Američani nás mají za novátory
Jen málo zasvěcenců ví, že českým „tykadlem“přes kybernetickou bezpečnost v USA je Daniel Bagge. V rozhovoru pro LN kyberatašé ve Washingtonu popisuje, jak hektický měl kvůli varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) závěr loňského roku. Kontaktovali nás, abychom udělali cvičení pro Kongres USA. Protože jsme cvičení takzvaných eskalačních scénářů v USA už v minulosti dělali...
LN Proč je důležité mít ve světě diplomaty, kteří se zabývají kybernetickými hrozbami?
Není to jen o jednom atašé ve Washingtonu. Kvůli našemu členství v EU a NATO máme kybernetického atašé také v Bruselu. Třetí zástupce je pak v Tel Avivu. Důvodem, proč máme zástupce NÚKIB, je to, abychom měli přímý kontakt s našimi zahraničními partnery. Máme díky tomu také možnost lépe sdílet informace. Kybernetická bezpečnost není jen o technických záležitostech. Prolínají se s ní bezpečnostní politika a strategické zájmy.
LN Budete se dále rozšiřovat?
NÚKIB plánuje vybudování dalších obdobných pozic ve světě. Nemohu ale nyní říci, kdy a kde se tak stane. Pokusím se ale odpovědět nepřímo. Jedním z důvodů, proč jsme si vybrali USA a Izrael, je také to, že patří mezi státy, které nejvíce čelí kybernetickým útokům. Chceme mít informace z první ruky. Incidenty, jež se tam odehrají, jsou jaksi předvojem toho, co se odehraje v širším kyberprostoru. Když máme přístup k partnerům v daném regionu, jsme schopni zjistit přesné technické detaily a můžeme například varovat subjekty, na které dopadá český zákon o kybernetické bezpečnost.
LN Jak zafungoval přenos informací mezi Českem a USA po loňském varování před riziky spojenými s užíváním technologií Huaweie a ZTE?
Američané dopředu o tomto varování nevěděli. Když se informace 17. prosince dostala na veřejnost, naši partneři měli v tu chvíli informace pouze z médií. Mým úkolem bylo mezi svátky, i přes shutdown (dočasné omezení fungování federálních úřadů kvůli rozpočtu – pozn. red.), jednat se zástupci ministerstva pro vnitřní bezpečnost, národní bezpečnostní radou a ministerstvem zahraničních věcí USA. Dokonce i Pentagon řeší bezpečnost různých oborů. Všem jsem vysvětloval, proč jsme varování vydali. Začali se podrobněji doptávat, jaký je zákonný rámec, podle kterého jsme postupovali. Varování v nich vzbudilo mnohem větší zájem o nás.
LN Překvapil je způsob odůvodnění varování NÚKIB?
Překvapil je princip, který označují za novátorský a univerzální. V podstatě šlo o ukázku nejlepšího postupu (best practice). Diskuse se totiž hodně točí o technických důkazech, zranitelnostech a případných incidentech. My jsme k tomu přistoupili jinak. Pro varování jsme primárně nepotřebovali technické důkazy. Upozorňuji na slovo primárně. Postupovali jsme cestou analýzy strategického zájmu a právního prostředí, ve kterém se firmy pohybují. Měli jsme k dispozici utajované informace. Univerzální princip zaujal i EU.
LN Není fakt, že chybí technické důkazy o nebezpečném hardwaru a softwaru právě u Huaweie a ZTE, naopak problém?
Chtít důkaz je obecně správné. V kybernetickém prostoru to je ale složitější. Nejsou totiž hmatatelné. To, co je jeden den důkazem o zranitelnosti, je možné druhý den nechat zmizet aktualizacemi zařízení. Bylo by skvělé chytit za rameno člověka, který páchá kybernetický útok. Technologie jsou postavené tak, že i když získat důkaz o zneužitelné zranitelnosti, například v podobě záměrné i nezáměrné chyby zdrojového kódu, máte jen časově omezenou možnost, jak zjistit, že tam ta chyba je. Navíc tyto aktualizace přicházejí ve vlnách, takže zranitelnost nebo její oprava nejsou nic stálého, a úroveň zabezpečení technologie je tak možno měnit s každou změnou kódu. Je velmi velmi problematické toto uhlídat u technologií nasazených v ostrém provozu a v rozsahu telekomunikačních sítí. Produkty se tak mohou chovat výrazně jinak, než jak deklaruje výrobce. LN Proč?
Technologie, které se nasazují v telekomunikacích, se pravidelně aktualizují. Právě při aktualizaci můžete změnit chování zařízení, jež bylo v rámci nějakého certifikačního centra ověřeno jako bezpečné. Pak přijde další update a zařízení, které se po nějakou dobu chovalo nestandardně, opět běží zcela normálně. Lidé, kteří omezují diskusi na technické aspekty, opomíjejí širší souvislosti. Vzpomeňme na aféru Dieselgate, kdy docházelo k tomu, že měřená zařízení byla nastavena tak, aby rozpoznala, že dochází k měření, a chovala se pak jinak než v běžném provozu.
LN Pokud tvrdíte, že čínské zákony umožňují vyžadovat od firem citlivé informace o zákaznících, nejste vykladači cizího právního systému?
Nejsme žádní vykladači. Naše stanovisko se opírá o přesné znění zákona. Máme před sebou soudní překlad čínského zákona,
LN Dozvěděl jsem se, že NÚKIB pořádá v USA speciální cvičení. Jaká?
Kancelář kongresmana Jima Langevina, který je jedním z hlavních proponentů otázky kybernetické bezpečnosti ve Sněmovně reprezentantů, nás kontaktovala, abychom udělali cvičení pro Kongres USA. Protože jsme cvičení takzvaných eskalačních scénářů v USA v minulosti dělali, dostali na nás tip. Zorganizovali jsme to loni v květnu.
LN Jak to vypadalo?
Cvičení se odehrálo v Kongresu, v němž nám byly po dva dny vyhrazeny prostory. Akce se zúčastnilo několik desítek osob. Jednotlivé skupiny účastníků reagují na eskalující scénář a musí odpovídat na otázky spjaté s řešením, a to z technického, právního a diplomatického hlediska. Scénář doprovází audiovizuální prostředky. Cvičení simuluje třeba kybernetické incidenty, jež se odehrály při anexi Krymu. Je to zasazeno do strategického rámce. Má umožnit lidem, již rozhodují (decision-maker), aby se seznámili s komplexitou kybernetické bezpečnosti.