Na stráži kyberprostoru

S Karlem Řehkou o dětství, armádě a bezpečné síti

Ing. Karel Řehka (*1975), ředitel Národního úřadu pro kybernetickou a in- formační bezpečnost (NÚKIB). Absolvent Vojenského gymnázia v Opavě a Vysoké vojenské školy pozemního vojska ve Vyškově. Vojenský veterán řady zahraničních misí v Kosovu a Afghánistánu. V letech 2010–14 velitel 601. skupiny speciálních sil, 2014–17 ředitel Ředitelství speciálních sil Ministerstva obrany ČR, 2017–20 zástupce velitele Mnohonárodní divize severovýchod NATO, od roku 2016 brigádní generál Armády České republiky. Nositel Ceny Arnošta Lustiga za odvahu, statečnost, lidskost a spravedlnost za rok 2018.

Pane inženýre, redakce se na Vás obrací se žádostí o rozhovor jakožto na rodáka z našeho města Tišnov a zároveň člověka, jehož pestrá životní a profesní dráha přivedla nyní až na jeden z významných postů ve státní správě. Zaměříme se tak jak na téma Vašeho vztahu k rodnému městu, tak na otázky Vaší profesní role v ochraně České republiky před riziky plynoucími z globální informační sítě.

Divoké dítě tišnovských ulic

Své dětství jste strávil v Tišnově. Prozradíte nám, se kterou částí našeho města je spojeno?

Vyrostl  jsem  na  Humpolce,  na  sídlišti, a trávil jsem čas tak nějak všude po Tišnově, protože jsem byl nezbedné dítě. Často jsem byl u prarodičů. Jedny jsem měl na Trnci a druhou babičku pod Květnicí. Ještě jsem taky hodně času strávil v Předklášteří, protože rodiče tam mají zahradu. Základní škola, která měla v naší rodině tradici, byla na Smíškově. Pak jsem pře- šel na tehdejší Gottwaldovu školu, dnešní Riegrovu ul., kde jsem strávil zbytek zá- kladní docházky, tehdy osmileté. Odtamtud jsem šel už na vojenskou školu.

Jak jste se pohyboval po Tišnově, máte nějaké oblíbené místo dětských her, kam se třeba zajdete podívat, když sem zavítáte?

Mám to v Tišnově celkově moc rád. I s odstupem vidím, že člověk potřebuje kořeny a někde je má. Mám rád přírodu, takže když jsem v Tišnově, tak si jdu zaběhat třeba na Květnici na Velkou skálu. A to mě pojí s dobou, kdy jsem tam hodně chodil jako dítě. Byl jsem hodně divoké dítě, rodiče mně mohli domlouvat desetkrát denně, a stejně nic nepomohlo. Zajímalo mě dobrodružství, takže jsme lezli na skály, v zimě jsme jezdili na řece na krách. Ve městě jsme prolézali podzemní chodby, štoly na Květnici a sklepení, např. u staré budovy u radnice, ještě než byla zbourána, nebo Peklo, a další staré baráky, kam se dalo vlézt.

Vojenská kariéra

Do služby v armádě Vás přivedla rodinná tradice „uniforem“?

Nebylo to úplně tak, že bych někoho kopíroval, i když určitě mě formovalo, že strýc byl voják a táta policista. Já sám jsem od dětství vždycky chtěl být voják. Hodně jsem vyrostl na válečných filmech, táta si četl o vojenské historii, tak jsme   se o tom i bavili. Viděl jsem ty vzory, bez ohledu na to, jaký byl systém, takže jako kluka mě tohle bralo.

Vstupoval jste do armády s úmyslem být vojákem první linie, tj. v bojovém nasazení, nebo spíše kvůli sounáležitosti s celkem armády?

Já jsem chtěl být jednoznačně voják se zbraní, vnímal jsem to jako dobrodružství. Chtěl jsem bojovat, lítat po překážkových drahách a tak. Žádný kluk nechce do armády, aby seděl na generálním štábu.

