Součástí Armády České republiky je od roku 2019 Velitelství kybernetických sil a informačních operací (VeKySIO). Na rozdíl od Vojenského zpravodajství, které díky novele zákona získalo možnost vést aktivní kybernetické zásahy, se na tuto oblast vyloženě nespecializuje, v případě války ale takové schopnosti rovněž může mít.
Velitelem VeKySIO je brigádní generál Miroslav Feix. Nasazen byl v Kosovu a dvakrát v Afghánistánu a mimo jiné drží medaili NATO. V rozhovoru pro Lupu popisuje, jak armádní kybernetické jednotky fungují, jaká je jejich role, jak vidí dodavatele z Číny či proč se kyberzbraně nakupují „od kamarádů“.
Čím se zabývá Velitelství kybernetických a informačních operací a jak se doplňujete s Vojenským zpravodajstvím?
V kyberbezpečnosti máme vyjma policie tři základní prvky. Zaprvé jde o NÚKIB. Pak je zde Vojenské zpravodajství, které monitoruje kybernetický prostor a případně může aktivně zasáhnout. My jako Velitelství kybernetických a informačních operací jsme vojenská složka. V okamžiku, kdy se začne válčit v kyberprostoru, my máme na starost, aby toho Česká republika byla schopná. Máme takové mírovou roli, a to ochranu systémů obrany, respektive resortu. To děláme dnes a denně.
Co to znamená válčení v kyberprostoru a co by se muselo stát, aby k něčemu takovému došlo?
Válka jako taková je definovaná. Standardní je definice „za rok tisíc mrtvých“. U nás je to stejné jako každé jiné použití síly. Když se jezdí do misí, musí parlament schválit nasazení vojáků. Podobné to bylo s jejich nasazením v covidu nebo při tornádu. My bychom válčili v okamžiku, kdy by válčilo Česko. Jinak v kyberprostoru mimo vlastní prostor nesmíme zasahovat.
Jak vypadá tradiční válčení, ví každý. To kybernetické ale vypadá jinak, často je spojováno s kybernetickou špionáží a podobně. Co si tedy pod tímto pojmem představit?
Moderním způsobem válčení je takzvané všedoménové válčení. To znamená, že jste schopní válčit na zemi, moři, ve vzduchu, v kyberprostoru a v budoucnu ve vesmíru. Ve všech těchto doménách musí být složky sladěny a vzájemně se podporovat. Například je třeba zajistit to, aby pozemním silám nehrozilo nic z kyberprostoru. Nebo naopak v kyberprostoru vytvoříte akci, aby někudy mohla proletět letadla. Opravdové umění je propojit všechny domény.
Ohledně špionáže – na tu se sice obecně trochu díváme skrz prsty, ale je to součást mezinárodního práva. Provedení je někdy více a někdy méně legální, ale je to věc, která je tady po staletí a bude se dít dále. Pokud tyto věci nepřekročí určitý práh, není to nic, kdy by se naše republika nebo NATO rozhodly, že začnou vést válku. Je to součást mírového života.
Jak se tedy jako voják díváte na to, když se na ministerstvu zahraničí, v nemocnicích nebo nebo v systémech jiných státních úřadů najdou kybernetické aktivity pravděpodobně řízené jinými státy? Kdyby tyto subjekty fyzicky přišly a začaly v nemocnicích vypojovat přístroje, byl by pohled jiný?
Jako příklad mohu zmínit Vrbětice. Kdybychom věděli, že tam oni špióni půjdou, myslíte si, že by byla nasazena armáda? To ještě není dostatečný akt k tomu, aby byly nasazeny silné prostředky. Musí být překročen onen práh. Ten je historicky různý, od trojské Heleny po Pearl Harbor.
I kdyby do nemocnice v Benešově přišel ruský agent a začal tam odpojovat přístroje, pravděpodobně tam mechanizovaný prapor nepošlete. Kdyby to byly stovky lidí ve stovkách nemocnic, přesáhne to možnosti tradičního bezpečnostního systému, jako jsou policie a záchranné složky. To je okamžik, kdy nasazujete armádu.
Lze si vaší roli ve válčení představit jako podpůrnou? Například tak, že pozemním silám na dálku přes síť pomůžete něco odstavit?
