Největším problémem kyberbezpečnosti je nedostatek odborníků
Kyberbezpečnost je nepopulární disciplína. Vždy do systému vnáší omezení a limituje komfort. A když správně funguje, tak se o ní neví, říká Michaela Stonová, bezpečnostní ředitelka společnosti OKsystem. Největším problémem je pak podle ní nedostatek odborníků.
Jak jsou na tom po událostech posledních let z hlediska bezpečnosti veřejné instituce jako třeba nemocnice, policie, státní úřady…?
Veřejná správa nemá na rozdíl od soukromého sektoru takovou volnost v disponování s finančními prostředky. Mnohdy musí pracovat se zařízeními typu magnetická rezonance, jež jsou dvacet i více let stará, a z hlediska kyberbezpečnosti zranitelná. Když lékař řekne, že se k nim musí připojit z domova, tak mu vyhovíte, protože péče je samozřejmě na prvním místě. Ovšem vznikne tím otevřená brána do systému.
Nemocnice dále často nedisponují adekvátními prostředky na mzdu manažerů kybernetické bezpečnosti či na zajištění stálé služby bezpečnostního dohledu. Zde by mohly sehrát zásadní roli organizace typu NÚKIB či NAKIT a poskytnout pro veřejnou správu centrální řešení – sdílet osoby, služby a znalosti. Komerční sféra si většinou nějak poradí. Státní správa a samospráva však potřebují pomoci.
Je to spíš tím, že ve vedení nemocnic jsou často lékaři, u hasičských sborů hasiči a podobně? Nebo tím, že peníze by třeba i byly, ale ne v té správné škatulce?
Nemohu za tyto instituce hovořit, ale určitě jsou jednou věcí škatulky a druhou nezáviděníhodná pozice managementu. Nejcennější komoditou jsou vždy a za všech okolností lidé. Ať jste v nemocnici, nebo v komerční společnosti, vždy si potřebujete udržet klíčové zaměstnance. Bezpečnost je přitom něčím, co je omezuje.
Pokud zaměstnanci sdělíte, že se nebude moct připojit odkudkoliv kamkoliv, může se stát, že váš špičkový lékař, programátor, designér, architekt půjde pracovat jinam. Někam, kde ho takto omezovat nebudou.
Bezpečnostní opatření mají leccos společného s těmi protipovodňovými. Každý v záplavovém území chce být před povodní maximálně ochráněn. Když však dojde na konkrétní opatření a před jeho domem má vyrůst nevzhledná protipovodňová hráz, začne jeho podpora rapidně klesat. Jedná se o klasický příklad NYMBY, tedy „ne na mém dvorku“. V případě kybernetické bezpečnosti by se to dalo parafrázovat na NATEOMC, což znamená „not at the expense of my comfort,“ tedy „ne za cenu mého pohodlí“.
Proto tvrdím, že bezpečnost je extrémně nevděčná disciplína. Jedná se o neustálé vyvažování pro a proti. Buď budete mít dokonalou bezpečnost a nespokojené zaměstnance, nebo naopak. Zlatá střední cesta sice existuje a je ta jediná správná, avšak je nesmírně náročná. K tomu přistupuje další přitěžující okolnost, že bezpečnost je forma prevence. Vynakládáte peníze, abyste odvrátil něco, co možná přijde, ale možná také ne.
Když to funguje, tak to vlastně nevidíte.
Přesně tak. Znakem funkční bezpečnosti je, že o ní nevíte. Proto se na ni hůře získávají prostředky a podpora. Paradoxně ani to mnohdy nestačí.
Ačkoliv v OKsystemu disponuji vrchovatě obojím, tak i ta nejbáječnější technologie stále potřebuje někoho, kdo ji do systému efektivně zasadí a následně se o ni stará. U státu či nemocnic jsou primárním problémem finance. V soukromém sektoru již jen nedostatek osob na pracovním trhu.
V rámci Svazu průmyslu a dopravy, který v této oblasti odvádí vynikající práci, se proto zapojujeme do všech aktivit, jejichž cílem je navyšovat jejich počty. V OKsystemu podporujeme stáže středoškolských studentů a podílíme se na výuce na různých vysokých školách. Neomezené kurzy pro všechny naše zaměstnance jsou naprostou samozřejmostí.
Nakolik se to dá řešit outsourcingem? Nebo outsourcingem celého, dejme tomu, informačního systému?
Tento trend bezesporu existuje. Otázkou je, nakolik jsou takové služby kvalitní a jestli splňují to, co potřebujete. I tyto společnosti totiž čelí nedostatku kvalitních pracovníků na trhu práce. Obecně řečeno, u menších společností je outsourcing určitě výhodnější a často i jedinou možností. Od určité velikosti či bezpečnostní úrovně, například u kritické infrastruktury, se vyplatí nebo je přímo nezbytné mít tyto služby zajištěné interně.
Jak tedy nedostatek kvalifikovaných odborníků řešit?
Pokud bych znala odpověď, vedl byste teď rozhovor s nositelkou Nobelovy ceny. Ale žerty stranou. Česká republika má určitý počet ekonomicky aktivních obyvatel. Jejich počet nelze žádnou magií uměle nafouknout. Lze jen přerozdělit jejich zaměření, popřípadě je doplnit o zahraniční pracovníky.
