Heslo „Louvre“ není jediný problém. Instituce podceňují hodnotu svých dat

Lehkovážnost přitom může mít katastrofální důsledky, a to nejen u velkých státních institucí, ale také u soukromých firem. „Často jsou naivní a neuvědomují si rizika. Mnoho organizací nemá řádné audity, segmentované sítě, definovaná rizika, plán obnovy podnikání nebo plán obnovy po havárii. Myslí si, že se jim nemůže nic stát,“ zdůvodnil to v debatě Hospodářských novin Jindřich Šavel, ředitel společnosti Novicom.

Menší firmy se někdy mylně domnívají, že nejsou pro útočníky dostatečně relevantním cílem. Ve skutečnosti ale nemusí jít jen o výkupné. Důvodem k napadení může být třeba specifické know‑how, které je tím nejcennějším, co firma má, proto by neměla zabezpečení svých informačních systémů opomíjet.

Otevřená vrátka do vnitřních systémů

S novým zákonem o kyberbezpečnosti, který začal platit letos v listopadu, se na tisíce českých firem vztahují přísnější požadavky. „Současný zákonný rámec mimo jiné vyžaduje mít komplexní heslo, vícefaktorovou autentizaci, případně jiné metody řízení přístupů. Ukládá také povinnost provádění pravidelných auditů,“ připomněl specialista kybernetické bezpečnosti společnosti ATS‑Telcom Praha Vladimír Kaděra.

Dále zdůraznil, že u auditu nestačí spokojit se s tím, že všechno funguje a jsou k tomu patřičné dokumenty, ale je potřeba si ověřit, jak jsou systémy skutečně nastavené v reálném provozu. „Bezpečný musí být celý dodavatelský řetězec. Je to odpovědnost toho, kdo systém využívá a provozuje,“ dodal Kaděra s tím, že případů selhání dodavatelského řetězce je v praxi spousta. „Stačí, když dodavatel softwaru třeba jen zapomene zamknout nějaké moduly, které slouží pro vývoj. Ty pak poslouží útočníkům jako otevřená vrátka pro vstup do vnitřního prostředí organizace,“ uvedl jeden z příkladů špatné praxe.

Kdo pohlídá hlídače?

Dát si pozor na hloupé chyby, překonat lenost a měnit pravidelně silná hesla ovšem nestačí. S nástupem umělé inteligence jsou v rukou útočníků, ale i špatně chráněných obětí stále sofistikovanější nástroje, které otázku zabezpečení komplikují. „Různé machine learning systémy jsou s námi už dlouho, pomáhají nám vyhodnocovat události. Ale využívají je samozřejmě i útočníci,“ řekl Ondřej Hubálek, konzultant pro síťovou bezpečnost společnosti GreyCortex. První útok pomocí AI byl zdokumentovaný před čtyřmi lety, reálně se ovšem děly už dávno před tím. „Statistiky ochrany koncových zařízení nám dnes dokládají statisíce unikátních malwarových vzorků denně,“ varoval Hubálek.

Rizikem jsou i AI nástroje v rukou zaměstnanců firem a institucí, kteří mohou snadno nevědomky zpřístupňovat data a interní systémy útočníkům. Vývoj proto podle expertů směřuje k provozování AI nástrojů v uzavřeném prostředí dané organizace. To může být bezpečnější, ale také omezující řešení. „Dnešní modely umělé inteligence stojí a padají s tím, že mají přístup k velkým výpočetním výkonům, k velkému množství informací. Teď je budeme muset naučit pracovat efektivně s tím málem informací, které jim dáme k dispozici,“ upozornil Kaděra.

Otázka, zda pracovat s umělou inteligencí vně, nebo uvnitř organizace, bude aktuální i pro kritickou infrastrukturu. „Myslím si, že teď vznikne celá generace vnitřních AI asistentů, protože nebude možné je provozovat externě,“ odhadl Šavel.

Z tohoto důvodu poslední dobou vzniká množství nových jazykových modelů. S tím ale vyvstává otázka, jak budou tyto nové systémy zabezpečené a kontrolované. „Kdo je bude testovat, aby dokázaly správně vyhodnocovat a nereagovat na podstrčené informace? Nebo aby nebylo možné z nich potřebnou informaci vymámit?“ poukázal na další rizika Hubálek.

Outsourcovat zabezpečení

Debata také ukázala, jak se mění samotný obor kyberbezpečnosti a jaké to má personální dopady. „Slabým místem jsou lidské zdroje. Ve většině organizací sedí tak tři čtyři lidé na IT oddělení a těm neustále přibývají další role a úkoly,“ nastínil problém Hubálek. Technologie jsou stále komplexnější a vyžadují další a další kompetence, na které už mnohdy kapacity stávajících pracovníků nestačí. „Přicházejí stále nové požadavky a to vede to k tomu, že pracovníci jsou přetížení a firmy musí buď nabírat nové lidi, nebo víc automatizovat,“ doplnil Šavel.

IT a kyberbezpečnost jsou navíc dvě odlišné disciplíny, které mají různé agendy a v některých principech jdou dokonce proti sobě. Ta první totiž usiluje o efektivní provoz, zatímco ta druhá hlídá rizika a snaží se předejít potenciálním hrozbám, což může systémy naopak omezovat. Zajistit symbiózu těchto dvou odvětví může být proto obtížné.

„Vede to k velkému trendu, kterým je outsourcování kyberbezpečnosti,“ poznamenal Šavel. V komerční sféře už je tato praxe rozšířená, u kritické infrastruktury je to ale složitější, protože tam se musí přísněji hlídat, aby se citlivá data nedostala ven.