Bezpečnost je apolitická a nedělitelná

Hlavní stránka » Aktuality » Bezpečnost je apolitická a nedělitelná

Jakým obecným i specifickým hrozbám je vzhledem k vývoji ve světě vystavena veřejnost, firmy i jednotlivci v současné době? Jak se před nimi chránit? Na tato témata hovoříme s bezpečnostním expertem, konzultantem a lektorem, brigádním generálem ve výslužbě Ing. Andorem Šándorem.

Péče o bezpečnost by měla být integrující složkou facility managementu, stejně jako musejí zásady efektivní obrany i ochrany komplexně prostupovat složkami moderního státu a všemi sférami života společnosti.

Před čtyřmi lety jste v rozhovoru pro náš časopis označil za největší problém průmyslovou špionáž. Změnila se situace od té doby?
Riziko průmyslové špionáže se nijak nezmenšilo. Její historii můžeme sledovat od příběhů a legend o pašování bource morušového z Číny do Japonska či do Byzance a bude nepochybně existovat i v budoucnu, dokud bude výhodnější výsledky jakéhokoli výzkumu odcizit než do nich vkládat obrovské vlastní prostředky. Státní i nestátní aktéři budou neustále ve velkém pokušení se podobných krádeží dopouštět. Vedle toho se skutečně velkým problémem stal kyberzločin a naše hlavní potíž je v tom, že se mu neumíme bránit. Nejsme vycvičeni k tomu, abychom rozeznali, že jde o kybernetický útok, obrana před ním, pokud vůbec existuje, je špatná a přitom velice nákladná. Uvedu příklad Scottish National Bank, která před několika lety takový útok včas nezachytila, a stálo ji to 2 mld. GBP. Útočníci navíc často nejdou po hlavních článcích systému, o nichž správně předpokládají, že jsou dobře chráněny, ale atakují méně chráněná podpůrná zařízení – a přes ně se dostávají k hlavnímu cíli. Kyberzločin je neuvěřitelně vynalézavý, často v něm figurují státní i nestátní struktury. Převedeno do facility managementu či chodu moderní domácnosti: Všechna smart čili chytrá zařízení, která si pořizujete, vás činí velice zranitelnými. Když úvahu dovedeme do krajnosti – pomocí těch-to prostředků vám někdo může za jistých okolností třeba zapálit dům. To je fakt, s nímž by měl každý počítat, snažit se o podobných zařízeních dozvědět co nejvíc a uvědomovat si jejich slabiny, aby byl schopen útok na ně rozeznat a eliminovat.

V posledním roce graduje ohrožení označované dokonce jako střet civilizací…
Migrace zásadně mění situaci, zvláště pokud jde o její vliv na integrační procesy Evropské unie. Tzv. evropské elity si s ní nejsou schopny poradit právě proto, že v osmadvacítce jsou zastoupeny názory od utopistických a idealistických až po pragmatické, navzájem diametrálně odlišné, a evropští představitelé se neshodnou na jednotném řešení. Jsou ochotni přenášet tíhu a dopady migračních procesů mezi sebou, nejsou solidární. Solidarita v Evropě, alespoň pokud jde o migraci, definitivně skončila, lidé uvažují způsobem: Ať si to ti Řekové či Italové vyřeší sami. Pokud se ale tento problém nebude dlouhodobě řešit a zvládat, povede k velkému maléru v evropském integračním procesu. Tlak vůči muslimům na našem území, vyvolávání xenofobie to je přesně to, co děláme špatně. Nabízíme pravicové extrémní scéně nový cíl snažení, oni už se nechtějí rvát s lidmi na ulici, a my jim nabízíme muslimy? Žije jich tu 20 000, mnozí už od období starého režimu, nejsou centralizovaní ani radikální. V Německu z xenofobie vznikly v minulém století velice nepěkné věci a my se přeci musíme snažit, aby se neopakovaly.

