Kybernetická kriminalita je v posledních letech stále složitější, protože pachatelé jsou sofistikovanější a více diverzifikovaní. Je to do značné míry způsobeno profesionalizací kyberkriminality, ke které dochází díky tomu, že „profesionální“ poskytovatelé služeb prodávají nebo půjčují malware a nástroje pro šifrování dat dalším pachatelům. Výměnou za podíly na ziscích zpřístupňují kybernetickou kriminalitu širší skupině útočníků, snižují úroveň dovedností potřebných k nasazení útoků a usnadňují provádění útoků ve velkém měřítku.

Poslední průzkum Sophosu The State of Ransomware uvedl, že plných 46 % organizací, jejichž data byla při ransomwarovém útoku zašifrována, zaplatilo výkupné, přičemž průměrné zaplacené výkupné vzrostlo oproti roku 2021 téměř pětinásobně na 812 360 dolarů. Podle nejnovějšího průzkumu Sophosu pak nestojí kybernetické bezpečnosti v cestě jen peníze, ale překážku představují i zaměstnanci. Čtvrtina českých manažerů poukazuje na nedostatečnou informovanost zaměstnanců a problémy spojené se zvýšenými nároky na práci na dálku. V každé šesté české společnosti (16 %) je překážkou k zajištění kybernetické bezpečnosti i neochota zaměstnanců zavádět ochranná opatření, a to zejména v subjektech s více než 100 zaměstnanci (22 %). Cestou k zajištění nepřetržité a dynamické bezpečnosti jsou pak profesionální služby MDR (Managed Detection and Response).

Co patří mezi nejčastější příčiny, že se organizace stanou obětí kybernetického útoku, kterému podlehnou? Jde o často zmiňovaný lidský faktor, zanedbané aktualizace, nebo prostě mezery v zabezpečení? Kde mívají organizace slabá místa, na jejichž zabezpečení nejčastěji zapomínají? Jde o zabezpečení koncových bodů, vzdálený přístup, nebo něco jiného?

Mezi nejčastější vektory útoků i nadále patří nedostatečně zabezpečené exponované služby, nezáplatované systémy a aplikace, a samozřejmě útoky na uživatele. Zprostředkovatelé počátečního přístupu (Initials Access Brokers, IAB) a jejich méně precizní příbuzní velkoobchodní trhy s přístupy (Wholesale Access Markets, WAM) si ze zneužívání slabé infrastruktury, respektive starých průniků, udělali samostatný obor. Uživatelé jsou mezitím pod neustálým náporem spamu a pokusů o phishing, které přicházejí ze všech koutů kyberzločineckého prostředí.

Setkal jsem se s tvrzením, že zajištění kybernetické bezpeč­nosti není stav, ale proces. Souhlasíte s takovou charakteristi­kou? Jak byste ji případně našim čtenářům vysvětlil?

Mnoho organizací investuje rozpočet a zdroje, které mají k dispozici, do reaktivních přístupů namísto proaktivní obrany řízené lidmi. Nástroje, jako je zálohování a kybernetické pojištění, jsou sice užitečné při obnově po útocích, ale nijak nezabraňují tomu, aby k těmto útokům vůbec došlo. A bez technologií a odborných znalostí, které by umožnily označit a odstranit neopravené zranitelnosti a další vstupní body pro útok, budou protivníci i nadále útočit na organizace pomocí stále více vzájemně se podporujících a specializovaných útočných strategií.

Je podle vás povědomí o kybernetické bezpečnosti v českých firmách a organizacích dostatečné ze strany manažerů i zaměstnanců?

Můžeme říct, že je dostačující. Čeští manažeři nemají nouzi o informace například z médií nebo bezpečnostních konferencí. Ale přestože je kybernetická bezpečnost možná aktuálním tématem, mnozí se jí nezabývají natolik, aby jednali, a přijímají riziko v naději, že se nestanou obětí. A to je nepochopitelné, protože aktuální průzkum Sophosu zjistil, že například v případě malých českých firem se s phishingem v loňském roce setkala více než polovina (57 %) manažerů, zatímco ve středních firmách to bylo 67 % a ve velkých organizacích 64 %.

Podle našeho průzkumu si 47 % manažerů myslí, že firmy jsou vystaveny většímu riziku, ale 43 % považuje útok za nepravděpodobný. Tento rozpor naznačuje určitý nesoulad mezi riziky, která kybernetické útoky představují, a skutečností kybernetické kriminality. Musíme si ale uvědomit, že významnou roli zde může hrát i nedostatek finančních prostředků.