Přesto jste se v kariéře vydal cestou velitele…

Ono to ale takto bylo a je: v té době byla základní vojenská služba, a tak kdo chtěl být voják z povolání, počítalo se s ním na řídicí pozici. Buď po střední škole jako praporčík, nebo jít dál studovat VŠ a tam se předpokládalo, že budete důstojník.

Jak je to s vaší odbornou specializací?

Po vojenském gymnáziu v Opavě  jsem šel studovat průzkumný obor  na  VVŠ  do Vyškova jako průzkumník-výsadkář. Měl jsem pak štěstí, že jsem se už v pol. let dostal do Anglie absolvovat Královskou vojenskou akademii a tam mě  to nakoplo v jiných souvislostech. Odlišnost byla především v konceptu školy. Naše školy byla kombinace univerzitního vzdělání a vojenského výcviku. Ta britská  byla  zaměřená  výhradně  vojensky  a z 90 % jako výcviková praxe. Kvalita, profesionalita instruktorského sboru, systém výuky, jednání s lidmi, poddůstojnický sbor, to u nás na srovnatelné úrovni tehdy vůbec neexistovalo. I když my už se dnes taky nemáme za co stydět.

Dnes je armáda profesionální. Myslí- te, že by bylo dobré, kdybychom se my všichni chlapi účastnili alespoň nějakého omezeného výcviku?

Je to záludná, ale dobrá otázka. Základní vojenská služba v podobě, jak probíhala  a jak byla nastavená, byla neudržitelná. Stejně tak jako je návrat ke klasické voj- ně nereálný dnes. Dávalo by to podle mě při vhodné formě této služby smysl, ale chybí kapacity, nemáme ani tu část profesionální armády,  která by to utáhla, už k tomu nemáme ani potřebnou infrastrukturu a další. A není na to ani dostatečná společenská a politická vůle. Ale určitě je regulérní vést o tom diskusi. Mít systém služby mimo profesionální armádu má svoje výhody, přispívá to k odolnosti společnosti, pomůže to s přípravou na různé krizové situace. A mít přehled z hlediska evidence lidí, kdo se na co v případě krize či konfliktu hodí a je schopen narukovat, by stálo za zváženou.

Kybernetická bezpečnost

Bohatou a pestrou armádní kariéru jste náhle přerušil přechodem na civil- ní pozici ředitele NÚKIB. Co bylo motivem této změny?

U mě to nebyl nějak dlouhodobě plánovaný krok. Věděl jsem, co NÚKIB je, a spolupráci s ním, byť v omezenější míře, jsem zažil. Výběrové řízení na ředitele jsem tak vzal jako výzvu, protože můj motiv byl jediný: kyberbezpečnost je dnes důležitá, průřezová, prostupuje vším, obranou, vnitřní bezpečností, ekonomickou sférou, na co se podíváte, aspekt kyberbezpečnosti je všude. A to pro mne byla příležitost být u něčeho opravdu významného, kde je navíc spousta věcí pořád ještě ve vývoji a tvoří se. Kyberbezpečnost je nejrychleji se rozvíjející složka bezpečnosti.

Je i v rámci armády takový specializovaný útvar?

V době mého působení na Ředitelství speciálních sil jsme v rámci svých rozvojových cílů věděli, že se té kybernetice budeme muset věnovat minimálně  koncepčně. Tedy co to pro nás bude znamenat a jak se přizpůsobit, což spadalo do práce speciálních sil. Tím chci říct, že to pro mě nebylo úplně nové téma. Letos bylo zřízeno Velitelství kybernetických sil a informačních operací, které je pro NÚKIB partner  v armádě. A vedle toho funguje pod patronací Ministerstva obrany Národní centrum kybernetických operací, což je složka zaměřená na kybernetickou obranu a spadá pod Vojenské zpravodajství v rámci resortu MO.