**Je možné stanovit pomyslné pořadí dalších rizik podle jejich významu či intenzity? **
Ve Velké Británii proběhlo referendum o vystoupení z EU. Doposud nikdo z unie nikdy nevystoupil a nejsou ani ověřeny mechanismy takového kroku. Určitě by bylo něco jiného, pokud by o vystoupení usilovalo Slovinsko nebo Slovensko, než když tento krok zvolila Velká Británie. Myslím si, že se mohla do společného evropského prostoru vždycky vejít. Její odchod, který se pravděpodobně protáhne až na několik let, neznamená určitě katastrofu nebo tragédii, i když všechny jeho důsledky lze v této chvíli jen těžko odhadnout. Co to například způsobí ve Skotsku nebo v Severním Irsku? Pro Českou republiku žádná alternativa EU neexistuje. My prostě nemůžeme být neutrální už proto, že neutralitu musí někdo uznat. O tento prostor, byť není na strategickém hlavním směru, se vždycky bojovalo. Evropa dala světu úžasné věci, ale vznikly zde také dvě největší války světových dějin. Proto si myslím, že by si to měli uvědomit všichni ti, co volají po změně. Evropská unie je samozřejmě všechno, jen ne perfektní. Jean-Claude Juncker řekl v minulosti dvě rozumné věty. První už bůhvíproč nikdy nezopakoval. Prohlásil, že si nenecháme od Američanů diktovat, jaké budeme mít vztahy s Ruskem. Konečně se ten člověk probudil, řekl jsem si. Za druhé řekl, že Evropská komise příliš zasahuje do života občanů členských zemí. To je velká pravda, jen se z toho nikdo nepoučil. Další tématem je NATO. Navenek to vypadá, že se jakoby oživuje. Je to určitá reakce na „rusobijce“ v Polsku a Pobaltí. Do jisté míry se jim není co divit z hlediska historických zkušeností, které mají s bývalým Sovětským svazem. Na druhou stranu si myslím, že by měli zmírnit a že právě cvičení Anakonda-16 na území Polska je oním červeným hadrem před očima Kremlu. Já si často opakovaně kladu tři otázky, přitom si Rusy vůbec neidealizuji, nemám rád jejich zahraniční politiku, ale respektuji, že oni nemají rádi tu naši, západní. Říkám si, jak je možné, že jsme za 25 let Rusko nepřesvědčili, že nejsme jeho nepřítel. Chápu, že v Kremlu potřebují nějakého nepřítele, ale to koneckonců potřebuje každý, aby se mohl vymezovat. Druhá otázka je naprosto kardinální: Do jaké míry je Putinovo Rusko bývalým Sovětským svazem? Existují tam imperiální ambice? Třetí otázka – na okraj: Chceme takové Rusko, jaké bylo to ovládané opilým Jelcinem, nestabilní stát s jadernými zbraněmi, s rozmlácenou ekonomikou, rozkradeným státním majetkem, s řadou konfliktů na jižní hranici? Anebo chceme autoritářské Rusko, které má své prvky demokracie, ale není řízené žádným ideologem, protože Putin není žádný ideolog, ale ryzí pragmatik, který dobře ví, co chce, a je předvídatelný? Další zdroj velkých problémů a nebezpečí přestavuje Ukrajina. Putin však už v roce 2008 na summitu v Bukurešti říkal: Ukrajinu už ne, nechte ji být, Gruzii také ne. O Ukrajině záměrně prohlašoval, že to je umělý státní útvar. Ukrajina je určitě další zamrzlý konflikt, protože jestli si Ukrajinci nebo kdokoli jiný myslí, že jim Rusové někdy vrátí Donbas nebo Krym, vůbec nechápe reálnou politiku. Ukrajina je ekonomicky zničená země, kterou ovládá 12 oligarchů. Kdežto Putin na Chodorkovském ruským oligarchům předvedl, kdo bude v Rusku vládnout – a je to on. Na Ukrajině už vládnou pouze oligarchové. Pokroku na Ukrajině bude dosaženo teprve tehdy, až se začnou dodržovat dohody Minsk II, které jsou Západem buď špatně chápány, nebo přehlíženy. Prvním krokem k jejich naplnění je to, aby ukrajinský parlament schválil novou ústavu, která samozřejmě bude garantovat větší práva ruské menšiny, což se kyjevskému parlamentu nedaří odhlasovat. Kyjev přitom požaduje stažení proruských sil z Donbasu. K němu ale nedojde, dokud nebude schválena nová ústava. Škálu nebezpečí a ohrožení – nikoli na posledním místě – doplňuje islámský terorismus. Jak útok v Orlandu, tak případ šílence, který ve Francii zabil policistu a jeho ženu před zraky jejich dítěte, jsou důkazem toho, že islámský stát má dvě dimenze: Geografickou – a je tak trochu lhostejné, že ztratil 20–30 % území v Sýrii a Iráku, a ideologickou, která se šíří bez hranic v otevřeném kyberprostoru. Ta nachází živnou půdu po celém světě a mnoho lidí se v této zrůdné ideologii zhlíží. Samozřejmě potřebujeme islámský stát vojensky porazit, ale on se může dále přesouvat do Jemenu či do Libye. O nic méně závažné nejsou hrozby související s přírodou a klimatem – zásadní nedostatek vody a nebezpečí velkého sucha, možné energetické blackouty, oteplování a změny podnebí, které budou dopadat na životy lidí.

