Firmu mohou kybernetické útoky ochromit i na několik týdnů – stačí jediný klik na kompromitovaný e-mail. „Phishing stále startuje zhruba 90 % incidentů, a pokud firma nemá nastavené procesy a proškolené lidi, jeden neopatrný krok může spustit velký problém,“ upozorňuje Zuzana Kubíková v rozhovoru, který vznikl ve spolupráci s projektem #FinŽeny. Nebezpečí ale není jen v lidské chybě – nezáplatované systémy, slabé zabezpečení koncových stanic či nedostatečná správa identit výrazně zvyšují riziko kompromitace sítě a ztráty dat. Ransomware, útoky na dodavatelské řetězce a sofistikované phishingové kampaně dnes cílí i na menší podniky, přičemž škody globálně vzrostly ze 3 na 10 bilionu dolarů. „Audit zvenčí je klíčový. Kontroluje systémy, přístupy i workflow a umožňuje firmě cíleně investovat do prevence,“ říká vedoucí konzultantka v mezinárodní poradenské společnosti RSM. Efektivní ochrana vyžaduje kombinaci technologií a školení lidí, přičemž pojištění je jen doplňkem. Novou výzvou je umělá inteligence, která mění pravidla hry a zvyšuje sofistikovanost útoků.
Měla byste na úvod po ruce nějaký burcující příklad z praxe, co může firmě způsobit kybernetický útok?
Phishing je stále takovou klasikou, kdy nejčastěji někdo z finančního oddělení obdrží tzv. kompromitovaný e-mail (Business Email Compromise) – nejčastěji jde o žádost o převod prostředků a podobně. A pokud firma nemá nastavené procesy a proškolení lidi, celková zranitelnost snadno vede k tomu, že někdo na e-mail reaguje a následuje řetězec, který lze jen těžko zastavit.
Jde jen o nepozornost zaměstnanců nebo i technickou stránku věci?
Zdaleka ne vždy jde jen o lidské pochybení. Zranitelnost je samozřejmě často také technická záležitost, kdy nejsou řádně záplatované systémy. Taková situace může vést ke kompromitaci sítě a ztrátě dat. Jeho původcem může být vícero, od zastaralé infrastruktury, k chybějícím procesům, nevyškoleným IT oddělením apod. O čem často čteme a firmy se toho právem bojí, jsou nakonec ransomware, při kterých útočníci zašifrují veškerá firemní data a zastaví provoz celé společnosti, dokud není zaplaceno výkupné. V některých případech jsou přitom firmy odstavené i několik týdnů a přichází o zakázky i reputaci. Navíc útočníci data dnes ve většině případů nejen zašifrují, ale také odcizí a zveřejní na darkwebu.
Digitalizace je v posledních letech v byznysu silným trendem. Jak se vyvíjí množství a nebezpečnost kybernetických útoků?
S rostoucí digitalizací světa roste i objem kybernetických útoků, byť už ne tak prudce. Když analyzujeme data, došlo k rapidnímu zvýšení počtu útoků na počátku tohoto desetiletí. Po roce 2023 už ale počty rostou spíše pomalu a mění se především forma. Nejde jen o to, že útoků je více, ale jsou sofistikovanější a cílenější. Zatímco dříve šlo hlavně o masové viry, dnes útočníci míří konkrétně na firmy, jejich manažery nebo dodavatelské řetězce.
Jaké jsou dopady těchto sofistikovaných útoků na firmy?
Výsledkem jsou reálné finanční ztráty, úniky citlivých dat a často i paralyzovaný provoz. Za posledních deset let měly škody způsobené kyberkriminalitou vzrůst ze 3 bilionů dolarů na 10 bilionů. Dá se přitom říct, že každá firma, která digitalizuje, se stává potenciálním cílem – otázkou není jestli, ale kdy. My samozřejmě obhajujeme digitalizaci, ale je potřeba myslet i na B, a to je, jak své prostředí ochránit.
Které typy útoků jsou dnes nejčastější? Mění se to výrazně v čase?
