Publikováno: 15. 4. 2020
Jste považován za jednoho z lídrů a odborníků v oblasti kybernetické a informační. Mohl byste nám přiblížit tuto oblast?
V době komplexně propojeného světa, kdy celou řadu činností a zodpovědností jsme svěřili informačním technologiím, je nutno řešit i bezpečnost kybernetického prostoru. Když se každý zamyslíme nad tím, v čem a jak jsme závislí na „vymoženostech“ provozovaných systémů, postavených na informačních technologiích, tak věřím, že nad rostoucí mírou závislosti budeme velmi překvapení. Tyto systémy pracují s informacemi a poskytují nám služby. Informace z principu snižují naši míru nejistoty při rozhodování často o životně důležitých otázkách. Příkladem může být rozhodnutí dispečera řízení letového provozu. Potřebuje od systému informace a služby spolehlivé a hlavně včas aby se mohl správně rozhodnout v často kritických situacích. Abychom dokázali bezpečnost v kritických systémech správně nastavit, je nutno mít funkční regulaci a legislativu. Česká republika je na tom v tomto ohledu poměrně dobře, protože od roku 2014 máme zákon o kybernetické bezpečnosti s řadou navazujících předpisů. Troufám si říct, že je v celosvětovém měřítku jeden z nejlepších. Jako regulační orgán, který kontroluje dodržování tohoto zákona, má Česká republika Národní úřad pro kybernetickou a informační bezpečnost, který je také považován za jeden z nejlepších na světě.
Jste prezidentem Českého institutu manažerů informační bezpečnosti (ČIMIB). Jaký je cíl a poslání ČIMIBu? Můžete nám spolek představit?
ČIMIB je profesní sdružení (spolek) které sdružuje profesionály v oboru kybernetické a informační bezpečnosti a to jak jednotlivce, tak i firmy. Naším prvořadým cílem je poskytovat členů unikátní informace o nových technologiích, o vývoji legislativy apod. Toto realizujeme cestou tzv. kulatých stolů, kdy naši členové mají možnost se setkat se špičkovými odborníky a vyslechnout si přednášku a diskutovat s nimi na dané téma. Máme za sebou už řadu úspěšných „Kulatých stolů“ např. o bezpečnosti ICS/SCADA systémů nebo o metodách bezpečného vývoje aplikací. Každoročně pořádáme už tradiční konferenci Kybernetická bezpečnost státu a ČIMIB je také velmi často odborným partnerem na konferencích, pořádaných spřátelenými organizacemi.
Kde všude se můžeme setkat s problematikou informační a kybernetické bezpečnosti a jak je tato oblast vnímána? Není to jen strašák pro laiky?
Jak už jsem uvedl výše, propojení světa – všeho se vším, všech se všemi a všeho se všemi – je čím dál tím více komplexní. Současné automobily mají v sobě desítky až stovky procesorů a to nehovořím o těch autonomních, neexistuje průmyslové odvětví, které by nebylo závislé na informačních technologiích a můžeme pokračovat ve výčtu dále např. do zdravotnictví, dopravy, školství, domácností apod. Ten problém je prostě všude. Vzpomeňme na události v Benešovské nemocnici, která byla kompletně paralyzována a to proto, že byla zanedbána kybernetická a informační bezpečnost. V nemocnici nevěděli, jakou dietu pro kterého pacienta mají připravit, nedostupná byla zdravotnická dokumentace, nefungovalo nic. Za strašáka bych tuto problematiku určitě nepovažoval, protože kybernetické útoky a krádeže informací jsou byznysem s ročním výnosem kolem dvou biliónů dolarů, jsou nástrojem státní i průmyslové špionáže, nástrojem konkurenčního boje a kyberprostor se stal oficiální válčištěm. Technologický rozvoj, nástup 5G sítí, zapojení umělé inteligence atd. přináší stále nové bezpečnostní výzvy a bez jejich řešení se lidstvo řítí do záhuby.
Tedy otázka bezpečnosti v IT není vůbec jednoduchá a rozšiřování povědomí a školení v této oblasti je namístě. Vidíte školení jako přínosné zejména pro IT specialisty, nebo i pro laickou veřejnost?
To, abychom k využívání zmíněných technologií přistupovali obezřetně, se bez vzdělání neobejde. A musí se začít už v útlém věku. Tak jak se malé děti učí opatrně přecházet přes cestu, tak se musí učit bezpečnému pohybu i po informační dálnici – v kyberprostoru. Je to svět plný nástrah a proto je nutno dát vysokou důležitost právě vzdělávání. Ovšem nejde jen o vybudování jakéhosi vnitřního povědomí o rizicích pohybu v kyberprostoru, významnou součástí je také vzdělávání odborníků na kybernetickou a informační bezpečnost. A to od techniků až po manažery, kteří jsou zodpovědní za zavádění systémů kybernetické a informační bezpečnosti.
S jakými tématy a problémy z praxe se setkáváte na školeních.
