Počítačová bezpečnost Česka se hlídá v Brně
Před třemi lety začal v Česku platit průkopnický zákon o kybernetické bezpečnosti. Ukazuje, jaké systémy jsou nejdůle-žitější pro chod státu, a je potřeba je speciálně hlídat. Ve všem mají prsty odborníci svázaní s Masarykovou univerzitou.
Zatím sedí v budově v Mučednické ulici, za pár leĽ by se ale měli přestěhovat do nového sídla v Černých polích. Řeč je o Národním, úřadu pro kybernetickou a informační bezpečnost, který vzniknul v létě vydělením z Národního bezpečnostního úřadu. Úkoly spojené s kybernetickou bezpečností narostly tak, že bylo potřeba jim věnovat speciální pozornost. Nejen kvůli několika velkým počítačovým útokům, které v posledních měsících položily sítě doma i v zahraničí a způsobily, že si lidé možné nebezpečí ještě o něco víc uvědomují.
S novým sídlem se počítá také s nárůstem počtu specialistů, kteří se ochraně sítí budou věnovat. Přibude jich několik stovek.
Hlídači
Jedním z jejich lídrů by mel být i Radim Oš-ťádal, současný vedoucí odboru s názvem vládní CERT a 30ietý absolvent Fakulty informatiky Masarykov}' univerzit)'. Skupina s pro laika neproniknutelným názvem pečuje právě o subjekty, které nový zákon definuje jako kritickou informační infrastrukturu - úřady, nemocnice,
banky nebo poskytovatele energií. CERT u nich zajišťuje preventivní opatření proti kybernetickým hrozbám, upozorňuje je na možná nebezpečí, pomáhá jim vyztužit systémy a pořádá pro ně školení. „Obecné leží správa systémů na jednotlivých organizacích, my je nemáme suplovat. Jednotlivá ministerstva a úřady ale nemají prostředky na to, aby držely zaměstnance, kteří by jim dělali forenzní analýzu, penctrační testy nebo analýzu malwaru. To je potřeba centralizo-var a od toho jsme tady my. Když se něco stane, právě u nás se dá dohromady tým, který to bude řešit," přibližuje roli svého týmu Oštádal.
To „něco", co by se mohlo stát, ilustruje třeba rozsáhlým útokem, který' se udál v květnu a postihnul více než 70 zemí. Škodlivý software, který zasažený počítač drží jako rukojmí a žádá výkupné za odblokování a zpřístupnění dat, ochromil mimo jiné nemocnice po celé Anglii.
Škody byly zásadní, ale podle Ošťádala trochu zbytečné. „Útočnici při tomto útoku využili známou zranitelnost systémů, kterou Microsoft několik měsíců předtím opravil. Zrovna v tomto případe sc ukázalo, že u daných subjektů nefungují ani základní bezpečnostní mechanismy, třeba kontrola techniky."
Do hodnocení, jak by při masivním útoku obstály české sítČ, se Oštádal vzhledem k charakteru svojí pozice pouštět nechce. „Troufám si ale tvrdit, že na taliové základní chyby by sc ti nás nepřišlo. Za několik posledních let jsme se ohromně posunuli, jednotlivé organizace už se naučily že je potřeba bezpečnosti věnovat čas lidí, pozornost i peníze," myslí si Oštádal.
Čeští kyberexperti mají skvělou pověst, ale je jich málo.
Poukazuje ale na to, co chybí pořád: lidé. Mladé a skokově se rozvíjející kyberbezpečnost-ní odvětví pořád bojuje s tím, že mu chybí patřičně vyškolení IT specialisté i profese, které řeší návazné problémy. Vždyť samotnému OŠťádalo-vi je teprve 30. Za pár let v oboru byl ale u podstatné části jeho vývoje.
