Kyberzločin už dávno není doménou osamělých hackerů. Z temných sklepů se přesunul do profesionálních struktur, které fungují jako firmy. Útoky se dnes dají objednat na dálku, podobně jako cloudové služby, a umělá inteligence dokáže napodobit hlas, jazyk i gesta vašeho nadřízeného.
Odborník na kyberbezpečnost, Jan Pich ze společnosti EY, v novém dílu Eurocastu popisuje, jak se z kyberzločinu stal miliardový byznys, proč nová evropská legislativa přenáší odpovědnost přímo na manažery a vysvětluje, proč i v digitálním světě nakonec stejně záleží hlavně na člověku.
Mnoho z nás si pořád představuje hackera jako osamělého geeka ve stylu seriálu Mr. Robot, který sedí ve sklepě u počítače a plánuje útoky na uživatele z celého světa. Jak ale v novém dílu Eurocastu upozorňuje Jan Pich, ředitel kybernetické bezpečnosti v týmu technologického poradenství a IT ze společnosti EY, je to značně romantická představa. Kyberzločin se v moderní době proměnil v plnohodnotný segment černé ekonomiky. Má propracovanou strukturu – od vývojářů přes marketéry a specialisty na lidské zdroje až po právníky.
„Jsou to dobře organizované skupiny s vlastní strukturou. Fungují jako korporace – mají vývojáře, právníky i marketing. Tyto skupiny vydělávají miliardy dolarů. Na dark webech mají letáky, náborové akce, dokonce i zkušební balíčky útoků zdarma. Je to byznys jako každý jiný,“ popisuje.
Hackeři už neútočí jen na obyčejné kreditní karty nebo špatně zabezpečené e-shopy. Čím dál častěji míří na přístupové údaje, rozsáhlé databáze či zranitelnosti v bezpečnostních systémech globálních korporací. Zatímco dříve si útočníci útoky programovali sami a jednali individuálně, dnes si tyto služby často někdo objedná — a právě podle této logiky vznikl dynamicky rostoucí fenomén RaaS (ransomware-as-a-service). Hackerské organizace tak často disponují minimálně stejným — a někdy i lepším — know-how než firmy, které napadají. Profesní specializace je v tomhle „tržním odvětví“ standardem.
„Útočné skupiny dnes fungují podobně jako technologické firmy. Nabízejí platformy, na kterých si můžete útok doslova objednat. Někdo zajistí přístup do firmy, jiný prodá zranitelnost, další připraví samotný útok. Můžete si vybrat, na koho útok směřovat. Typicky jde o DDoS útoky – třeba když si někdo během Vánoc objedná napadení e-shopu konkurence. Existují i zkušební balíčky, abyste si mohli sílu útoku otestovat,“ vysvětluje Pich s tím, že cena závisí především na tom, kdo je cílem, jak dlouho má útok trvat a jaký bude jeho rozsah. Není náhoda, že cenotvorba připomíná modely legálních IT firem.
Je logické, že za takových podmínek je čím dál složitější se účinně bránit. Jan Pich podotýká, že uživatelé by si už neměli klást otázku „zda“ k útoku dojde, ale „kdy“ k němu dojde – to je základní premisa kyberbezpečnosti ve druhé dekádě 21. století. Alfou a omegou je tedy prevence a připravenost krizového řízení: „Připraveným štěstí přeje. Musíte mít hotové postupy, jak reagovat, vědět, kdo komu volá a co dělá. To je první krok. Když systém padne, nehledáte hned pachatele. Zastavujete krvácení firmy – zajišťujete, aby přežily základní procesy.“ Nový český zákon o kybernetické bezpečnosti, který nabude účinnosti v roce 2026, navíc přesouvá břímě odpovědnosti přímo na firemní manažery.
„Zákon o kybernetické bezpečnosti posouvá odpovědnost z IT na management. Jde o byznysové přežití, ne o technický IT problém,“ připomínáJan Pich Vedení firem musí podle něj od příštího roku počítat s tím, že pokud dojde k incidentu, budou se muset aktivně zapojit do jeho řešení. O tom, které systémy je potřeba nahodit jako první, jak informovat klienty a kdy přizvat externí odborníky, budou primárně rozhodovat právě oni. Tato nová úprava, vycházející z evropské kyberbezpečnostní směrnice NIS2, se přitom dotkne až deseti tisíc regulovaných subjektů – z nichž mnohé se s kyberbezpečností teprve seznamují.
To, že se někdo začne ptát generálního ředitele, jak má ošetřenou kyberbezpečnost, je novum. A právě tím se kruh symbolicky uzavírá – znovu se dostáváme k lidskému faktoru a moderním technologiím. „Útočníci vědí, že člověk je slabý článek. Pracují s autoritou, naléhavostí, chamtivostí – přesně na to naše psychika reaguje,“ varuje Jan Pich, který připomíná dvojí roli umělé inteligence. Ta může sloužit jako útočná zbraň, ale zároveň i jako spolehlivý nástroj obrany při detekci hrozeb. „Umělá inteligence dnes dokáže napodobit hlas, obličej i jazyk ředitele. Ale zároveň nám pomáhá – prochází miliony dat a hledá vzorce, které lidské oko nevidí. Je to válka umělé inteligence na obou stranách,“ uzavírá.
Kdo dnes skutečně nese odpovědnost za bezpečnost dat – ajťák, nebo generální ředitel? Dokážou firmy reagovat stejně rychle, jako se dokážou adaptovat útočníci? Poznáme ještě, kde končí realita a začíná manipulace? A není nakonec největším rizikem pořád člověk? O tom, že kyberbezpečnost už dávno není technický problém, ale otázka přežití, mluví Jan Pich z EY v nejnovějším dílu Eurocastu.
•
