Kvalitní kyberbezpečnost může být byznysová výhoda. Umělá inteligence nahrává hackerům, říká expert z PwC
- Pohled českých firem na kyberbezpečnost se začíná měnit, přesto jsou pro většinu hnacím motorem jen regulatorní požadavky.
- Náročné je zejména vysvětlit, proč se do této oblasti vyplatí investovat.
- O tom, že kvalitní kybernetická bezpečnost může být pro podniky byznysovou výhodou, mluvil v rozhovoru pro e15 expert na kyberbezpečnost a partner poradenské společnosti PwC Petr Špiřík.
Kybernetická bezpečnost představuje pro společnosti klíčovou, avšak často podfinancovanou oblast. Současný masivní nástup generativní umělé inteligence navíc nahrává zejména útočníkům, kteří mohou ukrást a zneužít citlivá firemní data. „Dnes umělá inteligence dokáže nejen bleskově vyhledávat zranitelnosti, ale u těch již známých dokáže čas potřebný k vytvoření funkčního zneužití srazit téměř na nulu. Obránci tak ztrácejí čas na vymyšlení, otestování a distribuci opravy do firemního prostředí,“ říká v rozhovoru Špiřík. Přitom zejména tradiční české výrobní firmy mají v oblasti kyberbezpečnosti letitý dluh.
Jakým způsobem dnes firmy nejčastěji řeší svou kyberbezpečnost a celkově zabezpečení?
Je v tom velký rozdíl, a to především v závislosti na tom, jak je firma stará nebo vyspělá. Spousta společností totiž vychází z toho, jak bezpečnost budovaly nikoli poslední dva tři roky, ale třeba deset či dvacet let. Výsledkem je, že se dnes často dostávají do situace, kdy zjistí, že jejich dlouhodobý přístup zkrátka nestačí. Možná to dříve stačilo, v některých případech to nestačilo nikdy a firmy měly jen štěstí – případně smůlu, pokud na to přišly až po úspěšném útoku.
Dnes si ale čím dál častěji přiznávají, že je potřeba změna. Je to dané jak rostoucími kybernetickými hrozbami, tak legislativní regulací. Mnoho firem se tak ocitá znovu na „bodě nula“ a zvažuje, co dál. Je zajímavé sledovat, jak dnes manažeři explicitně říkají, že už nechtějí dělat jen další organický, evoluční posun, ale chtějí se na problém podívat s novou perspektivou a začít od nuly a pořádně.
Když se takto změní vnímání kyberbezpečnosti jako klíčového tématu, jaké kroky pak firma obvykle podnikne?
V zásadě existují dva přístupy, které se nakonec vždy protnou. První je přístup „zdola nahoru“, kdy si firma udělá detailní analýzu rizik. Zmapuje si slabá a silná místa, určí rozdíl oproti požadovanému stavu a sestaví plán, podle kterého postupuje. Druhá varianta vychází z rozpočtu. Firma si určí, kolik peněz může uvolnit, a pak hledá, co za ně dokáže pořídit. Finanční rámec musí samozřejmě dávat byznysový smysl. Pokud má firma čistý zisk 30 milionů korun ročně, nebude investovat 20 milionů do bezpečnosti. Nakonec se to ale vždy potká u klíčové otázky: co za ty peníze můžu dostat a jak je účelně vynaložit? Manažeři nám často na rovinu říkají, že nechtějí být nejbezpečnější na světě, ale chtějí být „tak akorát“ bezpeční. Ptají se, co je dnešní standard, jaká je dobrá praxe nebo jak to dělá jejich přímá konkurence v oboru. Nechtějí být zkrátka tím nejpomalejším kusem ve stádě.
Je toto přemýšlení správné, tedy držet se v tom průměru, nebo se vyplatí investovat do bezpečnosti nad rámec těchto mantinelů?
Srovnávání se s konkurencí nebo s průměrem odvětví může být zavádějící. Pokud jsou na tom v daném sektoru všichni špatně, pak fakt, že se držíte průměru, vás před kybernetickým útokem neochrání. Nedávno to bylo velké téma ve Velké Británii, kde byla během krátké doby zasažena celá řada maloobchodních řetězců – e-shopy, kamenné prodejny i distribuční sítě padaly jedna za druhou. Firmám nepomohlo, že na tom byly stejně jako jejich konkurence, protože ochromeno bylo celé odvětví.
To se stává v dlouhodobě podfinancovaných oborech. U bank se to nepředpokládá, ty do bezpečnosti investují nejvíce a jsou nejvyspělejší, ale v jiných sektorech je to reálné riziko. Vždycky je ale nějaká byznysová realita a firma utratí jen to, co si může dovolit. Někdy se však stane, že tato částka nestačí ani na úroveň dostatečné ochrany. Pak je nutné změnit celé paradigma uvažování a je otázka, jestli je toho firma schopna.
