Jaké kybernetické hrozby odhadujeme pro rok 2024

Stejně jako v loňském roce jsme se pokusili sepsat nejpravděpodobnější kybernetické hrozby pro rok 2024. Kromě přirozeně rostoucího využívání informačních technologií, ale hlavně jejich adaptace uživatelům, kterým není používání elektronických kanálů přirozené (např. senioři) a kteří byli k používání on-line obsluhy donuceni jako zákazníci bank, operátorů nebo dodavatelů energií, kteří takto dlouhodobě cílí na snížení nákladů, bude významnou míru mezi hrozbami v roce 2024 hrát tzv. umělá inteligence (Artificial intelligence – AI). V roce 2024 lze očekávat, že i seznam potenciálních hrozeb bude blízko těmto trendům.

1. Nárůst role AI v kybernetické kriminalitě a strojové učení

Pravidelně se objevují umělou inteligencí (AI) upravené obrázky, videa nebo hlasy reálných osob. Nástup AI byl v posledním roce signifikantní a to se přirozeně projeví i v trendech kybernetické kriminality. Tvorba reálně vypadajících videí nebo volání je na vzestupu a často v první moment dokáží obelstít i odborníky. A s každým pokusem se může díky strojovému učení takový nástroj zdokonalovat. Pak už jde jen o otázku vhodných scénářů podvodu a lineárně se zdokonalováním AI může růst i množství a sofistikovanost podvodů. Předpokladem je, že tyto podvody budou směřovány hlavně na běžnou populaci.

Oproti tomu lze očekávat, že podobně bude AI využívána i na straně aplikací, starajících se o kybernetickou bezpečnost, kde má naopak trend rychlého rozvoje pozitivní efekt. Toho dokáží nejlépe využít firmy. Pokročilé schopnosti AI v oblasti analýzy dat se stále častěji využívají k identifikaci a předvídání kybernetických hrozeb, čímž se zdokonalují systémy včasné detekce. Algoritmy strojového učení se vyvíjejí tak, aby lépe rozpoznávaly nové hrozby a dokázaly na ně reagovat. Dá se tedy předpokládat, že algoritmy AI budou poskytovat analýzu hrozeb v reálném čase, což umožní rychlejší a přesnější detekci kybernetických incidentů a reakci na ně.

2. Pokračující trend práce na dálku

Práce na dálku, bude i v roce 2024 významně ovlivňovat profesní prostředí. I přesto, že hlavní posun tímto směrem již proběhl, postupné nastavení práce na dálku jako jednu z běžných norem znamená vyžadovat zvýšený důraz i na kybernetickou bezpečnost, zejména na zabezpečení vzdáleného přístupu do pracovního prostředí. Kromě šifrování komunikace budou významnou roli hrát metody autentifikace a autorizace uživatelů. Díky tomu poroste význam systémů označovaných jako CIAM (Customer Identity and Access Management – Správa identit a přístupu zákazníků). Tyto funkce mají zásadní význam pro ochranu před neoprávněným přístupem a kybernetickými hrozbami, které jsou v prostředí vzdálené práce stále častější. Nejde tedy jen o to oprávněného uživatele do vnitřní sítě pustit, ale nastavit mu i odpovídající práva na přístup k jednotlivým službám, funkcím nebo datům.

3. Narůstající útoky vyděračského software (ransomware)

Ransomware zůstane velmi významnou hrozbou i v roce 2024. Současně vzrůstá komplexita jeho taktiky, často za podpory nástrojů AI a útoky jsou stále složitější a jednání vyděračů agresivnější. Očekává se, že v roce 2024 budou škody způsobené ransomware vyšší než v roce 2023 a tento trend bude pravděpodobně pokračovat i v roce 2025. Kromě vlastního znepřístupnění dat formou zašifrování roste i oblast vyhrožování zveřejněním ukradených dat, pokud nedojde k platbě. A k několika významným únikům dat do veřejného prostoru touto cestou již proběhlo. I nadále trvá doporučení vyděračům neplatit.