**Zvýšila se v důsledku různých forem ohrožení zvnějšku i zevnitř komplexní péče o bezpečnost ze strany firem v rámci facility managementu? **
V určitých sférách, z nichž mám poznatky, dochází k pokroku. Manageři si stále častěji uvědomují, že jejich hlavním cílem nemůže být pouze generování zisku akcionářů. Bez rozumně zajištěné bezpečnosti může být naopak tento zisk ohrožen. Snaží se proto najít správné místo bezpečnosti v předmětu podnikání. To je podle mého názoru správné. Bezpečnost nesmí firmu potopit, pokud jde o náklady, a musí být správně koncipovaná. U některých společností pozoruji zvýšený zájem o ochranu informací v duchu normy ISO/IEC 27001. Najednou si více uvědomují, že informace jsou základní jmění firmy. My se jim často snažíme vysvětlit, proč jsou neúspěšné ve výběrových řízeních. Důvodem je, že nevědí, kdo jsou jejich protivníci a kde všude jejich konkurenti získávají komparativní výhodu. Musím ale říci, že některé energetické společnosti v důsledku výpadků již velmi vážně uvažují, jak například lépe zajistit rozvodny. Na druhé straně vidíte na příkladu Ukrajiny a přívodu elektřiny na Krym, že stačí porazit dva sloupy vysokého napětí a je hotovo. Nemusíte organizovat žádné velké útoky.

**Není kladen příliš velký důraz na zajištění bezpečnosti informací, zatímco se další možná rizika více či méně přehlížejí? **
Máte pravdu, pokud nemáte nějaký systém fyzické, mechanické či elektronické zábrany, můžete mluvit o ochraně informací, jak chcete, ale stále je nemáte bezpečně „uskladněné“. Informace přece nenosíte pouze v hlavě, jsou uloženy na médiích, nosičích, na papíře. Musíte mít trezory, bezpečný systém zálohování. Především ale musíte informace klasifikovat, říci si, které jsou nejdůležitější, které méně důležité. Musíte stanovit, kdo bude mít k určitým informacím přístup, a jak tyto informace chránit před jinými osobami, jak kontrolovat všechny vzdálené přístupy, zda je dobře zabezpečeno šifrování dat, zda umíte správně měnit přístupová hesla. Pokud bezpečnost nebude představovat vyvážený komplex fyzických, mechanických prvků, který vytvoří funkční model ochrany, včetně školení a odborné přípravy, tak informace neochráníte. Naladit takový model není jednoduché, ale není to nemožné.

