Český kyberparadox: bojíme se, ale chybí nám zodpovědnost
ECHO SALON
Češi se obávají kybernetických hrozeb, nicméně spoléhají na štěstí nebo na to, že je ochrání někdo jiný. Téměř každý druhý se setkal s pokusem o podvod, většina ale stále nepoužívá ani dvoufaktorové ověření a hesla nemění. Přesto to prý není ani zdaleka tak zlé. V Salonu Týdeníku Echo debatovali Jana Brežná, Cyber Security Consulting Expert z T-Mobile Czech Republic, Lucie Jahnová, ředitelka divize kybernetické bezpečnosti v Seyforu, a Jan Pich, senior manažer kybernetické bezpečnosti v EY Česká republika.
Na úvod, pane Pichu – když jsme tuto diskusi domlouvali, zaznělo od vás, že máte nový průzkum, který dobře ilustruje aktuální situaci. V prvním kvartálu letošního roku odhalil, že 96 % Čechů se obává kybernetických hrozeb, avšak 87 % z nich zároveň nedělá nic pro svou ochranu. Pouze 19 % si myslí, že by za svou bezpečnost měli odpovídat sami. 63 % lidí nepoužívá dvoufaktorové ověření, 87 % pravidelně nemění hesla. Je to takový „český kyberparadox“?
Pich: Ano, myslím, že tak by to šlo nazvat. Více než 90 % lidí v České republice považuje kybernetickou bezpečnost za důležitou, ale očekávají, že ji za ně zajistí někdo jiný. Mezi nejdůvěryhodnější instituce patří banky, které investují do kybernetické bezpečnosti dlouhodobě a jsou v tom viditelné, což je logické.
Brežná: Z mé zkušenosti platí, že lidé vědí, že je kyberbezpečnost důležitá, ale spoléhají na to, že ji za ně vyřeší někdo jiný. Banky to vnímají, ale spousta firem řeší kybernetickou bezpečnost rovněž – jen zůstávají v pozadí.
Jahnová: Když se něco stane, často se o tom vůbec nemluví. V médiích se objeví jen běžné phishingové kampaně. Když dojde ke zneužití identity banky, většinou se to rychle medializuje. Ale existují i jiné bezpečnostní incidenty, k nimž dochází mimo bankovní sektor – ve zcela běžných firmách. A tam mám pocit, že převažuje snaha problém ututlat. To je podle mě škoda – z chyb by se ostatní mohli poučit.
Pomáhají odstrašující příklady v médiích? Co je tím spouštěčem, kdy lidem začne svítit varovná kontrolka, že se mají začít chránit?
Pich: Myslím si, že největší dopad má osobní zkušenost. Čím dál častěji se objevují útoky, které s institucemi nemají nic společného, třeba falešné zprávy přes WhatsApp. Lidé o nich musí vědět a měli by vědět, jak se bránit. Komunikace je v tomto ohledu naprosto klíčová.
Brežná: Ty informace na internetu jsou, ale otázkou je, kde je hledat. Jsou roztříštěné a často schované. Lidé nemají chuť číst negativní zprávy.
Jahnová: Pokud vezmeme běžného uživatele – a je jedno, zda je mu pětadvacet, nebo třicet –, když jde na internet, nehledá informace o aktuálních kybernetických hrozbách, které by ho mohly osobně ohrozit. Hledá hotel, nakupuje, řeší běžné věci. Právě proto si myslím, že aktivita musí přicházet zvenčí – od úřadů nebo jiných institucí, které to téma dostanou do médií, a to jakoukoli formou.
Brežná: Já to vidím maličko jinak. Například kolegové v zahraniční firmě řešili, že se jim nedaří prodávat služby v oblasti bezpečnosti. Rozhodli se vytvořit interní aplikaci, kde obchodníci mezi sebou soutěžili v kvízech zaměřených na kybernetickou bezpečnost. Díky tomu, že do toho zapojili prvky gamifikace – jako je soutěživost a ego –, se o to lidé začali zajímat. A výsledkem bylo výrazné zvýšení prodeje.
