Ještě v polovině minulé dekády operovala většina bezpečnostních profesionálů s předpokladem, že šifrované přenosy souborů pomocí RSA a AES jsou ze své podstaty bezpečné vůči všem známým vektorům útoku. Tato domněnka dnes již neplatí.

Útočníci nasazují AI-driven malware, behaviorální mimikry a automatizované útoky na přihlašovací údaje. Zároveň státní aktéři již dnes cíleně sbírají šifrovaná data s tím, že je dešifrují, jakmile kvantové výpočty dosáhnou potřebné zralosti – strategie označovaná jako „harvest now, decrypt later". Americká NSA i britské NCSC vydaly veřejná varování právě před takovými kampaněmi.

Kryptografie z 90. let – algoritmy RSA (1977) a ECC (standardizovaný na přelomu tisíciletí) – je přímo ohrožena Shorovým kvantovým algoritmem. Metody autentizace opírající se o statické přihlašovací údaje lze obejít pomocí AI-driven credential stuffingu. A modely perimetrické bezpečnosti, navržené pro centralizované sítě, nenabízejí žádnou smysluplnou ochranu v multi-cloudových a vzdálených prostředích.

 

„Organizace si stále příliš často myslí, že šifrovaný přenos rovná se bezpečný přenos. Realita je taková, že data, která přenášíte dnes, mohou být za deset let dešifrována. Je nutné začít uvažovat o kryptografické odolnosti jako o dlouhodobém strategickém záměru, ne jako o technickém detailu,“ říká Marek Kocan, manažer pro kybernetickou bezpečnost ve společnosti ComSource, která je jako Partner roku OPSWAT jedním z nejzkušenějších implementátorů tohoto bezpečnostního ekosystému v České republice.

Umělá inteligence znamená revoluci v detekci hrozeb v prostředích MFT (Managed File Transfer) tím, že poskytuje hlubší viditelnost, rychlejší reakci a výrazně přesnější odhalení sofistikovaných útoků. Tam kde tradiční nástroje spoléhají na statické signatury, AI analyzuje chování, strukturu obsahu a vzorce napříč prostředími.

AI-driven detekce dnes zahrnuje tři základní kategorie. Strojové učení (ML) detekuje odchylky od normálního chování při přenosech – neobvyklé velikosti souborů, časy přenosu nebo cílové adresy. Behaviorální analytika monitoruje chování uživatelů a systémů v čase a dokáže odhalit insider threats nebo kompromitované účty. Modely hlubokého učení (Deep Learning) pak identifikují komplexní vzorce malwaru skryté v dokumentech, archivech nebo šifrovaných payloadech, včetně těch navržených tak, aby se vyhnuly antivirovým enginům. Podle studie SANS Institute z roku 2024 zvýšily AI-driven systémy přesnost detekce o 43 % při analýze neznámých nebo polymorfních hrozeb.

Integrace AI do MFT platforem by měla pokrývat celý životní cyklus přenosu: pre-transfer skenování s ML-based threat scoringem, real-time behaviorální monitoring propojený se SIEM/SOAR, post-transfer validaci pro odhalení latentních hrozeb a automatizaci bezpečnostních politik reagujících na rizikové signály v hybridních a multi-cloudových prostředích.

Kvantové výpočty představují největší kryptografickou disrupci od zavedení asymetrické kryptografie. Přestože jsou plně schopné kvantové systémy stále ještě vzdálené, okno pro přípravu se rychle zavírá.

Jakmile kvantové počítače dosáhnou přibližně 4 000 stabilních logických qubitů – prahu, který odborníci z IBM, Google a NIST odhadují na 10 až 15 let – budou schopni prolomit 2048bitové RSA a 256bitové ECC šifrování. Přitom právě tyto algoritmy dnes chrání většinu podnikových přenosů souborů. NIST, Global Risk Institute a přední výzkumníci shodně varují: harvest-now útoky probíhají již dnes; adopce PQC standardů vládami přijde za 2–5 let; v horizontu 5–10 let pak mohou kvantové počítače dosáhnout síly potřebné k prolomení běžného RSA šifrování. Šifrované soubory přenesené pomocí RSA, ECC nebo TLS proto čelí riziku zpětné dešifrace – zejména v případě zdravotních záznamů, finančních dokumentů nebo vládní komunikace.

