Rozhovor
Společnost CETIN a.s. (dále jen CETIN) provozuje a vlastní největší telekomunikační síť v ČR, ke které má přístup 99,6% obyvatelstva. Nejen kybernetická bezpečnost se zde neobejde bez Pavla Rivoli, který zde působí jako Chief Security Officer.
Mohl byste popsat, co všechno máte v CETIN na zodpovědnost?
Náš úsek Bezpečnosti nastavuje celkovou bezpečnostní politiku, rozvíjí ji a kontroluje její dodržování. Máme na starost informační a kybernetickou bezpečnost, včetně ochrany utajovaných informací, a současně odpovídáme za ochranu osob a majetku, mj. i našich datových center. Komunikujeme třeba s Národním úřadem pro kybernetickou bezpečností (NÚKIB), Národním bezpečnostním úřadem (NBÚ), Ministerstvem průmyslu a obchodu ČR, Armádou ČR, specializovanými útvary Policie ČR a dalšími významnými státními subjekty. A také jsme od března 2020 realizovali řadu firemních opatření spojených s pandemií covid-19.
Mezi kolegy z jiných oddělení nejspíš nebude populární, že jim často přiděláváte práci. Není to občas nevděčná pozice, zastávat roli ředitele Bezpečnosti?
Security bohužel vždy kolegům z firmy nějak komplikuje život. Musí se třeba častěji přihlašovat silným heslem, a mimo budovu CETINu u toho ještě zadávat kód – podobně jako v bance. Musí plnit nejrůznější bezpečnostní pravidla, která je občas zdržují v jejich práci. Ale vše má svůj důvod a smysl. Prostě udržujeme lidi i technologie v bezpečí, i za cenu, že nastavíme nějakou povinnost navíc. Takže ano, je to občas taková nevděčná práce. Ale když se stane průšvih, tak jsou pak všichni rádi, že mají funkční bezpečnost.
Co vás na vaší práci nejvíce baví?
Že jde o opravdu širokou a zajímavou oblast. Cyber security zahrnuje nejen kybernetickou, fyzickou, informační bezpečnost, ale třeba i zahraničně-bezpečnostní geopolitiku v rozsahu, které se týká naší nadnárodní společnosti. Například zahraniční politika a sankce USA vůči Číně mají vliv na dodávku čipů, které jsou potřebné pro technologie v oblasti telekomunikací. To následně může ohrozit dodávku některých potřebných technologií a tím následně ohrozit i plynulý provoz telekomunikačních operátorů. A jelikož zahraniční politika mě dlouhodobě zajímá, tahle část naší práce – sledovat souvislosti, mě obzvlášť těší. Ale hlavně si vážím možnosti spolupracovat v CETINu se skutečnými specialisty, kteří mají neuvěřitelně hluboké znalosti ve svých oborech, bez ohledu, zda jsou z bezpečnosti, networku, IT, či jiných oblastí. Práce na projektech je pak opravdu obohacující.
Security v CETIN je poměrně unikátní tím, že v sobě kombinuje IT Security a Network Security, s tím, že Network zde je zastoupen většinovým podílem. Na co nejčastěji při spolupráci na implementaci bezpečnostních opatření v takovém prostředí narážíte?
Na potřebu stále a vzájemné komunikaci mezi komunitou Networku, komunitou IT a komunitou Security. Slovo komunitu uvádím záměrně, protože i uvnitř firmy existují takové komunity, které se odlišují mentalitou i způsobem řešení. Je to přirozené, protože všichni se na nejrůznější řešení a architekturu nových projektů dívají z pohledu své komunity (tj. procesů, spravovaných technologií, znalostí a zkušeností). Proto říkám, že komunikace je základ, protože při ní se předejde spoustě nedorozumění a díky ní se vždy najde i vhodné řešení v pokračování na společných projektech.
Jste zastáncem nejen defenzivního, ale i ofenzivního přístupu ke kyberbezpečnosti. Jakým způsobem ho realizujete, či jak si takové přístupy lépe představit?
Předně si musíme uvědomit, než začneme mluvit o jednotlivých přístupech, co zahrnuje pojem kyberbezpečnost do svého obsahu. Občas narážím na nepochopení tohoto pojmu v praxi. Někteří se domnívají, že kyberbezpečnost je pouze o IT či network Security. Nicméně kyberbezpečnost a nejen pro nás v CETINu je i fyzická bezpečnost, přesněji celková bezpečnost, která zahrnuje lidi, technologie i procesy.
