Pozor na ChatGPT. Kyberšmejdi tam mohou ukrást leccos, varuje šéfka firmy z fondu J&T

Ještě donedávna byla společnost Alintrust známá pod názvem Thein Security. Začátkem února došlo nejen ke změně jejího názvu, ale také vlastnické struktury. Společnost se osamostatnila od skupiny Thein zakladatele Tomáše Budníka, která se aktuálně nachází ve velkých finančních problémech, a zůstává v portfoliu fondu J&T.

Od tohoto kroku si firma působící nyní pod svým novým názvem slibuje navýšení akvizičních cílů, kdy už letos plánuje koupit některé konkurenční společnosti. Předpokládá nejen růst tržeb, které předloni dosáhly téměř 400 milionů korun, ale také navýšení počtu zaměstnanců. Stávající tým tvoří padesát kyberbezpečnostních expertů, kteří pomáhají řadě velkých firem se zabezpečením počítačových systémů, dat či procesů. Množství kybernetických útoků totiž narůstá a s tím i poptávka po odpovídající obraně, přibližuje v rozhovoru generální ředitelka společnosti Alintrust Irena Hýsková.

Je dnes kyberbezpečnost pro české firmy velké téma?

Určitě se tu za poslední roky udělal velký posun. V minulosti byla oblast kybernetické bezpečnosti hodně podceňována a možná to může být i vlivem války na Ukrajině, kdy se firmy v tomto směru posunuly dopředu. Je tady celá řada společností, které mají mezinárodní přesah nebo mají opravdu edukovaný management, a ty do toho investují nejenom peníze, ale i čas. Bohužel je tady stále i hodně menších firem, které to odkládají.

Ta změna tedy přišla zejména u velkých nadnárodních firem?

Přesně tak. Přece jenom je to hodně o investicích a financích a velké společnosti a firmy v oblasti kritické infrastruktury si uvědomují, že to může být nejenom technický problém, když jste pod nějakým útokem, ale zejména přijdete o byznys. To znamená i finanční problém, a hlavně možnou ztrátu reputace. Velké firmy si to mohou dovolit, ty menší spíše vyčkávají a váhají, přestože kybernetických útoků poslední roky extrémně přibývá. Pouze 11 procent všech firem v Česku se nesetkalo s kybernetickým útokem.

Od 1. listopadu platí v Česku nový zákon o kybernetické bezpečnosti, který transformoval do legislativy evropskou směrnici známou jako NIS 2. Jaké hlavní změny přináší?

Úplně nejdůležitější je to, že management a jednatelé firem nesou osobní odpovědnost za kyberbezpečnost, což je ve výsledku nutí do té infrastruktury investovat. Zároveň už nelze zametat pod koberec, že došlo k útoku na firmu, ale je povinnost to reportovat. Pokud je společnost pod nějakým kybernetickým útokem, musí to od určité závažnosti nahlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Když je pak nějaký útok třeba na bankovní infrastrukturu, tak NÚKIB hned ví, že je tu nějaká skupina, která se snaží ochromit fungování státu. Tato povinnost se zavedla, protože mnoho společností se to snažilo ututlat. Nechcete přiznat, že jste pod kybernetickým útokem, protože mnoho lidí tomu příliš nerozumí a firmy se bojí, že ztratí reputaci. Další důležitou změnou je povinnost dlouhodobé a koncepční přípravy podniků na tyto hrozby. Samozřejmě je tu druhá strana mince, a to že firmy to stojí nemálo peněz. Větší firmy se na to připravují dlouhodobě, pro ty menší je to však zatěžující.

A mají menší firmy ty požadavky volnější?

Ano mají, na to ten nový zákon myslel. Menší společnosti musejí reportovat jen v opravdu závažných případech. Nejpřísnější podmínky mají velké strategické společnosti, například v oblasti energetiky nebo financí. Problém spíše je, že malé firmy zpravidla nemají osobu dedikovanou na kyberbezpečnost, neumějí si připravit strategii a spíše vyčkávají. Zároveň se také často domnívají, že se jich tyto problémy netýkají.