Ochranou před ztrátou dat je jedině nastavení robustní záložní strategie, školení zaměstnanců, kybernetické pojištění (jehož význam také poroste), odborné znalosti v oblasti ochrany a plány reakce na incidenty. V roce 2024 vstoupí v platnost evropská směrnice NIS2, která systémově řeší oblasti kybernetické bezpečnosti, ale i bez ní se stane standardem na trhu provádění penetračních testů, ověřování integrity sítě, identifikace neoprávněných aktivit a monitorování podezřelého chování (třeba i s využitím AI).

4. Rostoucí důležitost internetu věcí (IoT)

V roce 2024 bude pokračovat exponenciální nárůst zařízení označovaných jako internet věcí (IoT). Jako každá jiná expanze i tato však s sebou nese řadu bezpečnostních rizik a výzev. Různorodá ale všudypřítomná zařízení internetu věcí z nich činí atraktivní cíle kybernetických útoků a jejich propojená povaha může vést k rozsáhlým zranitelnostem. Mohou být přímo napadeny, ale také mohou sloužit jako prostředek k hromadnému napadení jiných zařízení, nebo mohou fungovat jako spící agenti, připravení zaútočit na pokyn útočníka.

V roce 2024 bude kladen hlavní důraz na zvýšení bezpečnosti internetu věcí různými prostředky. Jeden z významných pokroků se očekává ve vývoji robustnějších, standardizovaných bezpečnostních protokolů pro zařízení internetu věcí. To by mohlo zahrnovat univerzální šifrovací standardy a povinné bezpečnostní certifikace pro nová zařízení. V systémové oblasti pak bude zacíleno na monitorování a vyhodnocování neobvyklých vzorců chování, které mohou indikovat narušení a patrně bude i v této oblasti narůstat význam AI a strojového učení.

Celosvětově již probíhají kampaně pro vzdělávání uživatelů v oblasti bezpečnosti internetu věcí. S tím, jak si uživatelé budou lépe uvědomovat potenciální rizika a osvědčené postupy dojde i ke zlepšení celkového zabezpečení sítí IoT.

5. Vzestup kvantových počítačů a jejich dopad na kybernetickou bezpečnost

Kvantové počítače se čím dál častěji hlásí o své místo a nejinak tomu bude i v roce 2024. Kvantové výpočty přinášejí převrat v myšlení o zpracování dat a řešení problémů. Zatímco klasické počítače používají bity reprezentované jako 0 nebo 1, kvantové počítače využívají tzv. qubity, které mohou existovat ve více stavech současně. To dovoluje kvantovým počítačům zpracovávat obrovské objemy dat nebývalou rychlostí a řešit složité problémy řádově rychleji než tradiční počítače.

Rozvoj kvantových počítačů představuje pro kybernetickou bezpečnost hrozby i příležitosti. Na jedné straně představuje významné hrozby pro současné protokoly kybernetické bezpečnosti. Schopnost rychle prolomit tradiční šifrovací metody, jako jsou RSA a ECC, by mohla způsobit zranitelnost mnoha stávajících bezpečnostních systémů. Tato zranitelnost zdůrazňuje naléhavou potřebu vývoje kvantově odolných šifrovacích technik, které se označují jako postkvantová kryptografie a které by měly časem nahradit stávající šifrovací algoritmy.

Na druhou stranu nabízí obrovský výpočetní výkon potenciál pro posílení kyberbezpečnostních opatření. Kvantová výpočetní technika může zdokonalit metody šifrování, vyvinout sofistikovanější algoritmy pro odhalování kybernetických hrozeb a efektivně řídit rozsáhlé a bezpečné datové operace.

6. Evoluce phishingových útoků

Phishingové útoky jsou ve světě kybernetické bezpečnosti již dlouho přetrvávající hrozbou a v roce 2024 se jejich sofistikovanost a účinnost bude i nadále zvyšovat a to i díky AI. Moderní phishingové útoky se zdokonalily v obcházení tradičních bezpečnostních opatřeník oklamání uživatelů používají personalizovanější a technicky vyspělejší taktiky, ke kterým využívají i strojové učení. Pro rok 2024 to bude znamenat zvýšení bezpečnosti prostřednictvím robustních autentizačních a autorizačních systémů. Lze očekávat vyšší míru zavedení silných systémů vícefaktorového ověřování (Multi Factor Authorization – MFA). Stejně tak budou firmy zavádět systémy pro monitoring chování uživatelů, aby například i z nestandardních kroků odhalily, že přihlášený uživatel není oprávněnou osobou. Stejně jako phishingové útoky a obrana proti nim se bude muset významně rozvíjet.

