Český voják z povolání Karel Řehka má bohaté zkušenosti z působení v armádě a absolvoval i studijní programy u spojenců v rámci NATO. Účastnil se rovněž několika zahraničních misí a je nositelem Ceny Arnošta Lustiga za odvahu, statečnost, lidskost a spravedlnost. V současné době je ředitelem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Vážený pane řediteli, mohl byste popsat aktuální stav hrozeb, které nás ovlivňují v kyberprostoru tak, aby se v tom dokázal zorientovat manažer ve firmě nebo v nemocnici. Nejsme přece jen trochu paranoidní? Není to především byznys firem, které se tím živí?
Dá se říct, že čím více je vaše organizace digitalizovaná, závislá na IT a propojená s okolním světem, tím větší je šance, že budete čelit hrozbám v kyberprostoru. Může vás ohrozit cílený útok, ale můžete se také stát náhodnou obětí plošné kampaně, která jen narazí na nějakou vaši zranitelnost a zneužije ji. Navíc i cíle útoku mohou být různé, od finančního zisku až po úmyslné poškození vaší organizace.
Kybernetická bezpečnost je zkrátka něco, čím se musíme zabývat. V čem však pořád zaostáváme, je úroveň, na které se ta debata vede. To musí řešit v první řadě nejvyšší vedení organizace. Je to soubor technických i netechnických opatření, například organizačních. A to bez zásahu managementu opravdu nenastavíte. Navíc debatu o kybernetické bezpečnosti je třeba vést i na strategické úrovni v kontextu celkové národní bezpečnosti. A to je docela jiná disciplína.
Co se týče stavu, tak ten není dobrý. Počet útoků stoupá celosvětově a stoupá i u nás. A tento trend se bude spíš zhoršovat. Ale zase bychom se z toho neměli hroutit. Pokud investujeme úsilí, lidi, čas a peníze do digitalizace, musíme holt investovat i do kybernetické bezpečnosti a hledat ten správný balanc.
Asi se shodneme, že budování informační bezpečnosti je nikdy nekončící proces. Jaké největší chyby dělají manažeři při jeho realizaci? Kdy a jak by podle vás měli začít?
Kybernetické hrozby se nás týkají už dlouho. Každopádně nejlepší postup, jak začít, je stavět systém kybernetické bezpečnosti paralelně s tím, jak stavíme naši digitální infrastrukturu a procesy v organizaci.
My jako NÚKIB regulujeme a kontrolujeme systémy, které jsou důležité pro fungování státu a bezpečí a zdraví jeho obyvatel. Správcům těchto systémů stačí dodržovat platné zákony a vyhlášky. Všichni ostatní by si měli v první řadě udělat analýzu rizik. Postupovat lze podle naší vyhlášky o kybernetické bezpečnosti nebo podle dokumentu s názvem Minimální bezpečnostní standard, který je zdarma na našem webu a kdokoli podle něj může nastavit zabezpečení své organizace.
První krok je vždy získat správné lidi, kteří tu bezpečnost budou dělat, a dát jim nezbytné zdroje a pravomoci. Důležité je také mít na krizové situace připraveny plány a procvičit je. V neposlední řadě je třeba školit personál, k čemuž NÚKIB zdarma nabízí e-learningové kurzy.
Za nejčastější chybu považuji to, když management organizace přehazuje odpovědnost za kyberbezpečnost na lidi z IT oddělení a myslí si, že má splněno. Stejně tak, když si kyberbezpečnost outsourcuji jako službu, na čemž nemusí být nic špatného, neznamená to, že jako vedení organizace za ni dále nenesu odpovědnost.
Z bezpečnostní komunity zní často námitky, že zatímco např. pravidla pro požární bezpečnost jsou zakotvena v legislativě a platí pro všechny, tak v rámci informační bezpečnosti tomu tak není. Jak se na tento požadavek díváte vy? Přivítal byste zavedení jasných pravidel například formou určité certifikace?
V principu s tím souhlasím. Klíčové systémy už podléhají naší regulaci. Nicméně je tady samozřejmě násobně více těch, které žádné regulaci nepodléhají. Certifikace produktů, služeb či procesů se teď připravují na úrovni EU a je to dobře. Nicméně je to běh na dlouhou trať, protože vzhledem k povaze kyberprostoru je nesmysl, aby něco takového zkoušel zavést jeden stát. Je nutná shoda na mezinárodní úrovni, zvláště v EU, kde usilujeme o maximální harmonizaci jednotného trhu. Na systém EU certifikací a jeho implementaci v ČR se samozřejmě připravujeme i na NÚKIB.
Z mého pohledu je stále důležité zachovat princip založený na hodnocení a řízení rizik. Vše není stejně důležité a zaváděná opatření či standardy by měly odpovídat závažnosti rizik.
Pravda ale je, že již dnes není žádný důvod, proč by například každá nemocnice či úřad neměly plnit alespoň základní kyberbezpečností standard. NÚKIB se o to snaží a v rámci své zákonné působnosti tak i činí. Tady je ale třeba jít daleko za rámec působnosti našeho úřadu a není to lehký proces.
A ještě otázka na závěr. Jste jistě hodně času online. Jak relaxujete, když jste offline?
Popravdě řečeno mi toho času offline poslední dobou moc nezbývá, což beru jako osobní nedostatek, na kterém musím popracovat. V tom čase, co mi zbývá, se snažím udržovat fyzičku, běhat, číst, učit se nové věci a trávit čas s rodinou a lidmi, kteří jsou mi blízcí.
Děkujeme za rozhovor.
text: Vít Ruprich, Petr Šubert
foto: archiv NÚKIB
