Terčem kyberútoků. Ze zákulisí security centra PwC Cyber

"Alert, na který se právě díváme, ukazuje netypické přihlášení z Asie," vysvětluje Agáta, zaměstnankyně PwC Česká republika. Pracuje jako operátorka bezpečnostního dohledu neboli Security Operations Center (SOC). "Sice se zprvu jednalo o falešný poplach, ale vedlo nás to k objevu další skryté aktivity v podobě nestandardních připojení k internetu z některých zařízení," pokračuje.

Tím její rutina nekončí. "V tento moment se musíme podívat na detailní záznamy neboli EDR telemetrie z jednotlivých koncových zařízení a díky nim zjistit, zda není přítomný například backdoor nebo škodlivý kód," dodává. Agátě se podařilo útočníka odhalit v raném počátku. Zákazník byl informován a počítače skončily v karanténním režimu a byly kompletně přeinstalovány.

SOC: 24x7 centrum centrální kybernetické ochrany

Využívání takto komplexní služby je zatím ze strany zákazníků v České republice bohužel celkem ojedinělé. Z průzkumu PwC Digital Trust Insights 2025 vyplynulo, že 77 % firem plánuje zvýšit rozpočet na kyberbezpečnost, ale pouhá 2 % organizací mají skutečně implementovanou komplexní ochranu.

"V Česku mnoho firem, ale i třeba nemocnic a státních organizací pod tlakem tradičních dodavatelů IT vynaložilo obrovské prostředky na hardware, log management či síťový monitoring, mnohdy s příslibem, že je samotná technologie perfektně ochrání. Pokud ale poplach vidíte a nic s ním neuděláte, neochrání vás to," vysvětluje Michal Wojnar, ředitel týmu kybernetické ochrany v PwC Česká republika. Podle něj je to obdobné, jako když se vám doma spustí alarm, ale nemáte připojený pult centrální ochrany. Proto je důležitý 24x7 SOC, klidně formou služby jako PwC Managed Detection and Response.

Nový válečný prostor

Kyberprostor se stal novým prostředím pro vojenské operace zaměřené na sabotáž, špionáž a ochromení schopností protivníka. PwC patří mezi společnosti, které provozují vlastní službu globální threat intelligence a také vývojáře v oblasti automatizace a umělé inteligence. Díky tomu se jí daří držet krok s útočníky a mít přehled o nebezpečných hrozbách včetně státních aktérů, jako je skupina APT31, kterou česká vláda spojila s nedávným případem kybernetické špionáže na Ministerstvu zahraničních věcí.

"Nejde jen o detekci a reakci na útoky. Pomáháme firmám budovat celkovou důvěru v jejich technologie a řešíme problémy digitální odolnosti organizace – od představenstva, kdy trénujeme krizové scénáře k řízení rizik pomocí našeho nástroje Managed Cyber Risk, až po bezpečnou cloudovou architekturu," vysvětluje Wojnar. Podle něj zákazníci vnímají nejen riziko poškození IT systémů a finanční ztráty, ale i ztrátu důvěryhodnosti či hrozbu pokut ze strany regulátora plynoucí z regulace NIS2 a nového českého zákona o kybernetické bezpečnosti.

Budoucnost spojená s AI

Až 67 % společností hlásí, že generativní AI významně zrychluje přípravu útoků, a navíc je dělá mnohem věrohodnějšími. "S využitím AI bohužel mizí tradiční příznaky phishingového e-mailu, jako jsou gramatické chyby. Deepfake je pak vrcholnou technikou sociálního inženýrství, která je pro běžného smrtelníka velice těžko rozpoznatelná. V PwC vyšetřujeme případy, kdy hlavní účetní firmy odešle miliony eur na základě podvodné videokonference s fiktivní osobou, která vypadá a mluví jako generální ředitel," potvrzuje Michal Wojnar.

Práce SOC operátorů, jako je Agáta, se s příchodem AI změní. Bude to ale jinak, než si myslíme. Daleko důležitější bude potřeba rozvoje nových dovedností v oblasti datových modelů, automatizace, ale i schopnost pokročilé analytiky a porozumění tomu, co operátoři v datech vidí. Nasazení a správa agentních řešení v oblasti autonomních systémů již nyní umožňují nebývalý pokrok ve správě a řešení bezpečnostních incidentů. "Dá se říct, že máme schopnost zastavit jakýkoli útok u zákazníka, a to včetně těch agresivních vyděračských kriminálníků. Problém je spíše v neinformovanosti a schopnosti vedení firem rozlišit, co je pro ně v dané situaci správné řešení. V tom jim v PwC umíme pomoci," uzavírá Wojnar.