pondělí 9. prosince 2024
ikona hodiny 20. 7. 2024 05:38

Rizika pro kybernetickou bezpečnost: AI a nedostatek dovedností

Počet ransomware útoků vzrostl o více než 20 %

Rozšíření umělé inteligence je jedním z faktorů, které mají aktuálně zásadní vliv na kybernetickou bezpečnost. Firmy i jednotlivci jsou nyní ohroženější než dříve. A to právě kvůli rozvoji AI a dalších technologií, které pomáhají útočníkům chytře útočit, vytvářejí kvalitní překlady komunikace a pomáhají jednoduché dostupnosti kybernetických zbraní v jako služby.

Foto: Shutterstock.com
Kyberútoky jsou propojené s nedostatkem dovedností, odhaluje výzkum společnosti Fortinet Foto: Shutterstock.com

Rozšíření generativní umělé inteligence umožňuje i méně zdatným skupinám provádět sofistikované útoky na soukromé i firemní cíle a vede také k nárůstu jejich počtu.

„Z veřejně dostupných údajů vyplývá, že počet útoků ransomwarem v prvním čtvrtletí roku 2024 vzrostl o více než 20 % ve srovnání s prvním čtvrtletím předešlého roku,“ říká Ondřej Ševeček, odborník na bezpečnost a etický hacking z Počítačové školy GOPAS.

Podle dat zprávy ESET Theat Report H1 2024 bylo využití nástrojů umělé inteligence během prvního pololetí 2024 patrné u několika různých typů kybernetických hrozeb. Jednalo se například o hrozby zaměřené na mobilní bankovní služby platformy Android. Nový mobilní malware GoldPickaxe dokonce dokáže krást data pro rozpoznávání obličeje a vytvářet deepfake videa, která útočníci používají k ověření podvodných finančních transakcí.

„S rozvojem automatizace, strojového učení a umělé inteligence se vývoj těchto prostředků zjednodušuje. Útočníci navíc své zbraně mohou již kupovat jednoduše jako službu. Stále lepší automatické překlady také odbourávají jazykové bariéry. Složitost českého jazyka byla dlouho pro útočníky překážkou, ale s rozvojem velkých jazykových modelů i tato bariéra padá,“ říká Michal Černý ze společnosti Audiopro.

Metoda Prompt Injection

Metoda Prompt Injection je sofistikovaný způsob kybernetického útoku, který využívá schopnosti velkých jazykových modelů AI k generování obsahu. Tato technika spočívá v začlenění specifických instrukcí nebo kódů do promptů, které jsou zadávány do AI. Tyto prompty jsou formulovány tak, aby byly pro AI zdánlivě neškodné, ale ve skutečnosti obsahují skryté příkazy nebo kód, který může vést k neautorizovanému přístupu k datům nebo spuštění škodlivých operací.

Tato metoda představuje značné riziko, protože může být obtížné odhalit a zablokovat takové manipulativní prompty, zejména pokud jsou dobře maskované. To vyžaduje neustálé monitorování a aktualizaci bezpečnostních protokolů AI, aby bylo možné tyto hrozby identifikovat a neutralizovat.

Dobrá čeština dělá phishing nebezpečnější

Jedním z důsledků rozvoje nástrojů generativní umělé inteligence je také rychlý rozvoj phishingu a metod sociálního inženýrství i ve složitějších a menších jazycích jako je čeština. Dříve byly phishingové e-maily buď v angličtině nebo v úsměvně nedokonalé češtině. To už dnes neplatí. Spolu se zdokonalením personalizace povede k růstu úspěšných útoků vedených tímto způsobem.

Útočníci využívají AI k vytváření pokročilých phishingových kampaní, které je stále těžší odhalit. AI také umožňuje automatizaci a škálování útoků.

Nástroje generativní umělé inteligence umožní útočníkům lépe a chytřeji zacílit na jednotlivé uživatele s cílem vylákat jejich přístupové údaje nebo je přimět k akci, která poškozuje je samotné nebo společnost, ve které pracují. Útočníci už teď mohou automatizovaně sesbírat informace o jednotlivých zaměstnancích v řádech několika minut, a za stejně dlouhou dobu připravit personalizovaný e-mail, na kterém na první pohled nebude nic podezřelého.

Rozvoj kybernetické kriminality jako služby

„Řada hackerů nyní přechází na model využívání hackerského nástroje jako služby. Kyberzločinci si tak mohou koupit celou infrastrukturu ransomwaru. Ransomwarové skupiny jsou nyní součástí širšího ekosystému kybernetické kriminality. K dispozici mají široké spektrum zdrojů, se specializací například na počáteční přístup do podnikových IT prostředí, pověření, útoky na soubory cookie pro aplikace SSO (Single Sign-On) a včetně infrastruktury pro distribuci. Zároveň mají tyto skupiny odborníky zaměřené na rekrutování pomocníků z řad osob, které mají přístup do interního systému,“ říká Ondřej Ševeček.

