Menu
KYBERBEZPEČNOST NIS2 SOCIÁLNÍ INŽENÝRSTVÍ AI

NIS2, umělá inteligence a nové standardy pro hesla. 3 témata, která byste neměli minout

Radek Šichtanc

Radek Šichtanc
02. 01. 2025

NIS2, umělá inteligence a nové standardy pro hesla. 3 témata, která byste neměli minout

Jak chránit firmu před kybernetickými útoky v roce 2025? Evropský měsíc kybernetické bezpečnosti zdůraznil hrozby spojené se sociálním inženýrstvím. V tomto článku se zaměříme na tři klíčové oblasti, které významně ovlivňují bezpečnost firem i jednotlivců.

NIS2, umělá inteligence a nové standardy pro hesla. 3 témata, která byste neměli minout

Máme za sebou jedenáctý ročník Evropského měsíce kybernetické bezpečnosti. Ten vyhlašuje každoročně agentura ENISA (Evropská agentura pro bezpečnost sítí a informací) spolu s Evropskou komisí a členskými státy Evropské unie a jeho cílem je zvýšit povědomí o kybernetických hrozbách. Letošním tématem je sociální inženýrství. K volbě tématu přispěla nedávná zpráva ENISA, která označila phishing za nejběžnější způsob, jak útočníci získávají přístup k citlivým datům.

Rádi bychom v souvislosti s měsícem kybernetické bezpečnosti přispěli k této diskuzi a upozornili na tři klíčové oblasti, které z našeho pohledu významně ovlivňují bezpečnost firem i jednotlivců.

Ať už řídíte velkou společnost, nebo se staráte o vlastní digitální bezpečnost, následující témata, o kterých jsme letos psali, by neměla uniknout vaší pozornosti. Témata jsme vybrali tři: zavádění generativní umělé inteligence do firemních procesů, bezpečnost hesel ve společnostech a nebo novinky, které přináší nový kybernetický zákon.

Jak na bezpečná hesla v roce 2025

Hesla jsou stále hlavní branou k našim digitálním životům a firemním systémům. I proto je měsíc kybernetické bezpečnosti zaměřený na sociální inženýrství, které často zneužívá slabé zabezpečení hesel a lidskou důvěřivost.

Pro někoho možná bude překvapivou zprávou, že se ustupuje od některých pravidel a doporučení, která jsme v minulosti brali jako dogma. Protože se ukázalo, že spíš škodí, než pomáhají. Třeba americký institut standardů a technologie NIST, který řadu let evangelizuje a průběžně aktualizuje pravidla zabezpečení, upravil některá doporučení týkající se hesel. Závěry této instituce jsou závazná pro federální úřady a současně jsou bezpochyby výborným vodítkem i pro firmy a soukromé uživatele. Jaká jsou jejich nejnovější doporučení?

NIST požaduje hesla dlouhá minimálně 8, ale ideálně alespoň 15 znaků. Zároveň ale nedoporučuje kombinace písmen, číslic a speciálních znaků. NIST tedy považuje dostatečně dlouhé heslo složené pouze z písmen za stejně bezpečné, jako je kombinace speciálních znaků, kterou si uživatelé stejně nezapamatují.

Pravidla NISTu také uvádějí, že bychom po uživatelích neměli požadovat pravidelnou změnu hesel. Opět nezbývá jen souhlasit – hesla by se měla povinně měnit pouze při jejich kompromitaci (včetně podezření samozřejmě). Důvod je stejný jako u požadavku na složitost: časté změny hesel vedou k tomu, že si uživatelé volí snadno zapamatovatelná, ale slabší hesla nebo používají variace předchozích hesel, což paradoxně snižuje celkovou bezpečnost.

O tom, jak tvořit opravdu bezpečná hesla a co by měla obsahovat politika hesel ve firmě, jsme u nás na webu připravili rozsáhlý článek, ve kterém je i osm doporučení, jak (nejen) ve firmě s hesly pracovat.

Na co si dát pozor u generativní AI

Novou výzvu pro společnosti po celém světě představují modely generativní umělé inteligence. Modely, jako jsou ChatGPT, Claude nebo Gemini, pomáhají firmám zvyšovat efektivitu nebo podporovat kreativitu. I když genAI přináší podnikům mnoho výhod, je důležité mít na paměti také její rizika, zejména pokud jde o ochranu citlivých dat.

„Pro úspěšnou a bezpečnou adopci generativní umělé inteligence do business prostředí je třeba, aby firma své zaměstnance podporovala ve znalosti nejen jejích možností, ale také limitů a případných rizik. Důležité je také dodržování doporučení z oblasti data privacy a jejich znalost u AI nástrojů, které firma postupně začleňuje do svého provozu,“ říká Petr Hirš, ředitel O2 kompetenčního centra pro umělou inteligenci Dataclair.

V nedávném článku na O2 CyberNews jsme popsali, že se generativní modely mohou například učit i na základě toho, co do nich uživatelé zadávají. Což se samozřejmě týká i citlivých informací, jako jsou interní kódy, materiály chráněné autorskými právy, obchodní tajemství a další důvěrné obchodní informace. Proto by firmy měly jasně definovat interní politiky, jaká data je možné s AI sdílet a která už ne.

5 typů dat, které byste nikdy neměli sdílet s AI chatboty 

1. Citlivé firemní informace: Jakékoliv informace týkající se vaší společnosti mohou být zneužité. Hrozí i únik informací, který může mít vážné následky.

