezpečnostní testování, kontroly shody, bezpečnostní dohled (SOC), včasná detekce útoku, incident management, bezpečnostní požadavky pro dodavatele a samozřejmě, jak nám kdysi vštěpovali ve škole učit se, učit se, učit se, tak v kybernetické bezpečnosti platí aktualizovat, aktualizovat, aktualizovat.
Jak Vám v práci pomáhají Vaše zkušenosti ze zpravodajských služeb?
Žádná zkušenost není k zahození a každá se někdy hodí. Z působení ve zpravodajských službách jsem si odnesl zejména návyky pro práci se zdroji a vlastními informacemi. Než se začnu zabývat samotnou informací, přemýšlím, zda jde o primární zdroj, jak je kvalifikovaný, jaké jsou důvody, že danou informaci sdílí apod. Následně uvažuji o informaci jako takové, zda je logická a smysluplná, ověřitelná apod. A z toho si vytvářím celkový obrázek. Takže dost často pochybuji, nevěřím na zázraky, pomluvy ani na meziplanetární spiknutí, stojím nohama na zemi a bez ověřených argumentů mě není snadné přesvědčit.
Jak řešíte v ČEZu bezpečnost OT/ICS technologií?
Když jsem chtěl znát názor mého velmi kvalifikovaného kolegy, jeho odpověď mě pobavila – stejně jako IT, jen technologicky někdy desítky let pozadu. A to je poměrně výstižné. Stavební kameny bezpečnosti jsou stejné jako v IT. Začněme od zaměstnanců a jejich bezpečnostního povědomí. Kromě bezpečnostní helmy je musíme vybavit znalostmi a opatřeními ke snižování kybernetických rizik. Procesy a postupy, zejména v rámci modifikací, změnových řízení a hodnocení událostí musí nezbytně mít zakomponované požadavky kybernetické bezpečnosti. Obdobně to platí pro samotné technologie – řízení bezpečnostní architektury v rámci změn, PoC nových „OT security“ řešení – CyberX, Claroty, perimetrická ochrana „OT světa“ – pokud nelze jinak apod.
Provádíte v rámci zlepšování bezpečnosti i sběr informací z open source zdrojů (OSINT)?
Být v obraze je ve všech oblastech činností nutnost a o bezpečnosti to platí dvojnásob. Získávání informací z otevřených zdrojů považuji obecně za samozřejmé. Cílené vyhledávání informací ke specifickým oblastem zájmů je vysoce kvalifikovaná a sofistikovaná činnost, kterou na trhu nabízejí specializované firmy. Takže jednoduchá odpověď zní ano. V prvé řadě motivujeme zaměstnance, aby se sami zajímali o novinky a zajímavosti ze světa kybernetické bezpečnosti, část informací z veřejných zdrojů zpracováváme pro interní potřeby vlastními silami v útvarech IKB a SOC a některé informace si nakupujeme, např. jako měsíční kybernetický zpravodaj.
Kudy se bude ubírat cesta zabezpečení dodavatelského řetězce po kauzách SolarWinds a Hafnium? Jak na to reagovaly Vaše bezpečnostní týmy?
Nedomnívám se, že by se situace změnila nějak rychle a radikálně. Základem je a bude řízení rizik dodavatelů (dodavatelského řetězce). Nedílnou součástí smluv musí být bezpečnostní požadavky. Bezpečnost musí být vyžadována v rámci návrhu řešení i realizace, součástí musí být nejen bezpečnostní testování, ale také kvalifikovaná kontrola práce dodavatele (kontrolní dny, audity u dodavatelů, vzdělávání zaměstnanců dodavatele apod.). Vzhledem k tomu, že ČEZ působí v oblasti jaderné energetiky, tak například v oblasti kontroly dodavatelů se máme kde inspirovat, protože rozsah a hloubku kontrol a auditů si asi většina IT/OT dodavatelů nedokáže ani představit. Očekávám ale, že tlak uživatelů na bezpečnost bude rychle narůstat, jak porostou ztráty v důsledku bezpečnostních incidentů, a dodavatelé budou muset zákazníkům a uživatelům bezpečnost svých řešení prokazovat a garantovat, viz např. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408).
Dukovany a jejich dostavba – s ohledem na významnost zakázky, existují nějaká speciální bezpečnostní opatření?
Jako jsme před lety zajišťovali komplexní ochranu projektu ETE 3,4, tak máme přijata, přijímáme a s postupem projektu budeme přijímat další komplexní bezpečnostní opatření k ochraně projektu nového jaderného zdroje EDU II (výběrového řízení na dodavatele). Opatření jsou personální, procesní, režimová, organizační, administrativní a technická. Konkrétnější být z pochopitelných důvodů nemohu. Vedle toho jsou do poptávkové dokumentace zapracovány bezpečnostní požadavky ČR, které ošetřují rizika, která může řešit ČEZ jako akciová společnost podnikající na základě zákona o obchodních korporacích. Řešení dalších rizik přísluší institucím státní a veřejné správy.