Často zmiňovaným problémem je dnes nedostatek IT specia­li­s­tů, což se jistě projevuje i v oblasti kyberbezpečnosti. Exis­tu­jí nástroje nebo služby, které mohou pomoci tento problém alespoň částečně zmírnit, ať už zvýšením produktivity IT specialistů, případně i jejich nahrazením externími službami?

Stále náročnější prostředí hrozeb ovlivňuje organizace všech velikostí, nejen velké podniky, které jsou často zmiňovány. Dokazuje to i aktuální průzkum Sophosu, který zjistil, že šest z deseti IT profesionálů pracujících v malých a středně velkých organizacích se 100–5 000 zaměstnanci zaznamenalo v posledním roce nárůst složitosti útoků. Zároveň 57 % z nich zaznamenalo nárůst objemu útoků, protože protivníci při svých útocích využívají modely malwaru jako služby, umělou inteligenci a automatizaci. Téměř dvě třetiny z nich pak byly v loňském roce napadeny ransomwarem. Cestou ke klidu a získání jistoty z účinného zabezpečení při vybalancování zdrojů, a to nejenom těch lidských, jsou zmíněné služby MDR. Plně řízená a lidmi vedená služba detekce a reakce na hrozby poskytuje kapacitu týmů odborně vyškolených inženýrů, kteří aktivně vyhledávají a bojují proti všem typům sofistikovaných a cílených kybernetických útoků.

V poslední době se hodně mluví o nových rizicích v oblasti kybernetické bezpečnosti, které představuje tzv. generativní AI, především populární nástroje od Open AI. Jak tuto hrozbu hodnotíte vy? Ono ve skutečnosti nejde o tak novou hrozbu, že? Pokud vím, patří AI nástroje do arzenálu kyberzločinců už delší dobu.

Útočníci v současné době umělou inteligenci příliš nevyužívají, protože stávající metody zatím fungují dobře. Jedním z hlavních vývojových trendů je dostupnost rozsáhlých vizuálních (obraz a video) a jazykových (textových) modelů pro širší veřejnost. Pokud víme, v kyberkriminalitě to zatím není výrazné, ale můžeme zde brzy očekávat nárůst nejprve v podobě kompromitací firemních e-mailů a velrybářských útoků, poté se řetězec přesune k širší distribuci. Útoky budou pravděpodobně pocházet z realistických deepfakes, kdy je existující osobnost kompletně podvržena na všech úrovních (video, hlas, text) a falešný sociální/webový obsah je kompletně vygenerovaný, ale konzistentní. Například zdánlivě různorodé falešné skupiny či profily na sociálních sítích se časem stanou interaktivnějšími tím, že vedou s oběťmi zčásti souvislé konverzace pomocí falešného hlasu a videa.

V mnoha firmách teď mají IT manažeři těžkou hlavu z nové evropské směrnice o kybernetické bezpečnosti NIS 2. Myslíte, že jsou jejich obavy oprávněné a přísné požadavky NIS 2 bude složité implementovat, nebo jde jen o výběr vhodných nástrojů a nastavení procesů?

Vzhledem ke stále rostoucímu počtu hrozeb by společnosti již měly mít vytvořenou účinnou a moderní strategii bezpečnosti IT nezávisle na této nové iniciativě EU. Existuje mnoho lokálních politik kybernetické bezpečnosti a v podstatě by nová NIS 2.0 neměla pro podniky představovat příliš velký problém. Největším rozdílem oproti předchozím aktivitám je mnohem širší cílová skupina, na kterou se chystaný nový zákon zaměřuje. Zahrnuty jsou malé a střední podniky s více než 50 zaměstnanci a také mnoho dalších odvětví. Nové zásady však nejsou žádnou raketovou vědou, a jak již bylo zmíněno, měly by být zavedeny už nyní pro zajištění spolehlivého systému kybernetické bezpečnosti.

Kybernetická rizika jsou sice pro vedoucí pracovníky podniků problé­mem, ale s preventivními opatřeními mohou být omezena. Vzhledem k tomu, že IT týmy se v současné době potýkají s příliš velkým množstvím výstrah a malým počtem bezpečnostních analytiků, nedostatečnými rozpočty na bezpečnost a stále složitějšími útoky, obrací se řada organizací v zájmu ochrany na řešení kybernetické bezpečnosti jako služby, jako jsou například služby MDR. Domnívám se, že to je také nejefektivnější přístup, jak se vypořádat s novými politikami, jako je NIS 2.0. Služba MDR, kterou poskytují odborníci na kybernetickou bezpečnost, využívá přístup „aktivního monitorování“, upozorňuje na útok a radí, jaké kroky jsou nezbytné ke zmírnění hrozby. To zaručuje flexibilní kybernetickou ochranu, která se může snadno adaptovat na nové hrozby.