Pich: Souhlasím. 55 % lidí uvedlo, že získávají informace právě od bank. Banky tak v informovanosti jednoznačně vedou. Školy nebo státní správa zaostávají. Klasická školení – prezentace na hodinu a následný test – dnes už nestačí. Nejvíc fungují krátká videa a praktické informace.
Jahnová: Ti, kdo neuspějí v testech, se často velmi rychle poučí – dohledají si správnou odpověď, protože chtějí příště uspět. To vymyslel už Komenský – škola hrou. Je to jednoduchý přístup, který pořád platí.
A kdo má podle vás tuto úlohu naplňovat? Řeknete šalamounsky, že všichni?
Brežná: Šalamounsky řeknu: Všichni. Každá instituce má jinou cílovou skupinu. NÚKIB zveřejňuje výborné materiály a odvádí dobrou práci, ale cílí především na bezpečnostní experty. Banky zase oslovují své klienty. Nevím o žádné instituci, která by to dokázala celé zastřešit.
Pich: Bezpečnost by měla být sdílenou odpovědností. Nedá se říct, že je to jen úkol státu nebo firem. Všichni jsme součástí ekosystému. Směrnice NIS2 přímo zmiňuje odpovědnost managementu.
Na druhé straně proti tomu občas jdou jiné iniciativy – například v jednom návrhu nové regulace bylo uvedeno, že banky nesou ultimátní odpovědnost za škody způsobené phishingem. To trochu narušuje princip sdílené odpovědnosti.
Jahnová: NÚKIB může poskytovat rámcová doporučení. Ale každá instituce má jiné potřeby a jiný cíl. Každé školení se musí přizpůsobit specifikům dané organizace. Vedení firem by mělo převzít iniciativu. Role NÚKIBu tu nemůže být všeobjímající.
Brežná: Ráda bych se zeptala. Vidíte na trhu rozdílné chování člověka jako občana a jako zaměstnance?
Pich: Školení by měla obsahovat mechanismy, které zaměstnance povedou k pochopení, že jde o sdílenou odpovědnost. Je důležité, aby se školení rozšiřovala i o běžná témata z každodenního života – jako jsou podvodné kampaně na Bazoši, podvody přes WhatsApp a podobně.
Brežná: Moje zkušenost je spíš opačná – že zaměstnanci respektují pravidla, když jim je firma jasně stanoví. Zaměstnance motivuje i fakt, že při nedodržení pravidel mohou nést důsledky. To v soukromí neplatí – tam chybí jasný dohled i zpětná vazba. Lidé si uvědomují riziko hlavně tehdy, když jde o peníze – například při bankovních podvodech. Ale když se jedná o přihlašovací údaje k e-mailu nebo WhatsAppu, běžní uživatelé to neberou tak vážně. Nevidí přímý důsledek.
Jahnová: Když zaměstnanci vidí, že vedení má výjimky a neplatí na něj pravidla, nechápou, proč by je měli dodržovat oni sami.
Jsou v oblasti legislativy nějaké překážky nebo nedostatky?
Pich: Teď se hodně diskutuje směrnice NIS2. Ale ještě bych se vrátil k regulaci DORA, která už platí pro finanční sektor a je účinná od roku 2023. Co se mi na ní líbilo, je způsob, jak řeší rozdíly mezi institucemi. Princip proporcionality je v tomto ohledu velmi užitečný – umožňuje instituci zohlednit svůj vlastní postoj k riziku, provést analýzu rizik a opatření implementovat podle konkrétní situace.
Jahnová: Podobně to bude fungovat i u NIS2. Tam totiž nově spadne pod regulaci mnohem širší spektrum subjektů. Každá z těchto firem bude muset provést analýzu rizik. Dvanáct měsíců na přípravu se zdá jako dlouhá doba, ale všichni víme, jak rychle uteče rok. Pokud firma s kyberbezpečností teprve začíná a ocitne se najednou na rozcestí, kdy se na ni vztahují zvýšené povinnosti, je to obrovská zátěž – nejen finančně, ale i časově.