Máme tu ale vedle už zmíněných další škálu bezpečnostních a zpravodajských útvarů státu: Bezpečnostní informační službu, Úřad pro zahraniční styky a informace i Vojenské zpravodajství či Národní centrálu proti organizovanému zločinu a Národní bezpečnostní úřad ve- dle útvarů Armády ČR a Policie ČR…

Chápu, že to zvenčí vypadá jako guláš, ale v zásadě jsou tyto věci přesně dané legislativou. Zpravodajské služby, každá ve své oblasti, sbírají  a  vyhodnocují  informace a poskytují podklady k rozhodování politickému vedení země. Pak tu máme policii, která má také na poli kybernetiky své složky a působí jako orgán činný v trestním řízení. NÚKIB je v tomto systému ústřední správní úřad s úkolem zabezpečit, že jsou nejdůležitější systémy státu v kybernetické oblasti dostatečně chráněny proti možným útokům, včetně ochrany utajovaných informací v informačních a komunikačních systémech.

 Co se tedy v rámci tohoto úřadu sleduje?

NÚKIB má 3 hlavní pole působnosti:

• Kybernetická bezpečnost podle zákona o kybernetické bezpečnosti (č. 181/2014 )
• Ochrana utajovaných informací v infomačních a komunikačních systémech
• Veřejně regulovaná část evropské- ho družicového navigačního systému Galileo

Naše hlavní role je, že hlídáme systémy kritické infrastruktury státu a další důležité systémy a sledujeme, zda jsou zabezpečeny tak, jak mají být zabezpečeny. A pokud nejsou, tak hlídáme, aby se to napravilo. A pokud jsou, a přesto čelí kyberútoku, jsme schopní poskytnout podporu při řešení incidentů a díky schopnostem forenzní analýzy umíme následně zjistit, co se v systému dělo.

K naší práci  patří  i  vzdělávání,  výzkum a vývoj. Vyvíjíme výukové a metodické materiály. Máme příručky pro všechny stupně vzdělávacího systému od mateřských škol až po vysoké a materiály rozesíláme do škol. Během října například proběhl Festival  bezpečného  internetu. V rámci odborných panelů zde naši lidé pracovali s preventisty z různých oborů zaměřených na zranitelné skupiny, jako jsou děti nebo senioři. Poskytujeme i moduly, kurzy a školení  pro  zaměstnance ve státních službách. Velká část úspěšných kybernetických útoků, které u nás probíhaly, měla totiž na počátku běžnou lidskou chybu, k níž nemuselo dojít, pokud by uživatel byl řádně proškolen.

Jsme v ČR v oblasti prevence napřed, nebo zatím jen lepíme díry jako řešení následků?

Vždycky je  to  tak,  že  se  vyvíjí  hrozby i obrana – objeví se hrozba, vy přizpůsobíte obranu, útočník vymyslí něco jiného. Naší snahou je proto působit proaktivně a preventivně. Takže i vzdělávat, dělat výzkum a vývoj, objevovat nové trendy, analyzovat. Provádíme např. tzv. penetrační testy – skenujeme zranitelnost systémů, aktivně vyhledáváme „díry“, a pomáháme je opravit. Ve chvíli, kdy už je útočník úspěšný, zbývá jen minimalizovat škody. Ale čím lepší je prevence, tím je vyšší šance, že tomu zabráníte. A když už nezabráníte, při správném nastavení systémů bude škoda minimální, a ne fatální.

Naši nepřátelé nejsou vždy známi

V laickém pojetí je hacker zakuklený „Anonymous“. Co je více bližší realitě: jsou to jednotlivci, co se snaží z pouhého rozmaru a prestiže cílenou snahou narušovat stát, anebo jde o lidi pracující výdělečně „na objednávku“ cizích zájmů a organizací?

