Kyberbezpečnosti vládne AI. Bohužel i na straně útočníků
Nemocnice vyřazené z provozu, zablokované ovládání větrných elektráren nebo miliony vyplacené na výkupném za obnovu zašifrovaných dat – k více či méně závažným incidentům dochází v kybernetickém prostoru každý den. Kybernetické zabezpečení se sice neustále zlepšuje, ale stejně tak i techniky útoků. A pomáhá jim i umělá inteligence.
České podniky a organizace jsou pod neustálou palbou kybernetických útočníků, a dokonce jsou mnohem ohroženější než většina evropských firem. Podle kyberbezpečnostní společnosti Check Point vzrostl ve třetím čtvrtletí loňského roku počet kybernetických útoků na české firmy a instituce meziročně o 69 procent na hrozivých 2153 útoků týdně. Evropský průměr je přitom „pouze“ 1557 útoků. Nejčastějším cílem jsou vzdělávací a výzkumné instituce následované vládními, vojenskými a zdravotnickými organizacemi.
AI v rukách kyberzločinců
Motivem většiny kyberútoků je finanční zisk – ať už z prodeje odcizených citlivých dat, nebo z výkupného při vyděračských útocích. A právě ransomwarové útoky jsou dnes jednou z největších kyberbezpečnostních hrozeb, která postihuje firmy hned na několika úrovních. Útočníci totiž data napadené organizace nejen zašifrují a zničí jejich zálohy, aby podnik vyřadili z provozu, ale také je nejdřív odcizí, aby hrozbou zveřejnění citlivých informací zvýšili tlak na zaplacení výkupného.
A funguje to celkem spolehlivě, alespoň podle zjištění dodavatele bezpečnostních řešení Sophos. Podle jeho nedávné studie třetina napadených firem, které neměly jinou možnost obnovy dat, poslala ransomwarovým vyděračům v přepočtu až šest milionů korun. Další třetina až čtyři miliony. Výkupné je ale zpravidla jen malou částí celkových nákladů na obnovu provozu. Podle Sophosu dosáhly loni tyto náklady v průměru bezmála 80 milionů korun – skoro dvojnásobek oproti předchozímu roku.
Ransomwarových útoků navíc stále přibývá, i díky relativně snadné dostupnosti nástrojů, se kterými může napadení provést i jen trochu zdatnější začátečník. Současně se rozvíjí černý trh se službami typu Ransomware-as-a-Service, kdy za provedení útoku na vybraný cíl stačí v podstatě jen zaplatit domluvenou částku. A stále častěji se do hry zapojuje také umělá inteligence, která pomáhá vytvářet sofistikované podvržené zprávy (tzv. phishing), rozesílané s cílem získat přihlašovací údaje pro vstup do podnikových systémů.
Nový zákon o kybernetické bezpečnosti
Druhé čtení v Poslanecké sněmovně koncem ledna posunulo do dalšího kroku legislativního procesu návrh nového zákona o kybernetické bezpečnosti. Ten do české legislativy přenáší požadavky evropské směrnice NIS2, která ukládá firmám i dalším organizacím nové povinnosti s cílem zvýšit jejich odolnost proti kybernetickým hrozbám a podpořit kontinuitu jejich provozu. Podle zákona bude mít nově hned několik tisíc takzvaných povinných subjektů celou řadu povinností při řízení rizik, dodržování bezpečnostních standardů nebo hlášení incidentů. Typicky jde o poskytovatele elektronických komunikací a digitálních služeb nebo organizace z oboru bankovnictví, zdravotnictví, vodohospodářství nebo energetiky, jejichž výpadek vlivem kybernetického útoku by mohl mít vliv na chod státu. Po schválení nového zákona budou mít povinné subjekty na splnění nových povinností dalších 12 měsíců.
Kromě phishingu se AI rostoucí měrou zapojuje také do dalších typů kybernetické agrese. Jde například o takzvané BEC (business e-mail compromise) útoky, kdy se kyberzločinci vydávají za manažery firem a posílají falešné příkazy k vyplacení peněz na své účty. S nasazením AI se od velmi sofistikovaně podvržených e-mailů dostáváme do sféry telefonických hovorů a videokonferencí, kdy útočníci zfalšují hlas i obraz a jménem manažerů „osobně“ zadávají příkazy k platbám.
