Jak se ubránit hackerům
Firmy tvrdí, jak je pro ně kybernetická bezpečnost důležitá. V praxi to ale vypadá jinak. Mnohé teprve dohánějí, co zanedbaly, a nová pravidla z unijní směrnice NIS2 na ně teď dopadnou naplno. K tomu přichází umělá inteligence, která v kybernetické bezpečnosti mění pravidla hry, říká Petr Špiřík, partner PwC právě pro tuto oblast.
Poslední analýza PwC ukazuje, že pouze dvě procenta firem zavedla pravidla kybernetické odolnosti napříč celou svou organizací, přestože většina tvrdí, že bezpečnost je pro ně prioritou. Čím to je?
Bezpečnost je pořád vnímaná spíše jako náklad, který nepřináší zisk, a tak často čeká, až na ni přijde v rozpočtu řada. Druhá věc je, že zabezpečit firmu jako celek není vůbec jednoduché. Zatímco kanceláře a datová centra mají většinou dobře pokryté, u výrobní části je to pro podniky mnohem složitější. Až teď si mnohé z nich začínají uvědomovat, že i tohle je potřeba chránit. Dříve tyto systémy totiž nebyly připojené k internetu, ale jak se svět postupně digitalizuje a přichází koncepty jako chytré továrny nebo Průmysl 4.0, začínají se otevírat i těm rizikům, která dříve vůbec neřešily. Firmám obvykle radíme, aby alespoň částečně oddělily výrobní části od zbytku IT. To je jednoduchý, ale často velice účinný první krok.
Budou se výdaje na kybernetickou bezpečnost podle vás zvyšovat?
Očekávám růst. Podle našeho průzkumu je střední a východní Evropa v digitálních trendech dva až tři roky za Západem, což je vidět například u cloudu. Na Západě už řeší optimalizaci, u nás s ní teprve začínáme. Podobný vývoj sledujeme i u kyberbezpečnosti. Růst investic na Západě je pozitivní signál a firmy si stále více uvědomují, že IT je klíčovou součástí byznysu.
Hrozí riziko, že firmy opět začnou šetřit na bezpečnosti, až přijde recese?
Po finanční krizi v letech 2008 a 2009 začaly firmy škrtat vše, co nepovažovaly za nezbytné. Často to šlo až do extrému. Vyřazovaly se například záložní servery, protože přece "jen žerou elektřinu". Zažil jsem firmu, kde zůstal z bezpečnostního týmu sedmi lidí jen jeden zaměstnanec, který měl dále dělat práci všech. Nastane-li nějaká další hospodářská recese, obávám se, že se podobný přístup zopakuje.
Jak dlouho se podniky potýkají s následky takových škrtů?
Většina firem si po pár letech uvědomí, že si v oblasti bezpečnosti vytvořila technologický dluh. I když ho časem doženou, pořád je to častý důvod problémů. Nelze proto říct univerzálně, kolik peněz je potřeba investovat do bezpečnosti. Záleží právě na velikosti tohoto dluhu. Nové firmy na tom často bývají lépe než velké organizace, které ztrácejí přehled o své infrastruktuře. Problémy se často projeví až při fúzích či akvizicích. Vzpomínám si na případ, kdy britský hotelový řetězec koupil menší síť, aniž by věděl, že je už napadená hackerem. Zjistil to, až když firmu integroval do své sítě i s tímto trojským koněm.
Řady firem se už brzy dotknou nové povinnosti vyplývající z novely zákona o kybernetické bezpečnosti, který reaguje na evropskou směrnici NIS2. Co mohou na poslední chvíli udělat, pokud zaspaly?
Většina firem nezaspala, spíše vědomě čekala, jak přesně budou pravidla vypadat. První krok je zjistit, zda a v jakém režimu se na ně směrnice vztahuje. Doporučuji si upřímně sepsat, co už umějí, co neumějí a co potřebují změnit. Něco zvládnou interně, něco s pomocí externího konzultanta, něco mohou outsourcovat. Hlavní je přemýšlet strategicky a nenaletět na "zázračná řešení". Neexistuje žádná univerzální "krabička", která by jim pomohla splnit nová pravidla vyplývající ze směrnice NIS2 nebo evropského nařízení na zvýšení bezpečnosti ve finančním sektoru DORA.