2. Tvůrčí díla a duševní vlastnictví: Původní obsah, včetně textů, by neměl být sdílen s chatboty, aby nedošlo k nežádoucímu využití nebo porušení autorských práv.

3. Finanční informace: Citlivé finanční údaje, jako jsou bankovní účty či čísla kreditních karet, by neměly být sdíleny s AI chatboty kvůli riziku zneužití.

4. Osobní údaje: Vaše osobní informace, jako jméno, adresa a telefonní číslo, by měly zůstat soukromé, aby nedošlo ke zneužití identity nebo podvodům.

5. Uživatelská jména a hesla: Hesla a přihlašovací údaje by neměly být sdíleny s chatboty, aby nedošlo k ohrožení vaší online bezpečnosti.

Také je potřeba mít na paměti, že přes usilovnou snahu do jazykových modelů integrovat „záchranné brzdy“ proti zneužití se v médiích v pravidelných intervalech objevují případy, kdy se jednotlivcům nebo skupinám podařilo AI donutit vydat data, která by za běžných okolností měla zůstat v bezpečí.

Například v poslední době magazín Wired popsal útok Imprompter, který umožnil útočníkům skrytě extrahovat osobní údaje, jako jsou jména, adresy nebo platební údaje. A to přímo z konverzací s chatboty a bez vědomí uživatele.

Firmy, které využívají velké jazykové modely pro automatizaci nejrůznějších úkolů, musí také počítat s tím, že tyto technologie jsou citlivé na takzvané prompt injections, tedy vložené škodlivé instrukce, které model dokáže zpracovat a provést.

Jak prompt injection funguje a jaká data s genAI nesdílet, jsme popsali v nedávném článku.

Bezpečnostní incidenty podle NIS2

Tématem letošního roku v oblasti kybernetické bezpečnosti firem v celé EU je bezesporu povinnost transponovat směrnici NIS2 do národních legislativ. Nová pravidla mimo jiné zavádějí povinnost hlásit kybernetické bezpečnostní incidenty do 24 hodin od jejich zjištění, což vyžaduje nejen rychlou reakci, ale i pečlivé dodržování předpisů.

Zavádění této legislativy znamená, že firmy musí nejen hlásit incidenty, ale také zlepšit svoji připravenost na jejich prevenci. To zahrnuje pravidelné bezpečnostní audity a včasnou detekci útoků.

Vzhledem k pokutám za pozdní nahlašování incidentů by měly firmy už teď zvažovat, jak zajistí, že reporting a včasná detekce kyberútoků budou dobře fungovat. Klíčovými nástroji pro splnění těchto požadavků jsou log management a Security Information and Event Management (SIEM).

Řešení těchto problémů je ale často velmi nákladné a časově náročné. Věnovat dlouhodobou, a hlavně systematickou pozornost log managementu se přesto rozhodně vyplatí. Jednou z možností je pak tuto agendu outsourcovat.

Navíc není žádným tajemstvím, že odborníci na kybernetickou bezpečnost chybí. Poslední závěry Evropské komise uvádí, že jen na evropském trhu v roce 2022 chybělo na oblast kybernetické bezpečnosti 260 000 až 500 000 odborníků. To, jak může firmám pomoct outsourcing, jsme také popsali v jednom z posledních článků.

A pokud chcete vědět, jak správně nahlásit kybernetický incident a zajistit, aby vaše firma splňovala požadavky NIS2, přečtěte si celý článek na O2 CyberNews, kde najdete konkrétní kroky a doporučení pro ochranu vaší společnosti před možnými pokutami a sankcemi.

Co si z článku odnést

  • Sociální inženýrství je podle Evropské unie jednou z hlavních hrozeb kybernetické bezpečnosti, přičemž phishing je nejčastějším způsobem, jak útočníci získávají přístup k citlivým datům.
  • Generativní AI přináší nová rizika spojená s ochranou citlivých dat. Firmy by měly jasně definovat, jaká data mohou sdílet s AI nástroji, a chránit se před prompt injection útoky.
  • Správná politika hesel je klíčová pro kybernetickou bezpečnost. Doporučuje se zaměřit na délku hesel místo jejich složitosti a měnit je jen v případě kompromitace.
  • Nová směrnice NIS2 zavádí povinnost hlásit kybernetické incidenty do 24 hodin, což klade důraz na rychlou reakci, prevenci a připravenost firem.
Radek Šichtanc Radek Šichtanc
Ředitel bezpečnosti

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Blockchain: jak funguje a proč mu věnovat pozornost?

Blockchain: jak funguje a proč mu věnovat pozornost?

Zobrazit článek
Blockchain: jak funguje a proč mu věnovat pozornost?
AI v kybernetické bezpečnosti, 2. díl: Zbraň hackerů i nástroj pro predikci útoků

AI v kybernetické bezpečnosti, 2. díl: Zbraň hackerů i nástroj pro predikci útoků

Zobrazit článek
AI v kybernetické bezpečnosti, 2. díl: Zbraň hackerů i nástroj pro predikci útoků
5 nejčastějších chyb při vytváření plánu reakce na incidenty

5 nejčastějších chyb při vytváření plánu reakce na incidenty

Zobrazit článek
5 nejčastějších chyb při vytváření plánu reakce na incidenty
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Zobrazit článek
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?
Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data

Zobrazit článek
Jak ve firmě správně zálohovat a chránit data
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Zobrazit článek
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Zobrazit článek
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

Zobrazit článek
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
asd