Záleží na typu operace. Kdybyste se podíval deset let zpátky, opravdu šlo spíše o podporu. Nyní se to mění. NATO používá koncept supported commander. Když třeba probíhá operace a hlavním cílem je letecká operace a získání nějakých cílů, všechny ostatní domény pomáhají. Ale v době míru je supported commander kyberoblast. Ta totiž udržuje bezpečnost.
Máte k dispozici něco, co lze označit za kybernetické zbraně?
Co myslíte kybernetickou zbraní?
Zužme to na software, pomocí kterého lze aktivně útočit.
V menších případech jsme schopní aktivně působit na nepřítele. Když se řekne kybernetická zbraň, lidé si často představí nějakou pušku, se kterou se zamíří na letadlo a to se následně „odvede“ domů. Tak daleko samozřejmě nejsme. To jsou věci specificky vyvíjené.
Naším primárním úkolem je ochránit všechny resortní sítě, zbraně a zbraňové systémy. A pak vše zorganizovat tak, abychom to propojili s ostatními doménami.
Předpokládáme, že kdyby se válčilo, válčí celý stát. A Vojenské zpravodajství má schopnosti aktivního útoku. My bychom spolupracovali. Schopnosti Vojenského zpravodajství by v případě války byly použity pro aktivní působení vůči nepříteli. Tak jsme si to rozdělili a jsme schopní spolupracovat. Do budoucna se možná budeme rozšiřovat, ale nyní v tomto směru spoléháme na Vojenské zpravodajství.
Já této oblasti říkám „typ server“. Jde tedy třeba o to, když potřebujete shodit server. Ale existuje armádní svět věcí, který je propojený. Tam už nejde o „typ server“, ale musíte pracovat s konkrétními protokoly například u daných typů tanků. Tomu se bude věnovat naše velitelství.
Bude si armáda sama nějaké nástroje pro kybernetické útočení vyvíjet?
Jednodušší je, když se nástroje dají sehnat a koupit. Zde bude fungovat mezinárodní spolupráce v rámci NATO, kdy se každý zaměří na něco konkrétního.
Existují nějací zavedení dodavatelé?
Když přemýšlím o schopnostech, nepřemýšlím o tom, kdo danou věc dodá. Jediné, co je důležité, je to, že si zbraně kupujeme od „kámošů“. Ideálně, když jsou v České republice, případně v okolí po Evropě či v rámci NATO. Ale nebudu si kupovat zbraně od nepřítele, a v kyberprostoru už vůbec ne. Když si koupíte sekeru vyrobenou v Číně, je to pořád sekera. Ale technologie vyrobená v Číně nemusí být úplně v pořádku.
Takže váš pohled na čínské technologické dodavatele…
… je jasný. Mluvím o kritické infrastruktuře, válčení a zbraních. Nemluvím o telefonech. I když já čínské výrobky nemám. Můj takzvaný threat profile a to, co hrozí mně, je asi jiný než u běžných lidí.
Máte jako armáda nějaké indicie o čínských dodavatelích, které podporují pohled NÚKIBu? A sice, že tito dodavatelé jsou bezpečnostní riziko?
My žádné technologie od těchto firem nevlastníme a neděláme na nich forenzní analýzy a podobně. Známe nicméně zkušenosti partnerů z Česka i NATO. Na nich se ukazuje, že možnost (špehování, odposlechy a podobně – poznámka redakce) existuje. Jakmile tam taková možnost je, ptáte se po vůli toho, kdo takovou možnost má.
Registrujete tedy onu možnost, a nikoliv to, že už se něco konkrétního stalo?
Druhou věcí, kterou máme na starost, je informační působení – cyber and information warfare. Většina kybernetických operací je na informační bázi, nikoliv Stuxnet, kdy se něco fyzicky shodí (odstavení části íránského jaderného programu – poznámka redakce). Získáte tedy informace nebo je změníte. Dolování údajů celosvětově probíhá. Na západě a zemích NATO máme nezávislé firmy. Když by po nich stát měl chtít data, musí si sehnat soudní příkaz. V Číně toto není. Proto je to pro nás nebezpečnější. A je něco jiného, když chce vaše data zneužít dejme tomu slovenská firma pro marketingové účely, nebo velmoc, která s námi soupeří.
