VZDĚLÁVÁNÍ ZAMĚSTNANCI SOCIÁLNÍ INŽENÝRSTVÍ ROZHOVOR

Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Kateřina Dobrá
11. 12. 2025

Jaké psychologické metody používají kyberútočníci v nátlaku na vaše zaměstnance? A proč tak často naletí muži v produktivním věku? I o tom jsme mluvili s kyberpsychologem Janem Šmahajem, který donedávna působil na Univerzitě Palackého v Olomouci.

Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Zkoumáme interakce člověka a technologií

Čím se zabývá kyberpsychologie?

Já vždycky říkám, že se zaměřuje na psychologické důsledky interakce člověka s digitálními technologiemi. Snaží se pojmenovávat nejen negativní dopady, ale nabízet i pozitivní řešení. Je to vlastně součást digitální gramotnosti, kde se ten psychologický moment nemůže opomíjet, pokud chceme určitým procesům souvisejícím s kyberprostorem porozumět. Jinak v České republice kyberpsychologie zažívá širší zájem zhruba v posledních patnácti letech.

Kyberpodvodníci umějí dostat člověka do podřízeného postavení, časové tísně, využít toho, že svou oběť překvapí, zaskočí. Nedovolí vám žádnou distanci od vyvolané situace, naopak vás do ní dál vtahují, abyste ztratili kontakt s vnější realitou.

Jan Šmahaj
kyberpsycholog

A předpokládám, že vám práce ubývat nebude…

To ne, ale bude to zároveň větší a větší výzva. Kyberpsychologie do sebe musí neustále integrovat aktuální poznatky řady oborů. Nejenom z oblasti digitálních technologií, ale třeba i z ekonomie. Neustále se setkáváme s novými situacemi a tématy, ve kterých se musíme rychle zorientovat. Ten vývoj je hodně dynamický. A nástup umělé inteligence to ještě zvýraznil.

Je právě nutnost sledovat aktuální technologický vývoj něco, co kyberpsychologii odlišuje od klasické psychologie?

Ono to bez toho nejde ani v klasické psychologii. Vlastně ve všech vědeckých oborech byste měli vstřebávat aktuální impulsy. Ale rozumím, kam tou otázkou míříte. První reakcí na nějaký nový fenomén je vždycky potřeba ho odborně uchopit, popsat a zjistit, jak široce se v populaci vyskytuje. A pak na základě toho přijít s doporučeními, která mají minimalizovat dopady, a navrhnout následné kroky a preventivní opatření.

Cílem útočníků je oběti dostat pod tlak

Phishing a obecně sociální inženýrství je i díky zapojení umělé inteligence čím dál sofistikovanější. Jak se na praktiky podvodníků díváte z psychologického hlediska?

Minimálně velmi dobře ovládají základní principy manipulativní komunikace. Umějí dostat člověka do podřízeného postavení, časové tísně, využít toho, že svou oběť překvapí, zaskočí. Nedovolí vám žádnou distanci od vyvolané situace, naopak vás do ní dál vtahují, abyste ztratili kontakt s vnější realitou. Využívají i toho, že oběti jsou často přesvědčené, že se jim nic podobného nemůže stát.

Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Zobrazit článek

Dosáhla sofistikovanost útoků bodu, kdy už se jim ani nelze na té individuální, osobní rovině účinně bránit?

Myslím, že zatím ne. Ale určitě je třeba pro firmy lepší spoléhat se na technická opatření než na lidský faktor. Nicméně i ten jde posilovat a trénovat.

Co je v tom posilování nejefektivnější?

Má to několik rovin. Zaprvé firemní kultura, respektive dobré pracovní klima. Zaměstnanci, kteří jsou přetížení, nedaří se jim držet work-life balance, nemluvě o bossingu, mobingu nebo šikaně mezi kolegy, podlehnou útoku snadněji. Naopak vyspělá firemní kultura přispívá k otevřenější komunikaci, větší ochotě sdílet různé varovné signály a vůbec svého zaměstnavatele chránit. A hlavně, když je zaměstnanec v pohodě, je pro útočníka složitější ho dostat pod tlak, který je pro manipulaci klíčový.

Další rovinou je kontinuální práce firem s tématem kyberbezpečnosti. Od pravidelných a efektivních školení po nacvičování reakcí na incidenty.

Začíná to už známou metodou Stop – Look – Think neboli Zastav se – Podívej se – Přemýšlej. Trénujme lidi, aby se před kliknutím na odkaz, otevřením přílohy nebo odpovědí do telefonu na chvilku zastavili. Podívali se kriticky na odesílatele zprávy nebo cílovou adresu, kam vede odkaz. A přemýšleli, jestli zpráva dává smysl, jestli se na nás druhý nesnaží tlačit nebo jestli situace odpovídá běžné praxi ve firmě.

Lákavý terč: muži kolem padesátky

Možná atraktivnějším cílem pro kyberpodvodníky než senioři nebo mladá generace jsou dnes lidé na vrcholu produktivních sil. Řekněme muži kolem padesátky. Jaké pro to máte vysvětlení?

Především disponují finančními prostředky a ve firmách mají přístup k citlivým informacím. A zároveň jsou to lidé sice na vrcholu sil, ale také zatížení spoustou starostí, které tříští jejich pozornost. Takže z hlediska maximalizace zisku jsou pro podvodníky ideálním cílem.

Produktivní věk u mužů také souvisí s tím, že věci delegují na ostatní. Už si neudržují přehled ve všech oblastech. A pak můžou být v některých situacích paradoxně bezbranní. Často jsou to velcí specialisté na jednu konkrétní věc, ale jinde mohou orientaci postupně ztrácet.

