Ako chrániť firmu pred kybernetickými útokmi v roku 2025? Európsky mesiac kybernetickej bezpečnosti zdôraznil hrozby spojené so sociálnym inžinierstvom. V tomto článku sa zameriame na tri kľúčové oblasti, ktoré významne ovplyvňujú bezpečnosť firiem aj jednotlivcov.
Európsky mesiac kybernetickej bezpečnosti vyhlasuje každoročne agentúra ENISA (Európska agentúra pre bezpečnosť sietí a informácií) spolu s Európskou komisiou a členskými štátmi Európskej únie. Jeho cieľom je zvýšiť povedomie o kybernetických hrozbách. Tohtoročnou témou je sociálne inžinierstvo. K voľbe témy prispela nedávna správa ENISA, ktorá označila phishing za najbežnejší spôsob, ako útočníci získavajú prístup k citlivým dátam.
Radi by sme v tejto súvislosti prispeli diskusii a upozornili na tri kľúčové oblasti, ktoré z nášho pohľadu významne ovplyvňujú bezpečnosť firiem aj jednotlivcov.
Či už riadite veľkú spoločnosť, alebo sa staráte o vlastnú digitálnu bezpečnosť, nasledujúce témy, o ktorých sme tento rok písali, by nemali uniknúť vašej pozornosti. Témy sme vybrali tri: zavádzanie generatívnej umelej inteligencie do firemných procesov, bezpečnosť hesiel v spoločnostiach a novinky, ktoré prináša nový kybernetický zákon.
Ako na bezpečné heslá v roku 2025
Heslá sú stále hlavnou bránou k našim digitálnym životom a firemným systémom. Aj preto bol mesiac kybernetickej bezpečnosti zameraný na sociálne inžinierstvo, ktoré často zneužíva slabé zabezpečenie hesiel a ľudskú dôverčivosť.
Pre niekoho možno bude prekvapivou správou, že sa ustupuje od niektorých pravidiel a odporúčaní, ktoré sme v minulosti brali ako dogmu. Pretože sa ukázalo, že skôr škodia, ako pomáhajú. Napríklad americký inštitút štandardov a technológie NIST, ktorý niekoľko rokov evanjelizuje a priebežne aktualizuje pravidlá zabezpečenia, upravil niektoré odporúčania týkajúce sa hesiel. Závery tejto inštitúcie sú záväzné pre federálne úrady a súčasne sú bezpochyby výborným vodítkom aj pre firmy a súkromných užívateľov. Aké sú ich najnovšie odporúčania?
NIST požaduje heslá dlhé minimálne 8, ale ideálne aspoň 15 znakov. Zároveň ale neodporúča kombináciu písmen, číslic a špeciálnych znakov. NIST teda považuje dostatočne dlhé heslo zložené iba z písmen za rovnako bezpečné ako je kombinácia špeciálnych znakov, ktorú si používatelia aj tak nezapamätajú.
Pravidlá NIST-u tiež uvádzajú, že by sme po používateľoch nemali požadovať pravidelnú zmenu hesiel. Opäť nezostáva len súhlasiť – heslá by sa mali povinne meniť iba pri ich kompromitácii (vrátane podozrenia). Dôvod je rovnaký ako pri požiadavke na zložitosť hesiel: časté zmeny hesiel vedú k tomu, že si používatelia volia ľahko zapamätateľné, ale slabšie heslá alebo používajú variácie predchádzajúcich hesiel, čo paradoxne znižuje celkovú bezpečnosť.
Na čo si dať pozor pri generatívnej AI
Novú výzvu pre spoločnosti po celom svete predstavujú modely generatívnej umelej inteligencie. Modely, ako sú ChatGPT, Claude alebo Gemini, pomáhajú firmám zvyšovať efektivitu alebo podporovať kreativitu. Aj keď genAI prináša podnikom mnoho výhod, je dôležité mať na pamäti aj jej riziká, najmä pokiaľ ide o ochranu citlivých dát.
