Mohl byste se našim čtenářům představit? Prozradíte nám i něco o svých předchozích pracovních zkušenostech a o své současné práci?

Tématům národní bezpečnosti se věnuji asi 15 let. Studoval jsem práva a jako právník jsem pracoval nejdříve na Ministerstvu vnitra v oblasti bezpečnostních politik a na NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) působím od roku 2017, tedy od jeho vzniku. Zde jsem vytvářel legislativní složku, kde od počátku připravujeme jednak právní předpisy v gesci NÚKIB, to znamená různé prováděcí vyhlášky k zákonu o kybernetické bezpečnosti, k zákonu o ochraně utajovaných informací atd. Ale samozřejmě také samotné novely těch zákonů, které zmiňuji.

Co se týče mojí aktuální agendy, tak jsem náměstkem ředitele, řídím sekci strategických agend a spolupráce. V rámci této práce jsem zodpovědný za nastavování národní strategie kybernetické bezpečnosti, za cvičení v oblasti kybernetické bezpečnosti, stejně tak vzdělávání v kybernetické bezpečnosti, mezinárodní spolupráci. Na NÚKIB máme i cyber attaché, to znamená osoby, které jsou soustavně vysílány do různých partnerských států a organizací. Na sekci strategických agend a spolupráce se zabýváme také analýzou a monitoringem hrozeb a rizik v oblasti kybernetické bezpečnosti. Dále řešíme také projekty výzkumu a vývoje v kybernetické a informační bezpečnosti. Je zde Národní koordinační centrum, které zprostředkovává možnost rozvíjet kybernetickou a informační bezpečnost v projektech výzkumných institucí nebo třeba soukromých subjektů díky unijnímu financování.

Mohl byste nám přiblížit hlavní úkoly Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)? Zabývá se úřad v současné době kybernetickou bezpečností autonomních vozidel nebo inteligentních dopravních systémů?

Národní úřad pro kybernetickou a informační bezpečnost má 3 zásadní větve, které v rámci své působnosti zabezpečuje. Je to jednak kybernetická bezpečnost podle zákona o kybernetické bezpečnosti, jednak ochrana utajovaných informací v informačních a komunikačních systémech podle zákona o ochraně utajovaných informací a zabýváme se také veřejně regulovanou službou navigačního systému Galileo. Z těchto tří částí se zde budeme nepochybně zabývat tou částí kybernetické bezpečnosti podle zákona o kybernetické bezpečnosti. NÚKIB stanoví prováděcí pravidla k zákonu, jinými slovy vydává vyhlášku o kybernetické bezpečnosti, která podrobněji říká našim povinným subjektům, co by měly dodržovat, aby kybernetická bezpečnost v jejich organizaci byla na dostatečné úrovni. Dále kontrolujeme, zda jsou tato pravidla dodržována, a u kybernetických bezpečnostních incidentů poskytujeme pomoc a případně také služby rapid response teamu. Ten pomůže dané organizaci, která je zasažena například kybernetickým útokem, aby se co nejrychleji dostala do módu před tímto útokem.

 

Mimo to poskytujeme také různé služby, jako je například penetrační testování, to znamená, dohodneme se s danou organizací, že se pokusíme překonat zabezpečení jejích informačních systémů, abychom odhalili, zda tam například nejsou nějaké zranitelnosti, které by mohl potencionální útočník zneužít. Po takovémto testování obdrží organizace zprávu o tom, v jakém stavu jejich informační systém z hlediska kybernetické bezpečnosti je.

Když bychom se bavili o inteligentních dopravních systémech, tak začnu tím, že zákon o kybernetické bezpečnosti má svou působnost určenu pro subjekty kritické informační infrastruktury, provozovatele základních služeb a významné IS (informační systémy). U provozovatelů základních služeb jsou stanovena určující kritéria, na základě kterých se relevantní informační systémy a jejich provozovatelé identifikují. Mezi určujícími kritérii je mimo jiné i to, že je provozován inteligentní dopravní systém. To znamená, že inteligentní dopravní systémy už dnes spadají do působnosti zákona o kybernetické bezpečnosti a provozovatelé těchto IS musí plnit povinnosti z tohoto zákona vyplývající.