Slabým článkem jsou tradičně lidé

Nejslabším článkem zabezpečení firem jsou, ať už úmyslně nebo neúmyslně, zaměstnanci. Mohou vědomě vynášet citlivé informace, ale i bez špatného úmyslu klikat na nebezpečné odkazy nebo otevírat zavirované přílohy. Či bez uvážení předávat firemní data nedůvěryhodným zdrojům, v krajním případě i hackerům či šmejdům posílat firemní finanční prostředky. A nejnověji na ně útočí i AI v podobě naprogramovaných chatbotů či musí čelit zcela novým rizikům ChatGPT.

Podle výsledků simulovaných útoků v rámci testování odolnosti firem, pětina zaměstnanců klikne na odkaz ve zprávě, aniž by si prověřila, kam směřuje. Únik nebo poškození dat, falešné platební příkazy nebo phishingové léčky mohou způsobit firmám katastrofální škody. Zacílení na jednotlivce je velmi účinná technika, mnoho zaměstnanců stále kliká na phishingové e-mailové odkazy a stahuje přílohy se škodlivými soubory.

„Riziko pro firemní data a celkovou bezpečnost, které přichází od zaměstnanců je stále velmi vysoké. A phishingové útoky, které hackeři vedou přes zaměstnance jsou velmi účinné. Firmy mají stále ve vzdělávání svých zaměstnanců zejména v bezpečném chování na internetu rezervy,“ upozorňuje Ondřej Ševeček.

Kyberútoky jsou propojené s nedostatkem dovedností, odhaluje výzkum

Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, zveřejnila výroční zprávu Global Cybersecurity Skills Gap Report. Ta upozorňuje na přetrvávající problémy spojené s nedostatkem dovedností v oblasti kybernetické bezpečnosti. Z výzkumu vyplývá, že téměř 90 % organizací zaznamenalo v posledním roce napadení, které bylo částečně způsobeno nedostatkem personálu s kybernetickými dovednostmi. Chybějícím potřebným znalostem také 70 % organizací připisuje vinu za zvýšená kybernetická rizika.

„Výsledky naší nejnovější zprávy zdůrazňují kritickou potřebu komplexního přístupu k zaplnění mezer v dovednostech. Aby organizace účinně zmírňovaly rizika a bojovaly s aktuálními složitými hrozbami, musí využít strategickou kombinaci spojení správné bezpečnostní technologie, rozšíření kvalifikace profesionálů prostřednictvím školení a certifikací a posílení počtu kyberneticky uvědomělé pracovní síly. V rámci odhodlání společnosti Fortinet zacelit mezeru v dovednostech tímto třístupňovým přístupem jsme se zavázali, že do roku 2026 vyškolíme v kybernetice 1 milion lidí. Jelikož se blížíme k polovině tohoto pětiletého závazku, přibližujeme se k dnešnímu dni i k vyškolení půl milionu jedinců,“ sdělil John Maddison, marketingový ředitel ve společnosti Fortinet.

Mezi hlavní zjištění zprávy patří:

  • Firmy stále více připisují napadání nedostatkům v kybernetických dovednostech.
  • Útoky mají nadále významné dopady na podniky a když k nim dojde, výkonní představitelé jsou často penalizováni.
  • Certifikáty jsou zaměstnavateli nadále považovány za důležitý validátor dovedností a znalostí v oblasti kybernetické bezpečnosti.
  • Přetrvává řada příležitostí pro najímání pracovníků, kteří by pomohli řešit nedostatek dovedností.

O průzkumu Fortinet

Průzkum byl proveden mezi více než 1 850 osobami s rozhodovacími pravomocemi v oblasti IT a kybernetické bezpečnosti z 29 zemí a lokalit. Respondenti průzkumu pocházejí z řady odvětví, včetně technologií (21 %), výroby (15 %) a finančních služeb (13 %).

Nedostatek kybernetických dovedností má stále dopad na firmy po celém světě

Odhaduje se, že k vylepšení rostoucího nedostatku pracovních sil v oblasti kybernetické bezpečnosti jsou zapotřebí 4 miliony odborníků. Zároveň 70 % organizací uvedlo, že nedostatek dovedností v kybernetické bezpečnosti vytváří pro jejich organizace další rizika. Mezi další zjištění patří:

Organizace přičítají stále více narušení bezpečnosti nedostatku kybernetických dovedností. V minulém roce téměř devadesát procent lídrů (87 %) uvedlo, že zaznamenali útoky, které mohou částečně připsat nedostatku kybernetických dovedností, oproti 84 % ve zprávě z roku 2023 a 80 % v roce předchozím.

