Minulý týden se na zastávce pražského metra Vyšehrad a okolí vyskytovaly skupiny mladých lidí v tričkách barev různých evropských zemí. Česká republika totiž v Kongresovém centru poprvé v historii hostila finále evropské soutěže European Cyber Security Challenge (ECSC), kterou pořádá Agentura Evropské unie pro kybernetickou bezpečnost (ENISA). Jde o její klíčovou činnost. V Česku i Evropě chybí odborníci na kybernetickou bezpečnost, tedy zásadní obor budoucnosti. Soutěž má tento komplexní problém pomoci řešit.
Do českého hlavního města dorazily necelé dvě desítky národních týmů z Evropské unie včetně Švýcarska a Kanady. Složení těchto družstev určila předcházející národní kola. V nich soutěží studenti základních až vysokých škol od 15 do 25 let. V rámci České republice jde o Kybersoutěž, jíž se každoročně účastní tři až pět tisíc studentů. V národním finále se potkává dvacet lidí.
Český tým se mezinárodní soutěže účastní od roku 2017. Letos ale ve finále, na rozdíl třeba od Slovenska či Polska, chyběl. Češi se totiž rozhodli, že si místo soutěžení vezmou na starost organizaci samotné akce. Připravovali úlohy, ve kterých ostatní státy měřily síly. Tyto úlohy byly konzultovány a testovány například s Vojenským zpravodajstvím.
V letech 2017 a 2018 se Češi umístili až na konci, v roce 2019 už si polepšili a skončili zhruba v polovině tabulky. Jde o zlepšení, zároveň ale nejde o tak dobré výsledky, jak by se na „zemi Avastu“ nejspíše slušelo. Obecné představy jsou takové, že Česko je v oboru kyberbezpečnosti silné, což ukazují nejenom některé nadějné firmy, ale také umístění v soutěži Locked Shields pořádané NATO.
Samouci s kyberbezpečností jako hobby
Kapitánka letošního českého týmu Eliška Kühnertová z Vysoké školy ekonomické, která se mimo jiné v Ciscu starala o Networking Academy, naznačuje, v čem může být problém.
„Jsme samouci. O kyberbezpečnost se u nás mladí lidé zajímají jako o koníček, v tomto oboru neexistuje rozšířené formální vzdělávání,“ popisuje pro Lupu. „Do škol se kyberbezpečnost dostává, například na středních školách, ale obecně lze říci, že když už se něco učí, jsou to normy,“ navazuje Kühnerová a uvádí, že naopak vpředu jsou skandinávské země.
Nedostatek lidí pociťují jak soukromý sektor, tak stát. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dlouhodobě na tento problém upozorňuje, naposledy třeba ve výroční zprávě o kyberbezpečnosti. NÚKIB má schválené dobudování za šest miliard, vzniknout mají i týmy rychlého nasazení. Úřad se do roku 2027 má dostat na 417 lidí.
Zaměstnance musí nabírat také Velitelství kybernetických sil a informačních operací Armády ČR a Vojenské zpravodajství. To mimo jiné díky novele zákona získalo možnost vést aktivní operace.
Všechny tyto organizace ECSC podpořily s tím, že soutěž podle nich „pozitivně ovlivní motivaci mladých lidí věnovat se této problematice a zvýší odolnost a schopnosti ČR v budoucnu“.
„Musíme přidat,“ uvádí k nedostatku lidí v kyberbezpečnosti ředitel NÚKIBu Karel Řehka. „Je to skutečně velký problém. V příštím roce chci navrhnout strategii, jak se s tímto nedostatkem vypořádat,“ doplňuje a poukazuje mimo jiné na vzdělávání. Řehka si dle svých slov dá tuto oblast mezi priority.
Produkce odborníků
Stát si dle šéfa NÚKIBu bude muset odborníky sám produkovat a zajistit jim lepší platové podmínky. NÚKIB má v současné době otevřených kolem 270 tabulkových míst, což se má v následujících měsících rozšířit na 300, a zase takové problémy se zaplněním nemá.
Horší je to ale s lidmi na skutečně odborných pozicích, kde jsou vyžadovány hluboké technické a další znalosti. Byť ne všechny motivuje pouze plat a roli hraje třeba služba pro bezpečnost státu, zmiňované problémy podle Řehky „stát musí vyřešit“. Hlasy z trhu místy mluví o slabší technické vybavenosti některých zaměstnanců NÚKIBu.
„V současné době počet zájemců není problém. Je jich dost, abychom si na tabulková místa mohli vybírat. Naplánovali jsme si, že každý rok přibereme patnáct dvacet lidí. Dokážeme je získávat na zajímavou práci. Dostanou se k věcem, kde jinde ne. Někdo také chce dělat bezpečnost a dobro, proto vstupuje do armády. Spíše se potýkáme s tím, že nám proces trvá strašně dlouho. Kdybyste k nám teď chtěl jít pracovat, musel byste přijít příští rok v červnu. Problémem je zkostnatělé plánování finančních prostředků,“ popsal v rozhovoru pro Lupu své zkušenosti Miroslav Feix, velitel kybernetických sil v Armádě ČR.
Situaci mají zlepšovat podobné aktivity jako na Univerzitě obrany v Brně. Tamní Fakulta vojenských technologií otevřela obor Kybernetická bezpečnosti pro civilní a vojenskou oblast. Nyní jej začalo studovat prvních 25 vybraných zájemců.
Vznikl také zapsaný ústav Centrum kybernetické bezpečnosti. Ten začal nabízet program celoživotního vzdělávání v kyberbezpečnosti, studentský kybernetický akcelerátor a další aktivity. Stojí také za knihou kyberpohádek a říkanek. K dostání je prozatím kratší verze v brožurce (PDF) a na platformě Donio.cz probíhá sbírka na vytvoření většího díla. Kniha má sloužit jak dětem, tak například prarodičům, kteří se při čtení pohádek sami mohou v oblasti vzdělávat. Jde o klasické pohádky s vloženými prvky počítačů a internetu.
Pro Česko bylo pořádání finále ECSC 2021 prestižní událostí, která dle představ má ke kyberbezpečnosti přitáhnout pozornost. Další ročníky se uskuteční v Rakousku a Norsku. Letošní kolo vyhrál tým z Německa následovaný Polskem, Itálií, Francií a Dánskem.
Princip soutěžení na ECSC se označuje jako Capture The Flag (CTF). V případě ECSC se jednotlivé týmy sešly v jedné místnosti Kongresového centra. Následně se zalogovaly do soutěžního portálu (něco k tomu je na GitHubu) a vedly útoky na servery. V nich bylo nutné najít informace (vlajky) a zaznamenávat je. Na základě toho pak týmům byly přidělovány body. Úkoly byly rozděleny do kategorií od lehkých až po těžké. Používaly se oblasti jako OSINT, forenzní analýzy, kryptografie a další.