V čem jsou české firmy, na které nová pravidla dopadnou, obecně nejslabší?
Největší slabinou je uvést změny do praxe. Mnohé firmy se dlouho soustředilo jen na to, aby všechno formálně splnily, napsaly si vnitřní směrnice a prošly kontrolou. A tím to skončilo. NIS2 i DORA ale kladou důraz na skutečnou funkčnost bezpečnostních opatření v praxi. Nestačí mít vše na papíře, firmy musejí prokázat, že jsou schopné odolat kybernetickému útoku a zotavit se z něj. Největší prostor ke zlepšení vidím právě v přenesení těch "papírových" pravidel do reálného fungování lidí a technologií uvnitř firmy. S nástupem nástrojů, jako je generativní AI, bude navíc útoků přibývat a budou sofistikovanější. To musejí vedení firem brát vážně.
Co se v praxi mění s nástupem AI?
Nedávno jsme zaznamenali vlnu sofistikovaných deep-fake útoků. Útočníci dokážou věrně napodobit hlas i tvář šéfa firmy a přesvědčit například finančního ředitele k převedení milionů na falešný účet. Obrana nemůže spoléhat jen na technická opatření, klíčové jsou interní procesy, například to, kdo a jak smí autorizovat platby, a jejich důsledné dodržování. Pomáhá také jednoduché pravidlo, a to ověřit nečekaný požadavek jiným komunikačním kanálem. AI navíc dramaticky zrychluje i technické útoky – využitím AI lze vyvinout způsob, jak zneužít nově objevenou zranitelnost téměř okamžitě, čímž se zkracuje čas na reakci obránců. AI je proto nutné využívat i v obraně. Bezpečnost jako obor se tak může s nadsázkou proměnit v souboj dvou AI systémů – útočného a obranného.
Zůstane ve firmách místo pro ajťáky?
Prostor určitě zůstane, ale mění se náplň práce. Firmy dnes často přemýšlejí následovně: Proč brát juniory, když jejich práci může nahradit AI? Možná to nejde hned, ale za půl roku už třeba ano. Kdo bude první, získá výhodu. Proto někteří přestávají nabírat a rovnou propouštějí. Například Microsoft nebo CrowdStrike už ohlásily snižování stavů kvůli AI. Nejvíce to odnášejí junioři. V USA už na jednu pozici připadá klidně 200 uchazečů. K nám tento trend také brzy dorazí.
Jaký to má dopad na sektor IT?
Bez juniorů nebudou za pár let senioři. Krátkodobě může AI některé pozice nahradit, ale dlouhodobě dává větší smysl AI využít k posílení lidí, ne k jejich nahrazení. Udělat z nich efektivnější, rychlejší a přesnější odborníky s pomocí AI nástrojů. Je to udržitelnější cesta než plošné propouštění. Současný trh je bohužel pro začátečníky nejtvrdší za poslední desetiletí.
Jak těžké je pro lidi pracovat s AI nástroji?
Jsou snadné na ovládání. To je jejich výhoda, ale současně i past. Zvláště pro juniory, kteří nemají tolik zkušeností, je těžké poznat, kdy AI "halucinuje" a jednoduše si vymýšlí. Může to znít přesvědčivě, ale výstup může být chybný, nebo dokonce nebezpečný. Sám jsem si nechal AI navrhnout síťovou architekturu pro svůj soukromý projekt. Ušetřilo mi to spoustu času, ale až díky zkušenostem jsem poznal, že navržené řešení má zásadní chyby. Bez předchozí praxe bych je přehlédl. AI ulehčí až 90 % práce, ale těch posledních 10 % je klíčových. A tam rozhoduje člověk.
Petr Špiřík je partnerem PwC Česká republika pro kybernetickou bezpečnost a lídrem Managed Cybersecurity Services pro celý region EMEA. V minulosti působil několikrát jako Chief Information Security Officer, včetně globální role viceprezidenta pro informační bezpečnost v technologické firmě kotované na burze. Silně věří v technologický pokrok a vzdělávání mladých lidí a je přesvědčen, že je možné zvítězit nad kyberútočníky.
