Česká pobočka mezinárodní asociace AFCEA uspořádala v prosinci bezpečnostní konferenci ITTE 2011, kde se hodnotil aktuální stav národní a středoevropské kyberbezpečnosti a obrany. Současně sloužila konference jako vyhodnocení práce nově vytvořené pracovní skupiny kybernetické bezpečnosti – zejména k prezentaci první české terminologie kybernetické bezpečnosti. Organizátoři pro konferenci zajistili významné i profesionální řečníky ze sedmi evropských zemí včetně českých, slovenských a polských vládních představitelů, zástupců NATO a dalších významných odborníků.

Jiří Šedivý – Česká a evropská kyberbezpečnost

Českou a evropskou počítačovou bezpečnost hodnotil nejprve 1. náměstek ministra obrany ČR Jiří Šedivý.

Ze začátku vyjádřil obavy z nárůstu profesionality počítačových útočníků, stejně tak z obrovského počtu nových hrozeb (300M za rok 2010). Z tohoto důvodu je nutné nahlížet na kybernetickou obranu jako na jednu z nekritičtějších oblastí obrany státu. Podle Šedivého je důležité anticipovat nové trendy a hrozby.

Velký význam přikládá mezinárodním normám a standardům, jakožto prostředkům posílení státní bezpečnosti a důvěryhodnosti. V této souvislosti zmiňoval p. Šedivý pražský summit NATO v roce 2002, který se stal prvním posílením povědomí o počítačové bezpečnosti. Důkazem vzrůstajícího nebezpečí byly útoky na estonskou vládu v roce 2007, které vyústily ve vydání Cyber Defense Policy v lednu 2008. Na loňském summitu NATO v Lisabonu členské státy přijaly "Strategic Concept", který posiluje a modernizuje teritoriální obranu včetně centralizované kybernetické ochrany. Koncept by se měl vyvinout v akční plán, jehož přijetí je plánováno na letošní rok.

Dušan Navrátil a Miroslav Brvišťan – Národní bezpečnostní úřad u nás a na Slovensku

Národní bezpečnostní úřad je ústřední orgán státní správy působící v oblasti bezpečnostní způsobilosti a v oblasti utajovaných informací. Osudy a budoucnost českého NBÚ přiblížil jeho ředitel Dušan Navrátil.

Z historického hlediska na úvod připomněl zánik Ministerstva informatiky v roce 2007 a jeho sloučení mimo jiné s Ministerstvem vnitra. Posledních pět let však Navrátil hodnotil značně pesimisticky slovy: "Pět let se přešlapovalo a nic se nedělo."

Konec pasivity měl přinést až 19. říjen 2011, kdy vláda přijala NBÚ jako národní autoritu, na rozdíl od Slovenského NBÚ, který již má národní autoritu déle. Od té doby se snaží NBÚ navýšit finance, počet zaměstnanců a otevřely se nové prostory úřadu v Brně, kde by mělo sídlit Národní centrum kybernetické bezpečnosti.

Prvním úkolem NBÚ je připravit zákon o kybernetické bezpečnosti, který musí být přijat na konci roku 2013. Celá akce začala věcným záměrem, ke kterému se mohla vyjádřit také veřejnost do 29. 2. 2012. Sám Navrátil hodnotil průběh projektu jako velice intenzivní práci, což je způsobeno faktem, že v Evropě není podobná legislativa trendem a tedy není z čeho vycházet. Sám komentoval práci slovy: "Začínáme na zelené louce."

Do června 2012 plánuje NBÚ vydat paragrafové znění. Dalším krokem ke konečnému odsouhlasení zákona je zisk mediální podpory projektu. V této souvislosti vyjádřil obavy nad mediálně populárními označeními jako "Velký bratr" a "Červené tlačítko". Razantně také odmítl laické vysvětlení problematiky celorepublikovým odpojováním od internetu.

Za důležitou považuje Navrátil komunikaci s CZ.NIC, který provozuje český CSIRT, a následné zmapování systémů veřejné správy.

NBÚ má kompetence kontrolovat a napravovat (zakročit). Měl by být schopen okamžité aktivní reakce a koordinace výjimečného stavu. Stejně tak by měl zprostředkovat certifikaci, akreditaci a zabezpečení standardů kybernetické bezpečnosti.

Za Slovenský NBÚ promluvil náměstek jeho ředitele Miroslav Brvišťan. Za zásadní považuje změnit pohled na kybernetický svět jako takový. Přirovnával jej v mnoha ohledech k našemu světu, ale upozorňuje na jeho specifika. Poukázal také na fakt, že 95% internetu tvoří soukromé společnosti a že na rozdíl od našeho světa v tom internetovém hranice mezi státy nic neznamenají.

Ochrana informačního sebeurčení v kyberprostoru – Radim Polčák

Počítačovou kriminalitu hodnotil z právního a lehce filosofického hlediska také vedoucí Institutu práva a technologií na Masarykově univerzite v Brně Radim Polčák.

Na úvod pojmenoval pojmy, které lidem zpravidla evokuje slovní spojení kyberkriminalita. Je lidmi chápána jako negativní jev zahrnující pachatele, která často vyústí v nějakou formu soudu. Definoval také pojem kyberbezpečnost jako moment, který chaotizuje prostor. Zmiňoval zde také mýtickou příšeru Leviathan, jako chaotickou sílu.

V souvislosti s obranou před nebezpečím v kyberprostoru vznikají dva protichůdné jevy – pokud chceme nějakou formu ochrany, musíme se zcela nezbytně zbavit svobody.

