AI mění kyberútoky. Firmy na to nejsou připravené, říká Filip Štolle

Firmy napříč Evropou čelí rostoucím kybernetickým hrozbám, které se zrychlují i díky nástupu umělé inteligence. Zároveň se připravují na nové regulatorní požadavky, které však samy o sobě nezaručují skutečnou odolnost. Filip Štolle, Managing Director společnosti axelum, v rozhovoru navazuje na témata letošní konference Axelum Security Day a popisuje, jak se mění charakter útoků, proč se stírá hranice mezi jednotlivci a firmami a co dnes rozhoduje o tom, zda organizace útok ustojí.

Na konferenci Axelum Security Day jste mluvil o aktuálním stavu kyberbezpečnosti. Jak byste dnes popsal bezpečnostní situaci ve světě a její dopady na firmy v Evropě?

Svět je podle mě výrazně nebezpečnější než dřív a kyberprostor je jen další rovinou probíhajících střetů. Firmy v Evropě se už nemohou tvářit, že stojí mimo. Útoky jsou častěji dlouhodobé, tiché a zaměřené na infiltraci i přípravu na budoucí zásah.

Mění se podle vás v posledních letech i charakter samotných kyberútoků? V čem jsou jiné než před několika lety?

Kyberkriminalita se profesionalizovala a v mnoha případech funguje jako dobře řízený byznys. Zároveň se vše výrazně zrychluje, hlavně díky AI, která usnadňuje přípravu útoků, mutace malwaru i škálování kampaní. To, co dříve trvalo dny, je dnes často otázka hodin.

Často se říká, že hranice mezi útoky na jednotlivce a na firmy se postupně stírá. V čem se to podle vašich zkušeností projevuje nejvíce?

Útok na firmu dnes často začíná přes člověka, jeho mobil, soukromé zařízení nebo identitu. Techniky jsou v zásadě stejné, jen se liší vstupní bod. Automatizace navíc umožňuje útočit plošně na jednotlivce i organizace zároveň, bez složitého výběru cíle.

Velkým tématem jsou nové regulatorní požadavky, zejména NIS2 a DORA. Co tyto změny znamenají v praxi?

Bezpečnost už není dobrovolná disciplína. Regulace přinášejí nejen povinnosti a pokuty, ale i osobní odpovědnost vedení. Management proto musí bezpečnost řešit jako součást řízení firmy, ne jako okrajové IT téma, které lze plně delegovat na specialisty.

Odborníci upozorňují, že jejich splnění automaticky neznamená skutečnou bezpečnost.  Setkáváte se s tím ve své praxi také?

Ano. Plnění regulace  a skutečná bezpečnost spolu souvisejí, ale nejsou totožné. Firma může mít správné dokumenty a přesto nebýt dobře chráněná, pokud opatření v praxi nekontroluje, netestuje a průběžně nezlepšuje. Rozhoduje realita, ne jen formální shoda a dobře napsané směrnice. Útočníci se bohužel předpisy neřídí.

Jak velký rozdíl bývá mezi teoretickými bezpečnostními opatřeními a realitou, kterou odhalí Red Team při simulaci reálných útoků?

Podle našich zkušeností často velmi velký. Opatření mohou na papíře vypadat dobře, ale skutečný útok ukáže, zda fungují jako celek a zda lidé vědí, co mají pod tlakem dělat. Proto je realistické testování typu Red Team tak důležité i pro vedení firmy a krizové řízení.

Jak podle vás mění AI kybernetické hrozby i způsob, jakým se proti nim organizace brání? 

AI zvyšuje kapacitu obou stran. Jeden člověk dnes s její pomocí zvládne práci, na kterou dříve bylo potřeba více lidí. V krátkodobém horizontu ale zatím více pomáhá útočníkům, protože ti nesou menší riziko špatného rozhodnutí a mohou mnohem rychleji experimentovat. 

Když se podíváte na firmy napříč různými sektory, jaké problémy v oblasti kyberbezpečnosti řeší dnes nejčastěji?

Firmy často investují do technologií, ale chybějí jim lidé, procesy a jasné odpovědnosti. Výsledkem bývá roztříštěnost, izolovaná řešení a slabá schopnost reagovat. Často tedy nechybí nástroje, ale schopnost je smysluplně řídit, propojit a skutečně používat.

Jaké kroky by měly organizace udělat, aby byly na hrozby v příštích letech lépe připravené?

Myslím si, že by měly využít tlak regulace k reálnému zlepšení bezpečnosti, ne jen k tvorbě dokumentů. Potřebují jasné odpovědnosti, větší důraz na třetí strany a celkovou strategii. Bezpečnost musí řídit jako celek, ne po izolovaných částech a samostatných projektech.

Medailonek 

Filip Štolle, CISA, CISSP, je odborník na informační bezpečnost s více než 20 lety zkušeností. Působil na klíčových projektech v bankovnictví, energetice, maloobchodu i státní správě. Mezinárodním klientům pomáhá s návrhem a zaváděním systémů řízení bezpečnosti informací, optimalizací procesů a implementací konkrétních bezpečnostních opatření. Současně je generální ředitel společnosti Axelum s.r.o. a vede tým více než 20 bezpečnostních specialistů, také vyučuje informační bezpečnost na vysoké škole. Ve své práci čerpá z hlubokých technických zkušeností v oblastech penetračního testování, technických auditů a forenzní analýzy, kterým se v minulosti aktivně věnoval.