CIO Agenda 2023: Mějte kyberbezpečnost jako top prioritu
Michaela Látalová
07. 03. 2023
Počet kyberútoků vzrostl od začátku pandemie o 80 %. Průměrný náklad datového úniku se pohybuje okolo 4,24 milionu dolarů. Připočítejte fakt, že množství informací v příštích 2 letech vzroste o 450 %, a důvod, proč udělat z kyberbezpečnosti svou prioritu, je na světě.
I o tom byl již sedmý ročník konference CIO Agenda, který proběhl 21. 2. v O2 Universu. Akce svedla dohromady více než dvě stovky šéfů IT a zástupců top managementu českých firem. Mise byla jasná – všechny přednášky se točily okolo kybernetické bezpečnosti.
Jaké poznatky si z konference odnáší Radek Šichtanc, náš ředitel bezpečnosti a zároveň jeden z řečníků CIO Agendy? „Osobně se mi nejvíce líbily přednášky, které se zabývaly technickým pohledem na kyberbezpečnost. Třeba hned ta první od kolegů ze Cyber Rangers.“
Sám se zhostil přednášky s názvem „Jste to opravdu vy? Aneb jak technologie pomáhají odhalovat podvodníky“. Představil, co všechno bere v potaz umělá inteligence, když hledá mezi zákazníky O2 potenciální neplatiče, i jak hlasová biometrie ve službách O2 call centra identifikuje podvodníka, i když změní hlas. Pootevřel také téma budoucnosti v podobě eSIM, které mezi posluchači velmi rezonovalo.
Konferenci otevřeli Cyber Rangers
Skvělým startem konference byla přednáška etických hackerů Jana Marka a Daniela Hejdy ze společnosti Cyber Rangers. Mluvili o loňských útocích, které mířily na Microsoft, Lastpass a české Ředitelství silnic a dálnic. A popsali svůj pohled na konkrétní chyby firem v jejich reakci na incidenty. Právě ta podle nich nebyla v řadě případů ideální.
V dopoledním bloku se objevil i major Richard Valiček, vedoucí oddělení kybernetické kriminality Policie ČR. Mluvil o 95% nárůstu počítačové kriminality během loňského roku. Více než 18 500 nahlášených skutků týkajících se kyberpodvodů tvořilo 10 % celkové trestné činnosti. Představil nejčastější případy, které oběti nahlašují – jde hlavně o inzertní podvody, falešné bankéře a všechny druhy phishingových kampaní včetně tzv. BEC/SEO podvodů. Apeloval na to, že je nutné útok nahlásit co nejdříve a především nikdy nemazat žádná data.
Právě jeho přednášku hodnotí Radek Šichtanc jako velký přínos k tématu celé konference: „Byl to pohled trošku z jiné strany, a to na samotné vyšetřování kybernetických incidentů. Z přednášky de facto vyplynulo, že pachatele je nejen velmi těžké dopadnout, ale následně i postihnout. Vyšetřování totiž často zahrnuje nutnost mezinárodní spolupráce – a to celou věc velmi komplikuje. Na rozdíl od normálního zločinu se ten kybernetický dá potrestat velmi těžko. Proto je důležité se snažit, aby ke škodě vůbec nedošlo. Prevence je prostě na prvním místě.“
Vzdělaní zaměstnanci jako základ prevence
Technická opatření a schopný IT tým mají ve firmách rozhodně velkou váhu. Důležitou složkou prevence kyberútoku jsou však i běžní zaměstnanci. A právě ti mohou udělat nejvíce chyb.
„Je zaměstnanec nejslabší článek? Rozhodně ne. Jen se do něj málo investuje,“ říká Jan Marek ze Cyber Rangers. „Proces vzdělávání zaměstnanců často nemá koncepci. Musí být kontinuální, mít jasnou strukturu a hlavně být pozitivní. A pro všechny. Nesmíme vynechávat ani management, ale ani IT administrátory.“
Příkladem nejtypičtějšího útoku, který míří přímo na zaměstnance, jsou už zmíněné phishingové kampaně. A jak je pro hackera „jednoduché“ jejich pomocí firmu infiltrovat, demonstroval Martin Haller, CEO firmy Patron IT. Na konkrétních příkladech ukázal podvody s falešnými fakturami k uhrazení. A bylo jasné, že rozeznat podvodný e-mail od toho skutečného bude čím dál složitější.
