Luboš Řádek je od roku 2016 ředitelem kybernetické bezpečnosti Letiště Praha, a. s. Od té doby se kybernetická odolnost letiště významně posunula a dnes je srovnávána s úrovní, kterou je možno vidět v předních českých bankovních institucí. Vystudoval Univerzitu Obrany a následně postgraduální studium MBA v oboru Cyber Security Management. Mezi jeho silné stránky patří hlavně technické znalosti v kombinaci s mezinárodní legislativou a standardy. Mimo jiné je i součástí Airport Council International, která aktuálně je jednou z institucí podílejících se na zavedení kybernetické legislativy bezpečnosti civilního letectví.
Jaká je denní náplň práce ředitele informační a kybernetické bezpečnosti na letišti?
Prostředí letiště je hodně specifi cké. Máme tam mnoho pozic, o kterých v podstatě běžní lidé vůbec nevědí. Například se jeden tým stará o včely, další o sokoly, pak máme psovody a spoustu dalších. Je to takové město ve městě, a proto naše informační systémy obsahují vlastně všechno.
Teď jsem byl u projektu, který má za cíl dát do včelína počítadla, abychom zjistili jejich počet. Digitalizace prorůstá každým aspektem letiště, a tak máme za úkol všechny projekty dobře zanalyzovat, najít jejich rizika, rozhodnout, jestli je chceme podstoupit, a najít opatření pro jejich případnou mitigaci.
Zmíním ještě druhý případ. Dneska jsme byli na jednání s dodavatelem, který vyrábí body scannery, a snažili se mu vysvětlit, proč je kybernetická bezpečnost důležitá i v těchto prvcích. Narušení integrity body scanneru, např. nějaké citlivosti pronesení zakázaného předmětu, by bylo kritické.
Ve SCADA (dispečerské řízení a sběr dat), v OT systémech pokulhává spousta společností a ty v letištním prostředí jsou na tom podobně. Mám na starosti dva týmy – jeden je metodický, tzv. legislativní, a ve druhém zajišťují nepřetržitý dohled.
Když zmiňujete ten nepřetržitý dohled, znamená to, že držíte 24hodinový dohledový režim?
Ano, máme nepřetržitý režim 24/7, který drží naši zaměstnanci. Máme jasně zanalyzováno, kdy je možné držet nepřetržitý dohled s jedním člověkem a kdy je potřeba ho posílit o vyšší počet lidí. Pro mě osobně je to hrozně zajímavé téma.
Jsou techničtí ajťáci ochotní fungovat v režimu 24/7? Je to pro ně komfortní?
To určitě záleží na lidech. Obecně starším ročníkům nevadí sloužit 12hodinové směny. U mladších ročníků víme, že do dvou let jim musíme nabídnout něco jiného. První tři měsíce se nováčka snažíme vzdělat v celém procesu SOC a poté začne pracovat na směny. Po roce a půl už pro ně máme připravený další kariérní postup, protože to jsou šikovní lidé, kterým jsme věnovali spoustu úsilí i know-how a nechceme o ně přicházet.
Jaká je kvalifi kovanost studentů, kteří vycházejí vysoké nebo střední školy? Lepší se to nebo poptávka výrazně převyšuje kvalifi kovanou nabídku?
To záleží na dané pozici. Když si třeba vezmeme obsazování juniornějších pozic, není pro nás úplně důležité, co si nováček přináší za znalosti, protože ho většinu naučíme během prvních měsíců v rámci našeho onboarding procesu, který je kvalitní. Hlavním parametrem je, jestli zapadne k nám do týmu.
Co se týče seniorních pozic, tam se stává, že přijde kvalitní a kvalifi kovaný člověk, nicméně se nemusí potkat fi nanční představy, což se v dnešním světě stává poměrně často. Nebo nás zaujme uchazeč, u kterého víme, že díky zaškolení a mentoringu bude pro naše oddělení velmi přínosný.
Snažíme se vybírat si i lidi z letiště. U některých zaměstnanců (v IT nebo jinde) víme, že by nám zapadli do týmu a že bychom je dokázali zaučit, aby nám byli velkou pomocí. Člověk z letištního prostředí už zná konkrétní specifi ka, a my tak ušetříme spoustu času.
Kde se pasažér běžně setká s kyberbezpečností? Samozřejmě pokud to není tajná informace.
