Aleš Teska: Za pár let nebude možné bránit firmy bez umělé inteligence
Kybernetická bezpečnost prochází největší proměnou za poslední dekádu. Zatímco útočníci stále častěji využívají umělou inteligenci, firmy se potýkají s nedostatkem odborníků a rostoucím množstvím bezpečnostních incidentů. Podle Aleše Tesky, odborníka na kybernetickou bezpečnost a zakladatele společnosti TeskaLabs, bude budoucnost obrany stát na automatizaci a AI. Právě proto firma vyvinula vlastní AI SIEM, který má nahradit většinu rutinní práce bezpečnostních analytiků.
Proč by dnes firmy měly používat SIEM?
SIEM je nástroj, který pomáhá organizacím odpovědět na jednu zásadní otázku: pohybuje se v jejich infrastruktuře útočník, nebo ne? Ve středních a velkých firmách už není možné sledovat bezpečnost ručně. Útočníci se dokážou skrývat v různých systémech, používají sofistikované techniky a snaží se co nejdéle zůstat neodhaleni. Úkolem SIEMu je sbírat a vyhodnocovat bezpečnostní události napříč celou infrastrukturou a pomoci bezpečnostním týmům odhalit podezřelé aktivity včas. Čím dříve organizace zjistí, že je kompromitována, tím větší má šanci minimalizovat škody. Vedle praktického významu hraje roli i legislativa. Firmy, které dnes již podléhají regulacím v oblasti kybernetické bezpečnosti, mají povinnost vyhodnocovat logy a monitorovat bezpečnostní události. SIEM je dnes jedním z hlavních nástrojů, jak tento požadavek splnit.
Berou už firmy kybernetickou bezpečnost dostatečně vážně?
Situace se výrazně změnila. Ještě před několika lety byla kybernetická bezpečnost poměrně okrajové téma. Dnes se o ní mluví v médiích, řeší ji vedení firem a stala se jednou z priorit při správě IT. Velký kus práce odvedla osvěta. Firmy si stále více uvědomují, že kybernetické riziko není abstraktní problém, ale něco, co může přímo ohrozit jejich provoz, zákazníky i reputaci. Z mé zkušenosti dnes většina organizací chápe, proč bezpečnostní opatření potřebuje. Samozřejmě stále existují firmy, které rizika podceňují, ale jejich počet postupně klesá.
Kam podle vás směřuje kybernetická bezpečnost?
Žijeme v době umělé inteligence a kybernetická bezpečnost není výjimkou. AI zásadně ovlivňuje obě strany – útočníky i obránce. Na straně útočníků umožňuje vytvářet sofistikovanější útoky, automatizovat jejich přípravu a výrazně zvýšit jejich objem. To, co dříve vyžadovalo tým lidí, může dnes zvládnout výrazně menší skupina podporovaná umělou inteligencí. Na druhé straně stojí obrana. Ta se už dnes potýká s nedostatkem kvalifikovaných odborníků. Pokud budou útoky stále více automatizované, nebude možné jim čelit pouze lidskou prací. Obránci budou muset využívat stejné technologie jako útočníci. Myslím si, že za několik let bude použití umělé inteligence v kybernetické bezpečnosti naprosto samozřejmé. Nebude to konkurenční výhoda, ale nutnost.
Kdy jste si uvědomili, že AI musíte integrovat i do svých produktů?
Přibližně v druhé polovině roku 2025. Do té doby byla umělá inteligence pro většinu lidí spojená hlavně s konverzačními nástroji. Najednou ale začaly vznikat modely schopné vykonávat konkrétní akce a řešit reálné úlohy. Bylo zřejmé, že nejde o krátkodobý trend, ale o zásadní technologickou změnu. Uvědomili jsme si, že pokud chceme našim zákazníkům poskytovat efektivní ochranu, musíme tuto transformaci reflektovat i v našich produktech. Nešlo o to být první za každou cenu. Šlo o to nezaspat. Útočníci totiž rozhodně nečekají.
V čem se AI SIEM liší od tradičního SIEMu?