Pich: Z průzkumů víme, že firmy plánují navýšit rozpočty na kyberbezpečnost o 30 až 40 %. Ale podle mě tím jen doháníme určitý společenský dluh. Firmy už dávno věděly, že mají chránit své know-how, GDPR tu platí už řadu let. Jen to nebylo dostatečně vymáháno a motivováno. Teď se to mění.
Jahnová: Pro firmy spadající do nižšího režimu bude platit hygienické minimum – tedy základ, který by měla mít každá společnost bez ohledu na to, jestli spadá pod regulaci, nebo ne. Další regulace budou následovat – dnes máme NIS2, brzy přijde NIS3 a možná i další. Takže i na další firmy to časem dopadne. Každá firma dnes totiž nějakým způsobem pracuje s daty, je připojena k internetu. A proto se k tomu bude muset postavit čelem. A podle mě je to dobře.
Teď přejdu k jednomu z aktuálně nejdiskutovanějších témat – trendům a umělé inteligenci. Co dnes považujete za největší reálnou hrozbu z hlediska podvodů nebo kyberútoků?
Brežná: Psychologie útoků se příliš nemění – stále jde o vytvoření stresové situace, využití osobního tématu. Co se ale mění, je sofistikovanost útoků a jejich lepší cílení. Umělá inteligence dokáže generovat texty v perfektní češtině.
Pich: Téměř polovina lidí vnímá umělou inteligenci jako hrozbu, která může snížit úroveň kyberbezpečnosti. Hrozba založená na AI je právě o rychlosti a schopnosti generovat lepší texty, důvěryhodnější videa. Dnes už není problém stáhnout video generálního ředitele z konference nebo politika a pomocí AI jeho hlasem sdělit úplně jiný obsah. Útočníkovi stačí krátký úsek hlasu, aby mohl vytvořit falešnou zprávu, například že naštvaný ředitel požaduje naléhavou platbu po firemní účetní. To vyvolá stresovou reakci a člověk jedná jinak, než kdyby měl čas si to v klidu promyslet.
Jahnová: Je to o vytvoření stresu a nátlaku. Za normálních okolností se člověk chová racionálně, ale pod tlakem reaguje jinak. I člověk, který se profesně věnuje kyberbezpečnosti, může podlehnout, pokud je pod extrémním tlakem nebo v těžké životní situaci. Lidský faktor bude vždy hrát roli. Chybovost tu bude vždy přítomná. Ale právě proto je důležité o těchto situacích mluvit. Odhalovat je, sdílet je.
A může to fungovat i naopak?
Jahnová: Umělá inteligence nemusí být jen zbraní v rukou útočníků. Může být i prostředkem ochrany. Programátoři ji mohou využít pro rychlejší psaní kódu, může pomáhat s tvorbou pravidel pro SIEM systémy, může rychleji identifikovat hrozby, pokud máme kvalitní sdílení informací. Může připravit systémy na útok, včas ho odhalit.
Pich: Nemáte pocit, že vás začíná ovládat? Že ztrácíme určité schopnosti? Já vnímám, že napsat kvalitní mail a různé textace už bez AI pořádně nejde. Vnímám, že AI nám může vzít jisté dovednosti.
Brežná: Umělá inteligence ještě v mnoha oblastech není dokonalá. Někdy si vymýšlí, jen aby potěšila. Je otázka, jestli některé odpovědi a informace nejsou zavádějící a jestli mi nezabere víc času kontrolovat výstup než ho vytvořit sám.
Jahnová: Když máme možnost si práci ulehčit, uděláme to. Pořád to vnímám pozitivně – i když třeba částečně ztrácím nějakou konkrétní dovednost, zároveň získávám prostor rozvíjet jiné. Je to součást evoluce. Mladí lidé to vnímají úplně jinak než my tady u stolu. Vůbec nemají pocit, že by tím něco ztráceli.