**Napadá mě v této souvislosti, jaký je význam lidského faktoru, systému práce s lidmi, jejich výběr, školení atd.? **
Lidský prvek selhává vždy „nejspolehlivěji“. Jsme od přírody leniví a vidíme se lepší, než jsme. Dokud není patrný tlak kontroly na lidi a dokud nejsou v kontrolních orgánech firem zastoupeni také IT odborníci, kteří kontrolují správce sítí a serverů i řadové IT pracovníky, k selháním bude docházet. Pověstný „ajťák“ je svým způsobem zvláštní svébytné individuum, jež hovoří svou zvláštní řečí, které obyčejní lidé těžko rozumějí. Já jsem u některých firem zjistil, že na jejich serverech provozují jejich „také ajťáci“ své vlastní internetové obchody, stahují si poštu generálního ředitele a dalších osob, dělají různé další kulišárny. Je proto potřebné, aby tyto „ajťáky“ někdo kontroloval, a musí to být opět IT odborník, avšak zařazený mimo firemní IT systém.

**Je podle vašeho názoru pro firmy vhodnější budovat vlastní bezpečnostní systém, nebo jít cestou outsourcingu, nákupu těchto služeb u odborných firem? **
Možné je obojí. Jdete-li cestou auditů v duchu norem ISO/IEC 27000, ISO/IEC 27001 (BS 7799–2) a ISO/IEC 27002 aj., je nutné tyto audity svěřit nezávislé certifikační autoritě, která stojí mimo vaši společnost. Avšak představa, že vám někdo z vnějšího zdroje vypracuje úplný koncept bezpečnosti, není reálná. Pro jeho realizaci potřebujete danou společnost poznat, procítit, vnímat ji, poznat její lidi, mluvit s nimi. Musíte znát aktiva firmy, lidi, kteří je spravují, a často jim vůbec vysvětlit, jaká aktiva spravují a proč. Musíte naprogramovat kontext firmy, zjistit, jak se sama dívá na vlastní know-how, na své klienty, na třetí strany, zda má podepsané smlouvy o mlčenlivosti (NDA). To všechno se těžko zajišťuje jen outsourcingem. Může to být půl na půl, ale představa, že do určité firmy přijde těleso pěti lidí zvenku, tři měsíce se bude ve věcech vrtat a pak něco navrhne, je mylná.

Čili mluvíme o kombinaci obou přístupů s tím, že řízení projektu bezpečnosti, ochrany, bude držet pevně v rukou daná firma.
Samozřejmě, ale velice důležité je, aby příslušný bezpečnostní orgán ve firmě všechny přesvědčil, že ochrana a bezpečnost firmy nejsou jen záležitostí bezpečnostního úseku, ale všech. Musíte do této hry vtáhnout veškerý management na všech úrovních. Pokud v organizačním řádu společnosti nebude mít každý vedoucí manager od generálního ředitele po vedoucího nejmenší skupiny v povinnostech zakotven úkol týkající se zajištění a kontroly bezpečnosti a nebude se jí věnovat, nemůžeme se spoléhat, že samotný bezpečnostní úsek firmy tento úkol zvládne. Bezpečnostní úsek je podle mého soudu jakýsi generální štáb. Stanovuje pravidla, jak se co má dělat, vydává zásady pro administrativní, fyzickou či objektovou a IT bezpečnost. Tato pravidla ale musejí prosazovat všichni.

Jak je to s nutnou firemní dokumentací?
Každá společnost by měla mít zpracovanou určitou množinu dokumentace, podle které se řídí. Od bezpečnostní politiky až po politiku personální a administrativní. Patří k ní i veškeré prováděcí směrnice, které nastavují jediná, jednotná a jasná pravidla pro všechny sféry činnosti. Zatímco v bezpečnostní politice jde o deklarativní dokument, v němž prohlašujete, co chcete, ve všech ostatních oblastech říkáte, jak toho dosáhnout. Musí z nich být jasné, co se bude dít s každým vydaným dokumentem, a nikoliv že bude takzvaně spotřebován přečtením a odhozen na stůl. To jsem také zažil. Firmy, které nemají jasná pravidla, postupují často jen zvykově. Ale jen do chvíle, než nastane nějaký malér. Potom už není jasné ani to, jak ho posoudit.

