V kybernetické bezpečnosti dochází k erozi pracovních míst na takzvané vstupní úrovni, částečně i kvůli umělé inteligenci, řekl šéf Evropské agentury pro bezpečnost sítí a informací (ENISA) Juhan Lepassaar v rozhovoru pro Českou televizi. Firmy proto podle něj potřebují změnit nábor nových zaměstnanců. Lidé chybí i agentuře ENISA. Její práce mimo jiné zahrnuje přípravu cvičení proti kybernetickým útokům, které přicházejí například z Ruska – od února 2022 se jejich intenzita ještě zvýšila.
Ruské tajné služby a hackerské skupiny napojené na Rusko provádějí nepřátelské kybernetické operace proti evropským zemím a jejich představitelům dlouhodobě. Změnila se intenzita nebo povaha těchto operací od začátku ruské plnohodnotné invaze na Ukrajinu v únoru 2022?
Krátká odpověď zní ano. V našich veřejných zprávách – zejména ve výroční zprávě o hrozbách, kterou vydává ENISA – jsme komentovali, že od začátku ruské invaze pozorujeme nárůst aktivity státních aktérů spojených s Ruskem i hacktivistů, kteří své aktivity, řekněme, upravují podle ideologických cílů ruského státu.
Aktéři spojení s Ruskem cílí na evropské veřejné instituce a kritické sektory, jako je například doprava. Také jsme zaznamenali mnoho dezinformačních a misinformačních kampaní spojených s Ruskem.
Tyto aktivity často souvisejí s politickými rozhodnutími v Evropě. Když národní vlády nebo evropské orgány diskutují o pomoci či podpoře Ukrajiny, je téměř nevyhnutelné, že se objeví nějaká hacktivistická nebo proruská aktivita, jako jsou například DDoS útoky proti veřejným institucím (DDoS – Distributed Denial of Service, jedná se o kybernetický útok, jehož cílem je znefunkčnit web, aplikaci nebo server přehlcením požadavky o přístup – pozn. red.).
Skutečně tedy došlo k nárůstu jak z hlediska intenzity, tak i obsahu dezinformačních kampaní. Pokud jde o dopad, zejména u hacktivistických akcí jsme neviděli tak zásadní následky. Evropa je schopna se bránit. Samozřejmě existovaly pokusy sabotovat nebo narušit poskytování služeb. Některé byly úspěšné, ale ne všechny měly významný dopad. To je také důležité mít na paměti.
V únoru ENISA publikovala metodiku cvičení kybernetické bezpečnosti. Jak ji přijaly evropské instituce, členské státy a soukromý sektor?
Je to součást pravidelné práce agentury ENISA – vytvářet rámce, standardy a metodiky, které mohou všichni využívat ke zvyšování svých schopností a kapacit. Pro nás představuje metodika cvičení základní rámec a zároveň poskytuje veřejnosti informace o tom, jak ENISA svá cvičení organizuje.
Nejde jen o to, jak by měli cvičení provádět ostatní, ale také o možnost posoudit, zda je náš způsob organizace cvičení skutečně nejlepší a nejefektivnější, případně zda můžeme zavést lepší řešení či přístupy. Umožňuje nám také získávat zpětnou vazbu, jak se v organizaci cvičení zlepšovat.
Nepoužíváme tedy metodiku k tomu, abychom hodnotili, jak členské státy provádějí cvičení na národní úrovni. Je to spíše nástroj, díky němuž nám mohou různí aktéři a širší veřejnost poskytovat zpětnou vazbu.
Kdo zpětnou vazbu poskytuje nejvíce? Evropské instituce, soukromý sektor, nebo členské státy?
Existuje velmi aktivní a rozvíjející se komunita soukromého sektoru, která dělá mnoho pro budování kapacit. Chtěl bych ocenit všechny společnosti, které pomáhají poskytovatelům kritických služeb zlepšovat jejich schopnosti. Kybernetická bezpečnost je rozvíjející se trh, není to jen věc veřejná.
