Jedním z velkých témat bude řízení rizik souvisejících s dodavatelským řetězcem v oblasti informačních technologií. Tak jako se automobilky během čipové krize musely naučit, jaké komponenty se nacházejí v čipech jejich dodavatelů a kdo je jejich skutečný výrobce, a mít zajištěnou náhradu dodavatele v případě výpadku dodávek od prvovýrobce, budou se firmy muset naučit něco podobného v případě softwaru, který používají. Z jedné strany k tomu bude část firem tlačit regulace, v Česku především nový zákon o kybernetické bezpečnosti, z druhé strany potom samotná taktika hackerských skupin, pro které je slabě zabezpečený dodavatelský řetězec stále atraktivnější cestou, jak se dostat i do hloubky jinak poměrně dobře zabezpečených firem.

„Celý aspekt má dvě hlavní roviny. Jednou z nich je zajištění firemního provozu v případě, že dojde k výpadku služeb či produktů klíčového dodavatele. Položte si otázky: ‚co budeme dělat, když náš dodavatel nějakých výrobních materiálů, nebo dodavatel cloudových a jiných IT služeb apod., bude zasažen ransomwarovým útokem, a několik týdnů nebude fungovat?‘ Druhým typem rizika je právě zranitelnost vaší vlastní sítě v důsledku kompromitace IT dodavatelské firmy, jejich softwaru který používáte, nebo jejich pracovníků, kteří mají k vašim systémům přístup. Položte si otázky: ‚jak dobře si naši dodavatelé prověřují nové zaměstnance, aby se k nim nedostal nějaký cizí „špion“ či hacker‘ a ‚jak dobře si naši dodavatelé prověřují použité cizí softwarové komponenty?‘ A nezapomeňte i na to, že spousta softwaru, který u vás používáte, může být „poskládaný“ z různých komponent mnoha dalších třetích stran, nebo z open-source komponent (viz poznámka na téma SCA, níže v aplikačních rizicích). V obou oblastech jde o velmi náročné disciplíny, ve kterých bohužel pravděpodobně uvidíme celou řadu významných selhání,“ říká Ivan Svoboda ze společnosti ANECT.

Hackeři se zaměří na krádeže přístupových oprávnění

Jedním z velkých témat dalších let bude zneužití přístupových oprávnění a ochrana identit. Řada z velkých a medializovaných útoků, které se v uplynulém roce odehrály ,měla základy právě v kompromitaci účtů s širokým oprávněním. Podle zprávy společnosti IBM se už v roce 2023 stalo zneužití platných oprávnění hlavním vektorem útoků, přičemž počet těchto útoků roste o desítky procent ročně. „Spolu s tím, jak se firemní provoz stále více přesouvá do cloudového prostředí a jak roste využívání cloudových aplikací, bude k těmto útokům docházet stále častěji. Firmy mají už dnes ve správě identit a privilegovaných přístupů často značné mezery a nelze předpokládat, že by se situace zlepšovala. Firmy by se proto měly snažit o to, aby nad touto oblastí získaly maximální vizibilitu a kontrolu. Například bude vhodné mnohem častěji (periodicky) provádět hloubkové bezpečnostní audity všech identit a jejich přístupových práv,“ říká Ivan Svoboda.

Kritickou se stane především ochrana před zneužitím privilegovaných oprávnění. Společnosti by také neměly polevovat ve snaze dlouhodobě vzdělávat své zaměstnance a udržovat jejich povědomí o bezpečnostních hrozbách a strategiích útočníků.

Válka umělých inteligencí

„Většina trendů, které můžeme v oblasti kybernetických hrozeb a ochrany před těmito hrozbami v příštích letech čekat, je tu s námi už nějakou dobu. Půjde pouze o to, že budou hrát z různých důvodů větší roli než dnes. V oblasti umělé inteligence je ale vývoj tak rychlý, že očekáváme zcela nové typy hrozeb,“ říká Petr Mojžíš ze společnosti ANECT.

Již nyní je viditelný nárůst v kvalitě jakýchkoli falsifikací cílících na uživatele, kde nejen jazykové modely útočníkům značně pomáhají (phishing, vishing, atp.). Otazníkem budoucnosti je příchod AI agentů, tedy programů umělé inteligence, které dokážou autonomně ovládat jednotlivé počítače. Můžeme očekávat, že brzy poté, co se tito agenti objeví, dojde také k jejich zneužití. Hrozbou se stanou především spolupracující roje těchto agentů (MAS neboli multiagentní systémy) v nichž každý agent plní specifickou úlohu. Jejich nástup bude znamenat rozvoj nových vektorů útoků a zneužívaných zranitelností. Podle predikcí společnosti Gartner bude v roce 2028 čtvrtina všech útoků využívat právě AI agenty. Uvidíme, zda první takové případy můžeme čekat už v příštím roce.