Jedná se primárně o povinnost zavést systém řízení bezpečnosti informací, což je systém, který v zásadě říká: „Rozhlédněte se ve své organizaci, jaká máte důležitá aktiva, která je potřeba chránit, a přijměte opatření, která budou dostatečná k ochraně těchto aktiv.“ Určitým způsobem se zde pracuje s řízením rizik. To znamená, že není vždy nezbytné přijmout úplně všechna bezpečnostní opatření, ale dává smysl přijmout přiměřená bezpečnostní opatření, aby aktiva byla ochráněna. Ale zároveň zákon nepožaduje, aby se přijímala některá opatření zbytečně jen proto, aby tam byla. Jde o to, aby skutečně chránila informace. Zavést systém řízení bezpečnosti informací je tou hlavní povinností našich povinných subjektů neboli konstituence.

Dále má tato konstituence povinnost hlásit NÚKIB kontaktní údaje, aby je mohl bezprostředně kontaktovat – například v případě, že zjistí, že probíhá nějaký masivní kybernetický útok na důležité organizace v České republice – a říct jim „Ochraňte se, ochraňte se nějakým konkrétním způsobem, zalepte tyto zranitelnosti atd.

Třetí povinnost je hlásit kybernetické bezpečnostní incidenty. Pro NÚKIB je důležité vědět, že nějaká z relevantních organizací má problém a případně že jí má NÚKIB pomoci. Ale také je pro NÚKIB důležité vědět, že je tady nějaký trend, aby mohl buď plošně nebo individuálně oslovit další povinné osoby a upozornit je na to, že se mají specificky chránit.

Co se týče odvětví dopravy obecně, je to skutečně kritické odvětví, to je naprosto bez diskuse. Specifickou pozornost jí věnuje již unijní směrnice NIS1, která vstoupila v platnost v roce 2016. To platí nadále i podle nové směrnice NIS2, která by měla být implementována v členských státech EU v tomto roce. Takže co se týče inteligentních dopravních systémů, jsou již dnes v regulaci a budou samozřejmě i nadále.

Patří společnosti, věnující se dopravní mobilitě, mezi ty ohroženější než jiné?

To je velmi individuální. Co se týče ohroženosti, nemohu se k tomu vyjádřit tak, že bych vnímal nějakou zásadní odlišnost v tomto odvětví oproti jiným. Například před 3 až 4 lety byly v ČR poměrně hodně ohroženým odvětvím nemocnice a tam skutečně specificky bylo možné říci, „ano, zdravotnictví je specificky ohroženým odvětvím“. Bylo to ještě navíc amplifikováno covidovým obdobím a skutečně ransomwarové útoky na nemocnice byly obrovským tématem a bylo potřeba specificky přijímat vyšší opatření, včetně nutnosti zavést specifické typy vzdělávání pro zdravotnický sektor.

Jaké jsou hlavní výzvy v oblasti kybernetické bezpečnosti spojené s vývojem a provozem autonomních vozidel? Existuje nějaký způsob, jak vozidla před kybernetickými útoky absolutně zabezpečit (pokud to není možné, jak by mělo ideální zabezpečení vypadat)?

Jak už jsem zmiňoval, povinností NÚKIB je monitoring a analýza hrozeb a rizik. Samozřejmě vnímáme, že autonomní vozidla, nebo v tuto chvíli bych si dovolil říci spíše elektronická vozidla jako širší kategorie, mají řadu čidel uvnitř v autě i vně, zpracovávají obrovské množství dat a určitě je naprosto nezbytné, aby každé jednotlivé auto bylo odolné i z hlediska kybernetické bezpečnosti, odolné proti kybernetickým útokům. Ale asi nejde říct en bloc, že nějaký produkt je 100 % odolný, protože zranitelnosti v produktech (a nemusí se jednat jen o auta, může se jednat o chytrou ledničku nebo jiný produkt připojený k internetu) jsou odhalovány většinou až v době, kdy je produkt využíván. Klíčem ke kybernetické bezpečnosti u produktu je to, že již výrobce nastaví proces opravy zranitelností bez nutnosti aktivních kroků ze strany uživatele. To znamená, že už výrobce přijímá zodpovědnost za to, že po celou dobu životního cyklu produktu nebude mít tento produkt neopravené zranitelnosti. Na našich počítačích nebo mobilních telefonech se nám pravidelně nabízí aktualizace. Poučený uživatel většinou tyto příjme, aktualizuje průběžně, tím si zalepuje zranitelnosti. Je však celá řada uživatelů, kteří nevynucené aktualizace nikdy nepoužijí, a tím pádem se jejich zařízení stává zranitelným. U auta je to mnohem závažnější. Jednak jde o velkou majetkovou hodnotu, ale bezprostředně ohrožené mohou být také lidské životy a bylo by nezodpovědné už ze strany výrobce, aby ponechával aktualizaci čili zalepování těch zranitelností na jednotlivých uživatelích.