Jak lze managementu a finančním ředitelům vysvětlit, že by měli na kybernetickou bezpečnost vyčlenit větší část rozpočtu?
To je otázka za milion, kterou řeší každý odborník na kyberbezpečnost, ať už v konzultační firmě, nebo v interní roli. Bezpečnost je totiž tradičně vnímaná jako nákladové středisko, které negeneruje žádné peníze a v lepším případě pouze chrání před ztrátou. Dokud se z tohoto schématu nevymaníme, v byznysové rozvaze bude bezpečnost vždy představovat čistou ztrátu. Tento pohled se dá otočit dvěma způsoby.
Prvním je cesta, kterou zvolil například Apple. Udělal z bezpečnosti a ochrany soukromí svou hlavní konkurenční výhodu a otevřeně říká, že data jeho zákazníků nejsou na prodej. Investuje do zabezpečení, protože jeho byznysem je hardware a aplikace, nikoli obchodování s daty. Z bezpečnosti tak vytvořil přímou obchodní výhodu. Podobně by žádný klient nesvěřil peníze finanční instituci nebo biomedicínské firmě, u které by měl pochybnosti o ochraně dat.
Druhým způsobem je vyčíslení hodnoty, kterou bezpečnost chrání. Opět pomůže příklad z Británie, kde došlo k fúzi dvou hotelových řetězců. Větší řetězec koupil menší, ale ukázalo se, že kupovaná firma byla již v době akvizice kompromitovaná. Po dokončení transakce došlo k zašifrování a celá transakce byla výrazně ztrátová pro kupující stranu, protože nevědomky koupila poškozené zboží. Stejně tak průmyslové výrobní podniky, které sice nepracují s citlivými daty a vyrábějí například ocelové komponenty, dokážou přesně spočítat, kolik je stojí den, týden nebo měsíc odstávky výroby. Ztráta se netýká jen samotné produkce, ale i důvěry klientů, kteří kvůli zpoždění dodávek odejdou ke konkurenci. Jakmile tyto finanční dopady dokážete modelovat, máte jasné vodítko, kolik by měla bezpečnost stát. Ale je to těžká část strategické kybernetické bezpečnosti, jak se bavit o penězích.
Pomáháte ve vaší praxi firmám vyčíslovat tyto finanční dopady, aby reálně viděly hodnotu zabezpečení?
Ano. Nejlépe to funguje u manažerů, kteří už podobnou zkušenost mají nebo ji viděli u svých kolegů. Když finanční ředitel zažije zasažení ransomwarem (škodlivý software, pozn. aut.) a vidí, co to udělá s hospodařením firmy, už to nikdy nechce opakovat. Strach z těch dopadů je silný motiv. Dalším je ochrana osobní reputace. Žádný ředitel nechce vypadat jako nekompetentní. Někteří klienti jdou dokonce tak daleko, že se poptají na trhu a řeknou: „Vím, kolik mého konkurenta stálo zvládnutí nedávného kybernetického incidentu. To je částka, kterou jsem ochoten investovat do prevence, aby se mi nestalo totéž.“ Je to pro ně přímé finanční měřítko.
Jsou incidenty hlavním spouštěčem, nebo existují i jiné faktory, které dnes firmy nutí přemýšlet o kyberbezpečnosti jinak?
Z našich dlouhodobých průzkumů a statistik vychází jedno poněkud tristní rozdělení: 60 procent firem řeší bezpečnost čistě proto, že musí – kvůli compliance, regulacím, zákonům či průmyslovým standardům. Třicet procent firem reaguje na konkrétní incident, který potkal je nebo někoho v jejich bezprostředním okolí. A pouze deset procent investuje do bezpečnosti proto, že věří, že je to tak správně. Tento poměr se v průběhu let tolik nemění. Platí to zejména pro Evropu, která je silně regulovaná. V Americe se klade větší důraz na byznysový výkon, ale v našem prostředí je legislativa extrémně silným tahounem.
Patří mezi tyto hybatele i stále poměrně nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2?
Extrémně. Zároveň je to jasně ohraničené v čase. Drtivá většina byznysových lídrů a ředitelů bezpečnosti v České republice mi otevřeně říkala, že o tématu vědí, ale začnou ho reálně řešit až den poté, co bude legislativa schválená. Do té doby, než je známé finální znění textu a přesné termíny platnosti, považují investice za finančně nezodpovědné. To je čistě regulatorní pohled. Pak je tu menšina osvícenějších, kteří si uvědomují, že až začnou legislativu narychlo řešit všichni, na trhu nebudou volní konzultanti ani experti. Proto raději začínají s předstihem, aby si včas zarezervovali kapacity, protože vědí, že s implementací bude spousta práce.
