Do Síně slávy, která vznikla před třemi lety, je uvedena vždy jedna nominovaná osobnost, jež zásadním způsobem nebo dlouhodobým pozitivním přínosem ovlivnila kyberbezpečnost v České republice. Komise, která z nominantů vybírá laureáta, je složena ze zástupců ICT komunity, bankovního sektoru, státní správy, TATE International a členů Síně slávy. V rámci DSM jsme si pro Vás připravili krátké rozhovory s laureáty.
ONDŘEJ FILIP
CZ.NIC organizuje velké množství online konferencí a školení. Jsou podle Vás schopny nahradit ty s lektorem, v čem jsou případně podle Vás jejich hlavní výhody a nevýhody?
U konferencí zastávám názor, že online forma rozhodně nemůže nahradit tu prezenční. Nejde jen o lepší možnost interakce s přednášejícími, ale pro mě byla vždy hlavním přínosem klasických konferencí možnost diskutovat s ostatními účastníky a u kávy spontánně probrat související témata. Velké množství projektů začalo večer na neformálním setkání po konferenci. U školení záleží na povaze každého kurzu, jde o míru interakce, která je pro dané téma potřeba. Mnohá naše školení obsahují praktická cvičení, což se na dálku realizuje jen velmi obtížně.
Ve sdružení CZ.NIC provozuje interní bezpečnostní tým CZ.NIC-CSIRT a od roku 2011 Národní CSIRT tým České republiky – CSIRT.CZ. Jaké mají výsledky, s čím se potýkají?
CZ.NIC-CSIRT se mimo jiné podílel na implementaci interní bezpečnosti. Kromě toho provozujeme pod jeho hlavičkou také aplikaci Malicious Domain Manager, která pomáhá včas informovat držitele domény .CZ, pokud byl jeho web napaden a je na něm šířen malware nebo provozována phishingová stránka. CSIRT.CZ jako národní CSIRT má velké pole působnosti, kromě řešení bezpečnostních incidentů se zabývá také prevencí, výzkumem a vzděláváním. V oblasti prevence se jedná o dohledávání a informování provozovatelů potenciálně zranitelných systémů, o služby skener webu a penetrační testování, v oblasti výzkumu jsme v loňském roce úspěšně završili budování systému PROKI (Predikce a Ochrana před Kybernetickými Incidenty), v oblasti vzdělávání je to vydání knihy o kybernetické bezpečnosti, spolupráce se serverem root.cz na seriálu Postřehy z bezpečnosti, kurzy pro veřejnost a řada dalších aktivit. Kdybych měl vypíchnout jeden úspěch z poslední doby, bylo by to odkrytí nebezpečného doplňku pro Google Chrome, které vedlo k odhalení rozsáhlé kampaně.
Jaké jsou podle Vás největší brzdy a překážky ve vývoji kyberbezpečnosti v nejbližší budoucnosti?
Největší slabinu kybernetické bezpečnosti pořád vidím ve vzdělávání uživatelů. Už od malička jsme vychováváni, že se musíme rozhlédnout, než vstoupíme do vozovky. Učíme se zamykat dveře apod., ale už nás nikdo neučí, jak se například starat o mobilní telefon, jak užívat sociální sítě a podobně. V tomto je nutné přidat a věnovat se všem věkovým skupinám.
S jakou nejpřínosnější inovací a naopak největší hrozbou jste se za svou kariéru v oblasti kyberbezpečnosti setkal?
Vybrat jednu inovaci či hrozbu je těžké. Nedá se říct, že by něco dramaticky změnilo celou hru. Ale s velkým potěšením sleduji, jak se stále více nasazuje šifrování téměř ve všech oblastech komunikace. Ještě před lety útočníkovi stačilo, aby na nějakém rušném místě odposlouchával bezdrátovou komunikaci, a mohl odchytit velké množství hesel různých uživatelů. Dnes je díky službám jako Let’s Encrypt a aktivitám vývojářů webových prohlížečů situace úplně jiná. Ve firmách už je standardem používání VPN. Ale pořád je ještě těžké edukovat uživatele, aby nepoužívali stejná hesla k více službám, aby používali hesla rozumné síly apod. V tomto ohledu se mi velice líbí nastupující technologie FIDO2, která se snaží hesla z našeho života úplně odstranit.