„Phishingové e-maily, které na své přednášce ukazoval pan Haller, se vás snaží zmanipulovat. Útočník předpokládá, že uděláte chybu. A pokud nejste pozorní, opravdu se můžete chytit. Proto je školení zaměstnanců určitě nutné. Musí se naučit identifikovat základní udičky. Phishing je stále propracovanější. Dnes už ho nepoznáte podle špatné lingvistiky nebo gramatiky. I tak ale existují indicie, na které si musíme dávat pozor. Phishingový e-mail ve vás chce vyvolat pocit urgence, časového tlaku. Bude obsahovat podezřelé odkazy. Ty můžete ověřit najetím ukazatele myši, aniž na odkaz kliknete. Nutné je také podívat se do hlavičky e-mailu a zkontrolovat skutečnou adresu odesílatele. Právě k odhalení těchto a mnohých dalších indikátorů podvodného e-mailu by školení mělo sloužit. Základ je – nic nedělat ve spěchu,“ dodává k problematice Radek Šichtanc.
Umělá inteligence: pomocník, nebo nepřítel?
V odpolední panelové diskuzi se na pódiu sešel Red Team, Blue Team a Legal Team. První měl za úkol reprezentovat stranu, která útočí. Ten zastalo duo etických hackerů ze společnosti Cyber Rangers. Druhý, modrý tým byl sestaven z ochránců kyberbezpečnosti. Ty reprezentoval Jiří Sedlák, manažer bezpečnostního dohledového centra O2, a Jan Vala, Lead Value Engineer z firmy OpenText. V třetím týmu byli zástupci „práva“ Richard Valiček, vedoucí oddělení kybernetické kriminality Policie ČR, a Jindřich Kalíšek, advokát a mediátor.
Jedno z nosných témat debaty byla AI technologie. Mluvilo se o tom, jak pomáhá útoky rozpoznat, ale hlavně o jejím zneužívání pro získávání dat a designování v podstatě dokonalých kyberútoků. Řešilo se i to, za jak dlouho už nebudeme schopní rozeznat deepfake video od reality a kdo je ve firmě zodpovědný za téma kyberbezpečnosti. „Manažer kyberbezpečnosti je podle mě ta role, která má téma ve firmě evangelizovat a začlenit ho do fungování společnosti. Umí totiž posoudit dopady případného úspěšného útoku do byznysu firmy. To on by měl být decision maker a provoz pak už je možné outsourcovat. Třeba někým, jako jsme my,“ shrnuje Jiří Sedlák, manažer dohledového centra O2.
Nebát se a nenechat se okrást
Mottem konference bylo „Nebát se a nenechat se okrást“. Nebát se udělat správné kroky k bezpečné přítomnosti i budoucnosti. „Kybernetické útoky jsou tu s námi už více než deset let. Tehdy byla obrana proti nim nízká. Troufám si říct, že se tato situace výrazně mění. Důkazem toho jsou i konference jako CIO Agenda, je o ni rok od roku vyšší zájem a místa jsou pravidelně vyprodaná. Útoky budou přibývat, budou složitější, bude těžší je odhalit. Kybernetická bezpečnost u firem již řadu let figuruje mezi top třemi prioritami. Důležité je, aby to nebylo jen na papíře, ale skutečně se to projevilo také v praxi,“ shrnuje konferenci Radek Šichtanc.
Proto se nebojte, že je příliš složité kyberbezpečnost ve vaší firmě vyřešit. Nebojte se, že se investice do ní nevyplatí. Nepřemýšlejte nad tím, jestli jste příliš malí nebo moc velcí. Pro hackery jsou atraktivní veškerá data, ať už máte firmu malou či velkou.
Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.
Byl pro vás článek užitečný?