Jakou roli hraje současná geopolitická nejistota a válečné konflikty, zejména válka na Ukrajině? Spustily tyto události větší zájem o bezpečnost, nebo je to pro běžné firmy stále příliš abstraktní hrozba?
Abstraktní to rozhodně není, geopolitická situace má na firmy přímý dopad. Týká se to zejména společností, které jsou konfliktu blízko z byznysového či geografického hlediska – například měly vazby na Ukrajinu, Rusko nebo Bělorusko. Stejně tak evropské firmy z obranného průmyslu jako celek si plně uvědomují, že jsou v hledáčku protivníků. Totéž platí pro kritickou infrastrukturu. U firem, které vyrábějí potraviny nebo spotřební zboží, je toto specifické riziko samozřejmě menší. Právě na hodnocení rizik a hrozeb v konkrétním kontextu dané firmy staví směrnice NIS2 nebo DORA z hlediska finančních regulací. Výrobce dřevěného nábytku a strategický dodavatel energetické bezpečnosti mají zcela odlišné rizikové profily, i když mohou mít podobný obrat nebo stav IT infrastruktury.
Zmiňoval jste, že bankovnictví se bezpečnosti věnuje dlouhodobě. Které sektory naopak rizika nejvíce podceňují?
Jednoznačně výrobní sektor. Pro Česko, často označované za montovnu Evropy, je to obrovské téma. Pro tradiční výrobní podniky kyberbezpečnost dlouho nebyla prioritou. Řešily logické byznysové otázky: kde sehnat levné suroviny, lidi nebo stroje do hal. Počítače a datová úložiště stály na vedlejší koleji. Dnes ale i tradiční průmysl prochází masivní digitalizací, která s sebou nevyhnutelně přináší zranitelnost. Ta přitom není volitelná – kdo dnes moderně neřídí energetiku, skladové zásoby nebo finance, ztrácí konkurenceschopnost. S rostoucí digitalizací však prudce stoupá expozice vůči útokům, a to nejen pro samotnou firmu, ale i pro její dodavatelský řetězec. Řízení rizik v dodavatelských vazbách je nesmírně složité a právě výrobní firmy v něm mají největší technologický dluh.
Vnímáte u těchto výrobních podniků snahu technologický dluh dohánět?
Snaha tu je, ale řada z nich se nachází v extrémně složité situaci. Rostou jim ceny energií, které jsou pro výrobu klíčové, a čelí levné konkurenci z Číny. Najít za této situace volný kapitál na digitální transformaci a s ní spojenou transformaci bezpečnosti je těžká byznysová rovnice. Často bojují o ziskovost a bez fúze, akvizice nebo vstupu silného investora se cítí v pasti. Dokážou sice vyškrábat prostředky na drobné, dílčí úpravy, ale my jim na rovinu říkáme, že to stačit nebude. Pokud před sebou tlačíte patnáct nebo dvacet let technologického dluhu, dětské krůčky vás nezachrání, musíte udělat velký skok. Někdy je dokonce levnější a efektivnější postavit celou IT infrastrukturu na zelené louce znova a moderně, než se snažit postupně opravovat a látat systémy z devadesátých let.
Jak hluboko už do oblasti kyberbezpečnosti pronikla umělá inteligence a jak klíčovou roli v ní dnes hraje?
V kybernetické bezpečnosti hraje AI zásadní roli už relativně dlouho. Automatizace, strojové učení, vyhodnocování pravděpodobností nebo orchestrace systémů zde byly dávno před boomem současných velkých jazykových modelů. Technologie generativní AI tuto inovační křivku pouze posunula o kus dál. Spousta nízko visícího ovoce už je dnes vysbíraná nebo je integrovaná přímo do samotných produktů. Moderní antivirus v sobě má prvky AI zabudované přímo od výrobce, nemusí ho tam dodávat externí konzultant.
Stále je ale v oblasti kybernetické bezpečnosti spousta profesí, které doplňují to, co ta technologie dnes ještě nezvládá: detekce a analýza bezpečnostních incidentů, vyhledávání zranitelností a jejich záplatování nebo schopnost porozumět složitým regulatorním rámcům a aplikovat je na konkrétní byznys. To jsou oblasti, v nichž se všichni snaží pomocí umělé inteligence nahradit lidskou sílu. AI zde přebírá repetitivní, nezajímavou a otravnou práci, kterou lidé dělali jen proto, že technologie dříve nebyla dostatečně vyspělá. Pro firmy je to úspora nákladů a posun technologické úrovně. Lidská síla se v kyberbezpečnosti přesouvá k úkolům s vyšší přidanou hodnotou, kde umělá inteligence stále selhává.