Bude to velmi neoriginální, ale nelze nezačít phishingem kterým startuje asi 90 % kybernetických incidentů. Pokud firma nemá nastavené procesy a dostatečně proškolené lidi, stačí jeden neopatrný klik a problém je na světě. V poslední době přitom nejde tolik o škodlivé přílohy, ale čtyřikrát častěji o falešné URL odkazy. Objevují se také nové formy, jako je QR-phishing neboli „quishing“, či SMS-phishing, tzv. „smishing“. S rozvojem umělé inteligence se pak stále častěji setkáváme i s deepfake scénáři nebo vysoce personalizovanými phishingovými zprávami, které běžný uživatel obtížně rozezná.
Jaké další hrozby dnes firmy ohrožují kromě phishingu?
Zásadním trendem je ransomware, který roste, co do objemu útoků i jejich dopadu. I v tomto tématu se ale trendy mění – výběrem cílových segmentů, kterými se stále častěji stávají malé a střední podniky. Dále rostou i další datové úniky a breaches, kde hlavní příčinou zůstává lidská chyba, podobně pak i supply chain útoky – běžní uživatelé to nepocítí, jde o cílení na dodavatele a třetí strany. Útočníci kompromitují softwarové nebo hardwarové komponenty, aby zasáhli celý dodavatelský řetězec.
Naopak pokles popularity, pokud se to tak dá nazvat, zažívají DDos a DoS útoky. Ty jsou už starým typem, přesto se stále využívají. Zejména k paralyzování služeb nebo jako rozptylovací manévr před jiným útokem.
Naučily se už firmy být dostatečně proaktivní a myslet na zabezpečení včas, nebo stále spíše reagují, až když se něco neblahého stane?
Těch proaktivních je bohužel stále jen zlomek. Investice do prevence jsou sice mnohem levnější než řešení následků útoku, ale v praxi se stále setkáváme s tím, že bezpečnost není prioritou, dokud skutečně nedojde k incidentu. Proaktivní přístup, kdy firma pravidelně testuje své systémy, aktivně vyhledává hrozby, školí zaměstnance a má nastavené krizové scénáře, je zatím spíš výjimkou než pravidlem.
Vy děláte i IT audity. Co podle nich firmy nejvíce zanedbávají a v čem jsou naopak poměrně svědomité?
Záleží na firmě a jako vždy, jsou dvě kategorie, pokud se firma bezpečnosti věnuje, má tím pádem implementovanou celou řadu opatření. A pak jsou tu ti druzí – firmy, které mají „díry“ skoro všude. Největší riziko spočívá obvykle v tom, v jakém stavu jsou koncové stanice, správa identit a jak pečují o své zranitelnosti.
Je dnes IT audit běžně žádanou a zavedenou službou?
Ano i ne. IT audity jsou žádanou službou zejména ve větších firmách a regulovaných odvětvích a poptávka po nich roste. Stále ale platí, že řada menších a středních podniků je vnímá spíš jako ‘něco navíc’, co se řeší až po problému. Počítáme ovšem s pozitivním trendem – s rostoucím počtem útoků a tlakem regulací se snad IT audit bude stávat standardní součástí řízení rizik. Bez pravidelné revize a servisu totiž skutečně nelze udržet bezpečnost firemní sítě a dat pod kontrolou.
Na co se auditor zaměřuje a proč je jeho role důležitá?
Pohled člověka zvenčí bývá skutečně zásadní. Auditor hodnotí prostředí IT, zejména spolehlivost a zabezpečení systémů, kontrolu přístupů a segregaci rolí. Sleduje také, zda jsou prováděny zálohy, aktualizace a řízení změn, aby byla zajištěna bezpečnost a integrita dat. Důležité je i prověření schvalovacích workflow a aplikovaných kontrol, které brání chybám či podvodům. Pokud IT kontroly fungují, auditor se na ně může spolehnout a provádět méně detailní testování. Pokud ale nefungují, musí zvýšit rozsah manuálních ověření.
Jak se vyvíjí náklady podnikatelů na adekvátní zajištění kybernetické bezpečnosti? Dá se to přiblížit v relaci k jiným specifickým druhům výdajů?