Korporát? Ne, díky
Kyhetbezpečnost ho chytla už na bakaláři na fakultě, kde studoval obtížnou matematickou informatiku. Bavilo ho pronikání do systémů i to, že je díky svým znalostem dovede bránit, jisté, mohl pracovat v jedné z mezinárodních firem, které dnes v Brně mají svoje pobočky, a na pár let si to i vyzkoušel. Jenže práce v korporátu nebyla nic pro něj. „Vadila mi ta svázanost, že na každou hloupost existuje manuál. Na Národní bezpečnostní úřad jsem před lety nastoupil proto, že jsem dostal možnost podílet se na vývoji úplně nových věcí," povídá informatik, který se z člena malého rýmu propracoval na vedoucího větší skupiny a dnes šéfa jedné ?. velkých částí nového úřadu.
Jako vedoucí týmu stál i u jednoho z nej-větších úspěchů českých kybetbezpečnosmich experrň. Na začátku května se konalo největsí a nej komplexnější technické cvičení kybernetické bezpečnosti s názvem Lockcd Shields 2017. 900 odborníků, 25 zemí světa, konkurence jako hrom. A přesto v ní český tým porazil všechny soupeře včetně týmu Severoatlantické aliance.
Na malý stát slušný výsledek. Ale žádná náhoda.
V Česku se totiž poměrně brzy podařilo vytvořit silnou a pospolti držící bezpečnostní komunitu. Kromě už zmíněného vládního CER-Tu existuje ještě národní rým, který sleduje
a pomáhá soukromým firmám, které nepatří do kritické informační infrastruktury. A mimo ně existuje ještě asi 24 bezpečnostních týmů při různých organizacích. Dost z nich vyčnívá ten, který funguje při Ústavu výpočetní techniky Masarykovy univerzity.
Projekty pro americkou armádu i NATO
Proto, že jako první a dodnes jediný postavil cvičiště, kde se dají rozsáhlé počítačové útoky a obrana proti nim trénovat.
A i proto, že jako dosud jediné české pracoviště získal certifikaci organizace Trustcd In-troducer, což ho řadí mezi 20 nejlepších týmů v Evropě.
Počátky bezpečnostního výzkumu na univerzitě spadají už do 80. let, kdy se začala stavět univerzitní počítačová síť. Od začátku se přitom myslelo na to, že by měly existovat také nástroje, které umožní kdykoliv pochopit, co se v síti děje. Členové týmu si postupně nabírali další úkoly a projekty, takže sc o všem dozvídalo čím dál víc lidí a zájemci o spolupráci chodili z nejrůznějších míst. V roce 2007 experti z UVT uzavřeli dohodu o společném projektu dokonce s americkou armádou. Později došlo i na spolupráci s NATO a řadou projektů členy týmu zásobuje prostřednictvím ministerstva vnitra i Český stát.
Členové bezpečnostního týmu nejsou běžní akademici, od začátku jim podle slov nynějšího vedoucího Pavla Čeledy šlo o to, aby se výsledky jejich práce daly co nejdřív uplatnit v praxi. Právě to byl jeden z důvodů, proč stáli o to, aby na fakultě vzniknul Kybernetický polygon, cvičiště pro trénování počítačových útoků. „Potřebovali jsme mít síť oddělenou od běžného provozu, kde bychom mohli testovat útoky, které se můžou stát i ve skutečnosti. Ze musí být oddělená, To bylo jasné, nemohli jsme si dovolit ohrozit fungování běžné sítě," vysvětluje Celcda.