Velmi často je to problém vnímání kybernetické a informační bezpečnost jako něčeho neuchopitelného, odděleného od ostatních oblastí i od provozu IT. Velmi často se stává, že je zahájen nějaký IT projekt a lidé z bezpečnosti se o něm dozvědí, až už má jít do realizace. To je samozřejmě úplně špatně a jde to proti zásadám „Security by Design, by Architecture, by Default“. Už když se v něčí hlavě zrodí myšlenka na takovýto projekt, tak musí být brána bezpečnost v úvahu. Není většího neštěstí, než se snažit přiohnout bezpečnost na už hotový systém, nikdy to pořádně nebude fungovat, nikdy to nebude bezpečné a řádově se to prodraží.
Co považujete za nejprospěšnější činnost, kterou je možné dělat v oblasti informační a kybernetické bezpečnosti?
Musí se o tom neustále mluvit, vysvětlovat, přednášet, vzdělávat. Přednášel jsem na několika základních, středních i vysokých školách a to jak pro žáky či studenty, tak i pro pedagogy a rodiče. Ono není problém si nakoupit technologie, problém je tyto technologie správně používat a to bez vzdělání nejde. Také je nutno kvalifikovaně brzdit všeobecné okouzlení technologiemi. Je strašně jednoduché dát dítěti Smartphone, ono potom nezlobí. Ale pokud není pod kontrolou rodičů, tak si může ublížit s následky na celý život. Rodiče by se měli bát toho, co synové z Internetu stahují a dcery na něj nahrávají.
V profesionální oblasti je ČIMIB odborným partnerem a já osobně jsem odborným garantem a lektorem postgraduálního studijního programu MBA „Management a kybernetická bezpečnost“, na vysoké škole CEVRO Institut z.ú. Dále jsem na stejné škole spolugarantem LL.M. postgraduálního programu „Ochrana informací“. Cílem obou programů je poskytnout studentům vzdělání na manažerské úrovni.
Myslíte, že má v dnešní době význam se společně scházet a sdílet své zkušenosti např. na konferencích, nebo považujete za dostatečné komunikace přes sociální sítě?
Bez toho to fungovat nemůže. Pro mě osobně je nesmírně důležité diskutovat s odborníky z nejrůznějších oblastí a tím, že kybernetická a informační bezpečnost prosakuje úplně všemi obory, jsem už přednášel opravdu téměř pro všechny. Je velmi obohacující, když v diskusích na takovýchto setkáních vyslechnete často i nesouhlasné názory a můžete si tak tříbit vaše argumenty.
Víme, že jste přednášel na 14. Výroční konferenci itSMF CZ s názvem „ITIL A ITSM INSPIRUJÍCÍ“. Vaše přednáška byla účastníky vysoce hodnocena, můžete nám ji ve zkratce přiblížit?
V rámci letošní konference jsem měl přednášku na téma “Neutrhl se nám ten kyberprostor z řetězu …?“. Každá moje přednáška začíná mým vlastním citátem „Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy” a budu s tímto citátem zahajovat každou přednášku, dokud nebudu mít pocit, že už to není třeba zdůrazňovat. Otázkou je, jestli někdy k tomuto pocitu dojdu. Občas mám pocit, že jsem několikanásobný mistr světa v házení hrachu na zeď, ale nevzdávám to. Nicméně ve svém vystoupení jsem se zabýval novými bezpečnostními výzvami, které s překotným (až z řetězu utrženým) rozvojem technologií souvisí. Od Internetu věcí, přes sítě 5G, Smart cities až po umělou inteligenci. Málokdo si totiž uvědomuje, jak snadno a kde všude se tyto technologie dají zneužít, pokud budeme vypínat pud sebezáchovy.
Chtěl byste něco vzkázat odborné veřejnosti, která se této konference nezúčastnila?
Příště už přijďte a rozšiřte naše řady jak v itSMF tak i v ČIMIB.
Děkuji za rozhovor a přeji hodně úspěchů v další práci. Aleše Špidlu zpovídala Hana Žaludová
Ing. Aleš Špidla vystudoval technickou kybernetiku, V roce 2011 jako ředitel odboru kybernetické bezpečnosti na ministerstvu vnitra ČR koncipoval strategii kybernetické bezpečnosti České republiky a zapojil se do diskusí nad věcným záměrem a potom i samotným zákonem o kybernetické bezpečnosti. Dále pracoval jako vedoucí sekce informatiky Státního ústavu pro kontrolu léčiv, ředitel odboru bezpečnostních politik ministerstva práce a sociálních věcí, manažer oddělení řízení rizik ve společnosti Price Waterhouse Coopers, poté ve státním podniku CENDIS, s.p. jako specialista pro kybernetickou bezpečnost a ve státním podniku NAKIT, s.p. jako vedoucí oddělení v sekci bezpečnosti. V současné době pracuje jako manažer kybernetické bezpečnosti na Generálním finančním ředitelství. Je prezidentem Českého institutu manažerů informační bezpečnosti, (ČIMIB), garantem a pedagogem MBA studijního programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M programu „Ochrana informací“ na Vysoké škole CEVRO Institut. Intenzivně se věnuje evangelizaci problematiky kybernetické a informační bezpečnosti ve všech jejích aspektech. Přednáší na konferencích, vystupuje v médiích, publikuje články s touto tématikou. Aleš Špidla je certifikovaným auditorem kybernetické bezpečnosti.
Štítky: bezpečnost, ČIMIB, informační bezpečnost, kybernetická bezpečnost, security, Špidla
Autor:: Hana Žaludová