Útoky mají závažnější dopad na podniky a způsobují celou řadu komplikací, od finančních po reputační problémy. Firemní lídři jsou stále více hnáni k odpovědnosti za kybernetické incidenty, přičemž 51 % respondentů zaznamenalo, že vedoucí pracovníci čelili po kybernetickém útoku pokutám, vězení, ztrátě pozice nebo až ztrátě zaměstnání. Více než 50 % respondentů navíc uvádí, že napadení stála jejich organizace v loňském roce více než milion dolarů ve ztrátě příjmů, pokutách a dalších výdajích – oproti 48 % ve zprávě z roku 2023 a 38 % oproti předchozímu roku.

Vedení firem považují kybernetickou bezpečnost za obchodní imperativ. Manažeři a představenstva firem stále více upřednostňují kybernetickou bezpečnost, přičemž 72 % respondentů uvedlo, že se jejich vedení v roce 2023 více než v předchozím roce soustředilo na bezpečnost. Dále 97 % respondentů uvádí, že jejich vedení považuje digitální bezpečnost za obchodní prioritu.

Náboroví manažeři oceňují další vzdělávání a certifikáty

Šéfové firem obecně považují certifikace za validaci znalostí kybernetické bezpečnosti a ti, kteří jsou držiteli diplomů nebo pracují s někým kdo je schopný, si všímají jasných výhod. Průzkum také zjistil, že:

  • Kandidáti s certifikací vyčnívají. Více než 90 % respondentů uvedlo, že preferují přijímání těchto kandidátů.
  • Vedoucí věří, že certifikace zlepšují bezpečnostní postoj. Respondenti přikládají osvědčením tak vysokou hodnotu, že 89 % dotázaných uvedlo, že za získání certifikace kybernetické bezpečnosti pro zaměstnance jsou ochotní zaplatit.
  • Najít certifikované kandidáty není snadné. Více než 70 % respondentů uvedlo, že je obtížné najít kandidáty s certifikací zaměřenou na technologie.

Firmy rozšiřují kritéria pro obsazování volných pozic

Vzhledem k přetrvávajícímu nedostatku kybernetických pracovních sil některé organizace diverzifikují své náborové okruhy tak, aby zahrnovaly i kandidáty, jejichž kvalifikace nespadá do oborového prostředí – například vysokoškolský diplom z kybernetické bezpečnosti nebo příbuzného zaměření – aby přilákaly nové talenty a zaplnily otevřené pozice. Upravením těchto požadavků na přijímání zaměstnanců se mohou otevřít nové možnosti, zejména pokud jsou organizace ochotny platit za certifikace a školení. Zpráva rovněž zjistila, že:

Organizace mají i nadále programy zaměřené na nábor různorodých talentů. Třiaosmdesát procent respondentů uvedlo, že si jejich organizace stanovily cíle v oblasti diverzity v náboru pracovníků na několik příštích let, což je v souladu s loňskou zprávou.

Zatímco mnoho náborových manažerů oceňuje certifikace, některé organizace stále preferují kandidáty s tradičními zkušenostmi. Navzdory tomu, že mnoho respondentů tvrdí, že si certifikací cení, 71 % organizací stále vyžaduje čtyřleté tituly a 66 % přijímá pouze kandidáty s klasickým vzděláním.

Organizace zaujímají třístupňový přístup k budování kybernetické odolnosti

Rostoucí četnost nákladných komplikací kvůli kybernetickým útokům v kombinaci s vážnými osobními důsledky pro členy představenstev a ředitele, vedou k naléhavému tlaku na posílení obrany napříč podniky. Firmy se proto zaměřují na třístupňový přístup ke kybernetické bezpečnosti, který kombinuje školení, informovanost a technologie:

  • Pomoc IT oddělením a bezpečnostním týmům získat důležité bezpečnostní dovednosti investicemi do školení a certifikací pro dosažení tohoto cíle.
  • Vybavení personálu dovednostmi v kybernetické bezpečnosti, které může přispět k bezpečnější organizaci v první linii obrany.
  • Použití efektivních bezpečnostních řešení pro zajištění silného bezpečnostního postoje.

Články autora Valerie Saara

Nejnovější články

Analýzy

Jak chtějí čeští zaměstnanci pečovat o své zdraví?

Zdraví je prioritou v každé době, ale od...
Názory

Proč se rozevírají nůžky mezi ekonomikou USA a eurozónou a co s tím

Globální ekonomická situace, jak ji prezentuje hospodářský výhled...
Aktuality

Vyhlášení 29. ročníku Českých 100 Nejlepších

Pan-evropská společnost pro kulturu, vzdělávání a vědecko-technickou spolupráci...

Nejnovější Analýzy

Analýzy

Jak chtějí čeští zaměstnanci pečovat o své zdraví?

Zdraví je prioritou v každé době, ale od...
Názory

Regulace ruku trhu nenahradí

Jak lehce se v Česku podniká, je do velké...
Analýzy

Vysoké náklady na pracovní sílu a byrokracie

Vysoké náklady na pracovní sílu, nedostatek kvalifikovaných pracovníků...