Klasický SIEM potřebuje zkušeného operátora. Potřebuje člověka, který rozumí kybernetické bezpečnosti, umí analyzovat události, hledat souvislosti a vyhodnocovat rizika. Takových lidí je na trhu dlouhodobě nedostatek. AI SIEM tento problém řeší automatizací. Velká část činností, které dnes vykonávají bezpečnostní analytici, je ve skutečnosti rutinou. Jde o opakující se procesy, které mají jasná pravidla a postupy. Právě v tom je umělá inteligence velmi silná. Dokáže pracovat nepřetržitě, bez únavy, bez ztráty koncentrace a ve stále stejné kvalitě. Naším cílem je automatizovat naprostou většinu operací, které jsou nutné pro každodenní provoz SIEMu. Tam, kde dnes sedí člověk a vykonává rutinní práci nebo často taky vůbec nesedí nikdo, může tuto činnost převzít AI.
Znamená to, že firmy už nebudou potřebovat bezpečnostní specialisty?
To určitě ne. Pořád bude potřeba člověk, který rozhodne o dalším postupu, nastaví strategii nebo vyřeší složité incidenty. Rozdíl je v tom, že nebude muset trávit čas rutinními úkoly. U středně velkých firem může AI SIEM umožnit, aby bezpečnost zvládal běžný IT tým bez nutnosti zaměstnávat specializovaného analytika. Ve velkých organizacích pak výrazně zvyšuje produktivitu bezpečnostních oddělení.
Jak jste se ke kybernetické bezpečnosti vůbec dostal?
Moje profesní cesta vedla přes vývoj softwaru a korporátní prostředí. Zažil jsem období, kdy do firem začaly ve velkém pronikat mobilní aplikace. Technologicky to nebyl problém. Mnohem složitější bylo zajistit, aby se nové technologie používaly bezpečně. Najednou se do korporátních sítí připojovala celá řada zařízení, která přinášela nové typy rizik. Právě tehdy jsem si uvědomil, že oblast bezpečnosti bude čím dál důležitější. A tak vznikla společnost TeskaLabs. Od začátku jsme se zaměřovali na bezpečnost rozsáhlých podnikových infrastruktur. Postupně jsme portfolio rozšiřovali od zabezpečení mobilních aplikací přes IoT až po oblast log managementu a SIEM systémů.
Jaké produkty dnes tvoří jádro společnosti?
Naší vlajkovou lodí je SIEM platforma a nově také AI SIEM. Právě tam dnes vidíme největší potenciál. Vedle toho nabízíme také řešení SeaCat PKI zaměřené na aplikovanou kryptografii a bezpečnou komunikaci zařízení. Tato technologie se využívá například v inteligentních dopravních systémech, při komunikaci vozidel s infrastrukturou nebo v energetice. Podílíme se například na projektech souvisejících s bezpečnou komunikací chytrých zařízení kritické infrastruktury.
Jak bude podle vás vypadat obrana proti útokům za několik let?
Dnešní bezpečnostní nástroje jsou založené na tom, že poskytují přehled o dění v infrastruktuře. Shromažďují data, upozorňují na anomálie a předávají informace člověku, který je následně interpretuje. Jenže právě lidský analytik se postupně stává úzkým hrdlem celého procesu. Současné modely umělé inteligence jsou stále schopnější propojovat informace z různých zdrojů, vytvářet souvislosti a vyhodnocovat situace. Dostáváme se do bodu, kdy AI nebude pouze detekovat útoky, ale bude schopná také samostatně navrhovat a provádět reakce. Ještě před několika lety by to znělo jako science fiction. Dnes už je to realistický scénář.
Znamená AI také větší hrozbu?
Jednoznačně ano. Útočníci získávají nástroj, který je mimořádně kreativní a dokáže vytvářet nové varianty útoků. Mnoho dnešních bezpečnostních systémů stojí na detekčních pravidlech založených na známých vzorcích chování. Pokud ale AI začne každý útok mírně upravovat a přizpůsobovat, účinnost těchto pravidel bude postupně klesat. Proto si myslím, že jedinou dlouhodobě funkční odpovědí je opět umělá inteligence. Obrana bude muset být dostatečně inteligentní na to, aby dokázala rozpoznat i zcela nové a unikátní typy útoků, které klasická pravidla nikdy neviděla. A právě to bude podle mě největší změna, kterou kybernetická bezpečnost v následujících letech zažije.



