7. Vztah blockchainu a kybernetické bezpečnosti

V průběhu roku 2024 poroste důležitost technologie blockchainu, která bude stále více uznávána pro svůj potenciál významně zvýšit kybernetickou bezpečnost. Blockchain jako decentralizovaná technologie účetní knihy, která je známá svými unikátními bezpečnostními vlastnostmi, jako je neměnnost, transparentnostodolnost proti manipulaci, se začne významně zapojovat v oblasti kybernetické bezpečnosti. Její vlastnosti z ní činí atraktivní možnost zabezpečení digitálních transakcí a ochrany dat před kybernetickými hrozbami.

Jedním z hlavních způsobů, jak blockchain dokáže zvýšit kybernetickou bezpečnost, je jeho schopnost zabránit manipulaci s daty. Jakmile jsou data zaznamenána v blockchainu, nelze je bez konsensu sítě změnit, což hackerům téměř znemožňuje jejich manipulaci. Tato vlastnost je obzvláště užitečná pro zabezpečení citlivých dat, jako jsou údaje o osobní identitě, finanční transakce, údaje o kritické infrastruktuře apod. Blockchain se také stále více prosazuje při vytváření bezpečnějších a decentralizovanějších systémů správy identit. Ukládáním údajů o identitě do blockchainu mohou mít jednotlivci a organizace větší kontrolu nad tím, kdo má k jejich informacím přístup, což snižuje riziko krádeže identity a podvodů.

Předpokládá se, že v roce 2024 bude role blockchainu narůstat při zabezpečení zařízení internetu věcí (IoT). Integrace blockchainu do sítí IoT umožňuje, aby každé zařízení fungovalo jako bezpečný, nezávislý uzel, díky čemuž je celá síť odolnější vůči útokům, které obvykle využívají slabin centralizovaného zabezpečení. Kromě toho lze očekávat, že inteligentní kontrakty založené na blockchainu budou mít větší využití při automatizaci a zabezpečení digitálních dohod. Tyto samovykonatelné smlouvy mohou zvýšit bezpečnost různých online transakcí, zajistit dodržování předpisů a snížit riziko narušení.

8. Zvýšený dopad na mobilní bezpečnost

V roce 2024 se dále posílí role mobilních zařízení, která se stávají stále více nedílnou součástí osobního i profesního života. Tím se ještě zvýší důraz na mobilní bezpečnost. Zvýšená závislost na mobilních zařízeních pro různé úkoly, pro práci na dálku, v rámci finančních transakcí nebo pro osobní komunikaci z nich činí atraktivní cíle pro kybernetické hrozby. Proto poroste poptávka po řešení pro bezpečný mobilní přístup. Sem patří silné šifrovací protokoly, které zajišťují přenosy chráněné před neoprávněným zachycením nebo přístupem, vícefaktorové ověřování u transakcí s citlivými daty. Další oblastí bude protokolování komunikace s automatizovanou analýzou, což představuje prevenci neoprávněného přístupu, nebo poroste role monitorování jakékoli podezřelé aktivity, která se může během vzdálené relace vyskytnout. A to vše musí být v souladu s uživatelskou přívětivostí, aby uživatelé bezpečnostní pravidla neobcházeli.