Co by však mohlo pomoci, je navýšení špičkových technologií vyvíjených v ČR. Důvodem odchodu části expertů do zahraničí nejsou jen platové podmínky, ale také nedostatek zajímavých a stimulujících projektů. Čím více osob by se nám podařilo tímto způsobem získat a zabránit tím jejich odchodu, tím lépe. V každém případě se zde bavíme o řešeních na celostátní úrovni.
Může vám pomoct umělá inteligence? Nebo je spíš hrozbou?
Umělá inteligence se nyní hřeje na výsluní popularity. Nejedná se však o nic nového. S neuronovými sítěmi, základem umělé inteligence si lidstvo hraje více než půl století. Teď se toto téma ocitlo v popředí jen díky tomu, že se dostalo k širší veřejnosti. Osobně umělou inteligenci vnímám jako něco, co opět lehce mění podmínky hry v IT světě. Jako další evoluční krok. Stejně jako před skoro 40 lety internet a v nedávné době sociální sítě. Každá technologie může sloužit buď dobrému, nebo špatnému účelu.
Umělé inteligence se proto nebojím a vůbec se nedomnívám, že bychom jí byli plně nahrazeni, či dokonce ovládnuti. Co se týče regulace, byla bych v ní prozatím zdrženlivější. Stejně jako se budou vyvíjet útočné technologie, budou následovat i ty obranné. Navíc každá umělá inteligence je jen tak chytrá jako podklady, na kterých se učí. Je to jako u dětí. Můžete mít velmi chytré dítě, ale když mu neposkytnete vhodné stimuly, tak výsledek nebude valný.
Nejde spíš než o hrozbu ovládnutí o to, že AI je rychlá a produktivní, takže může sloužit útočníkovi, kterému zase tolik nevadí, že dělá chyby?
Útočníci mají velkou výhodu. Vždy je zábavnější útočit než se bránit. Zeptejte se pětiletého hokejisty, zda chce být obráncem nebo útočníkem. Každý bude raději dávat góly. Obráncem se dobrovolně stáváme až s věkem a přibývajícími zkušenostmi. Jeden ostřílený obránce však dokáže eliminovat značné množství začínajících útočníků. Tím se nám situace trochu vyrovnává.
S AI je to obdobné. Jazykové modely neskutečně pokročily a může je používat kdokoliv – obránce i útočník. Útočník tak dokáže s jejich pomocí chrlit kvanta dezinformací či útoků. Stále se však jedná o generické pokusy. Pokročilý obránce či čtenář je vždy dokáže rozpoznat a účinně se jim bránit. Tak jak se budou vyvíjet útočné techniky, tak je budou následovat i ty obranné.
Samozřejmě lze vymyslet i velmi sofistikovaný útok. Je však otázkou, nakolik tam bude moci být využita AI, pokročilá algoritmizace, nebo úspěch bude tkvět jen v lidském faktoru.
Prozatím platí, že technologie typu ChatGPT jsou silné ve své obecnosti. Jakmile se dostanou na specializované území, na které nebyly natrénovány, obvykle pohoří. Pokud bychom je chtěli vytrénovat téměř k dokonalosti na danou úzkou oblast, nebudou zase tak široce dostupné. Tudíž i zde existuje systém protiváh a samovolné korekce.
Řečeno v duchu Formanova Amadea: Umělá inteligence je zatím jen Salierim – oním svatým patronem průměrnosti. Nikdy se nestane Mozartem. Na druhou stranu co by většina z nás dala za to být alespoň Salierim. V některých horších dnech by to ocenil i Mozart. Umělou inteligenci proto směle využívejme, ale buďme si vědomi jejích limitů.
Pomůže v něčem kyberbezpečnosti NIS2?
Cíl směrnice je rozhodně správný. OKsystem je již nyní takzvanou povinnou osobou dle stávajícího zákona o kybernetické bezpečnosti. Více než sedm let plníme všechna bezpečnostní opatření, která nově dopadnou na regulované subjekty v takzvaném režimu vyšších povinností. Objektivně proto mohu říci, že stanovené povinnosti neobsahují nic moc navíc, než co byste sami nečinili s „péčí řádného bezpečnostního hospodáře“.
Spornou otázkou může samozřejmě být hloubka některých bezpečnostních opatření nebo určující kritéria pro jednotlivé úrovně. Je však nutno si uvědomit, že nic nebude nikdy absolutně spravedlivé a naštěstí i zde fungují různé dotační programy, jež pomáhají s finančními dopady technických opatření. Jediné, s čím budeme všichni skutečně bojovat, je nedostatek odborníků. Komerční sféra si i s tím nakonec nějak poradí. Státní správa a samospráva však budou potřebovat pomoci.
Jak tedy zní vaše doporučení?
Především si uvědomit, že bezpečnost je nikdy nekončící proces. Dále se smířit s tím, že absolutní bezpečnosti nelze nikdy dosáhnout. Kybernetický útok se dá úspěšně provést vždy. Je to jen otázka odhodlání, dostupných prostředků, trpělivosti a někdy i štěstí. Lze proto eliminovat největší rizika a minimalizovat dopady. Pokud vám někdo tvrdí opak, tak mu svoji bezpečnost rozhodně nesvěřujte. A do třetice samotné technologie vám bezpečnost nezajistí. Podstatné je jejich správné zasazení a následné používaní.
Michaela Stonová
Pro společnost OKsystem pracuje tři roky. Předtím působila více než 15 let ve státní správě, kde se kromě bezpečnosti věnovala i návrhům Big Data systémů. Je dlouholetou členkou Mezinárodní asociace pro kryptologický výzkum (IACR).