Máme také mnoho evropských subjektů, které využívají metodiky a příručky ENISA k tomu, aby mohly dělat to, co umí nejlépe. Dostáváme od nich mnoho zpětné vazby. Chtěl bych jim poděkovat a zároveň je povzbudit, aby nám ji poskytovaly i nadále.
Zpětnou vazbu dostáváme i od členských států, které metodiky využívají v praxi. Vždy se objeví nové aspekty, které nám pomáhají metodický základ dále posilovat.
Když různí aktéři používají metodiku ENISA, tak ta krása spočívá v tom, že budování nových schopností se stává interoperabilní – tyto zkušenosti lze přenést přes hranice a do různých odvětví. A to je dobrý důvod, proč mít společný základ nebo společný přístup.
Proč? Protože v Evropě máme obrovský nedostatek kvalifikovaných pracovníků. I když vidíme vznik velmi výkonných agentů umělé inteligence, kteří mohou doplňovat a podporovat lidi, je stále nesmírně důležité, abychom pokračovali v rozvoji dovedností a kapacit našich kyberbezpečnostních týmů.
Mezi těmito aktéry, které jsem zmínil, probíhá dostatek kybernetických cvičení? Kdo je podle vás lídrem v kybernetické bezpečnosti a kdo má ještě prostor ke zlepšení?
Za několik týdnů budeme organizovat největší cvičení kybernetické bezpečnosti v Evropě Cyber Europe, do kterého se zapojí řada subjektů z různých národních složek, které působí v různých odvětvích. Odhadujeme, že se ho zúčastní necelých tisíc organizací.
Nejde však o otázku kvantity, myslím, že jde o kvalitu. Příprava dobrého cvičení zabere spoustu času a ještě více času zabere vyvodit z něj poučení a následně změnit naše pracovní chování, postupy, normy, procedury, nástroje a schopnosti.
Nejde o to, abyste cvičili každý druhý týden, ale abyste vše, co se naučíte, také uplatnili v praxi. Právě v tom spočívá skutečný význam cvičení. Takže já bych řekl, že jejich nedostatek není ve skutečnosti měřítkem, kterým byste se měli řídit. Stačí jedno cvičení, pokud se z něj poučíte.
Myslíte si, že jejich kvalita je dostatečná?
To velmi záleží na konkrétním případě. Ale rozhodně je kvalita dostatečná, pokud používáte metodiku agentury ENISA.
Co se týče nedostatku pracovní síly v kyberbezpečnosti, tak mám k dispozici čísla z roku 2024, kdy podle studie organizace OECD v Evropské unii chybělo téměř 300 tisíc pracovníků. Jak jsme na tom teď? Došlo ke změně?
Bohužel je to trochu jako s klimatickou změnou. Situace byla špatná a teď je ještě horší. Nedošlo ke zmenšení skill gap (rozdílu mezi dovednostmi, které zaměstnavatelé potřebují k dosažení svých cílů, a schopnostmi, které jim mohou jejich zaměstnanci nebo uchazeči nabídnout – pozn. red.).
Pozorujeme také, že firmy se stále častěji – možná kvůli nedostatku odborníků – místo najímání expertů na kybernetickou bezpečnost obracejí na poskytovatele služeb, kteří jim budou spravovat ekosystém kybernetické bezpečnosti. Tou se tedy nebudou zabývat lidé v jejich vlastní organizaci.
Vždy sice můžete říct, že je dobře, když firmy najdou řešení, které jim vyhovuje. Na druhou stranu ale vyvstává otázka důvěry – mohou těmto poskytovatelům věřit? Tito poskytovatelé totiž získávají přístup k velmi citlivým a kritickým systémům.