„Pre úspešnú a bezpečnú adopciu generatívnej umelej inteligencie do business prostredia je potrebné, aby firma svojich zamestnancov podporovala v znalosti nielen jej možností, ale aj limitov a prípadných rizík. Dôležité je tiež dodržiavanie odporúčaní z oblasti data privacy a ich znalosť pri AI nástrojoch, ktoré firma postupne začleňuje do svojej prevádzky,“ hovorí Petr Hirš, riaditeľ O2 kompetenčného centra pre umelú inteligenciu Dataclair.
V nedávnom článku sme popísali, že sa generatívne modely môžu napríklad učiť aj na základe toho, čo do nich používatelia zadávajú. Čo sa samozrejme týka aj citlivých informácií, ako sú interné kódy, materiály chránené autorskými právami, obchodné tajomstvo a ďalšie dôverné obchodné informácie. Preto by firmy mali jasne definovať interné politiky, aké dáta je možné s AI zdieľať a ktoré už nie.
Tiež je potrebné mať na pamäti, že napriek usilovnej snahe do jazykových modelov integrovať „záchranné brzdy“ proti zneužitiu sa v médiách v pravidelných intervaloch objavujú prípady, keď sa jednotlivcom alebo skupinám podarilo AI donútiť vydať dáta, ktoré by za bežných okolností mali zostať v bezpečí.
Napríklad v poslednom období magazín Wired popísal útok Imprompter, ktorý umožnil útočníkom skryto extrahovať osobné údaje, ako sú mená, adresy alebo platobné údaje. A to priamo z konverzácií s chatbotmi a bez vedomia používateľa.
Firmy, ktoré využívajú veľké jazykové modely na automatizáciu najrôznejších úloh, musia tiež počítať s tým, že tieto technológie sú citlivé na takzvané prompt injections, teda vložené škodlivé inštrukcie, ktoré model dokáže spracovať a vykonať.
Bezpečnostné incidenty podľa NIS2
Témou tohto roku v oblasti kybernetickej bezpečnosti firiem v celej EÚ je bezpochyby povinnosť transponovať smernicu NIS2 do národných legislatív. Nové pravidlá okrem iného zavádzajú povinnosť hlásiť kybernetické bezpečnostné incidenty do 24 hodín od ich zistenia, čo si vyžaduje nielen rýchlu reakciu, ale aj starostlivé dodržiavanie predpisov.
Zavádzanie tejto legislatívy znamená, že firmy musia nielen hlásiť incidenty, ale aj zlepšiť svoju pripravenosť na ich prevenciu. To zahŕňa pravidelné bezpečnostné audity a včasnú detekciu útokov.
Vzhľadom na pokuty za neskoré nahlasovanie incidentov by mali firmy už teraz zvažovať, ako zabezpečia, že reporting a včasná detekcia kyberútokov budú dobre fungovať. Kľúčovými nástrojmi na splnenie týchto požiadaviek sú log management a Security Information and Event Management (SIEM).
Riešenie týchto problémov je často veľmi nákladné a časovo náročné. Venovať dlhodobú a hlavne systematickú pozornosť log manažmentu sa napriek tomu rozhodne oplatí. Jednou z možností je potom túto agendu outsourcovať.
Navyše nie je žiadnym tajomstvom, že odborníci na kybernetickú bezpečnosť chýbajú. Posledné závery Európskej komisie uvádzajú, že len na európskom trhu v roku 2022 chýbalo v oblasti kybernetickej bezpečnosti 260 000 až 500 000 odborníkov.
Čo si z článku odniesť?
Sociálne inžinierstvo je podľa Európskej únie jednou z hlavných hrozieb kybernetickej bezpečnosti, pričom phishing je najčastejším spôsobom, ako útočníci získavajú prístup k citlivým dátam.
Generatívne AI prináša nové riziká spojené s ochranou citlivých dát. Firmy by mali jasne definovať, aké dáta môžu zamestnanci zdieľať s AI nástrojmi, a chrániť sa pred prompt injection útokmi.
Správna politika hesiel je kľúčová pre kybernetickú bezpečnosť. Odporúča sa zamerať na dĺžku hesiel namiesto ich zložitosti a meniť ich len v prípade kompromitácie.
Nová smernica NIS2 zavádza povinnosť hlásiť kybernetické incidenty do 24 hodín, čo kladie dôraz na rýchlu reakciu, prevenciu a pripravenosť firiem.