 

Co se týče aut, zmiňoval jsem, že je tam celá řada čidel, mám povědomí o tom, že v některých obchodních podmínkách, popřípadě podmínkách zpracování osobních údajů, které doprovázejí některá elektronická auta, se dokonce hovoří o tom, že uživatel souhlasí s tím, že mohou být například zpracovávány jeho genetické informace atd. To znamená, že čidla jdou do poměrně velkého detailu, co se týče zpracování různých údajů. Auto může být potenciálně zneužito pro nějakou špionáž, ale je to vlastně ještě ta slabší varianta než případ, že by byla bezpečnost informací narušena za účelem sabotáže. V takovém případě by hacker mohl způsobit i to, že auto začne brzdit v situaci, kdy nemá, nebo obecně se začne chovat jiným způsobem, než jak by si řidič přál. To je samozřejmě naprosto klíčová věc a myslím si, že toto bude právě tím velkým tématem u autonomních vozidel.

V rámci našeho monitoringu a analýzy hrozeb a rizik průběžně upozorňujeme různými informačními kanály na různé zranitelnosti a možnosti jejich oprav u relevantních IS. Pochopitelně ve chvíli, kdy by autonomní mobilita byla tak rozšířeným fenoménem, že by dávalo smysl informovat i o zranitelnostech tohoto typu, tak by samozřejmě i zranitelnosti IS relevantních pro autonomní mobilitu byly ze strany NÚKIB zveřejňovány. V tuto chvíli to není tak, že bychom evidovali nějaké zranitelnosti pro elektronická auta. Odpovědnost za primární data stojí na výrobci, který by měl své zákazníky informovat o tom, že existuje nějaká zranitelnost na jejich IS, úplně stejně, jako to dělají výrobci běžně již léta, když zákazníky informují o tom, že se například prodává nějaká série vozidel se špatnými tlumiči. Takže odpovědnost výrobce je i v případě elektrických vozidel stejná, jen je potřeba, aby si výrobce uvědomoval, že IS je naprosto klíčový z hlediska bezpečného fungování vozidla.

Jak na NÚKIB dopadá aktuální rozvoj AI a nově přijatý AI akt?

Umělá inteligence v kybernetické bezpečnosti má několik aspektů. Je to jednak využití umělé inteligence na straně útočníků, ale také využití umělé inteligence pro účely ochrany před těmito útočníky. Umělá inteligence hodně navýšila kapacity útočníků, protože díky ní všechny útoky, kupříkladu pishingové útoky podvodnými e-maily, jsou kvalitnější, sofistikovanější, více uvěřitelné, a tudíž efektivnější. Je tedy potřeba, aby byly tyto nástroje využívány i na straně obránců IS. To je jedna rovina.

Druhá rovina je relativně samostatná a kybernetické bezpečnosti se tolik netýká. AI akt pracuje s tím, že by měla být umělá inteligence důvěryhodná, aby bylo zajištěno, že nebudou pro vytváření budoucích výsledků využívána tzv. otrávená data. To znamená, že umělá inteligence bude důvěryhodně pracovat tím způsobem, jakým si přeje uživatel. Vedle důvěryhodnosti požaduje AI Akt také udržitelnost a bezpečnost AI v širokém slova smyslu, jejíž součástí je mimo jiné také kybernetická bezpečnost.