A do třetice se muži v tomto věku cítí nezasažitelní, nezranitelní. Nepřiznávají si vlastní chyby, protože pohled do zrcadla vlastní nedostatečnosti je pro ně už moc náročný. Často jej neviděli u svých otců nebo mentorů, neměli se to od koho naučit. A v neposlední řadě si ani neumějí v krizi říct o pomoc.

A jak jsme mluvili o sofistikovanosti sociálního inženýrství: Máme i výzkumně změřeno, že když je na druhé straně hovoru žena, muži v tomto věku jí věnují průměrně více času. A čas je to, co podvodníci umějí dokonale využít.

Dnešní padesátníci jsou poslední generací, která se s nástupem počítačů a internetu setkala až v dospělosti. Hraje to nějakou roli?

Ono se to nabízí: že když se někdo narodí do digitálního věku, třeba po roce 2000, tak je jeho kompetence pohybovat se bezpečně v kyberprostoru automaticky vyšší. Ale ono to tak úplně není. Má to totiž ještě kvalitativní rozměr.

Je hodně lidí 45+, kteří jsou hybateli celého IT sektoru, protože těží právě ze své zkušenosti, řekněme moudrosti. A nastupující generace sice může vyrůstat v digitálním věku, ale primárně se pořád učí od generace předchozí, takže tam není automaticky náskok.

Samozřejmě, starší lidé, kteří vyrůstali na tužce a papíru, často neproniknou do digitálního přemýšlení. Ale zároveň třeba u mladé generace vidíme čím dál častěji podobný odklon od kyberprostoru, snahu vrátit se do analogového světa. Ať už z environmentálních, nebo osobních pohnutek.

Prostě je to všechno trochu složitější.

Starejte se o své kyberbezpečnostní experty. Hrozí jim vyhoření

Zobrazit článek

Ještě jednou se vrátím k sofistikovanosti sociálního inženýrství. Jak důležitá je v tomto expertíza? Je kyberbezpečák proti útokům imunní, nebo podvodníci volí natolik univerzální psychologické postupy, že se obětí může snadno stát i on?

Expert má ty výstražné kontrolky samozřejmé lépe vytrénované, kyberbezpečnost má pořád v povědomí. Ale zároveň si dovedu představit, že na něj míří mnohem sofistikovanější útoky. Také se mluví o stoupající úrovni stresu, pod kterým tito lidé pracují. A nakonec může být pro experta těžké přiznat, že zrovna na svém hřišti selhal, a říct si o pomoc. Takže bych je z opatření zvyšujících odolnost zaměstnanců určitě nevyčleňoval.

Lidé potřebují žít i offline

Odhady hovoří o tom, že obsah na sociálních sítích, který je vytvořený umělou inteligencí, brzy převáží nad obsahem autentickým. Nakolik jsme my lidé naučení automaticky věřit, že to, co vidíme, je reálné?

Fotografie a videa hrají v našem životě významnou roli minimálně od nástupu televize. A my budeme muset pozměnit proces, jakým je vnímáme. Naučit se nevěřit automaticky vlastním očím. Což není úplně nová věc. Ale s nástupem umělé inteligence se do těch situací budeme dostávat častěji.

Společnost bude muset najít nějaký klíč, který udrží oddělené, co je reálné a co je fikce. Věřím, že to dokážeme. Pro začátek se můžeme bavit o regulaci, která zajistí, že AI obrazy budou označené. Nejde o to, zakázat jejich tvorbu, to už by ani nešlo. Ale pojmenovat situace, kdy je dobré k jejich původu přihlížet.

Budeme si také muset zautomatizovat, že s pohybem v kyberprostoru se pevně pojí ověřování zdroje informací i jejich pravdivosti. Hlavně u nejmladší generace se to musí stát novou normou. Proto bychom to měli děti učit už ve školách. Částečně se to děje. Ale i v osnovách musí platit, co platí u kyberpsychologie, že je nutné držet krok s vývojem, který se pořád zrychluje.

AI může Čechům pomoct s konkurenceschopností

Zobrazit podcast

Mluvil jste o trendu, kdy část mladých lidí z kyberprostoru utíká. Bude právě s přemírou umělých obrazů růst poptávka po autenticitě?

Na individuální rovině už to vidíme. Když jeden z těch dvou světů převáží, začneme mít tendenci to vyvažovat. Volíme digitální detox nebo psychohygienu.

Vzpomeňte si na covidové období. Byli jsme docela dlouhou dobu izolovaní jeden od druhého, potkávali jsme se jenom online, pracovali jsme na dálku z home officů. Zjistili jsme, že je internet úžasný nástroj. Ale stejně nám chybělo podat druhému ruku, zastavit se s někým na ulici, jít do hospody na pivo. Toužili jsme po „návratu k normálu“.

Kyberprostor je dnes pro mladou generaci významný socializační činitel, vrůstají v něm do společnosti. Ale ukazuje se, že to sociální interakce v reálném světě nenahradí. Člověk se potřebuje vztahovat k druhým naživo. A vždycky to tak bude.

Co si z článku odnést?

Kyberpsychologie je mezioborová a dynamicky se rozvíjející disciplína, která zkoumá interakce člověka s digitálními technologiemi.
Sociální inženýrství je čím dál sofistikovanější. Podle Jana Šmahaje je však stále možné se proti němu bránit i na individuální úrovni. Pomáhá vyspělá firemní kultura a pravidelná školení a testování.
Možná nejatraktivnějším terčem kyberpodvodníků jsou dnes muži na vrcholu produktivních sil. Disponují finančními prostředky i citlivými informacemi. A neradi přiznávají chybu.
V souvislosti s rozvojem AI budeme muset najít klíč, jak oddělit uměle vytvořené obrazy od těch autentických.
I covid ukázal, že fungovat jenom online jde proti lidské přirozenosti a že se potřebujeme potkávat naživo.