Jak se vy osobně na tuto novou legislativu koukáte?

Ačkoliv ty regulace občas bývají diskutabilní, tak musím říct, že nový kybernetický zákon velmi podporuji. A to nejen kvůli tomu, že je to byznys, kterým se zabýváme, ale myslím si, že je to opravdu velmi nutná změna, protože poslední roky v souvislosti s válkou na Ukrajině cílí kybernetické útoky na určité infrastrukturní obory, například na telekomunikace, energetiku či na jiné klíčové obory pro fungování celé společnosti.

Asi tři roky zpátky tu byl velký útok na všechny tři mobilní operátory a v ten moment si nezavoláte, pokud ta firma nemá kvalitní kyberbezpečnostní infrastrukturu. Stejně takhle cílili podobným způsobem na poskytovatele internetového bankovnictví, takže se nedostanete ke svým penězům. Proto tuto regulaci kvituji, jelikož nutí k lepšímu zabezpečení klíčových segmentů.

Irena Hýsková

Irena Hýsková, generální ředitelka společnosti Alintrust | Zdroj: e15 Michaela Szkanderová

Manažerka s dlouholetými zkušenostmi v oblasti telekomunikací. Šest let pracovala na vedoucích pozicích ve Vodafone, následně čtyři a půl roku v O2.  Od září 2021 je generální ředitelkou společnosti Thein Security, která nedávno změnila vlastnickou strukturu a přejmenovala se na Alintrust.

Podle NÚKIB počet kybernetických útoků v Česku roste, jejich závažnost se nicméně snižuje. Vidíte to stejně?

Počet rozhodně roste, otázka zůstává, jak je reportovaná ta závažnost, protože tohle se české firmy stále učí. A jak jsem zmiňovala, PR a dopad na zákazníky tady má velký vliv, takže člověk se snaží tu závažnost v rámci parametrů udělat tak, aby se dostal do nižší skupiny. Nový kybernetický zákon říká, že závažnost incidentů se bude kontrolovat. Takže až za čas, třeba za rok nebo za dva, bych teprve hodnotila, jestli to tak je, nebo není.

Jakou roli dnes hraje v oblasti kyberbezpečnosti umělá inteligence (AI)?

Umělá inteligence je v současné době v celé řadě technologií využívaných v oblasti kybernetické bezpečnosti. Například my máme ve firmě dohledové centrum, kdy zákazníkům nonstop monitorujeme prostředí a všechny naše nástroje používají umělou inteligenci. To množství událostí a incidentů je tak velké, že by to už lidský faktor ani sám nezvládal.

AI je samozřejmě dvousečná zbraň. Na jednu stranu nám velmi pomáhá k tomu, abychom se bránili a byli připraveni proti útočníkům, na druhou stranu útočníci ji velmi aktivně používají, což znamená, že ty technologie se musejí neustále rozvíjet, protože hackeři nikdy nespí. A čím vy máte sofistikovanější obranu, tím oni mají sofistikovanější útok.

Reagujete spíše vy na promyšlenější metody útočníků, nebo naopak oni reagují na vaši důmyslnější obranu?

Tím, že používáme automatizační metody a vidíme incidenty, které se dějí, tak nám se ten nástroj sám učí z těch útoků. Na druhou stranu útočníci budou vždy o krok napřed a my musíme dělat koncepční opatření tak, abychom o kybernetických útocích včas věděli.

Jaké typy kyberútoků vedených proti firmám jsou dnes nejčastější?

Nejčastější jsou stále útoky na lidi, to znamená na zaměstnance formou phishingu, kdy se útočník vydává za důvěryhodnou osobu či instituci s cílem vylákat citlivé údaje. To teď slyšíme úplně všude. Fakticky není nikdo, kdo by se s tímto typem útoku nesetkal. Je to ale pořád nejlepší způsob, jak prorazit, protože člověk je nejslabší článek.