Bez správně nastavených procesů a opakovaného ověřování příkazů je ochrana proti podvrhům vytvořeným pomocí AI, stejně jako proti stále kvalitnějšímu phishingu, velmi složitá. I proto bude hlavním úkolem při zajištění kybernetické bezpečnosti v následujících letech identifikace podvrženého obsahu vytvořeného pomocí AI.
Bezpečí už nezaručuje ani VPN
Nepřetržitý vývoj kybernetických hrozeb nutně vede i k zastarávání technologií, na něž se dříve obránci podnikových sítí spoléhali. Některé přitom zaniknou úplně, jiné jsou nahrazeny jejich vyspělejšími a na současné hrozby adaptovanými nástupci.
Například klasické antivirové programy, které rozpoznávají škodlivý kód na základě vzorků uložených ve své pravidelně aktualizované databázi, fungovaly dříve celkem spolehlivě. V době rychle mutujícího malwaru jsou ale jejich aktualizace vždy nejméně o krok pozadu. Funkci antivirů přebírají obranná řešení typu EDR a XDR, která využívají technologii strojového učení a detekují hrozby na základě neobvyklých aktivit softwaru.
Také ověřování oprávněného přístupu na základě potvrzovacího kódu, zaslaného prostřednictvím e-mailu nebo SMS (tzv. MFA), plnilo dlouhou dobu zcela zásadní úlohu při zabezpečení uživatelských účtů. Sofistikovaný phishing, zahlcení požadavky na ověření nebo útoky typu man-in-the-middle, kdy agresor dokáže infiltrovat cestu od uživatele ke službě, k níž se přihlašuje, ale tyto způsoby ověřování značně oslabují. Bezpečnější varianty MFA proto spoléhají na autentizační aplikace a biometrii.
Nové technologie vyžaduje také vzdálené připojení k podnikovým systémům. Dnes stále používané virtuální privátní sítě (VPN) zažily svoji největší slávu v době koronavirové pandemie. Současně se ale také staly terčem kyberútočníků, kteří odhalili a dodnes zneužívají slabé stránky této technologie. Nástupcem je technologie ZTNA, takzvaný přístup k síti s nulovou důvěrou, kdy je průběžně ověřován každý uživatel a každé zařízení. Pokročilé systémy ZTNA navíc dokážou odhalovat anomálie v chování zařízení a uživatelů a včas zastavit pokusy o neoprávněný přístup.
Sláva vítězům, čest poraženým
Jednou z největších slabin kybernetického zabezpečení, ale současně i jeho základním prvkem jsou hesla. Právě odcizení a zneužití hesel patří mezi nejčastější příčiny kybernetických útoků – a přitom ani není tak důležité, jak jsou hesla složitá nebo jak často se mění, protože je kyberzločinci získají prostřednictvím phishingu. Budoucnost jednoznačně směřuje k zabezpečení bez hesel, která nahrazují například přístupové klíče a biometrické ověřování.
A jako neúčinná se ukazují také školení o kybernetických rizicích. Jen málokterý kancelářský pracovník jimi v posledních letech opakovaně neprošel a stále více organizací také nárazově testuje své zaměstnance, jestli dokážou rozpoznat podvržený e-mail, nebo phishingu podlehnou a vyzradí své přihlašovací údaje či jiné tajemství. Nic z toho bohužel nefunguje. Alespoň podle údajů společnosti Netscope, která zjistila, že v loňském roce na odkazy v podvržených e-mailech kliklo v průměru 8,4 z každých 1000 uživatelů. To představuje bohužel skoro trojnásobný nárůst z 2,9 uživatele v roce 2023. Kvůli zneužívání AI útočníky jsou i pravidelně školení zaměstnanci stále častěji bezbranní. Pomoci může jedině pokročilá technologie na straně obránců, která zajistí automatickou detekci a reakci.
Pokud bychom tedy měli jmenovat jednoznačného vítěze závodů mezi obránci a útočníky v kybernetickém prostoru, je to bezpochyby právě umělá inteligence – ale bohužel ve službách světlé i temné strany síly. AI pomáhá zásadně snižovat práh nezbytných znalostí, jazykovou bariéru i náklady kyberútočníků, protože odvede spoustu „špinavé“ práce. A na druhé straně je pouze díky zapojení AI a strojového učení do nepřetržité analýzy provozu v infrastruktuře IT možné hned v počátku odhalit a zastavit potenciálně drtivé kybernetické útoky.