AI akt v tuto chvíli máme ve stavu, kdy už je platný v ČR, ale zatím ještě není stanovena podoba implementace, protože zatím ještě není ani stanoven gestor problematiky. AI akt byl vyjednáván Úřadem vlády ČR, který aktuálně připravuje materiál pro rozdělení gescí. Výsledkem by mělo být to, že bude rozděleno několik rolí vyplývajících z AI aktu. To je aktuální stav. Umělá inteligence je pro nás klíčová stejně jako další přelomové technologie.

Existují konkrétní normy nebo pokyny, které musí výrobci autonomních vozidel dodržovat, aby splnili požadavky na kybernetickou bezpečnost?

Zde bych se zabýval otázkou technických standardů, protože v ČR máme zavedený systém odpovědnosti za výrobky, což náleží do gesce, pokud se nemýlím, Ministerstva průmyslu a obchodu a Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví (ÚNMZ). Existují mezinárodně platné ISO standardy, které jsou překlápěny do jednotlivých národních prostředí, a tím se stávají závaznými. Vozidla, která se v ČR objevují na trhu, musí splňovat tyto technické standardy. To je jeden rozměr věci.

Kybernetická bezpečnost je nezbytnou součástí bezpečnosti vozidla. Uvědomme si, již dnes jsou automobily schopné, aniž byste šlápli na brzdu, v krizové situaci samy zabrzdit. Takže určitá míra autonomního chování se u běžných vozidel objevuje již teď. Pokud by bylo možné velmi jednoduše narušit kybernetickou bezpečnost takových aut, bylo by to úplně stejně špatné/nebezpečné, jako kdyby během jízdy automobilu upadlo kolo, a přitom se jevilo, že splňuje požadavky STK. Takže stejně jako lednice má stanoveny standardy, že například nezahoří sama od sebe a musí tedy splňovat nějaké technické požadavky, tak nepochybně jsou takovéto technické požadavky stanoveny i pro automobily. Není to ale vyloženě působnost NÚKIB, jak jsem zmínil. Na čem ale NÚKIB participoval a co je z mého pohledu velmi relevantní pro tuto oblast, je, že jsme spolu s americkým úřadem CISA (Cybersecurity and Infrastructure Agency) a s dalšími partnery zpracovali dokument, ze kterého vyplývají požadavky na to, aby produkty, včetně vozidel, byly secure by design. To znamená, aby už výrobci při vytváření produktu brali v úvahu, že je potřeba zajistit kybernetickou bezpečnost toho daného produktu po celou dobu jeho životního cyklu. A řekl bych, že to je jeden z těch standardů, který je všeobecně platný a prosazovaný a zodpovědný výrobce elektrických vozidel – i těch autonomních – by se tímto měl řídit.

Ve vztahu k technickým standardům mě napadá ještě další rozměr. V roce 2019 byl na úrovni EU přijat akt o kybernetické bezpečnosti, Cybersecurity Act, je to nařízení EU, které mimo jiné zavádí systém certifikací v EU. Systém certifikací je relativně autonomní, tedy nenavazuje nutně na nějaké ISO standardy, o kterých jsem předtím mluvil, ale je provázaný s vytvořením specifických certifikačních rámců pro různé oblasti, které jsou kyber bezpečnostně relevantní. Jedním z těch rámců, který už je dnes platný, je rámec common kritérií, který vychází z mezinárodních standardů. Druhým rámcem, na kterém se intenzivně pracuje už několik let, je certifikační rámec pro cloud computing. Domnívám se, že téma cloud computingu i ve vztahu k autonomním autům je relevantní, protože data budou pravděpodobně zpracovávána někde v rámci cloudových úložišť.

Jak lze zajistit kybernetickou bezpečnost vozidel, která budou s největší pravděpodobností provozována mezinárodně a mohou být ovlivněna různými národními požadavky nebo poskytovateli?

