Pět největších kyberbezpečnostních výzev pro české firmy v roce 2024

24. 1. 2024. (redaktor: František Doupal, zdroj: AppSec)
Mnohem náročnější z hlediska kybernetické bezpečnosti bude pro české firmy rok 2024. Podepíše se na něm nejen implementace evropské bezpečnostní směrnice NIS2 do české legislativy, ale především pokračující mohutný nástup umělé inteligence a s ním spojené nové vektory útoků.

„NIS2 přichází nikoli pět minut před dvanáctou, ale pět minut po dvanácté. Přístup českých firem a organizací ke kybernetické bezpečnosti je tristní. Zvláště pak v dnešní době, kdy nad námi neustále visí hrozba hybridní války s Ruskem a možnosti útočníků se díky umělé inteligenci výrazně zvyšují,“ varoval Adam Paclt, generální ředitel společnosti APPSEC. Mezi pět nejvážnějších bezpečnostních výzev budoucího roku považuje vedle NIS2 a nástupu umělé inteligence také stále sofistikovanější sociální inženýrství, množící se útoky přes datové sítě 5G a rapidní nárůst zero-day útoků.

Firmy budou muset řešit NIS2

Až sedmi tisíc středně velkých a menších firem a organizací se dotkne implementace evropské bezpečnostní směrnice NIS2 do nového zákona o kybernetické bezpečnosti v České republice. Půjde o subjekty, které dosud nepodléhaly směrnici NIS1, často pak o dodavatelské řetězce významných koncernů a státních institucí. Pokud firmy nesplní přísné bezpečnostní požadavky a podlehnou kybernetickému útoku, hrozí jim vysoké pokuty, které jsou v tuzemském kontextu až likvidační. Přesto podle průzkumu společnosti APPSEC z loňského léta ještě 80 % IT manažerů netušilo, zda se jejich firmy NIS2 dotkne nebo co to vlastně je.

Bezpečnostní rizika AI při správě firemních dat

Umělá inteligence (AI) představuje významný pokrok ve zpracování a využití firemních i klientských dat. Zároveň ale bude jedním z největších bezpečnostních rizik, protože tato citlivá data jsou zneužitelná. Ochránit firemní AI před přístupem neoprávněných uživatelů nebo vyváděním dat třetím stranám tudíž bude jedním z hlavních úkolů kyberbezpečnostních týmů ve firmách a organizacích. Zároveň firmy musí počítat s tím, že jejich zákazníci budou vyžadovat důvěryhodné využívání AI s minimalizací rizik.

Sofistikované sociální inženýrství včetně deepfake

Útoky vedené formou sociálního inženýrství patří k nejnebezpečnějším kybernetickým hrozbám současnosti. Jestliže v minulosti stačilo „hacknout“ e-mailovou schránku manažera, odsledovat způsob jeho komunikace uvnitř firmy a ve vhodný okamžik zaslat „správný“ požadavek např. na uhrazení falešné faktury, nové technické možnosti tuto hrozbu ještě prohlubují. Útočníci budou stále častěji využívat tzv. deepfake, tedy falešných audio a videozpráv, kdy se budou prostřednictvím telefonických hovorů nebo videokonferencí vydávat za představitele firmy a pokoušet se o různé podvody.

Využití AI pro ochranu před kybernetickýmu útoky

Bezpečnostní řešení na bázi AI fungují jinak než běžné antiviry. Neustále analyzují chování sítě a zařízení, které mají chránit a porovnávají aktuální provoz s běžnou situací z minulosti. Jakmile dojde k nějaké anomálii, okamžitě se na ni zaměří a vyhodnotí, zda je to pokus o útok nebo činnost vyvolaná autorizovaným uživatelem hlídané sítě či zařízení. Žádné nestandardní chování sítě AI neujde, a to ani v případě, že útočník použil zadní vrátka a instaloval škodlivý software, který začne být aktivní až týdny či měsíce po proniknutí do sítě. Zkrátka je to skutečný hlídač, který nikdy nespí a okamžitě reaguje.

Automatizované penetrační testy

V oblasti prevence před kybernetickými incidenty se budou stále častěji prosazovat automatizované penetrační testy, které dokáží odhalit slabiny v interních systémech firem a organizací. „Automatizované testy jsou ve většině moderních systémů založené na algoritmech, které se cvičí z reálné práce fyzických hackerů nebo se vyvíjí na základě popsaných zranitelností. Alespoň tak to děláme v našem prostředí. Bez vstupu člověka minimálně v průběhu vývoje se rozhodně neobejdeme. Spolehlivost je vysoká. AI nespí a pokud si zranitelnost správně vyhodnotí, nedělá chyby,“ uzavřel Paclt.

Štítky: 
AppSec, Bezpečnost, Penetrační testy, Umělá inteligence
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Pravidelné bezpečnostní audity dělá jen polovina firemních IT manažerů

7. 6. 2024. (redaktor: František Doupal, zdroj: AppSec)
Necelá polovina IT manažerů z českých firem, kteří mají rozhodující pravomoci nebo alespoň poradní hlas při výběru dodavatelů, potvrzuje, že jejich společnost si dělá pravidelné bezpečnostní audity interních systémů a pracovních zařízení. Desetina firemních IT manažerů přiznává, že bezpečnostní audity vůbec nedělá a 15 % pouze nahodile. Čtěte více

Čtyři z deseti IT manažerů stále neví, zda se jich dotkne směrnice NIS 2

15. 5. 2024. (redaktor: František Doupal, zdroj: AppSec)
Necelý půlrok před zavedením evropské bezpečnostní směrnice NIS 2 do praxe stále tři čtvrtiny manažerů IT oddělení tuzemských firem netuší, zda se tato směrnice bude týkat zrovna jejich společnosti, nebo dokonce neví, co to NIS 2 je. Čtěte více

Více než polovina českých firem do kyberbezpečnosti investuje méně než 100 tisíc korun ročně

19. 3. 2024. (redaktor: František Doupal, zdroj: AppSec)
Kybernetická bezpečnost českých společností je silně podfinancovaná. Podle průzkumu agentury Ipsos pro společnost APPSEC více než polovina oslovených společností (54 %) investuje do zabezpečení firemních sítí a koncových bodů částku do 100 tisíc korun ročně. Více než čtvrtina (28 %) pak uvádí roční rozpočet na kyberbezpečnost v rozmezí od 100 do 500 tisíc korun. Čtěte více

NIS2 je pro české firmy neznámou: 80 % zaměstnanců v IT netuší, o co jde

2. 11. 2023. (redaktor: František Doupal, zdroj: AppSec)
Drtivá většina českých firem netuší, zda se na ně bude vztahovat zpřísnění kyberbezpečnostních opatření podle evropské směrnice NIS2, která se promítne do českého zákona o kybernetické bezpečnosti v druhé polovině příštího roku. Čtěte více