 

„Harvest-now, decrypt-later není teorie – je to popsaná taktika státem sponzorovaných skupin, na kterou veřejně upozorňují NSA i NCSC. Pro CISO to znamená jedinou věc: zmapovat, kde organizace závisí na zranitelném šifrování, a spustit plán migrace. Čím déle se čeká, tím více citlivých dat je v ohrožení,“ upozorňuje Marek Kocan z ComSource.

 

Odpovědí na kvantovou hrozbu jsou post-kvantové kryptografické algoritmy (PQC) a technologie QKD (Quantum Key Distribution). NIST standardizoval čtyři přední algoritmy: CRYSTALS-Kyber pro ustavení klíčů, CRYSTALS-Dilithium a Falcon pro digitální podpisy a SPHINCS+ pro hash-based signatury. Všechny jsou navrženy tak, aby odolávaly kvantovým útokům při zachování výkonnosti vhodné pro podnikové workloady. ETSI souběžně standardizuje QKD – metodu využívající zákonů kvantové fyziky k výměně šifrovacích klíčů s detekcí odposlechu v reálném čase.

QKD nabízí teoreticky dokonalou bezpečnost, vyžaduje však specializovaný hardware a optická vlákna. PQC je naopak provozovatelná na stávající infrastruktuře a stane se dominantní cestou pro enterprise MFT – obě metody přitom mohou v prostředích s nejvyššími požadavky koexistovat. Strategický časový rámec zahrnuje bezodkladné zahájení inventarizace, migraci nejrizikovějších systémů v horizontu 1–3 let, plošné nasazení PQC do 3–5 let a integraci QKD pro vysoce citlivá prostředí ve výhledu 5–10 let.

Zero Trust je jedinou bezpečnostní architekturou dostatečně flexibilní a robustní, aby obstála tváří v tvář AI-driven útokům i kvantovým hrozbám. Eliminuje implicitní důvěru a ověřuje každý přístupový požadavek bez ohledu na jeho původ – čímž zajišťuje, že i při kompromitaci šifrování nebo přihlašovacích údajů nemohou útočníci volně pohybovat nebo exfiltrovat data.

Moderní Zero Trust modely pro MFT zahrnují kontinuální hodnocení rizik informované AI, evaluaci identity a zařízení v reálném čase, šifrovací agilitu pro podporu post-kvantových protokolů, mikrosegmentaci přenosových prostředí a inspekci na úrovni souboru k ověření integrity. Praktická implementace probíhá ve fázích: zmapování přenosových aktiv, uživatelů a partnerů; zavedení přístupu s nejnižšími oprávněními; kontinuální ověřování na základě identity a souborových signálů; segmentace prostředí pro omezení laterálního pohybu; integrace pokročilé prevence hrozeb zahrnující AI inspekci a CDR technologii. Zero Trust zároveň posiluje compliance – zajišťuje auditní záznamy a plný soulad s GDPR, HIPAA, PCI DSS nebo SOX.

OPSWAT doporučuje přistoupit k přechodu na kvantově odolnou MFT architekturu strukturovaně. Nejprve je třeba vyhodnotit šifrovací závislosti a míru kvantové expozice – identifikovat zejména workflow spoléhající na RSA/ECC a data s dlouhou dobou uchování. Druhý krok zahrnuje prioritizaci nejvíce rizikových přenosových workflow a hodnocení připravenosti partnerského ekosystému.

Třetím a klíčovým krokem je výběr MFT platforem podporujících kryptografickou agilitu. Platforma MetaDefender Managed File Transfer od OPSWAT zajišťuje bezpečný přenos souborů napříč multi-cloudovými architekturami s integrovanou AI detekcí a Zero Trust kontrolami. Technologie CDR (Content Disarm and Reconstruction) přitom v reálném čase analyzuje a rekonstruuje více než 180 typů souborů a neutralizuje hrozby skryté v přílohách nebo sdílených dokumentech. Čtvrtý krok zahrnuje pilotní testování PQC v méně rizikových prostředích, pátý plné nasazení napříč organizací a šestý průběžnou validaci a sledování vývoje standardů.

 

„Firmy se mě ptají, kde začít. Odpověď je jednoduchá: udělat si inventuru. Vědět, jaká data přenášíme, jak jsou šifrována a jak dlouho musí zůstat důvěrná. Z toho se odvíjí celý plán. V ComSource jsme jako Partner roku OPSWAT připraveni zákazníkům tímto procesem projít – od prvního hodnocení až po finální implementaci na míru,“ uzavírá Marek Kocan z ComSource.