Součástí vašich kybernetických aktivit je i klamání. Co to znamená?
V kyberprostoru se vytváří klamné stopy. Můžete třeba udělat tweety vojáků, kteří říkají, že jsou v Písku, ale ve skutečnosti v Písku nejsou. Je to kreativní věc. Ale musíte vědět, jak kybernetický prostor funguje. Když dáte tweet, že jste v Písku, ale IP adresa bude v Litomyšli, moc účinné to nebude.
Zaměřujete se na odhalování takového klamání, nebo vytváření?
Zaměřujeme se na oboje. Musíme chránit vlastní rozhodování a ovlivňovat rozhodování nepřítele. Musíme zjistit, zda se nás někdo snaží do něčeho nalákat či jak na nás působí informační aktivity nepřítele. Ale opět se na to budeme zaměřovat v případě války.
Takže byste například zakládali falešné účty na Facebooku a další podobné aktivity?
Ano, máme na to postupy a podobně.
Kolik máte ve vaší kybernetické jednotce lidí?
Máme přes dvě stě lidí a do roku 2030 se plánujeme rozrůst na pět až šest set lidí. Týká se to útvarů v Brně, Praze a Olomouci.
Jak se vám daří tyto lidi získávat? Nedostatek kyberbezpečnostních odborníků je i v soukromé sféře, která často platí dobré peníze.
V současné době počet zájemců není problém. Je jich dost, abychom si na tabulková místa mohli vybírat. Naplánovali jsme si, že každý rok přibereme patnáct dvacet lidí. Dokážeme je získávat na zajímavou práci. Dostanou se k věcem, kde jinde ne. Někdo také chce dělat bezpečnost a dobro, proto vstupuje do armády. Spíše se potýkáme s tím, že nám proces trvá strašně dlouho. Kdybyste k nám teď chtěl jít pracovat, musel byste přijít příští rok v červnu. Problémem je zkostnatělé plánování finančních prostředků.
Musí mít uchazeč o práci nějaký profil, nebo může jít o laika?
Záleží na pozici. U někoho předpokládáme doktoráty. Ale saháme i po lidech ze středních škol, u kterých vidíme zájem a schopnosti učit se. Je nám vlastně jedno, co člověk v daném okamžiku umí. Za tři roky je to stejně jinak. Potřebujeme tedy zájem a otevřenou mysl. Lidi si zaškolíme.
Co byste vzkázal lidem, kteří v IT splňují stereotypní představy – dejme tomu introvertnímu člověku, kterého děsí představa, že by měl být na vojně a spát tam s desítkami dalších lidí na palandě v jedné místnosti?
Vzkázal bych mu, že se má přestat dívat na vojenské filmy z osmdesátých let (smích). Tak už to neprobíhá, i když to v myslích lidí stále je. U nás na kybernetických operacích počítáme s tím, že lidé jsou často více introverti a nejsou klasická škatulka „normálnosti“. S lidmi pracujeme na individuální bázi. U běžné roty, kde je 120 lidí, často potřebujete, aby byli co nejvíce stejní a zaměnitelní. To je u nás jinak a máme i menší týmy.
Prochází u vás lidé tradičním vojenským výcvikem?
Standardně prochází přijímačem, kterým musí projít každý voják. Ale pro specialisty je možnost zkráceného výcviku, abychom dokázali využít potenciál daných lidí. Nepředpokládá se, že si člověk vezme pancéřovku a půjde s ní běhat po poli. Snažíme se učit a přizpůsobovat. Nicméně paradoxní je, že zájemci o práci v kybernetické jednotce často sami chtějí projít kompletním výcvikem. Klišé o ajťákovi dnes už také neplatí, dost se to začalo měnit.
Párkrát jsem byl v Izraeli, kde jsem kolem kybernetického vojska měl možnost vidět mnoho zajímavostí. Vojna je tam povinná a armáda si do prestižní kybernetické jednotky může vybírat ty nejchytřejší mladé mozky. Ty pak projdou reálnou válkou a po odchodu do civilu často vytváří úspěšné kyberbezpečnostní startupy. Závidíte izraelské armádě tyto možnosti?