Budu velmi obecný (smích). Ono je to všude a nikde. Kybernetická bezpečnost – to jsou takoví ti lidé vzadu, nejsou moc vidět, a pokud něco sami nereportují nebo neplácnou někoho přes prsty, tak o nich vlastně nikdo neví. A to ani cestující. Nicméně jsme za těch pět let prorostli do celé organizace od projektů hasičů po uklízečky. Za tím, že se cestující bezpečně dostane do letadla a někam letí, je spousta naší práce. Bezpečnost je na letišti naprostou prioritou a všudepřítomná. Součástí celého oddělení není jen bezpečnost kybernetická, ale také fyzická. Na letišti se tak potkáte i s ostrahou letiště, pracovníky bezpečnostní kontroly, hasiči, ale pochopitelně také s dalšími bezpečnostními složkami, tedy policií.
Já doufám, že jednou se dostaneme do situace, kdy nás „cybersekuriťáků“ bude stejné množství jako těch ostatních kolegů z bezpečnostních složek letiště.
Teď už letiště nefungují jen jako místa odletu, ale provozují i obchodní centra, hotely a celkově jsou to takové multifunkční prostory.
Posláním Letiště Praha je, aby dovolená začala cestujícímu už zde. Aby si od nás odnášel nějaký pozitivní zážitek, ať už je to třeba z nakupování.
Máte nějaká specifika z pohledu bezpečnosti třeba IOT, zlepšování přístupu k pasažérovi nebo něco jiného, co byste rád zdůraznil?
Před dvěma lety jsme přišli s projektem, který má za úkol obecně zvýšit bezpečnost v OT prostředí. Identifi kovali jsme si několik klíčových přístrojů či systémů, které sem spadají, např. čistička odpadních vod, přístroje dodávající elektřinu, naváděcí světla atd. V těchto systémech se snažíme prostředí neustále zlepšovat. Začali jsme základními stavebními kameny, které jsou ve standardním IT světě již běžné, ale v našem prostředí někde stále chyběli. Tím mám na mysli např. segmentaci sítí, pravidelné patchování, ujišťování, že dodavatelé budou mít security by design, ale řešíme také použití různých operačních systémů a systémů v rámci letiště a jejich soulad s leteckými organizacemi a předpisy.
Často se v těchto případech setkávám s tím, že když výrobce řekne, že to nejde, pokýváme hlavou a doufáme, že se to nijak negativně nevrátí.
My se snažíme jít do diskuze s výrobci a dalšími dodavateli řešení za každou cenu. Vždy je to nakonec rozhodnutí business vlastníka. Ale pokud vlastník rozhodne o implementaci systému i přes jeho rizika, snažíme se najít správné řešení pro všechny.
Jaké trendy podle Vás nejvýrazněji ovlivní vývoj kyberprostoru a jakým směrem kybernetická bezpečnost směřuje?
Vzhledem k tomu že kybernetičtí útočníci mají opravdu v poslední době velké žně, budou jejich aktivity stále sílit. Kybernetická bezpečnost se tak stane součástí života každého člověka. Stejně jako musíme mít řidičský průkaz k řízení motorových vozidel, bude nezbytnou podmínkou mít jakýsi „kybernetický průkaz“ k chování v kyberprostoru. Neříkám, že to bude povinné, ale k přežití jedince to bude nutné. Velká část tohoto vzdělání je přímo na rodičích, dětem vše vysvětlit, ukázat, provést je. Tak jako jim říkáme, aby se rozhlédli, když přecházejí cestu, musíme jim říkat: rozhlídni se a neustále buď na pozoru, když jsi v kyberprostoru, tedy když používáš svůj mobil, když si chceš chytrý hrneček připojit do domácí sítě, když vyrobeného robota chceš ovládat mobilem přes Wi-Fi, prostě v každé podobné situaci. Edukace je a bude klíčová.
Před 20 lety jsme říkali, že internet se stane součástí našich životů – stejně jako jsme byli zvyklí na dostupnost elektrické energie či teplé vody, bylo jasné, že si zvykneme na používání internetu kdekoli a kdykoli. Nakonec je to možná ještě více, než jsme tenkrát tušili, a v podstatě jsme on-line pořád. Doma, v práci, v autě, v obchodě, kdekoli. Doufám, že kybernetická bezpečnost se také časem tak zažije, že to nebude pro mnohé lidi sprosté slovo, které se jich netýká. Takže když se vrátím k otázce, co nejvýrazněji ovlivní vývoj kyberprostoru, tak za mě jednoznačně kybernetičtí útočníci, kteří ho zneužívají. A my jim to buď uděláme snadné, nebo naopak jim to co nejvíce ztížíme.
Máte na závěr něco, co byste vzkázal našim čtenářům?
Budujme kybernetickou bezpečnost společně, sdílejme dobrou praxi, poučme se z nesprávných rozhodnutí či z incidentů, které se nám staly, a hlavně testujme a trénujme. Jak se říká, těžko na cvičišti, lehko na bojišti.
Děkujeme za rozhovor.
Pro DSM zpracoval Michal Wojnar (PwC) z rozhovoru na 3. CISO Fóru.