To je dobrá otázka. Výrobce musí zajistit, aby byl odolný IS, který je v tom samotném autě, to je bez diskuse. Autonomní auto bude komunikovat s inteligentními dopravními systémy a díky nim se bude orientovat v prostoru, bude vědět, co za nástrahy čeká za následující křižovatkou atd. Inteligentní dopravní systém bude podléhat regulaci jednotlivých národních regulátorů. To znamená, že by u nich měla být zajištěna vysoká úroveň kybernetické bezpečnosti. Ve chvíli, kdy máme automobil dostatečně rezilientní a inteligentní dopravní systém zabezpečený rovněž na nejvyšší úrovni, tak bychom měli mít minimálně v EU jistotu, že kombinace automobilu a inteligentního dopravního systému bude dostatečně bezpečná. Protože regulace kybernetické bezpečnosti inteligentních dopravních systémů je opravdu celounijní, a tudíž jednotná ve všech členských státech EU. Ale máte pravdu, že auto může vjet mimo prostor EU a je v zájmu globální bezpečnosti, aby inteligentní dopravní systémy, na které se auta připojují, byly zabezpečeny na vysoké úrovni všude. Je to kritický prvek fungování státu stejně jako dopravní odvětví, které je kriticky důležitou oblastí. Je to o tom, že i mezinárodně by měly být vyžadovány standardy bezpečnosti, což by mělo být vnímáno jako součást odpovědnosti státu za bezpečnost na jeho území.

Jakou roli by měl NÚKIB hrát v autonomní mobilitě a jakou podporu může poskytnout vládě, průmyslu a koncovým uživatelům?

V tuto chvíli to z hlediska regulace působí tak, že inteligentní dopravní systém je klíčovým prvkem, který je nezbytné zabezpečit. Samozřejmě pokud se v souvislosti s rozvojem autonomní mobility objeví další informační systémy, které bude nutno tímto způsobem chránit, tak budou zahrnuty do regulace také.

Regulace je postavená na tom, že tady máme nějakou kritickou infrastrukturu a ta se chrání; a to, co spadne do kritické infrastruktury, se v zásadě posuzuje v návaznosti na dopady té infrastruktury například na bezpečí osob, jejich zdraví, na ekonomický systém státu atd. I když bude nějaký masivní problém, tak některé prvky (ta kritická infrastruktura) musí fungovat. A pokud tady bude rozvinutá autonomní mobilita do té míry, že se stane středobodem dění v dopravě v ČR, tak se stane inteligentní dopravní systém jedním z nejdůležitějších systémů, které v ČR máme a který bude muset být tímto způsobem chráněn. A zde bude tedy role NÚKIB opět stejná, jako jsem popisoval dříve. Tedy stanovit pravidla, dohlížet na to, že tato pravidla jsou dodržována, pomáhat s překonáváním kybernetických bezpečnostních incidentů, preventovat, že nejsou někde zranitelnosti, které by neměly být. To znamená dostatečně informovat tyto subjekty o nutnosti opravit, popřípadě provádět penetrační testování, provádět analytickou činnost i v technické rovině za účelem ochrany kritických prvků.

Jaké změny nebo aktualizace legislativních předpisů jsou podle vás potřebné?

To je skvělá otázka. My v tuto chvíli máme už stávající právní úpravu i budoucí právní úpravu nastavenou tím způsobem, že umožňuje opravdu tomu provozovateli a správci IS zohledňovat svoje podmínky a nastavovat si pravidla za účelem zabezpečení podle aktuálních podmínek. Ale máte úplnou pravdu, že jsou oblasti, které není schopen správce ze své pozice dostatečně zohlednit, a je nezbytné, aby mu v tom pomohl stát. A to je mimo jiné oblast důvěryhodnosti dodavatelů, kteří mu v systému dodávají nějakou relevantní část. NÚKIB má v tuto chvíli ve svém návrhu zákona úpravu mechanismu bezpečnosti dodavatelského řetězce. Odhadem 150 nejkritičtějších entit v ČR, které by měly do budoucna zjednodušeně konzultovat s NÚKIB dodavatele, kteří by mu dodávali do jeho IS nějaké prvky. NÚKIB ve spolupráci se zpravodajskými službami, s Ministerstvem zahraničních věcí a dalšími orgány ČR by měli být schopni vyhodnotit, jestli daný dodavatel je dostatečně důvěryhodný pro to, aby do těchto kritických prvků něco dodával. Pokud by autonomní mobilita byla tak extrémně rozšířenou, že by česká doprava na českých silnicích byla zcela závislá na inteligentním dopravním systému, tak by bylo možno očekávat, že by inteligentní dopravní systém náležel do strategicky významné infrastruktury ČR. Tudíž by provozovatel a správce inteligentního dopravního systému měl konzultovat právě s NÚKIB své dodavatele, aby Česká státní správa s ohledem na to, že má nějaké informace, které nejsou veřejně dostupné, mohla poskytnout podporu strategicky významným infrastrukturám -- aby si neimplementovaly do svého systému prvek, který by s ohledem na svou nedůvěryhodnost mohl představovat riziko do budoucna. Mohlo by se jednat o prvek, který bude mít už záměrně instalovaný nějaký backdoor  pro zneužití tohoto systému.

