Bezpečnost – věc veřejná

Poslední březnový den se v Praze uskuteční jednodenní konference o počítačové bezpečnosti SecPublica 2016. Jejím heslem je "securitas, res publica – bezpečnost, věc veřejná". Proč jsem se rozhodl ji uspořádat?

Myslím si, že jsme ve válce. Většina lidí si toho ještě nevšimla, protože zatím neumírají lidé. To ale nemusí mít dlouhého trvání. Kdesi jsem četl, že civilizaci od barbarství dělí tři teplá jídla. A dostupnost našich teplých jídel – nebo chcete-li, obecně civilizačních výdobytků které bereme za dané – závisí v čím dál tím větší míře na počítačích, počítačových sítích a Internetu. Nemusí se přitom jednat vyloženě o kritickou infrastrukturu, na kterou pamatuje Zákon o kybernetické bezpečnosti. Hodně škody by dokázal napáchat třeba i prostý útok na informační systémy několika velkých sítí supermarketů.

Zabezpečení řady systémů je přitom prakticky na velice nízké úrovni. Možná splňují nějaká formální kritéria protože kdysi vyhráli papírovou válkou, často ani to ne. Myslím si, že o reálném stavu kybernetické bezpečnosti v praktických informačních systémech mám ze své pozice konzultanta poměrně slušnou představu a obávám se, že závěry nejsou vůbec optimistické. Na základě těchto zkušeností soudím, že většina systémů u nás funguje spíš protože se zatím nikomu nehodí je vypnout, než že by byly nedobytné a chráněné.

Jako jednu z příčin vidím, že na svou roli v této oblasti zcela rezignoval i stát. Pozitivní je, že máme zákon o kybernetické bezpečnosti. Negativní je, že ten zákon je dost špatný. Jak je v Čechách zvykem, spíše na podstatu věci se zaměřuje na úřadování okolo a navíc dává příliš moci úředníkům bez jakékoliv politické odpovědnosti. Ale co je mnohem podstatnější, máme jenom ten zákon. Stát zcela selhává ve své vzdělávací a nápomocné roli, minimálně ve vztahu k občanům a komerčním firmám.

Asi bych měl vysvětlit, proč tady tu roli státu vidím. Já, obecně známý jako libertarián, který by roli státu většinou co nejvíce potlačoval, najednou volám po větší státní aktivitě?

Podle mého názoru základní funkcí státu je ochrana jeho občanů před vnějším nebezpečím. To je absolutní základ, na jehož principu vznikala veškerá lidská společenství od nepaměti. Jsem ochoten se do krve hádat o tom, jestli se má stát motat do školství, zdravotnictví a miliónu dalších věcí, ale nebudu protestovat proti tomu, abychom měli armádu, tajné služby a podobné složky.

Problém je, že nejenom generálové, ale i politici se připravují vždy na minulou válku. A ta budoucí nebude téměř s jistotou spočívat v tom, že by k nám přes hranice přijely německé, ruské, čínské nebo bozi vědí jaké (národnost si dosaďte dle svého politického přesvědčení) tankové divize. To je příliš primitivní a nepříliš účinné. Další válka se bude odehrávat převážně v kyberprostoru, alespoň bavíme-li se o zemích našeho civilizačního okruhu.

Nebo přesněji, další válka se odehrává v kyberprostoru, neboť již započala. Množství bezpečnostních incidentů velkou rychlostí stoupá a třeba političtí představitelé Ruské federace běžně a zcela oficiálně mluví o kybernetické a informační válce a "Cold War 2.0".

Pokud máme něčemu takovému čelit, je nutná spolupráce státního i soukromého sektoru. Jsem rád, že český stát kybernetickou bezpečnost na rozdíl od mnoha jiných systematicky neoslabuje. Že – pomineme-li občasné nesouvislé a bez větší pozornosti brzo opuštěné výkřiky chovance Ministerstva vnitra – se nesnaží bojovat proti šifrování, vymýšlet povinné vkládání backdoorů a podobně. Ale to samo o sobě nestačí. Myslím si, že by stát a jeho složky měly občany a firmy lépe informovat, vydávat doporučení typu "best practices" a podobně.

Česká republika není v kyberprostoru bezbranná. Máme řadu schopných a chytrých lidí, mnohé i ve službách státu. Výhodou kyberprostoru je, že i malá země si v něm může vydobýt dobré postavení a ČR nemá nakročeno právě špatně, i když je jasné že s giganty typu USA, Číny nebo Ruska se měřit nemůže.

Posledních několik let věnuji poměrně dost svého času a energie tomu, abych propagoval myšlenky počítačové bezpečnosti. Abych lidi vzdělával o těch nejzákladnějších základech, protože právě tam je nejvíc problémů. A ze stejného důvodu jsem se rozhodl uspořádat specializovanou akci, kterou jsem nazval SecPublica.

Jejím mottem je "securitas, res publica" což by se z latiny dalo přeložit jako "bezpečnost, věc veřejná". A jsem velice rád, že se mi pro první ročník podařilo získat jako přednášející i lidi ze státních složek, které většinou moc rády na světlo nelezou, totiž z Vojenského zpravodajství a Computer Incident Response Capability (CIRC) centra Armády ČR. Mám pocit, že "státní" a "soukromé" světy v této oblasti jsou příliš izolované. Každý z nich má svoje nástroje, cestičky, lidi a informační kanály a jenom zřídkakdy se potkávají. Doufám, že se mi podaří jednomu z takových setkání napomoci.

Pokud chcete být u toho, podívejte se na web www.secpublica.cz. Najdete tam podrobný program, představení přednášejících a další informace. Konference se bude konat již příští čtvrtek, 31. března 2016, v pražské pobočce Microsoftu. Cena vstupného je symbolických 1000 Kč včetně DPH a můžete se registrovat přes systém DotNetCollege.

  • Altairis
  • Nemesis
  • Microsoft MVP
  • IIS
  • ASP.NET