Brežná: Umělá inteligence je rozhodně dobrý sluha, ale stále je třeba její výstupy kontrolovat. Bohužel se setkávám i v profesích, kde bych to nečekala – například v právním prostředí –, s tím, že se používají texty vygenerované umělou inteligencí, aniž by si je lidé po sobě zkontrolovali. A pak tam jsou naprosté nesmysly.
Jahnová: To je právě riziko ztráty kritického myšlení. Člověk by k výstupům AI měl přistupovat s respektem a odstupem. Chyba není na straně umělé inteligence – ta pracuje s daty, na kterých se učí. A pokud jí poskytneme nekvalitní vstupy, nemůže z toho vytvořit dokonalý výstup.
Jak jsou na tom úřady, nemocnice – zkrátka veřejná sféra – ve srovnání s ochranou ve firmách? A existují příklady dobré veřejně-soukromé spolupráce?
Pich: Vnímám jako klíčový faktor finance. Ve státní sféře je jiná schopnost zaplatit odborníky než v soukromém sektoru – a to je samozřejmě problém. Stát má v oblasti kybernetické bezpečnosti dvě role: je zároveň regulátorem i regulovaným subjektem.
Jahnová: V takových městech, kde mají IT oddělení o dvou lidech, tam zkrátka nejsou rozpočty na zajištění odpovídající úrovně kybernetické bezpečnosti.
Pich: Ještě vidím velký potenciál v centralizaci služeb. Například jsme diskutovali ve Zlínském kraji možnost vytvoření regionálního centra, protože mají univerzitu – UTB, která má bezpečnostní obory. Právě tady vidím obrovský prostor pro vznik centra sdílených služeb, kde by absolventi zůstávali a pomáhali řešit kyberbezpečnost pro celý kraj.
Brežná: Něco podobného už vzniká v jižních Čechách. Vytvořili pozici tzv. sdíleného úředníka, který obcházel více obcí. Současně tu ale vzniká prostor pro ne zcela kvalifikované odborníky, kteří začínají nabízet své služby.
Jahnová: Nakonec ale nebude jiná možnost, protože na pracovním trhu není tolik odborníků, kolik by bylo potřeba. Buď bude kyberbezpečnost zajišťována jako outsourcovaná služba, nebo se několik měst domluví a společně si najmou odborníka, kterého budou sdílet.
Pich: Dávalo by smysl uvažovat o nějaké formě PPP projektů – podobně jako se to dělá třeba u železnic. Vybudovat centrální monitorovací centrum, které by mohlo být sdílené. V mnoha evropských státech se stát zaměřuje na rekvalifikace – vzdělávání lidí v oblasti kybernetické bezpečnosti. V České republice je například možné získat 50 tisíc korun na bezpečnostní certifikace. Ale bohužel se o této možnosti příliš neví.
Dokážete si každý na závěr tipnout, co budeme v oblasti kyberbezpečnosti v České republice nejvíce řešit v následujících měsících? A existuje nějaká jednoduchá poučka, doporučení, které byste vzkázali běžné firmě nebo občanovi?
Brežná: V nejbližší době budeme nejvíce řešit regulace. Ať už jde o kybernetický zákon, který už je účinný, nebo o zákon o kritické infrastruktuře.
Pich: Jednotlivcům bych doporučil, aby vnímali, že odpovědnost je i na jejich straně. Používáme zařízení, uchováváme v nich citlivá data – pojďme převzít odpovědnost za jejich bezpečnost. Není to jen úkol státu nebo firem. Je to jako s autem – když ho dostaneme, musíme se s ním naučit zacházet, pochopit, jak funguje, a chovat se tak, abychom neohrozili sebe ani ostatní. To za nás žádná regulace ani úřad neudělá. Odpovědnost je na nás.
Jahnová: Přesně tak – odpovědnost.
Brežná: Musíme vidět pozitivní stránku i v tom, že nás některá opatření třeba trochu obtěžují. Přihlášení může trvat o pár sekund déle – ale stojí to za to. Firmy by kyberbezpečnost neměly vnímat jako nepříjemnou povinnost, ale jako příležitost. Můžou si díky tomu udělat pořádek v datech, zajistit jejich ochranu – a tím se i pochlubit.