9. Nedostatečné znalosti a vliv vzdělávání na kybernetickou bezpečnost

Rok 2024 bude v odvětví kybernetické bezpečnosti znamenat významnou výzvu, kterou je nedostatek kvalifikovaných pracovníků. Zavádění NIS2, nový zákon a vyhláška o kybernetické bezpečnosti tento trend ještě akcelerují. S tím, jak se kybernetické hrozby stávají sofistikovanějšími, roste poptávka po kvalifikovaných odbornících na kybernetickou bezpečnost. Současně je patrný nedostatek osob obecně vybavených potřebnými dovednostmi a znalostmi, aby mohly účinně bojovat proti těmto vyvíjejícím se hrozbám. Tento nedostatek představuje riziko nejen pro jednotlivé organizace, ale také pro globální kybernetickou infrastrukturu. Řešení tohoto problému se věnuje řada iniciativ, ať již v rámci vzdělávacích institucí, které rozšiřují své studijní programy v oblasti kybernetické bezpečnosti a nabízejí specializované tituly a certifikace, nebo i přímo ve firemním vzdělávání a to jak specializované, tak obecné pro širší okruh zaměstnanců ve formě seminářů, školících programů, workshopů nebo praktických cvičení a informační osvětě.

V období do roku 2024 hrají tyto vzdělávací a školicí iniciativy zásadní roli při snižování nedostatku kybernetických dovedností, což v konečném důsledku povede k robustnějšímu a odolnějšímu digitálnímu ekosystému firem.

10. Pojištění proti kybernetickým útokům

Pojištění kybernetické bezpečnosti se v roce 2024 nezbytně stane běžnou součástí strategií řízení podnikových rizik. Ať to souvisí s trendem narůstajících kybernetických rizik nebo i se zaváděním evropské směrnice NIS2 a nového zákona o kybernetické bezpečnosti, rok 2024 bude znamenat pro mnoho firem nutnost se proti obdobným rizikům pojistit. Souvisí to s rostoucí složitostí a četností kybernetických hrozeb, a s tím souvisejícími finančními riziky. Ještě důležitější však bude pojištění rizik spojených s úniky dat, jelikož jde často o obchodní, osobní nebo dokonce citlivé informace. Náklady na toto pojištění budou vždy významně ovlivněny postojem pojištěné organizace v oblasti kybernetické bezpečnosti a pojišťovny budou vyžadovat dodržování široké sady pravidel. Půjde například o zavedení robustního šifrování, vícefaktorového ověřování, komplexních protokolů o přístupu apod.

PF 2024

Přejeme našim klientům a partnerům šťastný a úspěšný rok 2024.

Race for the cure 2023

Protože říjen není jen měsícem kybernetické bezpečnosti, ale tradičně je i měsícem věnovaným problematice rakoviny prsu, zúčastnili jsme se v neděli 4. ročníku charitativního běhu Race for the cure. Výtěžek ze startovného bude věnován na aktivity Aliance žen s rakovinou prsu a projektu Bellis – mladé ženy s rakovinou prsu.

Časový harmonogram zavedení NIS2 a hrozící sankce

Kdy nastanou změny v souvislosti s NIS2 a proč jim věnovat pozornost již nyní?

Platnost zákona je očekávána v druhé polovině roku 2024. Dle dostupných informací bude existovat roční přechodné období, ale vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude nutné začít plnit již v druhé polovině roku 2024. Zavedení souladu s NIS2 bude časově náročná činnost a proto lze očekávat, že bude implementace do dané společnosti trvat minimálně několik měsíců. Vzhledem k tomu že právní úprava se blíží finálnímu znění a v odborné veřejnosti je již známa, lze interní harmonogram začít plánovat již nyní. Vzhledem k tomu, že některá opatření vyvolají dodatečné náklady, bude důležité zahájit plánování i z důvodu nárokování odpovídajících částek v rozpočtu podniku. 

Za nesplnění budou hrozit vysoké sankce. Maximální pokuta za nedodržení bude 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti. Minimální výše není stanovena, sankce by však neměla být likvidační, přesto je však nutné zohlednit i to, že vlastní sankce může být jen zlomkem skutečných škod, které kybernetický útok způsobí.

Kromě toho hrozí i správní tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce (u poskytovatelů regulovaných služeb v režimu vyšších povinností). Pokud by se hypoteticky vrcholné vedení regulované organizace soustavně vyhýbalo plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, hrozí v krajním případě až pozastavení výkonu řídicí funkce přímo fyzické osobě.

 

OneWelcome CIAM Advanced Training

Absolvovali jsme OneWelcome CIAM Advanced Training.