Je něco, co by pro zvýšení kybernetické bezpečnosti mohl udělat běžný uživatel?

Uživatel by si měl vyhodnotit, jestli je pro něj konkrétní dodavatel automobilu dostatečně důvěryhodný. Stejně jako asi nikdo nebude chtít jet autobusem s řidičem, ze kterého je intenzivně cítit alkohol, měl by se uživatel zabývat tím, jestli je pro něj dodavatel autonomního vozidla, případně výrobce, dostatečně důvěryhodný, aby „do jeho rukou“ svěřil svůj život a život svých blízkých. Jsou státy, které požadují, aby informace o zranitelnostech byly předávány státním orgánům, místo toho, aby byly primárně sdělovány uživatelům nebo výrobcům. Státní orgán potom vyhodnotí, co s tou informací o zranitelnostech udělá. Jestli ji kupříkladu bude předávat uživatelům automobilů, nebo zda ji využije nějakým jiným způsobem. Opakuji, že zranitelnost představuje cestu ke zneužití IS. Takže z mého pohledu určitě dává smysl zabývat se těmito riziky před tím, než si uživatel nějaké konkrétní auto vybere.

Když se mluvilo o státních orgánech, tak je potřeba se zabývat ne jenom tím, který výrobek je ekonomicky výhodný, tedy v systému zadávání veřejných zakázek nesoutěžit jenom na cenu a zohledňovat i další aspekty, zejména pak bezpečnostní, respektive kyber-bezpečnostní. To je určitě jedna úroveň. V rámci druhé úrovně se domnívám, že by měl vzniknout nějaký systém řekněme ratingu kybernetické bezpečnosti u autonomních nebo elektronických vozidel. Aby uživatel při pořizování automobilu věděl, jaká úroveň kybernetické bezpečnosti tam je. A určitě by mělo být součástí pravidel právě nastavení systému secure by design, aby zranitelnosti byly průběžně opravovány.

A poslední rovina požadavků na uživatele je dostatečná informovanost. Myslím si, že je to opět jedna z odpovědností státu, aby se co nejvíce rozvíjelo vzdělávání v kybernetické bezpečnosti, aby se stalo součástí základního vzdělání všech, kteří projdou povinnou školní docházkou tak, aby měli povědomí o bezpečném chování v kyberprostoru. Ale pravidla kybernetické bezpečnosti jsou mnohem snadněji sdělitelná v případě, kdy se bavíme o tom, že nemáme otevírat neprověřené přílohy v e-mailu. Mnohem složitější je samozřejmě zabývat se kybernetickou bezpečností konkrétního automobilu. Toto už po uživateli nelze chtít, a proto by měly být nastaveny systémy tak, aby odpovědnost byla v co největším rozsahu u výrobce.

Národní úřad pro kybernetickou a informační bezpečnost zveřejňuje různá cvičení a praktické tipy v oblasti kybernetické bezpečnosti. Budou některé budoucí scénáře NÚKIB zahrnovat autonomní vozidla?