Proto i firmy investují tolik do vzdělávání a tréninků v této oblasti. Nejčastější forma útoku je hlášení, že nejde zadat dovolená, že jste dovolenou přečerpali nebo cokoliv se mzdou. Vždycky na to ti lidé kliknou. Pak se také pořád objevují útoky na technologie. Typy útoků se příliš nemění, ale jsou sofistikovanější.

AI boomers: přichází nová generace miliardářů. Kdo v posledních letech zbohatl díky umělé inteligenci?

Technologie a média

Jaké je obecně v české populaci povědomí o kybernetické bezpečnosti? Zvyšuje se?

Bohužel si myslím, že je to méně zajímavé téma pro běžnou populaci, jelikož je těžko vysvětlitelné, a proto se tomu lidé nechtějí příliš věnovat. Určitě by se měla zvýšit edukace. Je dobře, že se o tématu píše v médiích, ale problém je ve školách, kde to začíná. Současná generace dětí sice běžně používá mobily a počítače, ale edukovaná ve školách není. Situace se sice mírně zlepšuje, ale stále to není ideální. Výuka by měla být daleko více koncepční.

Odkud by tedy primárně mělo to vzdělávání pramenit?

Možná jsem příliš přísná, ale myslím si, že první edukace by měla přijít ze strany rodičů a rodiny, prostě jen nedávat těm dětem do ruky bezmyšlenkovitě mobil.

Co když ale ani rodiče o kyberbezpečnosti nic nevědí?

Já to beru tak, že za děti máme odpovědnost my, takže i já jako rodič bych si na toto téma měla něco načíst a zjistit. Souhlasím, že by měl pomoci i vzdělávací systém a stát, ale není to jen jeho odpovědnost. Myslím si, že i firmy do těch školení hodně investují a zaměstnanci by to neměli brát jako zátěž, ale jako příležitost učit se. A oceňuji také velice dobrou osvětu ze strany bank.

Co dnes lidé často dělají v oblasti kyberbezpečnosti špatně?

Mnoho lidí používá zdarma dostupné nástroje umělé inteligence, jako je například ChatGPT, a dávají tam neskutečné množství svých osobních dat a už si neuvědomují, že AI je může použít někde jinde. Lidé takto pouštějí do světa mnoho údajů a na druhé straně to můžou útočníci snadno vzít. Tohle je záležitost, kterou lidé zatím příliš nevnímají jako problém, ale opak je pravdou.

Kde je tedy ta červená linie? Co už by lidé s chatovacími AI nástroji řešit neměli?

Obecně pokud si to člověk může jenom trochu dovolit, tak doporučuji zaplatit si placenou verzi těchto aplikací. Když už, tak vkládat obecné věci beze jmen, bez údajů, bez názvů firem, bez jakýchkoli identifikačních údajů. Spousta lidí si tam naskenuje dokument a nechává si ho přeložit. Tam jsou všechny údaje, jméno, příjmení, mnohdy číslo účtu. Rozhodně tyhle věci nedoporučuji nikdy dávat ven. Je to stejné jako nechat otevřené dveře do bytu a nechat tam kohokoli vstoupit.

Zmiňovala jste placené verze těchto aplikací. Když si ji člověk zaplatí, jak moc narůstá míra bezpečnosti?

Rozhodně je to uzavřenější a podle podmínek se nesmějí ty informace dostávat do veřejného prostoru. To znamená, že daná umělá inteligence to pak nepoužívá směrem ven. Samozřejmě to ale neznamená, že když si zaplatím třeba ChatGPT, tak je dobré tam nahrát veškeré osobní údaje, to jednoznačně ne. Vždy je důležité nad tím přemýšlet, co tam chci uvést, a uvědomit si, jestli vám to potom někdy nemůže uškodit.

Na co dnes kybernetické útoky v běžném životě nejčastěji cílí?

