Nepřehánějme to s důvěrou v umělou inteligenci

Rizika spojená se zaváděním umělé inteligence rozšiřují už beztak velmi komplikované prostředí kybernetických hrozeb pro podniky a další organizace. „Přestože existují poměrně účinné metody, jak používat velké jazykové modely a obecně AI v souladu s bezpečnostní strategií firmy, v některých sektorech mohou přetrvávající obavy zpomalit její adopci,“ dodává Kocmich, který je odpovědný za bezpečnostní strategii skupiny působící v sedmi evropských zemích.

Za největší kyberhrozby se dnes označují ransomware a phishing. Přehlíží se ale nějaká jiná, zatím třeba méně nápadná hrozba?

Ano, existují i další méně viditelné, ale stejně závažné hrozby. Jednou z nich jsou například útoky na dodavatelské řetězce. Útočníci se stále častěji zaměřují na dodavatele softwaru a služeb, čímž mohou současně kompromitovat velké množství jejich zákazníků. Další rostoucí hrozbou je zneužití umělé inteligence k provádění pokročilých útoků, včetně deepfake phishingu nebo automatizovaných hackerských útoků. A v neposlední řadě bych zmínil i hrozby spojené s cloudovými prostředími, kde může třeba jen nesprávné nastavení vést k masivním únikům dat.

ICT revue

Nahradí sociální sítě dnešní e‑shopy?

9. 4. 2025 ▪ 8 min. čtení

Co je kromě financí a nedostatku lidí či znalostí největším problémem podniků při implementaci bezpečnostních opatření?

Jedním z hlavních problémů je odpor vůči změnám a nízké povědomí o kyberbezpečnosti mezi zaměstnanci. Mnoho firem stále vnímá kyberbezpečnost jako technickou záležitost oddělení IT, přestože zásadní roli hraje lidský faktor. Dalším problémem je integrace bezpečnostních opatření do stávajících procesů – firmy často spoléhají na zastaralé systémy a nechtějí investovat do jejich modernizace, což vytváří bezpečnostní mezery.

Jaké jsou nejčastější chyby, které firmy dělají v přístupu ke kybernetické bezpečnosti?

Mezi ty nejčastější patří už zmíněné podceňování lidského faktoru. Firmy investují do technologií, ale zanedbávají školení zaměstnanců, kteří se pak stávají tím nejslabším článkem. Chybou také mnohdy bývá, že firmy nereagují na nové hrozby, například nedostatečně aktualizují systémy nebo nevyužívají moderní bezpečnostní řešení. Častým problémem je rovněž absence bezpečnostní strategie – firmy neplánují, jak budou reagovat na incidenty, což může vést k chaosu v případě útoku. A často je to i neadekvátní zálohování – mnoho podniků si uvědomí jeho důležitost až poté, co přijdou o klíčová data.

Jakým způsobem mohou malé a středně velké firmy zvládat kybernetické hrozby s omezenými zdroji?

Klíčové je zaměřit se na základní opatření s vysokou efektivitou. Mezi ně patří pravidelné zálohování, vícefaktorová autentizace, zabezpečení koncových stanic a serverů, bezpečnostní školení zaměstnanců a pravidelné aktualizace softwaru. Malé firmy mohou také využít outsourcing kyberbezpečnosti, například prostřednictvím řízených bezpečnostních služeb anebo dohledového centra. Další efektivní cestou je použití automatizovaných bezpečnostních nástrojů, které pomáhají monitorovat, detekovat a reagovat na hrozby i bez velkých investic do lidských zdrojů.

Podle čeho poznat spolehlivého poskytovatele kyberbezpečnosti formou služby?

Spolehlivý poskytovatel by měl mít jasně definované služby a transparentní procesy, včetně způsobu reakce na bezpečnostní incidenty. Je důležité, aby měl prokazatelné reference a zkušenosti s ochranou firem podobné velikosti a odvětví. Kvalitní poskytovatel také neprodává univerzální řešení, ale analyzuje potřeby firmy a navrhuje individuální strategii. Neméně důležité je dodržování standardů a certifikací, například ISO 27001 upravující systém řízení bezpečnosti informací, a dostupnost nepřetržité podpory.

Jaké bezpečnostní výzvy přináší implementace velkých jazykových modelů (LLM) do firemních procesů?

Hlavním rizikem je únik citlivých firemních informací, pokud nejsou správně nastaveny přístupové kontroly. Další výzvou je vysoká míra závislosti na umělé inteligenci, kdy se organizace začnou příliš spoléhat na modely AI, aniž by ověřovaly jejich výstupy. Kromě toho mohou jazykové modely generovat nepravdivé nebo zavádějící informace, což může mít negativní dopad na rozhodovací procesy. Firmy musí také řešit přesnost modelu a jeho zranitelnost vůči útokům, jako je prompt injection, kdy protivníci zadávají výzvy, které mohou způsobit nezamýšlené chování velkých jazykových modelů.

Lze zajistit ochranu citlivých dat při trénování a využívání LLM?

To je možné zajistit šifrováním, anonymizací vstupů a kontrolou přístupu k modelu. Důležité je také využívat on‑premise řešení nebo privátní instance modelů, pravidelně auditovat jejich výstupy a dodržovat regulační požadavky na zpracování dat.

Jakým způsobem mohou být LLM zneužity útočníky a jak tomu předejít?