Každý člověk by měl mít právo na informační sebeurčení, které zahrnuje pasivní ochranu (ochrana soukromí a ochrana osobních údajů) a aktivní ochranu (svoboda vyjadřování a svoboda informace). Současně s tím by měl mít každý občan právo na internet a nějakým způsobem umožněný přístup ke službám IT bezpečnosti.

Radim Polčák také vyzval přítomné, ať zapomenou na práva duševního vlastnictví, pornografii atd., protože tyto oblasti spadají pod Policii ČR.

Bezpečnost tedy chápe jako jasné zasahování do těchto práv – to co chráníme, do toho zasahujeme a jediným problémem je tedy schopnost správně vyvážit tyto dva faktory. Z výše uvedených názorů plyne, že samotná bezpečnost není odůvodnitelná a tedy nemá smysl bránit vládní strategie tím, že nezasahují do práv. Jde tu pouze o fungování systému jako celku. Hlavní cesta, kterou by se systém měl ubírat, je cesta funkčnosti současně s co nejmenším počtem povinností.

Výhodou státu jako instituce je možnost komunikovat současně centralizovaně dovnitř a komunikovat ven s ostatními institucemi nebo soukromým sektorem. Samotné firmy uvnitř státu mají tuto možnost jen omezenou.

Dále vyjádřil názor, že by mělo dojít k nějaké formě partnerství mezi státem a soukromými provozovateli internetu. Provozovatele lze ovlivnit vydáním standardů, které by musel každý z nich dodržovat. Současně s tím vidí budoucnost ve spolupráci s centry CERT. Mluvil zde také o jisté míře nátlaku státu na provozovatele současně s mírným přenesením zodpovědnosti "červeného tlačítka" přímo na provozovatele internetu – v případě bezpečnostního incidentu by CERT okamžitě informoval provozovatele, který by byl povinen postupovat podle předem definovaného postupu (odpojení, omezení atd.), jinak by mu hrozil postih. Upozornil také na to, že provozovatelé mají většinou ve smlouvě s klientem přímo napsané, že mohou některé stanice odpojit, neporušují tím tedy žádný zákon.

Georges D´hollander – vize NATO

Že se bude Evropa ubírat stejným směrem, jaký je popsán výše, mi potvrdil osobně během polední přestávky generální ředitel NATO NC3A Georges D´hollander. NATO chce během roku 2012 zprostředkovat komplexní bezpečnostní řešení na úrovni států. Prosazení nezbytné legislativy by se mělo opírat o značnou podporu veřejnosti, kterou NATO plánuje během tohoto roku získat. Vize do budoucna je vytvořit nezbytnou mezinárodní důvěru a prostředí, což by nakonec mělo ušetřit velké sumy peněz.

Mezi plánované změny NATO patří také pokus o vytvoření standardů ohledně integrace standardů do softwaru. Oficiální vyjádření NATO však zní jasně: kybernetická bezpečnost již pro nás není novinkou.

Radim Polčák – státní odpovědnost

Zajímavá fakta odhalil Radim Polčák v druhé polovině prezentace, když mluvil o státní odpovědnosti za počítače na svém území. Poukázal na fakt, že při vytváření botnetů, jako sítí "znásilněných" počítačů, může být sice útočník skrytý, ale počítače, které ovládá, stále spadají do jurisdikce dané země. Jestliže tedy není stát schopen zajistit si svůj kyberprostor, může být hnán k odpovědnosti za ušlé zisky, které způsobily jeho kompromitované počítače. Každý stát musí provozovat tzv. due diligence tedy bdělost nad prostorem a současně být svou aktivitou odpovědný mezinárodnímu společenství. Ale due diligence se nevyhýbá ani běžným uživatelům a bylo by velkým omylem myslet si, že se o nás stát postará a nijak se o svou bezpečnost na internetu nestarat – mohlo by dojít k trestnému činu z nedbalosti.

Aleš Špidla – lze zavést standardy a prosadit právo v kyberprostoru?

Na konferenci vystoupil v sekci legislativy a standardů Aleš Špidla – ředitel oboru IT ve Státním ústavu pro kontrolu léčiv. Svůj příspěvek uváděl jako pohled člověka bez právního vzdělání.

Hned na úvod definoval kyberprostor jako místo v IT světě, které je přesně dáno nějakou formou kódu. Takový kód vytváří definiční autorita (Facebook, Google…), kterých je mnoho a vznikají tak jakési "bublinky světů". V těchto zpravidla uzavřených prostorách se uživatelé podřizují často nesmyslným pravidlům, která je nutno přijmout za účelem setrvání na daném místě.

Proč tedy člověk neprávník chce právo v kyberprostoru? Uživatel internetu, laik, chce být řádným "kyberobčanem". Ale požaduje stejný přístup i od ostatních uživatelů. Právo pak slouží jako prostředek státu, který nás chrání před ostatními a současně před námi samými.

Na závěr prezentace Aleš Špidla zdůraznil význam mezinárodní spolupráce, ochrany strategických cílů a spolupráce státu, soukromé a akademické sféry. Nezbytné je také zvyšovat bezpečnostní povědomí třeba přes učení bezpečného chování na internetu.

Další ročník ITTE s přívlastkem 2012 proběhne na konci května v Praze současně s výstavou TechNet Europe 2012. Konference se bude věnovat specifickým aspektům kybernetické obrany.