Firmy obvykle vyčleňují přibližně 10 % svého IT rozpočtu na kybernetickou bezpečnost. Tento podíl se liší podle odvětví – vyšší je například v technologickém sektoru, zdravotnictví nebo byznysových službách, kde dosahuje zhruba 13 %, zatímco u velkých firem se pohybuje kolem 6 až 7 %. Pro srovnání lze uvést, že personální výdaje tvoří zhruba čtvrtinu rozpočtu, software přibližně 29 % a hardware kolem 26 %. Externí služby pak představují 14 %, což ukazuje, že u kybernetické bezpečnosti jde stále o relativně menší část celkových nákladů na IT.
Čím je třeba se řídit, když chci být dobře chráněn, ale neutopit v kyberbezpečnosti enormní balík peněz?
Klíčem je začít od auditu a analýzy rizik, tzn. zjistit, kde jsou slabá místa, a podle toho investovat jen do toho, co je opravdu nutné. Často se jedná o vysoké částky, a tak určitě nechcete investovat bezhlavě. Je třeba se soustředit se na potřebné operace a dát rozumné prostředky do prevence než přijít o celou firmu kvůli jednomu útoku.
Dá se proti finančním dopadům kybernetických incidentů ještě nějak jinak pojistit?
Ano, proti finančním dopadům kyberincidentů se lze pojistit, ale pojišťovny to určitě nenabízí jen tak. Podmínkou bývá, že podnik již má implementovaná základní bezpečnostní opatření. Pojištění tedy může být dobrým doplňkem, ale nenahradí vlastní zabezpečení. V praxi ho využívají hlavně větší firmy a podniky z regulovaných oborů, zatímco menší podnikatelé o něm často ani nevědí.
Jak efektivně minimalizovat riziko lidské chyby, když jsou útoky cílené spíše na různé druhy sociální hackingu než na dešifrování kódů či hesel?
Trénink, trénink a technologická řešení, kterými se dá omezit lidská chyba. Základní obrana začíná už u e-mailu. Patří sem blokování podezřelých zpráv, jejich automatický přesun do spamu, filtrování příloh a kontrola odkazů, které do e-mailů chodí. Tím se dá zastavit velká část útoků dřív, než se vůbec dostanou k uživateli. Když k tomu firma přidá ještě školení zaměstnanců, jak takové e-maily poznat, a zároveň zvyšuje obecné bezpečnostní povědomí uživatelů, riziko výrazně klesá.
Velkým fenoménem se staly cloudové služby. Změnily nějak výrazně nároky na kyberbezpečnost vzhledem k tomu, že uživatelé už nemají svá data na serverech doma pod zámkem?
Cloudové služby přinesly obrovské výhody jako flexibilitu, dostupnost odkudkoli i menší potřebu vlastního hardwaru. Zároveň ale zásadně změnily nároky na kyberbezpečnost. Data už neleží „pod zámkem“ v serverovně firmy, ale v prostředí, které sdílí tisíce zákazníků. Odpovědnost za bezpečnost je dnes rozdělená – poskytovatel cloudu zajišťuje infrastrukturu, ale firma sama musí nastavit přístupová práva, šifrování, správu identit a kontrolu toho, kdo se k datům dostane. To, co dřív byla fyzická ochrana serveru, je dnes hlavně otázka správně nastavených procesů, přístupů a neustálého monitoringu.
Někdy se mluví o tom, že pravidla hry může zcela změnit umělá inteligence, proti níž bude řada současných zabezpečení bezbranná.
Umělá inteligence mění pravidla hry na obou stranách barikády již nějakou dobu. Útočníci ji využívají k vytváření mnohem sofistikovanějších útoků – od dokonale uvěřitelných phishingových e-mailů až po automatizované průniky, které testují zranitelnosti rychleji, než to zvládne člověk. AI se dá nasadit i na úrovni vstupu a výstupu systémů, takže dokáže obcházet klasické bezpečnostní kontroly. Naštěstí se ale umělá inteligence využívá i na straně obrany – moderní bezpečnostní systémy dokáží vyhodnocovat chování kódu a uživatelů a odhalovat hrozby, které by tradiční ochrana nikdy nezachytila.
•
