Zatímco organizace investují do zabezpečení sítí, serverů a cloudových služeb, často si neuvědomují, že nejslabším článkem zůstává člověk.

Rychlý technologický pokrok však přináší i nové výzvy. S rozvojem kvantových počítačů a stále „chytřejší“ umělé inteligence se objevují zcela nové typy hrozeb, na které současné bezpečnostní přístupy nemusí stačit. Jaké riziko tedy tyto trendy představují – a jak se na ně můžeme včas připravit?

Kyberútoky se stále častěji zaměřují na to, co žádný software ani hardware neochrání – na lidskou chybu. Útočníci vědí, že nejrychlejší cestou do firemní sítě není složitý hack, ale obyčejný e‑mail. Pomocí takzvaného spear‑phishing útoku dokážou vytvořit důvěryhodnou zprávu, která vypadá, jako by přišla od kolegy, nadřízeného, nebo obchodního partnera. Stačí jeden klik na odkaz a útočník získá přístup k vašim datům i účtům.

Nový kybernetický zákon se dotkne tisíců firem. Hrozí jim drakonické pokuty?

Podle statistik bezpečnostních autorit je více než 80 % incidentů v ČR způsobeno lidskou chybou – nejčastěji kliknutím na podvržený odkaz, sdílením hesla nebo špatným nastavením přístupových práv v cloud službách. Často používaná hesla typu Firma2023! či Heslo12345 už dnes opravdu neobstojí. Útočníci využívají databáze uniklých přístupových údajů, včetně automatizovaných nástrojů, s jejichž pomocí vyzkouší během sekund tisíce kombinací…

Co s tím?

Klíčové kroky k posílení kybernetické bezpečnosti organizace

• Určete odpovědnou osobu za oblast kybernetické bezpečnosti.
• Zaveďte interní bezpečnostní pravidla a doplňte je vhodnými technologiemi.
• Používejte vícefaktorové ověřování (MFA) u všech klíčových přístupů.
• Pravidelně školte zaměstnance, ideálně formou praktických simulací (např. phishing útoků).
• Udržujte bezpečnostní povědomí na stabilní a dostatečné úrovni napříč celou organizací.
• Testujte pravidelně odolnost vůči phishing útokům a vyhodnocujte výsledky.
• Budujte interní bezpečnostní kulturu – motivujte zaměstnance, aby hlásili podezřelé zprávy a nebáli se přiznat chybu, pokud k ní dojde.

Kyberbezpečnost dnes není jen úkolem nějakého oddělení či bezpečnostní role, ale součástí firemní kultury.

OSINT (Open Source Intelligence): když útočník „nehackuje“, ale jen hledá

Moderní útočníci často nepotřebují prolomit žádné zabezpečení – stačí jim to, co lidé o sobě a o své firmě veřejně v kybernetickém prostoru sdílejí.

Z otevřených zdrojů – jako jsou sociální sítě, komunikační platformy, webové stránky, tiskové zprávy nebo veřejné rejstříky – lze během několika minut poskládat detailní obraz o organizační a vlastnické struktuře firmy, její platební bilanci, o kontaktních údajích, e‑mailových adresách, firemní kultuře i zvyklostech zaměstnanců. Tyto informace jsou pak velice efektivně využity k cíleným phishing útokům nebo například k přípravě podvodů typu CEO fraud, kdy útočník přesvědčivě napodobí styl komunikace vedení.

Jak se bránit?

• Omezte množství zveřejňovaných informací o vnitřním fungování firmy.
• Pravidelně provádějte OSINT audity – zjistěte, co lze o vás a vaší firmě veřejně dohledat.
• Učte zaměstnance, že i neškodně vypadající příspěvky (např. fotka z kanceláře nebo podpis v e ‑mailu) mohou útočníkovi poskytnout velmi cenné indicie.

OSINT není sám o sobě nebezpečným – nebezpečné je, když ho někdo použije proti vám.

