Útočí na nás Rusové. Volby budou pro Česko výzva, říká šéf kyberúřadu

Rozhovor si také můžete poslechnout v audioverzi.

Ruskojazyčné hacktivistické skupiny nejčastěji míří na Česko takzvanými DDoS útoky, kdy počítače ovládané hackery zahltí napadený server velkým počtem dotazů, a tím ho vyřadí z provozu. Podle Lukáše Kintra se tak snaží získat pozornost.

Nejaktivnější je skupina NoName057(16), která stála například za útoky na některé tuzemské banky v létě 2023. Hackeři tehdy požadovali, aby instituce přestaly s podporou Ukrajiny. V lednu 2023 stejná skupina zaútočila na volební weby prezidentských kandidátů Petra Pavla a Tomáše Zimy.

O roli proruských sil v kyberprostoru se mluví i v souvislosti s volbami v evropských zemích. A lze předpokládat, že na podzim by se mohly stát cílem nějaké formy útoku i ty české. Podle ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) však volby do Poslanecké sněmovny ohroženy nejsou.

„Náš systém je poměrně robustní, celá řada procesů stále probíhá fyzicky a jsou překontrolovatelné. Věnujeme tomu pozornost napříč celou státní správou. Já mám ale v tomhle ohledu absolutní důvěru v český volební systém,“ říká Lukáš Kintr v rozhovoru pro Seznam Zprávy.

Kam nejčastěji míří ruské útoky a za jakým účelem?

Mezi nejzasaženější patří veřejný a finanční sektor, jedná se v podstatě o nejvíc exponované útoky, účel je jednoduchý - získat pozornost. Ať už pro domácí publikum, tedy v zemi, odkud pochází útočník, nebo pro jakékoliv jiné publikum. Prostě zužitkovat pozornost a prodat svůj politický nebo jiný názor.

Je takový počet útoků v rámci Evropy a potažmo světa hodně, nebo málo?

Je důležité vnímat, že my evidujeme jenom část všech útoků, které na Českou republiku cílí. Víme o útocích hlavně od těch, kteří nám jsou povinni je hlásit, případně od těch, kteří od nás chtějí nějakou pomoc. Podobně neúplná data máme i napříč Evropou, z těch lze usoudit, že Česká republika se pohybuje nad průměrem. Pokud se budeme bavit o nejčastějším aktérovi, tak to byla na Rusko napojená aktivistická skupina NoName057(16), ta nejčastěji útočila právě na Českou republiku.

Proč je Česko terčem jejich útoků? Je to jen kvůli podpoře Ukrajiny?

Spektrum útočníků je různé a každý k tomu má jinačí motivaci. Pokud se ale budeme bavit o této ruskojazyčné skupině, tak tam zcela určitě, minimálně z toho, co skupina na svých sociálních sítích komunikuje, je primární důvod naše zahraniční politika a podpora Ukrajiny.

V Evropě se řeší rumunský případ zrušení voleb kvůli údajnému hybridnímu vlivu na sociální sítě jednoho z kandidátů - jsou takto ohroženy i volby v jiných státech včetně Česka?

Hybridní působení se děje denně napříč celým světem a České republice se samozřejmě nevyhýbá. Na druhou stranu je potřeba zmínit, že náš systém je poměrně robustní, celá řada procesů stále probíhá fyzicky a jsou překontrolovatelné. Věnujeme tomu pozornost napříč celou státní správou. Já mám ale v tomhle ohledu absolutní důvěru v český volební systém.

Taková ovlivňování však nejdou jenom za kyberúřadem, ale i za jinými institucemi, především za Ministerstvem vnitra. Bude to výzva pro celou bezpečnostní komunitu.

Vzhledem k neustálým útokům se nabízí otázka, na jaké úrovni je technologické zajištění státu? Může se nám stát například to, co na Slovensku, kde kvůli útoku přišli o data z katastrálního úřadu?

NÚKIB tady je právě proto, aby prosazoval proaktivní preventivní opatření. U nejdůležitějších institucí je jejich základ už dnes regulován. Pokud jde o nějaký dlouhodobý vývoj, tak ve Sněmovně nám leží před třetím čtením návrh nového zákona o kybernetické bezpečnosti, který okruh těchto regulovaných subjektů výrazně zvýší. A pakliže se tyto budou držet zákona a vyhlášek, které ji provádí, tak budeme určitě zabezpečeni a odolní, nebudeme lacinou obětí.

Kyberúřad jim to ale nemůže nařídit, jen kontroluje dodržení.