Pomocí jazykových modelů mohou útočníci například generovat realistické phishingové e‑maily, automatizovat podvodnou konverzaci, vytvářet deepfake texty, nebo dokonce je využít pro analýzu bezpečnostních systémů. Prevence zahrnuje kombinaci technických opatření, jako je detekce neobvyklého chování modelů, omezení přístupu k pokročilým verzím AI a legislativní regulace v oblasti jejich využití. Klíčové je také školení zaměstnanců, kteří se musí naučit rozpoznávat sofistikované kybernetické hrozby.

Myslíte si, že legislativa, jako je například evropský AI Act, může mít vliv na rizika spojená s umělou inteligencí?

Evropský AI Act nastavuje rámec pro bezpečné a etické využívání umělé inteligence, což může pomoci minimalizovat rizika. Zavádí například povinnosti pro poskytovatele vysoce rizikových AI systémů, včetně transparentnosti a auditování. Klíčové ale bude, jak efektivně se zákon implementuje a zda se podaří vynutit jeho dodržování v praxi.

Mohou bezpečnostní rizika spojená s AI zpomalit její širší přijetí?

V některých sektorech mohou obavy z bezpečnosti zpomalit adopci AI, zejména v kritických infrastrukturách, financích nebo zdravotnictví. Organizace budou váhat s implementací, dokud si nebudou jisté, že AI systémy jsou bezpečné a spolehlivé. Na druhou stranu, dobře řízená regulace a rozvoj bezpečnostních technologií mohou urychlit její bezpečné zavedení.

Věnujete se také zabezpečení provozních technologií (OT). Jak se liší přístup k řízení kybernetických rizik v prostředí OT a IT?

V IT se kybernetická bezpečnost zaměřuje na ochranu dat a dostupnost systémů, zatímco v OT jde primárně o zajištění kontinuity průmyslových procesů a bezpečnost fyzických zařízení. V OT prostředí jsou často provozovány starší systémy bez možnosti aktualizace, což s sebou nese zásadní rizika.

Jakým způsobem lze chránit systémy OT, které jsou spojeny s historickým hardwarem a softwarem?

Hlavním opatřením je segmentace sítí, tedy oddělení systémů OT od infrastruktury IT a internetu. Dále je klíčové zavedení monitorovacích nástrojů pro detekci neobvyklých aktivit, řízení přístupů a pravidelné bezpečnostní audity. Tam, kde nejsou možné softwarové aktualizace, je důležité zavést alternativní bezpečnostní mechanismy, například striktní kontrolu přístupu nebo detekční systémy pro monitoring anomálií – takzvané virtuální záplatování – a adekvátní a obnovitelné zálohy.

Existují rozdíly v přístupu k detekci hrozeb v OT a IT prostředích?

V IT prostředí se detekce hrozeb často spoléhá na antivirové systémy, firewally a SIEM platformy, které analyzují síťový provoz a hledají známé vzorce útoků. V prostředí OT je prioritou identifikace anomálií v průmyslových procesech, například neočekávaných změn v provozu strojů. Zásadní jsou i specializované bezpečnostní systémy pro OT, jako jsou IDS/IPS (Intrusion Prevention System a Intrusion Detection System, systémy sloužící k identifikaci a monitorování podezřelé nebo škodlivé aktivity v síti nebo na zařízení – pozn. red.), přizpůsobené průmyslovým protokolům.

Brzy bude pravděpodobně schválen nový zákon o kybernetické bezpečnosti. Přetrvávají kolem něj ještě nějaké nejasnosti?

Ačkoliv je základní rámec zákona prakticky daný, stále existují otázky týkající se konkrétní implementace některých požadavků, například v oblasti monitoringu bezpečnostních incidentů nebo sdílení informací mezi regulovanými subjekty. Také se diskutuje, jak budou malé a středně velké podniky schopny naplnit některé povinnosti bez výrazného navýšení nákladů. Nicméně stále platí, že nemá cenu otálet a již dnes je nutné začít minimálně se sebeidentifikací a pak i následnými kroky zahrnujícími rozdílovou analýzu stavu a rizik – v návaznosti na to, do jakého režimu bude subjekt po sebeidentifikaci spadat.

Může nový zákon překvapit i podniky, které primárně nejsou poskytovateli regulovaných služeb?

Ano, zákon se týká nejen kritických infrastruktur, ale i širšího okruhu firem, například subdodavatelů nebo podniků, které se zabývají například výrobou, logistikou, potravinářstvím či digitálními službami. Mnohé firmy si možná dosud neuvědomují, že spadají pod novou regulaci, a povinnosti v oblasti řízení kybernetických rizik je mohou překvapit.

ICT revue

Stáhněte si přílohu v PDF

Jak zajistit splnění požadavků nového zákona na bezpečnost dodavatelského řetězce?

Klíčové je zavést jasné bezpečnostní standardy pro dodavatele, pravidelné bezpečnostní audity a smluvní závazky k dodržování bezpečnostních opatření. Firmy by měly vyžadovat bezpečnostní certifikace, například zmiňované ISO 27001, a zavést procesy pro hodnocení a řízení bezpečnostních rizik v rámci dodavatelského ekosystému.

Jak dlouho bude trvat zavedení opatření podle nového zákona podniku, který ještě nezačal?

Doba implementace bude záviset na velikosti a zralosti organizace. Pro menší firmy to může znamenat několik měsíců intenzivní práce, pro velké podniky až rok nebo déle. Klíčové je zahájit přípravy co nejdříve, zejména v oblastech řízení rizik, monitoringu a řízení incidentů, aby bylo možné splnit požadavky včas a vyhnout se sankcím. Doporučuji zvážit spolupráci s externími specialisty, kteří mohou poskytnout cenné know‑how a zajistit, že všechna bezpečnostní opatření budou na odpovídající úrovni.

Článek byl publikován ve speciální příloze HN ICT revue.