S nástupem pokročilých modelů umělé inteligence lze některé oblasti kybernetické bezpečnosti podpořit automatizovanými agenty. Pak ale vyvstává otázka, jak tyto agenty bezpečně nasazovat a jaké ochranné mechanismy je potřeba zavést.
I v tomto ohledu máme dobré zprávy – ve třetím čtvrtletí ENISA zveřejní zprávu, která se některými z těchto otázek zabývá. Snažíme se tedy pomáhat našim spoluobčanům a komunitám, aby byli o krok napřed, nebo alespoň na úrovni současného vývoje, aby neměli pocit, že zaostávají.
Neexistuje žádný snadný způsob, jak vyřešit nedostatek kvalifikovaných pracovníků. Vyžaduje to pravděpodobně úsilí z různých stran, ale automatizace je jednou z cest, jak tento problém alespoň částečně zmírnit.
Pokud jde o nedostatek pracovníků, předpokládám, že Evropská akademie dovedností v kybernetické bezpečnosti (ECSA) může pomoci vytvořit novou pracovní sílu nebo vzdělávat tu stávající. Byla ale založena teprve v roce 2023, takže asi bude trvat, než se její dopad projeví. Nebo už jsou výsledky viditelné?
Řekl bych, že některé výsledky se projeví až časem. Činnost akademie – která je velmi užitečná – vychází také z práce, kterou ENISA odvedla při vytváření rámce různých profilů v oblasti kybernetické bezpečnosti.
Existuje řada aktérů na národní i evropské úrovni, kteří musí své aktivity koordinovat. Jsem velmi rád, že Evropský rámec kybernetických dovedností převzala většina členských států i soukromých subjektů zabývajících se vzděláváním a školením v oblasti kybernetické bezpečnosti, protože to opět umožňuje přeshraniční interoperabilitu.
V budoucnu to může přispět k atestaci dovedností, což následně umožní vytvořit ekosystém kvalifikovaných odborníků, které bude možné využívat napříč hranicemi prostřednictvím různých poskytovatelů služeb. To je naprosto zásadní.
Nicméně také zdůrazním, že v oblasti kybernetické bezpečnosti dochází k erozi pracovních míst na vstupní úrovni. Částečně je to kvůli automatizaci.
Společnosti a organizace musí přehodnotit, jak přijímají a rozvíjejí své talenty. Je totiž poněkud náročné najít mladého odborníka na kybernetickou bezpečnost, který již má 32 různých certifikátů v různých oblastech. To je nemožné.
Je tedy třeba, aby společnosti vybudovaly vlastní programy pro rozvoj talentů. To je samozřejmě nákladné, což je také jeden z důvodů, proč to nechtějí dělat. Z dlouhodobého hlediska je to ale jediný způsob, jak zajistit, že budou mít uvnitř organizace vyškolené odborníky s potřebnými komplexními znalostmi různých oblastí kybernetické bezpečnosti.
Nelze to prostě očekávat od mladého člověka, který právě získal diplom nebo dokončil svoje první kyberbezpečnostní školení.
Moji mladší přátelé, kteří se o tento obor zajímají, jsou zoufalí, protože nevidí žádné příležitosti. Myslíte, že se to změní?
Změní se to jen tehdy, pokud se společnosti vědomě rozhodnou upravit svůj přístup. V současné době to však nevidíme. A rozhodně to musíme řešit také na evropské úrovni.
Narazil jsem na studii zadanou Evropskou komisí, ve které se uvádí, že ENISA má, jednoduše řečeno, nedostatek personálu a finančních prostředků. Jak se vás to dotýká? Jaké problémy jsou ty nejnaléhavější?
Nejnaléhavějším problémem je, že většina mých zaměstnanců je neustále přepracovaná a s omezenými kapacitami se snažíme pokrýt příliš rozsáhlé úkoly. Z organizačního hlediska to samozřejmě představuje obrovské riziko, protože pokud moji lidé vyhoří, tak to může mít v některých oblastech velmi vážné důsledky.