Jak kyberprostor prostupuje vším, setkáváme se v něm s kombinací ledasčeho. Jsou tu státní aktéři, kriminální skupiny či velké hackerské skupiny.  Velmi  častá je kyberkriminalita, např.  ukradení hesla  a vybrání účtu. Obrovsky na vzestupu je klasický ransomware – zaútočíte na firmu, zašifrujete jí data a pak ji vydíráte, aby vám zaplatila výkupné, protože každý den výpadku pro ni znamená třeba obrovské ztráty. Ale může jít i o získávání informací pro jiný druh kriminality nebo pro načerpání poznatků nelegální cestou z vědy a výzkumu pro vlastní ekonomickou výhodu. Tak čelí útokům stále víc a víc výzkumná pracoviště, univerzity apod. Tam je budoucí know-how. Může jít i o politický aktivismus – „hactivismus“, když je cílem třeba politická strana a např. diskreditace pomocí zveřejnění interní komunikace členů. Zaútočit na jednotlivou zranitelnost nevyžaduje žádnou velkou sofistikovanou znalost. Útoky, které ale za sebou např. důkladně zahlazují stopy, vyžadují investice, know-how a infrastrukturu, proto za nimi už mohou stát státní zájmy.  Běžnější  ale ve fyzickém světě je, že narazíte na zlodě- je, než že na vás zaútočí velká organizace či stát. Tak je to i v kyberprostoru. Ovšem hackerství funguje už i jako služba. Malware  i hackera si můžete koupit nebo najmout. Být hacker tedy neznamená nutně blázna sedícího  deset  let  někde  ve  sklepě,  ale i technicky zdatnějšího kriminálníka, který svou práci dělá jako zajímavou výdělečnou činnost. Zároveň s těmito hackery na špatné straně zákona však existují i tzv. white hat hackeři, kteří se živí tím, že organizacím pomáhají hledat nedostatky v jejich zabezpečení a radí jim, jak tyto nedokonalosti odstranit. Takže nejde říct, že být hacker je automaticky něco špatného.

Daří se v rámci vyšetřování incidentů najít útočníky? A je vůbec cílem najít napadající organizaci?

Tomu se v kyberprostoru říká atribuce a v těch vážných případech jde o komplikovaný proces týmové souhry spousty státních složek. Přesto máme na konci jen určitou míru pravděpodobnosti. A otázka, co s tím zjištěním dělat, je pak věc politického rozhodnutí, jestli o tom chcete mlčet, chcete to sdělit spojencům diskrétně nebo útočníka veřejně pojmenovat, iniciovat sankce nebo zareagovat jinak. Tady mám na mysli útoky na úrovni států. Pokud se jedná o běžnou kriminalitu, je to samozřejmě standardně věcí trestního řízení.

Princip obrany kybernetického prostoru se dá chápat na principu softwarovém, nebo i ve spojení technicky s armádou?

Tak jako obrana ČR řeší útok cizího státu konvenčními zbraněmi, stejně se řeší totéž v kyberprostoru. Když je tu kybernetický útok, odpovědné složky se snaží akci monitorovat a poznat, zda a kdo na nás útočí. Novela zákona o vojenském zpravodajství bude dávat jejich Národnímu centru kybernetických operací v těch nejzávažnějších případech i možnost aktivní odpovědi, včetně třeba eliminace útoku ofenzivními kybernetickými prostředky. V této věci se nicméně stále bavíme pouze na rovině sítí, v kyberprostoru.

Co třeba zjištění, že útoky jsou páchány z konkrétního místa konkrétního počítače? Je součástí kybernetické ochrany, že tam bude vyslána jednotka, aby to místo eliminovala?

Kybernetické operace se odehrávají v kybernetické doméně. Na kybernetický útok nemusí být ale jen kybernetická odezva. Může jí být i odezva konvenční. To se ale bavíme o nejextrémnějším bodě celé škály odezvy. Například v EU dnes již existuje sada diplomatických opatření, která se mohou aplikovat na základě kybernetického útoku, kde se podařilo udělat atribuci a určit útočníka. Od nejmenšího, že státy podporující útočníky pojmenujete a od- soudíte na mezinárodní úrovni, až po ekonomické sankce na představitele daného státu nebo konkrétní útočníky.