Jaké další činnosti dokázala generativní umělá inteligence převzít nebo výrazně zautomatizovat?
Zde se bohužel dostáváme na odvrácenou stranu mince. Obrovským problémem je radikální zkrácení času mezi identifikací softwarové zranitelnosti a jejím zneužitím. Historicky to fungovalo tak, že výzkumník objevil chybu v kódu, klasifikoval ji a výrobce softwaru měl podle závažnosti týden, měsíc nebo dva na to, aby vydal opravu, než útočníci přišli na způsob, jak chybu prakticky zneužít. Samotná zranitelnost neznamenala okamžité zneužití. Dnes ale umělá inteligence dokáže nejen bleskově vyhledávat zranitelnosti, ale u těch již známých dokáže čas potřebný k vytvoření funkčního zneužití srazit téměř na nulu. Obránci tak ztrácejí čas na vymyšlení, otestování a distribuci opravy do firemního prostředí. Tento infrastrukturní problém vnímám jako mnohem nebezpečnější než fenomén fake news nebo AI generovaných vizuálů.
AI je tedy zjevně dvousečná zbraň. Jak mohou obránci získat čas zpět? Jde to vůbec?
Nabízí se logická odpověď: pokud útočníci používají AI ke zrychlení útoků, obránci musí udělat totéž. To však s sebou nese riziko dystopického scénáře zbrojních závodů AI versus AI, kde se z rozhodovacího procesu vytratí lidský faktor, což má vážné praktické i teoretické dopady. Útočník má navíc výhodu, že nemusí řešit vedlejší škody při neúspěchu, zatímco obránce ano.
Cesta proto spíše vede přes celkovou změnu designu systémů a jejich integraci, aby obránci získali čas na architektonické úrovni. To znamená, že když útočník úspěšně zneužije zranitelnost v jedné části IT infrastruktury, nesmí to ochromit celou firmu. Zde se uplatňují koncepty jako Zero Trust a snaha o minimalizaci dopadu incidentu. Do kyberbezpečnosti se tak dostává koncept odolnosti. Musíme přijmout fakt, že nikdy nebudeme stoprocentně chráněni před každým útokem navždy. Systémy ale musí být nastaveny tak, aby napadení vyvolalo okamžitou imunitní reakci, lokalizovalo škody a organizace se dokázala sama nebo s pomocí bezpečnostního týmu rychle oklepat a fungovat dál. Bezpečnost už nelze vnímat černobíle optikou „jsem, nebo nejsem hacknutý“, ale musíme se zaměřit na zvládání dopadů a rychlou obnovu.
Jak se z vašeho pohledu změnila kyberbezpečnost za posledních deset let a s jakými požadavky se na vás firmy dnes nejčastěji obracejí?
Jsou to dvě různé věci. Pokud jde o celkový vývoj, dříve platila mantra, že útočník má vždy navrch, protože mu stačí uspět jednou, zatímco obránce musí uspět pokaždé. Před několika lety jsem byl optimističtější, protože obránci poprvé získali viditelnost a kontrolu nad svým prostředím a dokázali být efektivnější než útočníci. Měl jsem pocit, že jsme na vrcholu možností kyberbezpečnosti. S nástupem AI ale cítím, že mají opět navrch útočníci.
Největší změnu v požadavcích firem však vidím v zásadním posunu myšlení. Management si dnes konečně dokáže připustit, že jedou na „mrtvém koni“. Uvědomují si, že bezpečnost budovaná patnáct let pouze drobnými úpravami zkrátka nefunguje, nikdy nefungovala, a pokud v tom budou pokračovat, skončí to špatně.
K této reflexi je dovedla realita posledních let. Zlomová byla covidová pandemie, která způsobila masivní nárůst kyberkriminality. Byznys se tehdy bleskově přesunul do online prostoru, kde se najednou koncentrovalo obrovské množství peněz, což přitáhlo pozornost. Tradiční organizovaný zločin navíc kvůli omezení fyzického pohybu lidí a kontrabandu neměl jinou možnost než transformovat své kriminální aktivity do digitálního světa. Pro spoustu firem – ať už vyrábějí mléčné produkty, stoly nebo papír –, které dříve kybernetické riziko tiše akceptovaly a spoléhaly na to, že o ně nikdo neprojeví zájem, byla tato vlna jasným varováním. Pochopily, že pravděpodobnost napadení vzrostla na neakceptovatelnou úroveň.