Už je rok 2021 a čeká nás další ročník Síně slávy. Ačkoli bude její vyhlášení pravděpodobně opět posunuto, přemýšlíte už o možných kandidátech?
Pochopitelně přemýšlím. Nominace kandidáta by neměla být nějakým momentálním nápadem, ale mělo by jít o člověka, který se tématu dlouhodobě a soustavně věnuje. Snažím se sbírat argumenty pro následnou dlouhou diskusi v komisi.
DUŠAN NAVRÁTIL
S jakou nejpřínosnější inovací a naopak největší hrozbou jste se za svou kariéru v oblasti kyberbezpečnosti setkal?
Vnímám problém kybernetické bezpečnosti jako kontinuální boj mezi útočníky a obránci. Kybernetické útoky jsou neustále sofi stikovanější, dochází k dělbě práce mezi útočníky, úspěšný útok je otázkou peněz a vůle. Stále více se do něj zapojují státní aktéři. Proto si nemyslím, že by nějaká technická inovace problém kybernetické bezpečnosti zásadním způsobem vyřešila. Řešení vidím ve zlepšení právního prostředí jak v oblasti trestního práva a jeho vymáhání, tak v oblasti mezinárodního práva, mezinárodní spolupráce a institutu mezinárodního odstrašení. Největší hrozbu vnímám v útocích na kritickou infrastrukturu státu, což se již ve světě děje. Vede k ničení a pozměňování dat, ovládání informačních systémů, které řídí technologie apod. Cílem je způsobit škodu a narušit fungování státu.
Jak odhadujete vývoj kyberbezpečnostní scény v České republice v nejbližších letech? Ve kterých oblastech byste čekal nejvýraznější posun?
Česká republika nemá v dobrém stavu informační systémy státní správy, které jsou velmi zranitelné. V současné době dochází k útokům ze strany státních i nestátních aktérů, které vedou ke krádežím dat a ke kriminální činnosti za účelem zisku. Současná mezinárodní bezpečnostní situace se ve světě zhoršuje a pravděpodobně ještě i bude zhoršovat. To povede ke stupňování kybernetických útoků státními aktéry narušujícími chod státu.
Myslíte si, že média v České republice věnují kyberbezpečnosti dostatečnou pozornost a události z oblasti kyberbezpečnosti dostávají adekvátní prostor?
Za posledních sedm let se pozornost médií na kybernetickou bezpečnost prudce zvýšila. Je to dáno přibývajícími úspěšnými útoky v České republice, které začaly způsobovat viditelné škody. Média se většinou věnují kybernetickým útokům, ale ne kybernetické bezpečnosti obecně.
Pro svou fyzickou bezpečnost jsou lidé ochotní udělat téměř cokoli. Co by se muselo stát, aby začala společnost dávat větší váhu také právě své kyberbezpečnosti?
Společnost začíná pomalu vnímat kybernetické útoky jako problém, přitom však stále ne jako něco, co se mě přímo týká. Důležité je, aby si to uvědomili manažeři. V České republice se objevují první případy, kdy jsou zřejmé velké konkrétní škody způsobené kybernetickým útokem. To vede a postupně povede k tomu, že si lidé uvědomí, že náklady na kybernetickou bezpečnost jsou nutné a že jsou podstatně menší než případné škody. Problém je, že fyzickou bezpečnost si každý dovede představit (např. zámek, mříže, zabezpečovací zařízení), ale opatření pro zlepšení kybernetické bezpečnosti ne. Bude to dlouhý a postupný proces.
Už je rok 2021 a čeká nás další ročník Síně slávy. Ačkoli bude její vyhlášení pravděpodobně opět posunuto, přemýšlíte už o možných kandidátech?
Ano, mám kandidáta na příští ročník Síně slávy.
Děkujeme za rozhovory.