V tom nejextrémnějším případě by se stát mohl rozhodnout, že odpoví na kyberútok konvenčním vojenským útokem. Pokud jiný stát prostřednictvím kyberprostoru ohrožuje vaši suverenitu, působí vážné škody, třeba i na životech obyvatel, máte právo se při dodržení principu proporcionality v mezích mezinárodního práva bránit. I NATO oficiálně uznalo kybernetický prostor jako standardní doménu bojiště, vedle země, vzduchu, moří a vesmíru. A stejně je mezi členskými státy NATO shoda na tom, že za určitých okolností i kybernetický útok může být důvodem  aktivace  čl. 5 o společné obraně. Vždy jde o to, jaká je povaha a dopady útoku.

Dám příklad: když vám někdo zablokuje webovou stránku obce, tak to asi není takový problém. Když vám ale někdo udělá blackout v celém městě nebo oblasti, v jehož důsledku zemře spousta lidí v nemocnici, nebo poškodí jadernou  elektrárnu,  vypustí přehradu a vy jste schopni identifikovat, že to udělal některý stát nepřátelský vůči vám, pak je to akt nepřátelství jako každý jiný. Což dává možnost odpovědi, a je na politickém rozhodnutí, jestli třeba požádáme NATO o podporu při protiakci. Vždy však bude zásadní, aby způsoby a prostředky reakce byly přiměřené dané situaci a cílům.

Spadá do informační bezpečnosti řešení i dezinformačních kampaní, webů apod., které se cíleně staví za nějaký směr, byť není zřejmé, kdo za tím stojí a financuje to?

Samotné informační nebo vlivové operace nejsou předmětem našeho úřadu. Nicméně více a více informačního působení se odehrává v kyberprostoru. A to už jsme na poli tzv. hybridních hrozeb, kde se kombinují nástroje vojenské, společenské, ekonomické, diplomatické až po kybernetické a informační.

U nás je za oblast boje proti dezinformacím primárně zodpovědné Centrum proti terorismu a hybridním hrozbám na Ministerstvu vnitra. V rámci hybridních hrozeb existuje i stálá pracovní skupina relevantních institucí, které dávají všechny tyto informace dohromady, a náš úřad je její součástí. Je totiž složité si poskládat vše dohromady, aby bylo zřejmé, co se děje a kdo na vás působí. A stejně tak aby byla nějaká koordinovaná reakce zpátky, zase vyžaduje spolupráci těch hráčů. Takže fungujeme i jako partner boje proti hybridním hrozbám.

… co říci závěrem

Za svůj profesní život jste vystřídal řadu míst. Co na tyto časté změny Vaše rodina?

Já se vždy snažím být s rodinou, ale jde mi o to, aby ten pohyb rodinu nějak neohrozil. Na zahraniční operace do válečné zóny si rodinu s sebou nevezmete. Ale nějakou dobu jsme byli v Německu nebo v Polsku a rodina byla se mnou. Já působím tam, kde je mě potřeba, a rodina je se mnou, aby mě maximálně podpořila. Oni vždy akceptovali, že když jsem voják, tak to k tomu patří. Každopádně jsem za to rodině a hlavně manželce nesmírně vděčný.

Do budoucna se plánujete vrátit do vojenské služby?

Po dohodě s Ministerstvem obrany mi byl přerušen služební poměr na dobu výkonu funkce. Takže až skončím, vrátím se zpět do armády. Délka služby na NÚKIB není přesně dána. Když se mě kamarádi ptají, tak jim odpovídám s úsměvem, že tu budu do prvního průšvihu.

Poslední věta pro čtenáře: Jak mají prožít nadcházející rok 2021?

Hlavně ve zdraví. To je nejdůležitější, a teď v pandemii jsme si všichni uvědomili, že člověk není vládce všeho, že ne- jsme páni, ale součást přírody. A ať mají Tišnov rádi, ať ho dál zvelebují, protože to je úžasné město!

Moc děkuji za čas i za rozhovor!

Vladimír Vecheta