Generálporučík Jan Beroun je zkušený bezpečnostní a zpravodajský profesionál s bohatou kariérou v oblasti vymáhání práva, zpravodajství a obrany. V současné době působí jako bezpečnostní ředitel Řízení letového provozu. V letech 2014 až 2024 vedl Vojenské zpravodajství ČR. Působil jako poradce ministra obrany, vedl bezpečnostní poradenství ve společnosti Pinkerton ČR a zastával klíčové pozice v Úřadu pro zahraniční styky a informace (ÚZSI), včetně diplomatického postu v USA. Na začátku své kariéry působil u Policie ČR, mimo jiné v Útvaru speciálních činností Služby kriminální policie a vyšetřování, který se zaměřuje na skryté policejní vyšetřování a ochranu svědků. Vystudoval VŠE v Praze a své odborné znalosti si prohloubil na FBI National Academy.
Čím se liší bezpečnost kritické infrastruktury od běžného firemního pojetí bezpečnosti?
Liší se zejména v míře dopadů na fungování základních funkcí státu a společnosti, dopadů na bezpečnost a obranu a z toho vyplývající rozdílné tolerance rizika. Zatímco pro běžnou firmu je bezpečnost něco jako obchodní rozhodnutí, které chrání zejména firmu samotnou, tak u KI je to v zásadě striktní, legislativou uložená povinnost.
Kde management kritické infrastruktury nejčastěji podceňuje bezpečnostní rizika – v technologiích, lidech nebo procesech?
Technologie jsou paradoxně podceňovány nejméně, byť jsou často tím nejdražším řešením. Nejvíce jsou podceňovány procesy, někde uprostřed takového žebříčku je podceňování lidí. Často je vidět nechuť měnit zaběhnuté postupy, procesy, proč měnit něco, co funguje desetiletí?! Krize ale chyby moc neodpouští, a to i přes pověstnou českou schopnost improvizovat.
Je možné nějak hodnotit ekonomickou efektivitu bezpečnostních opatření, a pokud ano, jak?
Je potřeba na bezpečnost pohlížet jinak než z pohledu generování zisku. Ekonomickým přínosem investic do bezpečnosti je snížení možných ztrát. Toho lze dosáhnout buď snížením pravděpodobnosti nějakého rizika, zmenšením jeho dopadu, nebo kombinací obojího. Zásadní chybou je hodnotit investice do bezpečnosti tak, že jde o vyhozené peníze, když žádná krize/riziko nenastala/o. Pokud je investice do bezpečnosti ekonomicky přiměřená a úměrná velikosti rizika, tak se vždy vyplatí.
Jaké bezpečnostní metriky se používají na Vaší úrovni řízení?
Řízení letového provozu je činnost, která má zásady safety a security obsažené a neopomenutelné v každém procesu. Je to přísně regulovaná činnost, takže jednou ze zásadních metrik je compliance – splnění regulatorních požadavků a auditní zjištění (včetně interních). Velmi detailně se sledují a prošetřují případy porušení klíčových postupů, zejména s ohledem na lidský faktor. Máme komplexní systém řízení rizik atd.
Jak se dnes propojují kybernetická, fyzická a provozní bezpečnost?
Nelze jednotlivé bezpečnosti řešit odděleně, reálné incidenty hranice mezi nimi mažou. Incidenty probíhají často napříč jednotlivými doménami. To nutně neznamená, že řízení těchto domén musí být pod jednou střechou, pod jedním manažerem, ale musí existovat společně řízení rizik, technická integrace bezpečnostních systémů a procesní integrace (krizové scénáře, rozhodovací pravomoci, společná cvičení).
Jak poznat, že organizace buduje skutečnou odolnost, ne že pouze formálně plní požadavky?
Odolnost se rozhodně nepozná podle dokumentů a auditních fajfek. Odolná organizace se pozná při chování pod tlakem, a nemusí mít zrovna na tu konkrétní situaci zpracovaný plán. To znamená, že se rychle rozhoduje, nečeká se na schválení z papíru, každý zná svoji roli. Při pohledu zvenčí se odolná organizace prezentuje živými plány na řešení krizových situací, jak o bezpečnosti a rizicích mluví vedení společnosti, jak se pracuje s chybami a incidenty, jak organizace pečuje o zaměstnance atd.
Jak by se měla měnit spolupráce mezi státem a soukromým sektorem v oblasti bezpečnosti?
Vztah nesmí být založen na formální regulaci, na modelu povinnost, kontrola a trest, ale musí být založen na reálném partnerství, na sdílené odpovědnosti. Tak jako stát potřebuje informace od KI, a to včasné, nezkreslené a úplné, tak i subjekty KI potřebují informace od státu. Dobrým příkladem partnerského pojetí spolupráce byla novela zákona o vojenském zpravodajství, kterou se definovala kybernetická obrana a která umožnila vojenskému zpravodajství nepřímo komunikovat se subjekty, kterým může hrozit kybernetický útok. Tato maximálně efektivní komunikační cesta umožňuje nejen varovat potenciální oběti kybernetického útoku, ale bezprostředně získávat cenné informace potřebné pro širší zajištění kybernetické obrany. Velkým benefitem je i osobní znalost expertů na obou stranách. Taková možnost spolupráce bezpečnostních a zpravodajských složek se soukromým sektorem by měla být legislativně upravena minimálně pro ochranu KI.
Kde vidíte největší slabinu v připravenosti Česka na složitější bezpečnostní situace?
Jednoznačně převažující rezortní přístup k řešení připravenosti na krizové situace, nedostatečná integrace jednotlivých přístupů. U politiků převažuje tendence k mikromanagementu, nedostatek strategického pohledu. Systém máme stavěný pro zásah, ne na zvládnutí dlouhodobé krize. Chybí větší vzájemná propojenost se soukromým sektorem. Samostatnou kapitolou je stávající legislativa, naprosto neodpovídá současným hrozbám kolem nás, smazání rozdílu mezi vnitřní a vnější krizí, nepředvídatelnosti bezpečnostní situace, zásadnímu snížení možné reakční doby atd.
Co je znakem dobrého bezpečnostního leadershipu v době rostoucí nejistoty?
Rozhodně to není znalost každého detailu, ubíjející mikromanagement. Jde spíše o způsob myšlení a práci s lidmi. Správný leader musí rozhodnout při nedostatku a neúplnosti informací, která aktiva má cenu nejvíce chránit a co může počkat. Musí nechat „vyrůst“ členy bezpečnostního týmu, aby byli schopní věci řešit, ne pouze čekat na pokyn.
Co by si měli manažeři mimo bezpečnostní komunitu uvědomit o současném bezpečnostním prostředí?
Bezpečnostní prostředí se zásadně změnilo. Pokud spolu s tím manažeři nezmění svůj přístup k bezpečnosti a řešení krizí, stávají se klíčovým nebezpečím pro své organizace. Bezpečnost už není nějakou specializovanou disciplínou na okraji řízení, ale integrální součástí řízení organizace. Bez této integrace si organizace snižuje vyhlídky na přežití a fungování v nejistém světě. Jakýkoli útok na organizaci je riziko, ale největším rizikem je nepřipravená organizace. Rizika a nejisté bezpečnostní prostředí nejsou výjimečnými nebo pomíjivými situacemi, ale trvalým stavem.
Děkuji za rozhovor.
Za DSM se ptal Martin Haloda.
