Úniky dat, napadení kritické infrastruktury, paralyzované podnikové sítě. Kybernetické útoky již dávno nejsou ojedinělými incidenty, ale tvrdou realitou a každodenním rizikem pro firmy všech velikostí. Hrozby se neustále vyvíjejí a jejich sofistikovanost roste, k čemuž přispívá i umělá inteligence. Na tuto měnící se krajinu reaguje i evropská legislativa v podobě směrnice NIS2, která rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na mnohem širší okruh subjektů než dříve. O aktuálních trendech a výzvách hovořil Martin Trávníček ze společnosti Zymestic Solutions.
Podle pana Trávníčka zůstávají základní typy hrozeb a zranitelností v posledních letech sice podobné, avšak samotné útoky prošly dramatickou proměnou. „Jsou mnohem sofistikovanější, jsou propracovanější,“ uvádí Trávníček a jako příklad zmiňuje phishingové útoky. Zatímco dříve je často prozradila nekvalitní čeština nebo celkově neprofesionální provedení, dnešní phishingové kampaně jsou mnohdy prakticky nerozeznatelné od legitimních stránek či komunikace.
Tato zvýšená rafinovanost znamená, že útoky se stále častěji dotýkají i velkých společností, včetně těch působících přímo v IT sektoru. Dopady mohou být fatální – od ztráty citlivých dat a finančních škod až po poškození dobrého jména firmy. „Je potřeba se zamyslet nad tím, jakým způsobem daná společnost, daný občan, člověk, chce vlastně k těm hrozbám přistoupit,“ apeluje Trávníček.
Svou roli v tomto vývoji hraje i umělá inteligence (AI). Ačkoliv je obtížné přesně kvantifikovat její podíl na straně útočníků, Trávníček se domnívá, že AI může hackerům významně pomáhat. „Může ty samotné útoky zrychlovat, zkvalitňovat tak, abychom my si jich nevšimli do poslední chvíle. Určitě je dokáže asi plánovat,“ vysvětluje. AI je podle něj nástrojem s dvěma tvářemi – na jedné straně pomáhá (například s překlady), na druhé straně se v rukou zkušeného útočníka může stát nebezpečnou zbraní.
Evropská unie investuje přes 31 milionů eur do přílivových elektráren v Normandii
Na tuto eskalující hrozbu reaguje i legislativa. Klíčovou změnou je evropská směrnice NIS2, která v českém právním řádu nabyla účinnosti a přináší zásadní posun. Trávníček vnímá tuto směrnici velmi pozitivně. „Již se posouváme od těch podniků kritické infrastruktury a od těch významných informačních systémů do mnohem širší oblasti společnosti,“ říká. Povinnosti v oblasti kybernetické bezpečnosti se tak nově týkají například i dodavatelů pro klíčové sektory (energetika aj.), krajů, měst a obcí.
„Konečně máme nějaké hřiště s mantinely,“ komentuje Trávníček přínos NIS2. Směrnice podle něj vytváří jasnější pravidla a nutí i subjekty, které dříve legislativní povinnost neměly, aby se svou kybernetickou odolností vážně zabývaly. Dodavatelé budou muset prokazovat zavedená bezpečnostní opatření, a to nejen věcně, ale i smluvně, včetně podstupování auditů a kontrol ze strany odběratelů.
Na otázku připravenosti českých firem Trávníček odpovídá s mírným optimismem. Věří, že většina firem, zejména díky tomu, že Česko patří v kyberbezpečnosti ke špičce EU, je na změny do jisté míry připravena. Zároveň však důrazně varuje před usnutím na vavřínech. „Být připraven před dvěma lety neznamená být připravený dnes,“ zdůrazňuje a dodává: „Je to o kontinuitě.“ Kybernetická bezpečnost není jednorázový úkol, ale neustálý proces sebereflexe, zlepšování a investic. I fungující systém je podle něj dobré nechat prověřit nezávislou třetí stranou, která poskytne vnější pohled a identifikuje oblasti pro zlepšení v kontextu neustále se vyvíjejících hrozeb. Tento živý ekosystém vyžaduje neustálé vzdělávání, doplňování infrastruktury a investice.