Na druhé straně budou nástroje umělé inteligence využívat také obránci, nejen ve specializovaných bezpečnostních dohledových centrech (SOC). Bezpečnostní řešení, nebo kopiloti využívající umělou inteligenci už jsou zabudovaní v některých dnešních pokročilých bezpečnostních nástrojích, jež slouží bezpečnostním rolím napříč spektrem (od governance, přes DevSecOps, po infrastrukturu) a v příštím roce jejich role a vliv výrazně poroste. „I na straně obránců lze očekávat kreativní velmi využití AI. Již dnes např. existuje nástroj, kterým je mohou obránci narušit (hacknout) modely umělé inteligence využívané útočníky tak, aby se jejich útoku dokázali efektivně bránit.“ říká Petr Mojžíš.

SCA a DevSecOps se stanou normou

Spolu s nárůstem možností a síly, kterou budou mít útočníci k dispozici, bude potřeba zvýšeného důrazu na bezpečnost aplikací, a to už při jejich tvorbě. Jedním z hlavních témat se tak stane DevSecOps a Software Composition Analysis (SCA).

Téma DevSecOps bude posilovat ze dvou důvodů: z jedné strany požadavky byznysu na stále rychlejší a rychlejší (agilní) vývoj nových verzí aplikací, a z druhé strany větší úsilí útočníků zaměřené právě na chyby v této oblasti. Kontinuální revize kódu a automatizované testy aplikací na výskyt možných zranitelností v reálném čase se postupně v řadě firem stanou běžnou praxí. Stejně tak automatizované „záplatování“ nalezených zranitelností.

SCA, neboli Software Composition Analysis, bude nezbytností, vzledem k modulární tvorbě aplikací; již dnes je více než polovina aplikací tvořena nějakými komponentami typu open-source. Vzpomeňte si na problémy spojené např. s knihovnami Log4J, a jak složité bylo najít, ve kterých aplikacích u vás interně se tyto knihovny vlastně využívají. Mimochodem, dodnes je velká část neopravená. Podobný typ problémů se bude vyskytovat stále častěji, útoky zaměřené na open-source komponenty narostly za poslední rok o více než 600 %.

„Integrace nástrojů využívajících umělou inteligenci do vývojového cyklu umožní na jedné straně zrychlení vývoje samotných aplikací, na druhé straně umožní jejich lepší zabezpečení proti budoucím útokům,“ říká Ivan Svoboda.

Ochrana dat a firemních nástrojů generativní umělé inteligence

Přestože generativní umělá inteligence je zde s námi už dva roky, rozvoj reálných případů jejího využití je méně, než se ještě před rokem předpokládalo. Počet firem, které využívají nějaký nástroj postavený na této technologii ale rychle poroste a s tím poroste jak potřeba zabezpečení samotných nástrojů, tak dat, která využívají. Krádeže dat, na kterých jsou jednotlivé firemní modely vycvičené, případně únik citlivých informací v důsledku nesprávného využívání nevhodných nástrojů, jsou už dnes na denním pořádku a jejich počet nadále poroste. Ještě větším rizikem je pak narušení integrity privátních modelů. Může mít vysoké dopady a je velmi těžko detekovatelné. „Firmy už si po počátečním nadšení uvědomily, že k využívání těchto nástrojů je potřeba také jejich pochopení a zabezpečení. Dosažení tohoto cíle bude proto dalším z důležitých témat dalších let,“ upozorňuje Petr Mojžíš.

Vybrané trendy nejsou zdaleka jediné, o kterých se pravděpodobně bude mluvit, ale jde o ty nejvýznamnější či nejzajímavější. Dvěma základními aspekty, které za nimi stojí, jsou další rozvoj nástrojů generativní umělé inteligence a pokračující přechod ke cloudovým službám. Jedním z témat tak bude i samotná ochrana těchto služeb a dat v nich spravovaných. Všechny popsané aspekty přitom ve svém důsledku povedou ještě k zesílení dalšího trendu, který můžeme pozorovat už dnes.

Rozdíly v zabezpečení firem výrazně vzrostou

Jedním z důsledků výše popsaných změn bude další zvyšování rozdílů mezi zabezpečením firem, pro které je kybernetická odolnost přirozenou součástí jejich filozofie, a firmami, které toto téma řeší pouze okrajově nebo vůbec. V důsledku pokračujícího dynamického vývoje a zvyšující se komplexity celé problematiky se budou také zvyšovat rozdíly mezi velkými a malými firmami, které si nebudou moci dovolit vlastní bezpečnostní týmy. Ačkoli budou moci řadu řešení a služeb pořídit jako službu, budou i tak potřebovat kvalifikované zaměstnance, kteří budou schopni tyto nástroje ovládat nebo být zkušenými partnery a zadavateli pro dodavatele bezpečnostních služeb. Firmy se tak budou muset vydat cestou kombinace maximální automatizace a snahy zvyšovat kompetence vlastních zaměstnanců.