Postkvantová éra: Když matematika přestane chránit

Zatímco dnes používáme šifrování, které by běžný počítač prolomil až za tisíce let, kvantové počítače (QC) mohou tuto situaci změnit. Využívají principy kvantové fyziky a matematiky, díky nimž dokážou řešit složité výpočty výrazně rychleji než klasické stroje.

To znamená, že současné kryptografické algoritmy, jako jsou RSA nebo ECC, mohou být v horizontu několika let prolomeny. Zpočátku navíc pravděpodobně nebude veřejně známo, kdo tyto schopnosti ovládá – což mu poskytne výraznou taktickou výhodu. Historie nabízí podobný příklad – prolomení německé šifry Enigma během druhé světové války bylo pečlivě utajeno. Tak byla zachována právě výrazná taktická výhoda.

Zní to jako science fiction, ale výzkum v oblasti kvantových počítačů postupuje mílovými kroky. USA, Čína i EU investují miliardy do vývoje kvantových technologií. Jakmile se podaří vyvinout stabilní kvantový procesor s dostatečným počtem qubitů, všechny staré šifry budou ohroženy – od e‑mailů až po datové přenosy mezi bankami.

Co s tím?

• Firmy by měly sledovat vývoj takzvané postkvantové kryptografie (PQC) – nových algoritmů odolných vůči kvantovým útokům.
• Začít mapovat, jaká data uchovávají a šifrují (pokud vůbec…) – zejména ta, která musí zůstat důvěrná i za deset let.
• Spolupracovat s IT dodavateli, kteří už nyní počítají s přechodem na post‑quantum security.

Kvantová revoluce sice ještě nenastala, ale je blíž, než si myslíme. A kdo se začne připravovat včas, ušetří si v budoucnu velké starosti. Útokům s využitím QC se na svých webstránkách věnuje i národní autorita v oblasti kybernetické a informační bezpečnosti – NÚKIB.

Umělá inteligence (AI): Nástroj i hrozba, tedy dobrý sluha, ale zlý pán

AI přináší obrovský potenciál – automatizuje rutinní práci, analyzuje hrozby a zajišťuje ochranu sítí. Zároveň však vytváří zcela nové typy útoků a její nadměrné používání může mít nepříznivé dopady na psychiku uživatelů. Zejména u dětí může nadměrné užívání ICT, včetně AI, negativně ovlivnit jejich vývoj.

Útočníci dnes využívají AI k psaní dokonalých, gramaticky správných phishing e‑mailů, k tvorbě realistických deepfake videí nebo generování hlasů manažerů, kteří „volají z dovolené a potřebují rychle převést peníze“ z účtu na účet.

AI navíc dokáže napodobovat lidské chování – například komunikaci na sociálních sítích nebo styl psaní konkrétního člověka. To zvyšuje úspěšnost útoků s využitím sociálního inženýrství, protože oběť nemá šanci odhalit, že nekomunikuje s člověkem, ale s AI.

Jak se bránit?

• Používat ověřené komunikační kanály (například oficiální firemní aplikace místo „volných“ messengerů).
• Zavést interní procesy pro ověřování finančních transakcí – žádný převod se nesmí realizovat na základě e‑mailu nebo telefonátu bez ověření a potvrzení.
• Sledovat, jaké nástroje AI používají zaměstnanci, co s nimi mohou sdílet a sdílejí, a zajistit jejich bezpečné nastavení.

AI je mocným nástrojem. V rukou zodpovědných lidí dokáže chránit, v rukou útočníků ohrožovat. Klíčem je vědět, jak ji využívat bezpečně.

Kybernetická bezpečnost jako konkurenční výhoda

Kybernetické hrozby se vyvíjejí stejně rychle jako technologie, které používáme. Bezpečnostní strategie proto musí být živým procesem, nikoli jednorázovým projektem. Lidský faktor, PQC i AI mají společného jmenovatele: potřebu vzdělávání, prevence a včasné reakce. Firmy, které pochopí, že kybernetická bezpečnost není jen nákladem, ale investicí do důvěry a stability, budou připraveny i na budoucí výzvy.

Převzato z časopisu Komora. Autor článku: Jiří Sedláček