To nejdůležitější na polygonu jsou výpočetní kapacity, vidět je ale hlavně velký sál
5 tipů, jak se s počítačem nedostat do problému
1. Volte nesnadno uhodnutelná hesla.
2. Do různých systémů volte různá hesla, můžete využít správce hesel.
3. Pravidelné zálohujte vaše nejdůležitější data, ideálně na více místech.
4. Vždy mějte aktualizovaný software a aktivovanou antivirovou ochranu.
5. Myslete kriticky a zpochybňujte informace - internet je plný podvodníků.
s 270palcovou obrazovkou, ke kreré se teď několikrát ročně sjíždí pracovníci českých ministerstev, úřadů a jiných organizací a dnes už také experti z jiných států, kde zatím takové zařízení nevybudovali. „Pro nás je samozřejmě důležitější to, co všechno si díky místnímu vybavení můžeme zkoušet a co můžeme nabídnout partnerům. Ukazuje se ale, že důležitý je i ten fyzický prostor, protože si to s ním lidé všechno spojují a je to pro ně lépe představitelné," poukazuje Jan Vykopal, který má běžně na starost organizaci cvičení, jak necekané důležitou roli má pár metrů čtverečních prostoru, jenž se skrývá v nové přístavbě fakulty informatiky.
Pryč z uniformy
Cesta obou mužů na fakultu informariky byla odlišná, i když oba se na ní ocitli zhruba ve stejnou dobu. Celeda původně pracoval na Univerzitě obrany, zabýval sc využitím technologií pro vojenské účely. Jenže když se vrátil ze studijního pobytu ve Francii, definitivně zjistil, že na dané pozici to na žádný velký a zajímavý ',)•)
2/|
ROČNÍK 2018
www.absoIventi.muni.cz
FENOMÉN _
t Radim Polčák má výrazný podíl na tom jak dnes IT bezpečnost v Česku vypadá.
Pár pojmů,
aby se i laik vyznal
Pharming Podvodná metoda používaná na internetu k získáváni citlivých údaju od obetí útoku. Principem je napadeni DNS a přepsáni IP adresy, což způsobí přesměrování klienta na falešně stránky íntemetbankingu či e-mailu.
výzkum nevypadá. Tak se vyplatil z tehdejšího místa a na návrh bývalého kolegy odešel na Masarykovu univerzitu.
To Vykopal na ní začal už jako srudenr. Ve druhém ročníku se poohlížel po brigádě, která by nebyla jen o vydělávání peněz, ale taky ho někam posunula, až narazil na inzerát bezpečnostního týmu. „Začínal jsem tady jako tester, což je v oboru dost podceňované, ale ne/asloužene. Když chce člověk něco testoval, musí do značné míry rozumět všemu/' vysvětluje Vykopal, který už u tématu zůstal. Udělal si dokrorát a dnes má za sebou mimo jiné dvě funkční období v řídící komisi evropských bezpečnost nich týmů, takže pomáhal směrovat fungování komunity v rámci celé Evropy.
Stejné jako u Radima Ošťádala, i u nich dvou zafungovala jako lákadlo k oboru vidina svobody práce a velkého rozvoje do budoucna. Totéž nadšen í se terf Cclcda i Vykopal snaží přenést na svoje následovníky, protože i oni vidí stejný problém: Kvalitních lidí je i pres pokrok v posledních letech pořád málo. „Proto sc snažíme těm našim zajistit co nejlepší podmínky, aby neměli důvod odcházet jinam. Taky hodně přemýšlíme nad tím, aby méll smysluplnou pracovní náplň. Oni totiž lidé v IT, pokud se s nimi takhle nepracuje, mají tendence projevovat sc jako typičtí ajťáct," zdůvodňuje s úsměvem Čeleda.
Zákon jako marketing
Zhruba v pulce cesty mezi kancelářemi Ošťádala a Čcledy s Vykopalcrn sídlí Právnická fakulta Masarykovy univerzity a v ní člověk, který se výrazně podepsal na tom, jak průkopnický český
zákon o kyberbezpečnosli vypadá: Radim Polčák, vedoucí místního ústavu práva a technologií. Podle slov současného ředitele Národního úřadu pro kybernetickou a informační bezpečnost Dušana Navrátila to byl právě on, kdo vytvořil filozofii zákona. Normy důležité mimo jiné proto, že ji Česko dokázalo schválit jako jedna z prvních zemí na světě.