Tyto možnost nemáme, ale Izraeli to nezávidím. Jsou tři státy, ze kterých je těžké si brát příklad, a to USA, Velká Británie a Izrael. Oni nejsou stejně uspořádaní a na stejném stupni jako my. Izrael je v neustálém konfliktu a jejich řešení je dělané pod tlakem. U nich jde o záležitost národního přežití. V něčem to nese výsledky, ale není to nic, co by bylo k závidění. Kdybychom byli pod extrémním tlakem, taky bychom fungovali jinak.
Česká pobočka společnosti Cisco dovoluje svým zaměstnancům, a dokonce je k tomu motivuje, aby vstupovali do aktivní vojenské zálohy. Díky tomu případně budou moci armádě pomoci s kybernetickými aktivitami. V jakých případech byste takovou pomoc ocenili?
Cisco je jedním z partnerů, kteří na tom začali pracovat. Dobré je to v tom, že spolu cvičíme. V okamžiku, kdy by se něco stalo, lidé kolem kritické infrastruktury spolu budou schopní lépe spolupracovat. Z tohoto důvodu by bylo dobré, kdyby firmy podporovaly vstup zaměstnanců do aktivních záloh. Takoví lidé mohou mít i bezpečnostní prověrky a lze rozjíždět různé plány.
S tím souvisí i to, že často slýchám dotazy, zda mi nevadí, že mi lidé odejdou do korporátu. Ne, nevadí mi to. Když vychováme juniora a on později odejde do korporátu, bude to pořád korporát v Česku. Když tam bude pracovat na bezpečnosti, nebudeme mít tolik práce. Naopak bude skvělé, že už ti lidé budou vědět, co to je obrana. Jen jejich výchovu bude platit rozpočet ministerstva obrany, a ne ministerstva školství. Ale stát to vyjde stejně.
A navíc byste všude měli „svoje lidi“.
No jasně. A mohou to být i lidi z NÚKIBu. Vznikla by tak komunita lidí, která bude chtít v České republice bezpečný kybernetický prostor.
Mají kromě Cisca aktivní zálohy v chodu i jiné zdejší firmy?
Nechci za ně mluvit. Jsou firmy, které se o to zajímají.
Svět v poslední době vlivem sporů mezi USA a Čínou a vlivem covidu začal revidovat dodavatelské řetězce. Ukázkou je třeba nedostatek čipů a touha vrátit produkci na západ. Jak se na to díváte pohledem armády?
Už jsem mluvil o tom, že zbraně se kupují od kamarádů. Tedy od těch, kteří nemají zájem vám něco podstrčit nebo vás ovládat. Jsou věci, které už nikdy nezkontrolujete. Jenom výrobce ví, jak je vyrobil. Také je třeba řešit, aby se do zboží po cestě k vám nevložilo pár čipů navíc.
Na Slovensku vyvíjí vlastní procesor Tachyum, v Brně máme Codasip zaměřený na procesory RISC-V. Zajímají českou armádu tyto věci?
Zatím jsem se s tím nesetkal. Průmyslovou spolupráci dělá někdo jiný. Obecně bych byl rád, kdybychom měli české výrobce, ale musí odpovídat požadavkům, které máme.
Armáda sehrála značnou roli ve vývoji a podpoře amerického počítačového průmyslu, zmínit lze ARPANET a řadu dalších projektů. Číně se často vyčítá napojení technologických firem na armádu, její role v IT tam tedy také je. Ať už v investicích do výzkumu a vývoje, nebo v nákupech, což firmám zajistí odběry. Měla by česká armáda tuto roli také zastávat?
V této oblasti se do výzkumu a vývoje bude muset dávat více prostředků. Ale nebude to v rozsahu, jako má DARPA. Armáda asi nezafinancuje vznik národního výrobce čipů. Musíme zapracovat i další věci. V armádě se často kupují věci na patnáct dvacet let, třeba tanky. Musíme se ale naučit, že technologie mají kratší životnost. Nemůžeme připravovat projekt pět let. To vám výrobce řekne, že už danou věc nevyrábí nebo že je třeba si zaplatit za legacy podporu. Také se musíme zaměřit na výzkum kvantových věcí a umělé inteligence – tam, kde do toho neinvestuje korporát.