A v rámci tohoto globálního pojetí máme v CETINu lidi, kteří zastávají role spadající do oblasti BLUE týmu, který zaznamenává, analyzuje a řeší nejrůznější bezpečnostní události a RED týmu, který naopak simuluje nejrůznější útoky, a to ať skrze tzv. etický hacking, scaning zranitelností, penetrační testování, sociální inženýring, či fyzické překonávání překážek, bránící nekontrolovanému fyzickému přístupu k našim klíčovým technologiím. Cíl je pro Bezpečnost vždy jasný, najít v systémech a procesech naší kritické informační infrastruktury slabiny dříve než hackeři zvenčí a udržovat obsluhu těchto systémů v neustálé ostražitosti. Oblast BLUE týmu spadá právě do zmíněné defensivní bezpečnosti a oblast RED týmu do ofensivní bezpečnosti.
Obecně se však podceňuje rozvoj právě ofenzivního přístupu a dochází na soustředění se jen na defenzivní přístup. Přitom lidé z každé jednotlivé oblasti mají odlišnou mentalitu a není ku škodě, aby člen modrého týmu občas absolvoval krátkou praxi s lidmi z červeného týmu a naopak. Člověku to podstatně rozšíří tzv. periferní vidění. Já osobně jsem zaměřen ofenzivě, protože mě tak formovali veškeré mé zkušenosti. Proto se někdy i já projdu po datových centrech a hledám, kde bych zaútočil, kdybych byl útočník. Kudy bych tam vlezl, kde bych se napojil a pak se touto optikou dívám, jestli někde nechybí nějaké zabezpečení, kamera, IT blokace nebo networkový tool, díky kterému bych měl ten pohyb pod kontrolou. Ten samý pohled aplikuji i v IT Security, či Network Security.
Pokud chceme udržovat a rozvíjet správně bezpečnost v našich firmách, musíme podporovat oba dva přístupy, protože jen tak můžeme jít dopředu a jen tak budeme mít komplexní pohled na stav bezpečnosti v naší firmě a nebudeme se slepě točit v kruhu. Metaforicky by se to dalo přirovnat k závodní veslici s dvěma pádly – modrým a červeným pádlem. Pokud chceme jet dopředu a nechceme se točit v kruhu, musíme pádlovat oběma vesly.
Zmínil jste práci s utajovanými informacemi. Co to obnáší?
CETIN je držitelem osvědčení podnikatele na stupeň utajení „TAJNÉ“, což na jedné straně znamená plnit a zajišťovat řadu povinností plynoucích ze zákona, ale na druhé straně nám to umožňuje zúčastnit se zakázek pro veřejnou správu. Přístup k utajovaným informacím má ve společnosti v současné době několik desítek zaměstnanců, odpovědnou osobou jsem já. Takže musím zajistit všechny podmínky stanovené zákonem, což zahrnuje třeba i školení pro těch několik desítek „vyvolených“. Taky jsme například řešili vytvoření pracoviště utajovaných informací, které nám NBÚ schválil do provozu. Nyní připravujeme k recertifikaci informační systém pro zpracování utajovaných dokumentů pro stupeň Tajné a Důvěrné. Jde tedy o poměrně rozsáhlou, choulostivou a odborně specifickou agendu.
Vaší prací je zajistit maximální bezpečnost. Vynahrazujete si to nějakým adrenalinem v osobním životě, či spíše relaxujete?
Nejraději volno trávím s rodinou a přáteli – samozřejmě nejlépe aktivně. Je to taková klasika: kolo, lyže, horská turistika a voda – moře či řeka. Také rád cestuji po světě. Navštívil jsem už hodně zemí, baví mě vnímat, jak žijí v jiných kulturách, jaké jídlo jí, jak řeší denní starosti, zajímá mě i místní historie a architektura. Vždycky mě to nějak obohatí, a nezáleží přitom, jestli jde o Uzbekistán, Čínu nebo USA. Do toho všeho hodně čtu. A když je nejhůře a potřebuji se skutečně a doslova vybít, zajdu si zazápasit s kamarády do tělocvičny, či ringu.