Jdou hlavně po osobních financích a po osobních datech z mobilů, protože lidé tam mají dnes všechno. A tím, že lidé na sebe spoustu věcí řeknou, právě třeba prostřednictvím AI, tak se ti útočníci mohou naučit ty návyky. Když teď třeba chodí esemesky typu „ahoj, mami, pošli mi peníze“, je důležité nereagovat, zastavit se a zamyslet se, jestli je to běžné, nebo ne. Jakmile pak člověk zprávu rozklikne, je tam nějaký odkaz, na ten také klikne, tak pak povolí útočníkovi přístup ke svým datům. Hackeři se snaží vytvořit nátlak.

FLOW:Falešný bankéř i policista. Kyberšmejdi drtí Čechy, vytáhli z nich letos už 1,5 miliardy, říká Petr Zíma z České spořitelny

FLOW: Falešný bankéř i policista. Kyberšmejdi drtí Čechy, vytáhli z nich letos už 1,5 miliardy • Zdroj: e15

Máme v Česku dostatek kybernetických expertů?

Nemáme a je to velký problém nejenom v Česku, ale po celé Evropské unii. Souvisí to s tím, že ten obor je náročný. Odborníci musejí mít dlouhodobé zkušenosti a musejí se kontinuálně rozvíjet. Tím, že útočníci stále zvyšují kvalitu útoku, tak i obrana se musí neustále koncepčně rozvíjet. Neuděláte odborníka z někoho, kdo projde rychlokurzem. Ti lidé se musejí celoživotně vzdělávat, a navíc se obor kyberbezpečnosti velmi rychle vyvíjí.

Pak je tu ještě druhý klíčový aspekt, proč těch odborníků není dostatek. Ta práce totiž není náročná jen technicky, ale také psychicky. V současné době, kdy v Evropě vidíme trend work-life balance, tak lidé chtějí víc volna, ale útočník se neptá kdy. Zaútočí večer, o víkendu, o Vánocích, na silvestra během vaší dovolené. Tam potom záleží na rychlosti reakce a firma nemůže být 14 dní pod útokem, protože její expert je na dovolené.

A je dostatek možností tento obor studovat?

V minulosti jich bylo velmi málo, teď už se objevují, ale na to, jak je to poměrně žhavé téma, je to pořád málo. Ale třeba na pražském Smíchově je velmi dobrá střední průmyslová škola a už máme i obory na vysokých školách. Vzhledem k počtu odborníků, který bychom potřebovali, to však není dostatečné.

Je práce kyberbezpečnostních expertů obecně dobře ohodnocená vzhledem ke své náročnosti?

Myslím že určitě ano. Otázka je, kolik energie je člověk ochotný do toho dát. Troufám si však říct, že zaplacená opravdu je, i vzhledem k nedostatku lidí na trhu práce.

Odkud dnes kyberbezpečnostní útoky nejčastěji pramení?

Bývají to velké organizované skupiny, které to dělají jednoznačně s cílem vydělat si. Pokud takováto sofistikovaná skupina útočí, tak to dělá jenom pro peníze. Některé útoky mají samozřejmě politický aspekt, kdy útočníci chtějí ochromit nějakou státní instituci, ukázat, že třeba Česká republika nesouhlasí s něčím, tak odstaví nějaký státní web, to jsou vyloženě politické aspekty, ale daleko více jsou to organizované zločiny, kdy se potom vždycky útočník ozve a vydírá společnost, protože má nějaké její data.

Ekonomické důvody jsou tedy častější?

Určitě, a potom nastupuje to vydírání typu „pokud mi nezaplatíte nějakou částku, tak my zveřejníme vaše data“.

Dají se útočníci vytrasovat?

V drtivé většině případů ne.

Hodně se mluví o tom, zejména od začátku války na Ukrajině, že kybernetické útoky jdou převážně z Ruska. Je tomu tak?

U útoků s politickým podtextem určitě, ale trasovat konkrétního útočníka jako fyzickou osobu, pokud ví, jak pracovat, se v podstatě nedá.