Český zákon o počítačové bezpečnosti byl průkopnický. Na stejném principu dnes stojí i evropská úprava.
Polčák autorsrví s úsměvem, ale rozhodně odmítá. „Vzal jsem, co už existovalo, a zformuloval jsem jednotlivé teze, aby se na tom dalo pracovat jako na právní úpravě," vrací se jeden z největších českých odborníků na informační právo zpět.
O nutnosti začlenit nějak ochranu důležité počítačové infrastruktury do legislativy se lidé z oboru bavili už před lety. Chvilku se ale řešilo, jak přesné to udělat, Polčák měl za to, že bude stačit úprava stávajících předpisů. Odůvodňoval to tím, že zákonů už je v tuzemsku víc, než dokážou právníci sledovat. Navrátil ale crval na svém: Chce to zvláštní zákon.
Phishing Podvodná metoda usilujicí o zcizování digitální identity uživatele vytvořením podvodné zprávy, šířené většinou elektronickou poštou, jež se snaží z uživatele vylákat jeho citlivé údaje, třeba PIN nebo číslo platební karty.
Poplašná zpráva/Hoa* Snaží se svým obsahem vyvolat dojem důvěryhodnosti.
Ransomware Program, který zašifruje data a nabízí jejich rozšifrováni po zaplaceni výkupného (např. virus, trojský kůň).
„S odstupem času musím říct, že to bylo správné rozhodnutí. Mělo ni spoustu poliric-kých a marketingových souvislostí. Novým zákonem se povedlo na celou problematiku upozornit jako na celek," vyzdvihuje Polčák.
Regulace (skoro) dobrovolná
Byla to ale citlivá práce. Zákon o kybernetické bezpečnosti vymezuje, které systémy jsou nezbytně důležité pro chod šrám, což Idade zodpovědnost na jejich správce a také vlastníky, pokud to není stát. Se svým majetkem si zkrátka nemůžou úplné dělat, co chtějí. Přestože byla tvorba zákona krokem na tenký1 led, prošel legislativním procesem zcela bez problémů. Podle Polčáka především proto, že se na jeho tvorbě od začátku zároveň podílely také všechny subjekty, jichž se regulace měla dotknour. „Hned zkraje se vytvořila mapa organizací, kterých se změny dotknou. Jejich zástupci se účastnili jednotlivých schůzek a měli právo zákon připomínkovat a dávat k němu zpětnou vazbu. Navíc když věděli, jaké nové povinnosti je čekají, měli dostatek času se na všechno připravit," poukazuje právnický expert na soulad, ke kterému dochází jen málokdy.
Jak se ukázalo na pozdějších krocích Evropské unie, česká cesca vůbec nebyla sparná. Tvůrci zákona ho postavili tak, že jde v první řadě o právo na to mít fungující internet, a tedy o přístup k informacím Nc o konflikt bezpečnosti a ochrany osobních údajů, jak se problematika někdy rámuje. Později vypracovávané evropské regule stojí na obdobné filozofii.
Martina Fojtů
iměna ve výuce učitelů: S dětmi už od začátku studia
Noví studenti pedagogické fakulty zažívají od loňska velkou proměnu svého oboru. Po tom, co se v roce 2016 poprvé začala v nové formě učit pedagogicko-psychologická složka profesní přípravy, odstartovala oborová příprava v předmětech podle nové akreditace. Cílem je mimo jiné to, aby studenti zažili na vlastní kůži co nejdřív, jak vypadá učitelská praxe. Studenti si novinky chválí.
Revoluce spočívá v proměně společného základu, který absolvují všichni studenti, a hlavně jeho pedagogicko-psychologtckého modulu a fungování praxí. Od loňska jimi povimič prochází všichni posluchači studijního programu specializace v pedagogice uz na bakalářském stupni a totéž platí i pro studenty magisterských učitelských oborů.