Mezi vaše zájmy patří také kosmologie, která se zabývá vznikem a vývojem vesmíru. Kosmickou tematiku má i letošní příběh finále ECSC, kdy hackeři napadnou kolonizační loď. Co byste vy osobně doporučil budoucím vesmírným cestovatelům z hlediska kyberbezpečnosti? Sbalit si teplé ponožky pro případ, že jim někdo na dálku hackne topení, nebo raději rovnou letět offline v airplane módu?
Být stále offline není pro vesmírnou stanici, či raketoplán optimální a ani bezpečné, protože by se posádka nemusela dozvědět o možných hrozbách, které zaznamenalo řídící středisko. Teplé ponožky, které jsou v zimě, na planetě Zemi, moc fajn, by moc nikomu nepomohly, pokud by došlo k zástavě topení ve vesmírném prostoru, kde je teplota zhruba – 270 C. Nicméně i tak bych si je na cestu přibalil, protože jak říkali už naše babičky, je dobré mít nohy v teple. S trochou nadsázky bych však řekl, že o něco lepší, než si balit ponožky, by bylo s sebou vzít ručník, jak jistě potvrdí každý, kdo prostudoval knihu Stopařův průvodce po Galaxii. Ovšem určitě bych upozornil na velmi dobrou radu uvedenou v této knize, kterou by se měli účastníci letu v kolonizační lodi řídit – DON´T PANIC (NEPROPADEJTE PANICE).
Této radě odpovídá i rada, kterou dostávají od instruktorů např. vojenští bojoví piloti, příslušníci speciálních sil či zpravodajští důstojníci pro případ stavu paniky, která může ohrozit jejich misi, zdraví či život. Ta rada zní: Nepanikařte, zachovávejte pozitivní přístup a klid. V některých situacích a v dalších odhadech vývoje se v nás může probouzet strach, panika a beznaděj nad nevyzpytatelnou silou osudu. Není dobré se příliš bát. Strach člověka stresuje, svazuje, vede k panice a probouzí to v něm ty nejhorší vlastnosti, které mají vliv na to nejcennější, na naše vztahy s blízkými. To, co člověk potřebuje, je odvaha, aby si uchoval naději, byl obezřetný a bral vážně svůj boj se situací, kterou právě prožívá. Je zajímavé, že i v Bibli se údajně objevuje výzva „Nebojte se“ dokonce 365x. Tzn. tato výzva platí pro každé nové ráno, po celý rok. I když člověk nemůže nic dělat, stále jen on sám rozhoduje, jak se k dané situaci postaví, jak zareaguje.
Hlavni je však zachovávat bezpečnostní opatření od začátku do konce letu. Při všech vesmírných letech je bezpečnost vždy na prvním místě a to doslova. Hlavní je, aby byla vždy zajištěna bezpečnost všech osob, a aby vesmírná stanice mohla bezpečně pokračovat na své normální letové dráze a plnit přidělené úkoly. Což vyžaduje celkově dobrou kybernetickou i fyzickou bezpečnost.
Již 15 let přednášíte na Karlově univerzitě. Pozorujete za tu dobu nějakou proměnu u studentů, ať už ve vztahu k digitálním technologiím nebo všeobecně?
Samozřejmě. Studenti velmi dobře a takřka přirozeně zacházejí s moderními komunikačními technologiemi. Hlavní proměna je však v jejich vystupování a v prezentování sebe a své práce. Současní studenti jsou v komunikaci mnohem sebevědomější, mají více odvahy prezentovat své nápady a nebojí se více vstupovat do diskusí s přednášejícím. Když jsem začal přednášet, studenti byli mnohem více opatrní v diskuzích a prezentacích a více používali na poznámky sešity než moderní telekomunikační technologie.
Proč byste doporučil práci v CETINu mladým zájemcům o oblast kyberbezpečnosti?
Osobně bych doporučil CETIN všem mladým zájemcům o práci v oblasti telekomunikací se zaměřením na oblast Networku a IT. Jak už jsem zmínil, mladí lidé zde získají velmi dobré zkušenosti, a hlavně možnost spolupracovat se skutečnými specialisty, kteří mají neuvěřitelně hluboké znalosti ve svých oborech, bez ohledu, zda jsou z bezpečnosti, Networku, IT, či jiných oblastí. Práce na projektech je pak opravdu obohacující. A ať by pracovali v jakékoliv oblasti, vždy se budou podílet i na bezpečnosti. Protože kvalitní a bezpečné služby jsou základ každého technologického byznysu a odvětví. Nejen kosmických letů.