Umělá inteligence umožňuje hackerům vytvářet čím dál věrohodnější podvody. A také naopak, umělá inteligence odhalí řadu probíhajících útoků ještě před tím, než vzniknou vážnější škody. Tyto dva postoje ilustrují dilema, které v současnosti provází většinu debat o kyberbezpečnosti. Na 78 procent firemních IT expertů ale věří, že umělá inteligence přesouvá trumfy spíše do rukou útočníků. A proto se kybernetická bezpečnost stává jejich nejvyšší prioritou – to před rokem říkaly čtyři firmy z deseti, letos pak už téměř 60 procent.

Citované zjištění pochází z nejnovějšího průzkumu za rok 2024, který pro společnost Mastercard vypracovala agentura B-inside. Odpovědi dvou set respondentů z českých a slovenských firem ukazují, že společnosti kyberbezpečnost a nové výzvy v této oblasti neberou na lehkou váhu. Oproti minulému roku vzrostl počet lidí, kteří věří, že rizika spojená s kybernetickou bezpečností se budou zvyšovat, odpovídalo tak celých 69 procent. A 90 procent dotázaných souhlasilo, že útoky budou čím dál sofistikovanější.

Jedním z hlavních důvodů těchto obav je rozmach umělé inteligence. Na 78 procent IT expertů souhlasí, že AI pomáhá zvyšovat úspěšnost útoků, a jen 60 procent vidí přínos AI na straně obránců. „Náš průzkum naznačil, že povědomí o tom, jak využít potenciálu umělé inteligence v bezpečnosti firemních IT systémů, je stále poměrně nízké. Přitom právě tady se nabízejí nové možnosti,” komentuje produktová ředitelka společnosti Mastercard pro Česko a Slovensko Barbora Tyllová.

Foto: CzechCrunch

Průzkum společnosti Mastercard o umělé inteligenci a kyberbezpečnosti

S phishingem, jak se útokům za pomoci podvodných zpráv říká, se setkalo osm z deseti firem. Nejčastější příčinou úspěšného kyberútoku bylo podle 72 procent z nich klikání na podezřelé odkazy nebo reakce na podezřelé zprávy. „To je zřejmě i důvod, proč jsou v oblasti kybernetické bezpečnosti hlavními tématy lidská selhání a edukace zaměstnanců,” doplňuje Tyllová.

Naopak s útoky, kdy se útočníci zmocní firemních dat či systémů a požadují výkupné za jejich vrácení (ransomware), se setkalo méně firem a organizací než loni – výzkum zaznamenal pokles ze 40 procent téměř na polovinu. O něco nižší byla i evidence útoků prostřednictvím škodlivého softwaru, který útočníkům umožňuje přístup k citlivým informacím.

Phishing není jen nejčastějším typem útoku, je také nejrychleji rostoucím. Stále větší pozornost proto dostává ochrana digitální identity, která má za cíl u důležitých lidí ve firmě předcházet její krádeži či zneužití.

Kyberbezpečnost přeje připraveným

Pětina firem v průzkumu uvedla, že nemá žádný formální plán nebo pokyny pro případ kybernetického incidentu. Akční plán, který popisuje, co v případě napadení dělat, je přitom klíčový. U firem, které ho měly připravený, se útoku neubránilo jen 14 procent, zatímco u těch, které ho neměly, to byla téměř čtvrtina. S následky úspěšného útoku se musela potom potýkat každá pátá společnost v Čechách nebo na Slovensku. I když je s otazníkem, jak upřímné byly odpovědi na tuto otázku.

„Z našeho průzkumu vyplynulo, že 68 procent společností má připravený akční plán pro případ útoku. V okamžiku útoku pak zaměstnanci firmy vědí, jaké kroky mají následovat. Netýká se to jen firemních IT specialistů, ale všech zaměstnanců ve firmě,” říká Tyllová. „Samozřejmě je vždy otázkou, zda jsou firmy skutečně připravené, nebo si to jen myslí. Odpověď na tuto otázku pak opravdu poskytne až kybernetický útok, a je proto důležité udělat vše pro to, aby byla firma dobře připravena,“ vysvětluje.