Musíme tedy posílit naše kapacity, být odolnější a schopnější pomáhat Evropě. Zejména nyní, kdy jsme na prahu systémové transformace v oblasti kyberbezpečnosti, kterou očekáváme. Nové, velmi výkonné modely umělé inteligence zkracují časové lhůty, které jsme tradičně měli v různých procesech kyberbezpečnosti, ať už jde o takzvané řízení zranitelností nebo řízení incidentů. Lidská rychlost už tedy nestačí.
Samozřejmě by se dalo říct, že je to skvělé, protože pak už nepotřebujete lidi, ale opak je pravdou. Někdo totiž musí vykonávat dohled nad automatizovanými agenty a zjistit, jaké budou bezpečnostní mechanismy pro jejich fungování. Někdo musí pomáhat členským státům porozumět tomuto transformačnímu procesu a provést je skrz něj.
Takže skutečně potřebuji lidi a dobré odborníky. Čelím stejnému problému jako všichni ostatní v kybernetické bezpečnosti – nedostatku odborníků. Naštěstí jsme zatím nezažili situaci, kdy by se na naše pracovní nabídky nikdo nepřihlásil.
Je ale důležité si uvědomit, že čelíme této nové situaci, v níž na kyberbezpečnost nahlížíme jako na výměnu odborných znalostí, ale také jako na budování evropských schopností v oblasti správy zranitelností.
Musíme budovat společné povědomí o bezpečnostní situaci a pomáhat výrobcům vyvíjet a nasazovat bezpečné produkty na trhu. To vše vyžaduje lidi. Dokonce i rozvoj dovedností vyžaduje lidi.
Výzvy, kterým čelíme, by vyžadovaly, aby ENISA minimálně zdvojnásobila své kapacity, ne-li ještě více. A i tak by to pravděpodobně nestačilo na všechny budoucí výzvy. Stále bychom museli stanovovat priority.
V kybernetické bezpečnosti máte vždy dvě stě různých problémů a nemůžeme je vyřešit všechny najednou. Musíme pochopit, které problémy mají největší dopad, které lze řešit nejdříve a které vyžadují postupný přístup.
ENISA tedy potřebuje dobré lidi, schopné pracovníky a zkušené experty v oblasti kybernetické bezpečnosti. Spoléhám také na členské státy, že zajistí – protože nakonec ať už uděláme cokoli, děláme to ve prospěch členských států – aby ENISA disponovala expertízou, která bude propojena s národními odborníky, a nebude od nich oddělena.
Studie také uvádí, že omezené zdroje brání agentuře v tom, aby měla větší dopad nad rámec poradenských a koordinačních funkcí. Kde byste chtěl, aby byla vaše agentura vlivnější?
Není to černobílé. Pokud jde o management incidentů – a zdůrazňuji slovo management – začíná to u samotných společností a firem.
Druhou úrovní jsou národní autority pro kybernetickou bezpečnost. Řízení incidentů v rámci národního ekosystému je jejich odpovědností, nikoli odpovědností ENISA.
My můžeme pouze podporovat a pomáhat tam, kde to členské státy považují za přínosné, protože nechceme narušovat jejich práci.
Pokud však jde o správu zranitelností, tedy slabin v produktech a službách, které cirkulují na evropském jednotném trhu, pak je správnou cestou reakce na evropské úrovni.
Evropská komise předložila novelu aktu EU o kybernetické bezpečnosti. Řeší tento návrh nedostatky, o kterých jsme spolu mluvili?
Řeší některé z těchto problémů. Myslím, že jde o velmi dobrý pokus zajistit, aby ENISA měla alespoň minimální prostředky, které potřebuje. Bude ale mít optimální schopnosti? O tom pochybuji – zejména s ohledem na nové výzvy spojené s pokročilými modely umělé inteligence. Řekl bych tedy, že je to dobrý začátek, ale časem budeme pravděpodobně potřebovat více.