Zkvalitnilo se v posledních letech personální vybavení společností?
Velký problém trhu práce spočívá v tom, že nutně potřebujete kvalitní informace o lidech, kteří se ucházejí o místa, ale svazuje vás spousta zákonných omezení. V soukromé firmě můžete těžko po někom důrazně vyžadovat např. lustrační osvědčení. Skutečnost, že vám lovci mozků čili nějaká headhunterská firma někoho přinese doslova na talíři, by měla garantovat, že onen člověk je po stránce bezpečnosti v pořádku. Ale co vám je tento předpoklad platný, když pak člověk v pořádku není. Problémy trhu práce jsou podstatně složitější, uvědomíme-li si fakt, že je u nás 500 000 nezaměs­tnaných a zároveň 180 000 pracovních míst, o která se nikdo nehlásí. Často proto vidím, jak vysoká je v některých firmách fluktuace. Všude potřebujete spolehlivé lidi, ať jde o řidiče kuka vozu, nebo číšníka, ale velké možnosti, jak si je předem prověřit, v zásadě nemáte. Státní instituce tuto šanci podle zákona č. 412 /2005 Sb. (o ochraně utajovaných informací a o bezpečnostní způsobilosti) pochopitelně mají. Pro chod státu jsou ale také velice důležité soukromé společnosti. Jmenujme namátkou E.ON, ČEZ aj. Tyto společnosti mají různé vlastníky, některé jsou mezinárodní, a zcela jistě potřebují vysoce kvalitní personální obsazení. Do jaké míry jsou firmy zabývající se vyhledáváním vhodných lidí neboli lidskými zdroji, čili HR – human resources, schopny vždy zaručit, že dodávají kvalitu, nevím. Ruku do ohně bych za ně nedal.

Přenesme se z firemní sféry zpět do veřejného prostoru. Myslíte, že se v situaci zvýšeného ohrožení mění psychologie jedince, že lidé začali více přemýšlet o nebezpečí a rizikových situacích?
Naše veřejnost je sice vystrašená z migrace, obává se terorismu, ale zase ne příliš. U nás přece jen není míra obecné kriminality a dalších hrozeb tak vysoká, aniž bych chtěl věci jakkoli zlehčovat. Musím však při této příležitosti zopakovat, že považuji za zásadní chybu zrušení civilní obrany bez adekvátní náhrady tohoto systému. Stát rezignoval na edukaci občanů, vzdal se jí. Rozmělnit ale ochranu obyvatelstva na bázi jednotlivců přece nemůžeme! To je nesmysl. V Praze máme ochranný systém metra, ale nikdo neví, kam by v případě ohrožení šel, nic není připraveno tak, aby lidé byli o těchto věcech předem dobře informovaní. Ve školách se děti o civilní ochraně nic pořádného nenaučí. Ochrana z hlediska jednotlivce je sice důležitá, ale musí být zajištěna odborně a realizována přitažlivě a přijatelně. Za minulého režimu nebyla civilní obrana atraktivní, ale v principu to byla dobrá věc. Hasičský záchranný sbor, který nad těmito věcmi nyní do značné míry přijal patronát, má jeden velký problém – není schopen tyto věci zvládnout početně. Někdy mám pocit, že vytěsňuje dobře míněnou aktivitou pocit politické, trestně právní odpovědnosti politiků za ochranu občanů a státu. Protože marná sláva, stát si neplatíme z daní proto, aby primárně stavěl mateřské školky, ale aby na prvním místě zajistil bezpečnost občanů a majetku. Myslím si, že v tomto ohledu není odezva státu zcela adekvátní, a považuji to za základní problém bezpečnosti. Měli bychom lidem říkat pravdu, aniž bychom je strašili, a není možné zneužívat tyto věci pro politikaření. Bezpečnost je apolitická věc, bez ohledu na politické směry doleva nebo doprava, bezpečnost občana, jeho zdraví a majetku musí být nedělitelná.
Otakar Gembala / Foto: autor

Sledujte nás

Copyright © 2018 WPremium event, s.r.o. Všechna práva vyhrazena.