Bude 2024 přelomovým rokem pro kyberbezpečnost? Připravte se na NIS2 i další rozvoj AI, radí odborníci ze společnosti Eviden

Výzev v kyberbezpečnosti a IT je v současnosti řada a s příchodem umělé inteligence jich dále dramaticky přibude. V říjnu 2024 navíc české firmy čeká implementace nových opatření plynoucích z nové evropské směrnice NIS2 o informační bezpečnosti a jejím zařazení do české legislativy. Nový kybernetický zákon přináší firmám nové povinnosti, ale též konkurenční příležitost. Již nyní je zřejmé, že pokud se doteď přípravě na nové povinnosti nevěnovaly, budou mít velké potíže to dohnat. „NIS2 přinese výrazné zvýšení počtu povinných subjektů, stejně tak i množství povinností, kterým se bude muset přizpůsobit i celý dodavatelský řetězec. Je nezbytné, aby dodavatelé splňovali nejen technická opatření, ale i organizační standardy. Firmy i veřejní zadavatelé budou muset na tyto nové povinnosti rychle reagovat,“ zdůrazňuje Tomáš Hlavsa, ředitel oddělení Big Data & Security české pobočky společnosti Eviden, která se kyberbezpečností zabývá.

Proti umělé inteligenci je potřeba se bránit umělou inteligencí

I když umělá inteligence (AI) není novým vynálezem, nebývalých obrátek její vývoj nabral zejména v posledním roce. Ačkoliv dokáže s mnoha procesy pomoci, tak jako každá nová technologie může být a je i zneužívána. AI dává velký náskok útočníkům, kterým přináší flexibilitu a možnost rychle měnit vektor i intenzitu útoku. „Útoky, které jsou prováděné s pomocí AI, je potřeba stejným způsobem i odrážet. AI dnes nabízí možnost učit se ze známých útoků, které již proběhly, nekonečného množství veřejně dostupných bezpečnostních technik a v neposlední řadě také ze známých bází technických zranitelností. To může být jak zneužito pro realizaci útoku, tak využito pro zvýšení odolnosti firmy,“ říká Vladek Šlezingr, generální ředitel společnosti Eviden. „V roce 2024 očekáváme nárůst popularity GenAI modelů, které budou schopné generovat i odhalovat teprve připravované útoky,“ dodává jeho kolega Tomáš Hlavsa. Obranné mechanismy založené na AI modelech budou klíčové v boji proti stále sofistikovanějším hrozbám.

Rizikem pro firmy jsou také otevřené AI nástroje, kam zaměstnanci mohou neuváženě vkládat citlivá data, která se tak mohou nekontrolovaně dostat ven z organizace. Pomoci mohou vlastní řešení a AI modely, které pracují s AI a zároveň drží data pod kontrolou v prostředí firmy.

Rychlý vývoj se týká všech odvětví včetně státní správy i firem různých velikostí. „I malé a střední firmy tak v dnešní době potřebují podobnou IT podporu jako velký korporát a je pochopitelné, že na ni mnohdy nestačí,“ podotýká Vladek Šlezingr s tím, že IT odborníků je v dnešní době nedostatek a mít je jako zaměstnance je pro firmy mnohdy složité.

„Je tedy potřeba se zamyslet nad tím, jaké odborníky ve firmě zaměstnávat a jaké služby je možné outsourcovat. Externí IT firma zajišťuje větší nadhled, orientaci v aktuálních trendech či dostupnost 24/7. Na druhou stranu se určitě vyplatí interně zaměstnávat člověka, který rozumí jak IT, tak podnikání firmy, a dokáže IT požadavky správně definovat externímu dodavateli. Managementu firmy bych také doporučil tomuto člověku naslouchat a věřit jeho úsudku,“ dodává ředitel Evidenu. Investice do kybernetické bezpečnosti totiž zpravidla nelze vidět a nepřinášejí žádný hmatatelný výsledek či zisk, proto jim často firmy přikládají nižší důležitost, než je potřeba.

Firmy poskytující IT služby budou mít omezenou kapacitu

Právě z důvodu horší dostupnosti IT odborníků nyní poskytovatelé IT služeb a poradenství očekávají další zvyšování poptávky po těchto službách, a to jak v souvislosti s rozvojem AI, tak se směrnicí NIS2. Dle specialistů ze společnosti Eviden se zvýší poptávka po kyberbezpečnostních službách. Například u penetračního testování, jehož cílem je zhodnocení odolnosti podniku, je odhadován až desetinásobný nárůst, což může zhoršit i dostupnost těchto služeb, protože na takovou poptávku na trhu není dostatečná kapacita. Cílem každé firmy by proto nyní dle odborníků měla být prediktivní bezpečnost, v rámci které se firma připravuje na případný útok, a dokáže jej tak do značné míry předvídat, a tedy na něj poté adekvátně reagovat.

Tomáš Hlavsa, ředitel oddělení Big Data & Security české pobočky společnosti Eviden

Foto: Eviden

„Právě prediktivní bezpečnost by pro firmy měla být prioritou v roce 2024. Očekáváme, že organizace budou více investovat do prediktivní bezpečnosti, která využívá AI modely k předpovědi, kdo, jakým způsobem a s jakými daty může na organizaci zaútočit. Stále je však důležité, aby firmy nezanedbávaly základní bezpečnostní opatření, prováděly analýzy rizik a implementovaly odpovídající procesy,“ vysvětluje Tomáš Hlavsa. S tím se dále pojí proškolení zaměstnanců. „Kritickou součástí kyberbezpečnosti jsou lidé, které je potřeba důkladně proškolit, aby nenavštěvovali nezabezpečené weby a neklikali na podezřelé odkazy. Mezery zde vidíme hlavně v posledních letech, kdy se přechází na hybridní model práce. I práci z domova lze ale zabezpečit, a to jak technologicky, tak právě důkladným proškolením. Eviden je schopen firmám a institucím s touto problematikou poradit,“ dodává Tomáš Hlavsa.

Jsou firemní IT infrastruktura a data v cloudu ve větším bezpečí?

V posílení kyberbezpečnosti může firmám pomoci i přechod na cloud. „Zde je důležité, aby řešení vyhovovalo jejich specifickým požadavkům a pomohlo jim řešit jejich konkrétní problémy. Firmám doporučujeme vhodného poskytovatele a typ cloudu. Za poslední dobu se ukázalo, že právě cloud může být velmi bezpečným prostředím,“ říká Vladek Šlezingr. Společnost Eviden je schopna dodávat řešení různých výrobců, vždy dle potřeb daného klienta.

Článek vznikl ve spolupráci se společností Eviden.

Text nevyjadřuje názor redakce.