Další z oblastí, které se česká a slovenská IT oddělení zatím příliš nevěnují, je kybernetická bezpečnost v dodavatelském řetězci, ve kterém firmy sdílí citlivé údaje o svém fungování a často i svých zákaznících. Čtyři pětiny dotázaných odpověděly, že úroveň IT bezpečnosti u svých dodavatelů, i těch klíčových, aktivně neověřují a spoléhají se na dotazníky (52 procent), smlouvy (20 procent) nebo ISO certifikaci (10 procent), většina z nich navíc pouze na úplném začátku spolupráce. Přitom dnes už existují nástroje, které umí kontrolovat bezpečnost firem automatizovaně.

Velké společnosti většinou mají pro případ, že kybernetický incident postihne jejich dodavatele, vytvořené procesy (48 procent), střední firmy to většinou neřeší (67 procent). „Průzkum potvrdil, že nároky na kybernetickou bezpečnost narůstají. Je pochopitelné, že pro část firem jde o náročnou agendu, která by vyžadovala navýšení personálních stavů i financí pro jednotlivá IT oddělení. Jako řešení se ale nabízí outsourcing a využívání nástrojů, kterými jako Mastercard na poli kybernetické bezpečnosti disponujeme,” vysvětluje Barbora Tyllová.

Mastercard nejsou jen platby

Mastercard je technologická společnost, která dlouhodobě poskytuje bezpečné platební transakce, ale v posledních letech se intenzivně věnuje i komplexnímu zabezpečení dalších sfér podnikání. Za poslední roky společnost Mastercard akvírovala desítky firem a také vyvinula vlastní nástroje, které nabízí na míru firmám i státní správě. Firmám tak pomáhá bojovat proti zmíněným phishingovým útokům i se zajištěním bezpečnosti v celém dodavatelském řetězci.

„Mnoho našich klientů vnímá jako palčivý problém krádeže identit. V tomto směru jsme již vytvořili nástroj Mastercard ID Theft Protection, který dává koncovým uživatelům kontrolu nad svou identitou. Pokud dojde k její krádeži, uživatel je na nebezpečí okamžitě upozorněn,“ upřesňuje Tyllová. Tato funkce monitoruje nejen veřejně dostupné weby, ale i tzv. deep web a dark web, kde vyhledává potenciální úniky citlivých osobních údajů, jako jsou e-maily, čísla karet nebo údaje o bankovních účtech.

Mezi další nástroje v nabídce Mastercard patří NuDetect, který využívá pasivní biometrii pro ověření uživatele. Zjednodušeně jde o algoritmus, který se učí, jakými pohyby po obrazovce či mačkáním kláves pracuje daný uživatel se svým telefonem či počítačem. Díky analýze uživatelského chování v reálném čase dokáže potom rozpoznat, že se zařízením pracuje skutečně on. Při zjištění odchylek od očekávaného chování dokáže NuDetect zabránit až 99 procentům podvodů vedených tímto způsobem.

Kyberbezpečnost v celém dodavatelském řetězci potom zvyšuje RiskRecon, který se stará o kontinuální audit kybernetické bezpečnosti jakékoliv firmy. Odhaluje slabá místa v IT systémech, hodnotí rizika a dává doporučení, jaké ochranné prvky zavést, aby byl zákazník co nejlépe chráněn. „Zdrojem pro komplexní kybernetický audit je přitom pouhá přítomnost organizace na internetu, respektive její internetové stránky. V Česku ho využívají například některé nemocnice nebo pojišťovny,“ doplňuje Tyllová.

A aby toho na správce firemních IT systémů nebylo málo, musejí se připravovat na nástup evropské směrnice NIS2, která nastavuje nové povinnosti pro vybrané firmy kritické infrastruktury a jejich dodavatele. Týká se více než poloviny dotazovaných subjektů, ze kterých už jsou tři čtvrtiny na nová pravidla připraveny. Na druhé straně ale víc jak čtvrtina zatím nevěděla, zda se jich bude nová legislativa vůbec týkat, nebo o ní ještě neslyšela. Směrnice přitom nabývá platnosti už na začátku roku 2025.

„Firmy se musí na tuto změnu připravit po stránce procesní a zároveň je třeba investovat do hardwaru i softwaru. Je to investice do budoucnosti. Pokud je útok úspěšný, škoda může být několikanásobně vyšší než náklady na kybernetickou bezpečnost. Směrnice NIS2 se netýká jen firem samotných, ale také firem ze subdodavatelského řetězce. Pokud například dojde k útoku na malou firmu, která spolupracuje se státní správou, dopady mohou být fatální,“ uzavírá Tyllová.