NÚKIB realizuje různé typy cvičení, zejména technická cvičení a table topová cvičení. Během technických cvičení se řeší technické zabezpečení IS a jsou zde dva týmy, z nichž jeden se snaží zaútočit na systémy, a druhý se je snaží ochránit. U table topových cvičení jde spíš o prověřování procesů. V předchozí odpovědi jsem zmiňoval bezpečnost nemocnic v covidové době. Cvičení se účastnila řada velkých českých nemocnic. U jednoho stolu, z jedné nemocnice, seděl zástupce managementu té nemocnice, seděl tam právník, seděl tam tiskový mluvčí, seděl tam manažer kybernetické bezpečnosti a další lidé. Všichni byli vystavováni situaci, kdy v relativně krátkých časových úsecích musí vyřešit nějaký problém navazující na to, že se u nich v nemocnici realizuje kybernetický bezpečnostní incident. Tyto typy cvičení jsou velmi cenné s ohledem na fungování regulací v ČR a celkově v euro unijním kontextu. Tyto typy cvičení realizujeme vždy s ohledem na to, kde je prioritní oblast z hlediska bezpečnosti kritických prvků státu. Tím jsem nás chtěl dovést k závěru, že nepochybně ano, nepochybně se bude realizovat nějaký typ cvičení, resp. nějaká sada cvičení i ve vztahu k autonomní mobilitě, a to ve chvíli, kdy autonomní mobilita bude tak rozšířeným fenoménem, že se stane jednou z prioritních oblastí pro zajištění národní bezpečnosti.

 

Myslíte si, že autonomní mobilitě patří budoucnost? A jak ji nepřipravenost na kybernetické hrozby může ovlivnit?

Dlouhodobě spějeme k tomu, že automatizujeme různé systémy, a tudíž i k autonomní mobilitě v nějaké dohledné době. Samozřejmě, že schopnost a ochota věnovat se kybernetické bezpečnosti ze strany výrobců těchto automobilů a ze strany správců inteligentních dopravních systémů bude hrát klíčovou roli pro zavádění systémů autonomní mobility. Takže se domnívám, že důvěryhodnost a kybernetická bezpečnost jsou dva prvky, které zásadně rozhodnou o tom, jak brzy se autonomní mobilita stane každodenní samozřejmostí.

Kdybyste měli poradit člověku, například studentovi, který se zajímá o kariéru v oblasti kybernetické bezpečnosti a inovativních technologií, na co by se měl zaměřit?

Jednak bych řekl, že celosvětově je nedostatek kyber-bezpečnostních expertů, a tudíž bych určitě poblahopřál tomu studentovi ke správnému rozhodnutí, protože nepochybně nebude mít problém najít si práci.

V České republice máme v současnosti i studijní programy, které se přímo zaměřují na kybernetickou bezpečnost. Kybernetickou bezpečnost dnes ovšem nerealizují už jenom IT experti, ale může to být člověk, který přispěje ke kybernetické bezpečnosti se vzděláním pedagogickým, právnickým, sociologickým atd. Takže je to opravdu velmi široká oblast a myslím si, že každý může najít něco, co ho bude v oblasti kybernetické bezpečnosti naplňovat.

Budeme-li se bavit přímo o IT expertech, tak tato expertíza je velmi různorodá. My v tuto chvíli stojíme na prahu kvantového věku. Kvantové počítače mohou v dohledné době dospět do fáze, kdy budou plně využitelné; už dnes začínají být dostatečně funkční na to, aby měly nějaké výpočetní výsledky. A velkým tématem v tuto chvíli je budoucí odolávání kvantové hrozbě z hlediska dosavadních šifrování. Šifrování je zásadní činnost v rámci zajišťování bezpečnosti informací; bez šifrování nelze většinou zajistit důvěrnost informací. Ale šifrování, které bylo doposud využíváno, pravděpodobně není dostatečně odolné těm zmiňovaným kvantovým počítačům. A když mluvíme o IT expertíze, tak na NÚKIB v tuto chvíli máme dostatek pracovních činností i pro kolegy, kteří vystudovali např. matematicko-fyzikální fakultu, ať už jsou to matematici, nebo fyzici a orientují se dobře v quantum computingu. Šíře záběru je obrovská a IT expertíza nemusí nutně sestávat jen z klasických oborů.