14. 10. 2024 – fintechcowboys | Doba čtení: 4 min
IT experti českých firem se shodují, že riziko kybernetických útoků nejspíš dále poroste. Přičítají to z velké části nástupu umělé inteligence, která hraje stále větší roli jak při útocích, tak i v jejich obraně. Jak vyplývá z aktuálního průzkumu společnosti Mastercard ke kybernetické bezpečnosti v českých a slovenských firmách a organizacích, mezi další výzvy v oboru patří implementace směrnice NIS2 a kybernetická bezpečnost dodavatelských řetězců.
„Náš průzkum naznačil, že povědomí o tom, jak je možné využít potenciálu umělé inteligence v bezpečnosti firemních IT systémů, je stále poměrně nízké. Přitom právě tady se nabízejí nové možnosti, jak ochránit klíčová data firem i jejich zákazníků,” komentuje výsledky dotazování produktová ředitelka ve společnosti Mastercard pro Českou republiku a Slovensko Barbora Tyllová. Dodává, že AI pomáhá také například identifikovat podvodné transakce nebo dokáže rozpoznat neobvyklé vzorce chování, a odhalit tak vytváření podvodných účtů. Tři z pěti firemních IT expertů se ale domnívají, že pomáhá spíše útočníkům než „obráncům“ a zvyšuje úspěšnost kyberútoků.
Pro české a slovenské firmy a organizace mohou být přitom inovativní metody boje proti kyberútokům nezbytností. Přes 90 % respondentů totiž v průzkumu uvedlo, že útoky jsou stále sofistikovanější. Dobrou zprávou naopak je, že význam kyberbezpečnosti si uvědomuje stále více firem. Zatímco loni bylo těch, pro které je kybernetická bezpečnost nejvyšší prioritou, 43 %, letos je to již 58 %.
Přesto v průzkumu 20 % firem uvedlo, že nemají žádný formální plán nebo pokyny pro případ kybernetického incidentu. Formální akční plán, který popisuje, co dělat v případě útoků, může být přitom pro boj proti nim klíčový. Zatímco u firem, které ho měly vytvořený, se jich útoku neubránilo jen 14 %, u těch, které ho neměly, to bylo už 24 %. V průměru bylo úspěšných necelých 20 % kyberútoků. To je v našich podmínkách poměrně vysoké číslo, které ukazuje, že následky útoku musela řešit každá pátá společnost v Česku nebo na Slovensku.
Nejčastějším typem kyberútoku byl loni phishing. Setkalo se s ním 8 z 10 podniků a organizací. To je zřejmě i důvod, proč jsou v oblasti kybernetické bezpečnosti hlavními tématy lidská selhání a edukace zaměstnanců. Naopak s ransomwarem se setkalo méně firem a organizací než loni, zde byl zaznamenán pokles zhruba na polovinu. O něco nižší byla i evidence útoků prostřednictvím malwaru.
Nejčastější příčinou úspěšného kyberútoku je přitom podle 72 % dotazovaných klikání na podezřelé odkazy nebo reakce na podezřelé zprávy. S tím úzce souvisí problematika krádeží digitální identity. Právě její ochrana může u důležitých lidí ve firmě předejít krádeži či zneužití dat.
Správci firemních IT systémů se také musejí potýkat i s nárůstem administrativy, zejména v souvislosti s implementací směrnice NIS2. Ta se týká více než poloviny dotazovaných subjektů, ze kterých už tři čtvrtiny jsou na nová pravidla připraveny. Na druhé straně ale víc jak čtvrtina těch, které průzkum oslovil, zatím neví, jestli se jich bude týkat, nebo o ní dokonce ještě vůbec neslyšeli. Směrnice je přitom již platná a firmy mají povinnost dodržovat stanovená pravidla.
Mezi oblasti, kterým se zatím česká a slovenská IT oddělení věnují poměrně málo, patří kybernetická bezpečnost v dodavatelském řetězci. Tato sféra je zatím poněkud podceňována. 61 % společností a organizací se o kybernetickou bezpečnost svých dodavatelů příliš nezajímá. Jen 19 % jich ověřuje úroveň IT bezpečnosti u všech dodavatelů a 20 % u svých klíčových dodavatelů. Zbytek se spoléhá na to, že jejich obchodní partneři mají bezpečnost dobře zajištěnou. V rámci ověřovacího procesu se firmy a organizace nejčastěji spoléhají na dotazníky (52 %), smlouvy (20 %) nebo certifikaci ISO (10 %). Pouze 15 % jich má automatizovaný systém.
„Průzkum potvrdil, že nároky na kybernetickou bezpečnost neustále narůstají. Je pochopitelné, že pro část firem jde o velmi náročnou agendu, která by vyžadovala navýšení personálních stavů i financí pro jednotlivá IT oddělení. Jako logické řešení se ale v takových případech nabízí outsourcing,“ vysvětluje Barbora Tyllová.
Na bezpečnost se zaměřila i technologická společnost Mastercard a poskytuje komplexní bezpečnostní řešení na míru firmám i státní správě. Za posledních 5 let Mastercard investoval 7 miliard dolarů do kybernetické bezpečnosti a schopností umělé inteligence a každých 10 dní monitoruje až 19 milionů subjektů, aby zhodnotil míru jejich kybernetického ohrožení. Jejich bezpečnostní technologie Safety Net Mastercard již zabránila potenciálním ztrátám ve výši 20 miliard dolarů, které by způsobily pokusy o globální podvody a kybernetické útoky na síť Mastercard.
Mastercard nabízí nástroj ID Theft Protection, který ohraňuje identitu uživatelů. Nepřetržitě kontroluje jejich identitu proti krádeži nejen na veřejně dostupných webech, ale i tzv. deep či dark webu. Pokud ke krádeži identity dojde, uživatel je okamžitě upozorněn.
RiskRecon umožňuje kontinuální a velmi podrobný audit kybernetické bezpečnosti kterékoli firmy, která je přítomna na internetu. Odhaluje slabá místa v IT systémech, hodnotí rizika a dává doporučení, jaké ochranné prvky zavést, aby se zákazník co nejlépe ochránil.
NuDetect využívá pasivní biometrii pro ověřování transakcí. Jeho inteligentní algoritmus se dokáže naučit, jak konkrétní uživatel pracuje se svým telefonem nebo počítačem a na základě pohybů po obrazovce nebo úderů klávesnice rozpoznat, jestli se zařízením pracuje skutečně on. Může fungovat buď jako náhrada, nebo doplněk běžného biometrického ověření pomocí otisku prstu nebo skenu obličeje.
Ekata slouží k ověřování digitální identity pomocí umělé inteligence. Finanční instituce díky tomu dokážou rychle odhalit falešně vytvořené účty nebo neoprávněné čerpání bonusů.
Ethoca dokáže efektivně a rychle řešit reklamace. Identifikuje i falešné pokusy a bankám a obchodníkům tak šetří čas. Snižuje vytíženost call center a zbytečné náklady na osobní řešení sporů.
A jak je na tom vaše společnost se securitou? Máte už penetrační testy? Najímáte si na informační bezpečnost externí pracovníky nebo využíváte vlastní týmy? Odkud berete informace o největších hrozbách? A co ISO27001?
Zdroj: tisková zpráva