Odpovědnost za plnění a nastavování preventivních opatření je z mého pohledu správně ponechána vždy na správci daného systému, protože ten mu rozumí z povahy věci nejvíc. My provádíme řadu edukativních a metodických akcí a v neposlední řadě provádíme kontrolu dodržování tohoto zákona.

Když identifikujeme nějaké nedostatky, tak máme dostatečně silné nástroje pro to, abychom dokázali vynutit nápravu věci, případně pokud by se tomu někdo chtěl bránit a ignorovat tuto zákonnou povinnost, tak dochází na sankční řízení (výše pokuty může být dle současného znění novely až 10 milionů eur, nebo dvě procenta ze světového obratu, pozn. red.).

Bude to pro nás velká výzva, pro představu, jenom aktuálně regulujeme nějaké necelé čtyři stovky subjektů. Podle nového zákona to bude více než šest tisíc institucí.

Jaké další druhy kyberútoků v Česku kromě DDoS evidujete? A jsme podle vašeho odhadu již na vrcholu počtu útoků?

Podle mezinárodních studií musíme počítat s tím, že počty útoků dále v čase porostou. Očekávám, že trend se minimálně v příštím desetiletí zásadně nezmění. Pokud jde o typy útoků, musím zmínit phishing a jeho všechny formy, například v podobě podvržených hovorů, e-mailů nebo esemesek, ve kterých se z vás útočník snaží vylákat nějaké citlivé informace, které potom proti vám zneužije.

Nelze ale nezmínit také jiný trend, a to je útok spojený s dodavatelským řetězcem. Systémy jsou dnes chytřejší a provázanější, málokdy vám dnes jeden dodavatel dodá řešení kompletně sám za sebe, většinou má nějaké subdodávky. Vy si jste schopen velmi efektivně ohlídat toho prvního, ale jeho poddodavatele už velmi omezeně. Je potřeba se připravit i na nějaká omezení a opatření v této oblasti – a i tomu se věnuje kyberzákon, který aktuálně leží ve Sněmovně.

Kyberúřad vydal také varování před aplikací TikTok, navzdory tomu ji používají někteří politici včetně premiéra. Je varování dostatečně silné? A budete ho aktualizovat?

Varování před TikTokem probíhá pravidelným přezkumem. V případě, že bychom identifikovali nějakou výraznější změnu, která by jej měla ovlivnit, tak bychom určitě k aktualizaci přistoupili. Na druhou stranu, varování bylo vydáno podle zákona o kybernetické bezpečnosti a ten má poměrně jasně vymezený okruh adresátů, pro které je závazné.

Řekněme, že pokud provozujete nějaký pro stát kritický systém, tak byste ze zařízení, ze kterého přistupujete k tomu systému, neměl přistupovat také na TikTok, protože tato aplikace v sobě obsahuje věci, které mohou být ohrožující. My jsme v rámci varování upozorňovali i širokou veřejnost, včetně politické reprezentace, na hrozby, které jsou s tím spojené. Pokud si ale politici vyhodnotí, že na této síti potřebují být a potřebují ji používat, měli by ji používat bezpečně.

Premiér Petr Fiala například uvedl, že má TikTok na speciálním mobilu, ve kterém má staženou pouze aplikaci TikTok. Je to dostatečné opatření?

Je to určitě bezpečnější než tu aplikaci mít na zařízení, které používáte na jakoukoliv další činnost. TikTok vyžaduje excesivně silná oprávnění k dalším částem telefonu, jako je přístup k informacím o vaší síti, kterou jste připojení k dalším připojeným zařízením a podobně. Sbírá o uživatelích abnormálně vysoké množství dat. Takže ano, pokud mobil nepoužíváte na nic jiného, je používání TikToku bezpečnější.

Nedávno se objevily informace také o ovlivnění AI modelů včetně ChatGPT ruskou propagandou. Co radíte při práci s AI nástroji? Na co máme být obezřetní?

AI je dobrý sluha, ale zlý pán. Je potřeba přemýšlet, o čem s ní komunikuji, a je potřeba kriticky vyhodnocovat i to, co vám odpovídá nebo vytváří. Pokud ji budete používat jako vyhledavač na internetu, tak je potřeba mít na paměti, že ne vše, co se na internetu píše, musí být nutně pravda.

Extrémně opatrný bych byl při poskytování osobních dat do jazykových modelů, to stejné platí také o obchodních nebo firemních datech. Setkal jsem se s případy, kdy byla pro obchodní potřeby vytvořena smlouva právě umělou inteligencí. Je potřeba v tu chvíli počítat s tím, že cokoliv jste tam napsal, může být využito pro nějakou další odpověď a může se to tak dozvědět kdokoliv další.