Myslíte si, že může nastat v ČR blackout? Pokud ano, za jakých podmínek? Jak dlouho by trvalo jeho odstranění a znovu zprovoznění dodávek elektřiny?
Tohle je hodně spekulativní otázka. Může. Když bude závažným způsobem narušena vyvážená bilance elektrizační soustavy (zjednodušeně řečeno vyrovnané množství elektřiny do soustavy dodané a ze soustavy odebrané). Dlouho, možná spíš velmi dlouho, protože blackout by odstartoval výpadek téměř veškeré infrastruktury, na které je dnešní společnost závislá. Krátce po elektřině by vypadly komunikace a veškeré produktovody (voda, plyn, pohonné hmoty). A pokud vás začala jímat hrůza, tak vás určitě neuklidním, protože to by byl jen začátek! Doba obnovy všech funkcí elektrizační soustavy by byla přímo úměrná příčině jejího rozpadu. Klíčovým pro tuto spekulaci by bylo to, čím nebo jak by došlo k narušení bilance elektrizační soustavy. Mohlo by to být přírodními vlivy (vítr, povodně, ale i sucho, sníh, led nebo námraza apod.), kumulací technologických příčin (poruchy, havárie apod.) nebo teroristickým útokem včetně útoku kybernetického.
ČEZ vyvinul v minulosti významnou iniciativu kolem ochrany osobních údajů. Jak vidíte budoucnost ochrany osobních údajů?
Ochrana osobních údajů je určitě velmi důležitá. Způsob řešení, který zvolila EU, není podle mého názoru sám o sobě správný nebo alespoň ne dostatečný a efektivní. Euroobčane, nemysli, my to vymyslíme za tebe, ochráníme tě Nařízením GDPR, ty nemusíš dělat nic a právníci jsou nadšeni, protože mají zajištěný nevyčerpatelný zdroj obživy. GDPR upravilo příkladně byrokraticky proces a částečně i techniku, jako dva z pilířů bezpečnosti čehokoli, ale na ten nejdůležitější pilíř, kterým je člověk v EU při ochraně našich osobních údajů, zjevně zapomněli. V budoucnu je proto podle mého názoru třeba věnovat maximální úsilí vzdělávání lidí tak, aby si každé dítě už od základní školy uvědomovalo, že osobní údaje jsou jeho vlastnictvím stejně jako pastelky, mobil nebo v budoucnu dům, a podle toho se ke svým i cizím osobním údajům chovalo.
Funguje v ČEZu za současné covidové situace práce na dálku?
Funguje. Samozřejmě jen tam, kde je to technologicky možné. Provozní personál elektráren, neřku-li jaderných, dispečeři distribučních a výrobních dispečinků elektřiny nebo horníci v severočeských dolech a mnoho dalších profesí na dálku ani při sebelepší vůli opravdu pracovat nemohou.
Zaměstnanci, kteří pracují v administrativních pozicích, přešli na práci na dálku většinou ve druhém kvartálu loňského roku. Bylo to často z nutnosti, neplánovaně a rychle. Chvíli trvalo, než se situace stabilizovala z hlediska technického vybavení, protože jsme na trhu krátkodobě pocítili např. nedostatek nových notebooků, musely se upravit kapacity firemních VPN nebo standardizovat pro mnohé do té doby neznámá komunikační prostředí Skype, Teams, Zoom, Webex a další. Ale dneska mi přijde, že to už je hrozně dávno.
Co se týče ČEZ a Cloud – jak máte blízko ke cloudové transformaci a jak vnímáte cloud z pohledu bezpečnosti?
Já vidím cloud podobně jako banku. Musíte si vybrat takovou, která je po všech stránkách důvěryhodná, má trezory, na které si kasař netroufne, a v neposlední řadě má vysoce kvalifikovaný personál. A pokud nemáte účet v bance, tak řada zaměstnavatelů vám už ani neumí dát výplatu „na ruku“. Ale i tak máte „rodinné stříbro“, které si z nějakých důvodů necháte ve svém trezoru doma.
Skupina ČEZ je multi businessový organismus. Pro některé business části je cloud vhodným řešením, pro jiné je naopak zcela nevhodný. Je také třeba pracovat s faktem, že řada výrobců SW uživatelům často nedává šanci jít jinou cestou nežli do cloudového řešení. Například v oblastech péče o zákazníky je cloud možnou a asi i vhodnou cestou, jak udržet krátký „time-to-market“ při přijatelných rizicích a za akceptovatelnou cenu. V tomto segmentu lze bezpečně fungovat v cloudu, nicméně je nutné dobře vybírat a zvolit správné a co možná nejbezpečnější řešení.
V oblastech výroby a distribuce elektřiny a tepla nepřináší nasazení cloudu tak, jak se s ním setkáváme v současné době, žádná nová pozitivní řešení, ale ve většině případů naopak způsobuje dodatečná a významná rizika. V tomto segmentu proto cloud prozatím místo nemá, kromě zcela okrajových výjimek.
Děkujeme za rozhovor.
Za DSM se ptali Michal Wojnar a Daniela Seigová
