Appsec: České firmy by se letos měly věnovat NIS2 i novým vektorům útoků

26. 1. 2024
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Zavedení evropské směrnice NIS2 a rychlý nástup umělé inteligence budou podle odborníků klást na tuzemské společnosti větší bezpečnostní nárok.

Společnost Appsec odhaduje, že rok 2024 bude pro české firmy z hlediska kybernetické bezpečnosti mnohem náročnější. Podepíše se na něm nejen implementace evropské bezpečnostní směrnice NIS2 do české legislativy, ale především pokračující mohutný nástup umělé inteligence a s ním spojené nové vektory útoků.

Co se dozvíte v článku
  1. Firmy budou muset řešit NIS2
  2. Bezpečnostní rizika AI při správě firemních dat
  3. Sofistikované sociální inženýrství včetně deepfake
  4. Využití AI pro ochranu před kybernetickými útoky
  5. Automatizované penetrační testy

„NIS2 přichází nikoli pět minut před dvanáctou, ale pět minut po dvanácté. Přístup českých firem a organizací ke kybernetické bezpečnosti je tristní. Zvláště pak v dnešní době, kdy nad námi neustále visí hrozba hybridní války s Ruskem a možnosti útočníků se díky umělé inteligenci výrazně zvyšují,“ varuje Adam Paclt, generální ředitel společnosti Appsec.

Mezi pět nejvážnějších bezpečnostních výzev budoucího roku považuje vedle NIS2 a nástupu umělé inteligence také stále sofistikovanější sociální inženýrství, množící se útoky přes datové sítě 5G a rapidní nárůst zero-day útoků.

Firmy budou muset řešit NIS2

Appsec upozorňuje, že implementace evropské bezpečnostní směrnice NIS2 do nového zákona o kybernetické bezpečnosti v České republice se dotkne až sedmi tisíc středně velkých a menších firem a organizací.

Půjde o subjekty, které dosud nepodléhaly směrnici NIS1, často pak o dodavatelské řetězce významných koncernů a státních institucí. Pokud firmy nesplní přísné bezpečnostní požadavky a podlehnou kybernetickému útoku, hrozí jim vysoké pokuty, které jsou v tuzemském kontextu až likvidační.

Přesto podle průzkumu společnosti Appsec z letošního léta ještě 80 % IT manažerů netušilo, zda se jejich firmy NIS2 dotkne nebo co to vlastně je.

Bezpečnostní rizika AI při správě firemních dat

Umělá inteligence podle odborníků představuje významný pokrok ve zpracování a využití firemních i klientských dat. Zároveň ale bude jedním z největších bezpečnostních rizik, protože tato citlivá data jsou zneužitelná.

Ochránit firemní AI přes přístupem neoprávněných uživatelů nebo vyváděním dat třetím stranám tudíž bude jedním z hlavních úkolů kyberbezpečnostních týmů ve firmách a organizacích. Zároveň firmy musí počítat s tím, že jejich zákazníci budou vyžadovat důvěryhodné využívání AI s minimalizací rizik.

Sofistikované sociální inženýrství včetně deepfake

Analytici dále uvádějí, že útoky vedené formou sociálního inženýrství patří k nejnebezpečnějším kybernetickým hrozbám současnosti. Jestliže v minulosti stačilo „hacknout“ e-mailovou schránku manažera, odsledovat způsob jeho komunikace uvnitř firmy a ve vhodný okamžik zaslat „správný“ požadavek např. na uhrazení falešné faktury, nové technické možnosti tuto hrozbu ještě prohlubují.

Útočníci budou stále častěji využívat tzv. deepfake, tedy falešných audio a videozpráv, kdy se budou prostřednictvím telefonických hovorů nebo videokonferencí vydávat za představitele firmy a pokoušet se o různé podvody.

Využití AI pro ochranu před kybernetickými útoky

Bezpečnostní řešení na bázi AI podle společnosti Appsec fungují jinak než běžné antiviry. Neustále analyzují chování sítě a zařízení, které mají chránit a porovnávají aktuální provoz s běžnou situací z minulosti.

Odborníci zejména vyzdvihují, že jakmile dojde k nějaké anomálii, umělá inteligence se na ni okamžitě zaměří a vyhodnotí, zda je to pokus o útok nebo činnost vyvolaná autorizovaným uživatelem hlídané sítě či zařízení.

Žádné nestandardní chování sítě AI neujde, a to ani v případě, že útočník použil zadní vrátka a instaloval škodlivý software, který začne být aktivní až týdny či měsíce po proniknutí do sítě. Zkrátka je to skutečný hlídač, který nikdy nespí a okamžitě reaguje.

Automatizované penetrační testy

V oblasti prevence před kybernetickými incidenty se podle expertů budou stále častěji prosazovat automatizované penetrační testy, které dokáží odhalit slabiny v interních systémech firem a organizací.

bitcoin školení listopad 24

„Automatizované testy jsou ve většině moderních systémů založené na algoritmech, které se cvičí z reálné práce fyzických hackerů nebo se vyvíjí na základě popsaných zranitelností. Alespoň tak to děláme v našem prostředí. Bez vstupu člověka minimálně v průběhu vývoje se rozhodně neobejdeme,“ shrnuje Paclt.

Zdroj: Appsec

Čtěte dále

Monitor AOC AGON PRO PD34: Žihadlo jako Porsche
Monitor AOC AGON PRO PD34: Žihadlo jako Porsche
ComSource rozšiřuje laboratoř, testuje i využití řešení Opswat
ComSource rozšiřuje laboratoř, testuje i využití řešení Opswat
Dell předal ceny za rok 2024, partnerem roku je Aricoma Systems
Dell předal ceny za rok 2024, partnerem roku je Aricoma Systems
Canalys: Co máte v uších? Chytré audio je na úspěšné vlně, trh vystřelil o 15 %
Canalys: Co máte v uších? Chytré audio je na úspěšné vlně, trh vystřelil o 15 %
Eset: Češi rádi nakupují přes chytrý telefon, na bezpečnost ale dbají málo
Eset: Češi rádi nakupují přes chytrý telefon, na bezpečnost ale dbají málo
UniCredit Bank: Pětina Čechů se v posledních třech letech stala obětí kyberútoků
UniCredit Bank: Pětina Čechů se v posledních třech letech stala obětí kyberútoků