„Osobně jsem první praxi zažila až ve třetím ročníku a byla jen násleehová, nic jsme si nezkusili. Přitom zrovna to jsme všichni chtěli zažít co nejdřív, abychom si všechno osahali. Někteří z nás totiž až ve škole zjistili, že je taková práce nebaví," říká Radka Sklenářová, čerstvá absolventka učitelství angličtiny a speciální pedagogiky, která studovala ještě podle starého programu. Hned po promoci se jí povedlo získat místo na jedné brněnské základní škole.
Na fakultu přišla před let)' proto, že ji bavily jazyky. Až na praxi ale přišla na to, že je učitelství opravdu tím, čím se chce živit. „Baví mě dětem něco předávat, tvarovat je. Líbí se mi, že je poznávám i osobně a sledujú jejich záliby a vývoj."
Právě pro lidi, jako je Sklenářová, by měl být nový systém motivační. „Studenti se k nám
přišli naučit líčit, kontakt s Žákem potřebují mít brzy a v dostatečném rozsahu, a ne až v navazujícím magisterském studiu. Změny by jim mely pomoct v jejich profesním rozvoji a dalším rozhodování o budoucím povolání," podotkla Jana Kratochvílová, vedoucí katedry pedagogiky.
Začátek učitelské kariéry dnešních studentů nově vypadá tak, že v prvním semestru druhého ročníku nejdříve doučují děti, většinou ze sociálně znevýhodněného prosí ředí. Se startem aktuálního akademického roku se naplno rozjely také praxe, při nichž budou studenti druhého ročníku bakalářského studia docházet přímo do škol a mít roli asistentů pedagoga. Na magisterském stupni už působí studenti přímo jako učitelé - hned od prvního ročníku, dohromady po tři semestry. Procentuální zastoupení praxí a jejich reflexí se díky lomu v navazujícím magisterském studiu pohybuje kolem dvanácti procent z celkové výuky.
Vyučující na pedagogické fakultě navíc vytvořili nové předměty a přepracovali strukturu těch starých. Nové spojili do jednoho předměty úvod do pedagogiky a úvod do psychologie, takže v propojeném kurzu před studenty předstupují
vždy dva učitelé, kteří sc ve výkladu navzájem doplňují. Budoucím pedagogům díky tomu zprostředkovávají různé pohledy na věc. Vetší důraz také kladou na reflexi toho, co studenti při svých učitelských začátcích zažívají.
A budoucí učitelé si novinky chválí. „Proměnu skladby předmětů na pedagogické fakultě vnímám pozitivně. Bloková výuka v menších seminárních skupinách je podle mne pro diskuzi lepší než klasický seminář nebo přednáška. Třeba na předmětu sebezkušenosení příprava oceňujú skupinové úkoly a provázanost s praxí, která u některých přednáškových předmětů společného základu chyběla," přibližuje svoje dojmy Jan Egerle, budoucí učitel občanské výchovy a dějepisu.
Posun vnímají i studenti brněnské buňky iniciativy Otevřeno, která vznikla před dvěma lety právě proto, aby za proměnu výchovy budoucích pedagogů bojovala. „Ze změn, kreré na fakultě vedou k užšímu propojeni teorie a praxe a které napomáhají tvořit most mezi nimi, máme radost. Pokud je naším zájmem stát se učiteli, pak k tomu nevyhnutelné potřebujeme znát prostředí, ve kterém budeme působit," zdůrazňuje Dan Vykoukal, předseda brněnské pobočky Otevřeno.
Také jemu sc líbí proměna společného základu. „Směruje teď víc k profilování osobnosti učitele, reflexi studentských zkušeností ž praxí i ke smysluplnějšímu obsahu pedagogicko-psycho-logického základu. Jeden z předmětů společného základu nás tak nadchl. Že jsme se rozhodli o něm napsat příběh, který chceme dál šířit i mimo naši fakultu," sdělil Vykoukal.
Martina Fojtů
R0CN1K2018
www.absolventi.muni.cz
'5,7'