Pětidenní program tohoto pokročilého školení nám poskytl nové zajímavé zkušenosti s konfiguračními aspekty řešení OneWelcome. V rámci praktických cvičení také prověřil důkladné pochopení technických aspektů produktu a naše schopnosti efektivně implementovat řešení CIAM.

Výběr z témat: dynamická registrace klientů, OAuth klient pro ověřování, konfigurace souhlasu s dokumenty, získávání souhlasů s dokumenty prostřednictvím rozhraní API, konfigurace a ověřování postupného souhlasu s dokumenty, konfigurace atributového souhlasu spolu s účelem zpracování, integrace služeb třetích stran, BPMN, konfigurace BPMN pro snadný registrační tok

Přestěhovali jsme se blíže centru

Od tohoto týdne se spolu můžeme vídat na naší nové adrese Bělehradská 299/132, Praha 2

NIS2 – Rozdělení režimu na vyšší a nižší povinnosti

V minulém článku jsme se věnovali tomu, kterých firem se nově budou týkat povinnosti v oblasti zajišťování kybernetické bezpečnosti vyplývající z nové směrnice Evropské unie NIS2.

U většiny subjektů lze v návrhu nového zákona o kybernetické bezpečnosti vysledovat souvislost určení míry povinností zejména s velikostí podniku, roli však také hraje rozsah a míra dopadu bezpečnostního incidentu. Režim povinností není v rozhodovací pravomoci subjektu, požadovaná úroveň je určena definovanými kritérii v prováděcí vyhlášce a dále může být určena Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Pokud u subjektu bude identifikována některá služba v režimu vyšších povinností, pak automaticky všechny ostatní služby budou též zařazeny do režimu vyšších povinností, ačkoliv samy o sobě by kritéria nenaplňovaly.

V zásadě se však povinnosti subjektů v obou režimech příliš neliší, podrobnosti uvádí následující tabulka.

Co přinese zavedení NIS2 do běžné firmy

Následující minisérii článků věnujeme nové směrnici Evropské unie  NIS2 a změnám, které v České republice přinese. Tyto změny nastanou s účinností nového zákona o kybernetické bezpečnosti.

První výraznou změnou v oblasti zajišťování kybernetické bezpečnosti je rozšíření okruhu firem, jichž se týkají požadavky Evropské unie.

Povinně dopadne nově na, dle odhadů, tisíce firem a těch se bude nově týkat množství povinností.

Nepředpokládáme, že by tyto firmy kybernetickou a informační bezpečnost neřešily již nyní, ale bude nutné, aby prováděly např. identifikaci a hodnocení aktiv, analýzu rizik, aby měly nastavené procesy pro řešení bezpečnostních incidentů, aby u nich pravidelně probíhal audit bezpečnostních opatření, nastavení šifrování, zabezpečení nouzové komunikace, byly zpracovány plány obnov a kontinuity činností a mnoho dalších činností, na které dosud nemusely být zvyklé. Proto jsme se rozhodli připravit toto shrnutí.

Povinnosti se podle režimu rozdělují do dvou, resp. tří základních kategorií a to na „organizační opatření“, „technická opatření“ a „zpracování dat v zahraničí“ (pouze v režimu vyšších povinností).

 

Koho se nově NIS2 týká

Podle návrhu prováděcí vyhlášky se povinnosti nového kybernetického zákona budou týkat veřejné správy (včetně např. obcí s rozšířenou působností), dále pak středních a velkých podniků v oblastech energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní služby, vojenský průmysl a vesmírný průmysl.

Z dat statistického úřadu vyplývá, že podle počtu zaměstnanců je v ČR 2411 velkých podniků, malých a středních pak 30539. Počet zaměstnanců samozřejmě není jediným kritériem pro určení velikosti podniku, z uvedených čísel se však zdá odhad 6000 dotčených subjektů jako podhodnocený. Důležité je si uvědomit, že mnoha dalších podniků se nová právní úprava dotkne nepřímo, jelikož je na ně přenese některý z jejich velkých zákazníků, pro kterého se stane NIS2 povinnou a bude některá opatření požadovat i od svých dodavatelů.

(https://www.czso.cz/csu/czso/res_cr)

Díl 8. – Zneužití e-mailu na principu man-in-the-middle

Zneužití e-mailu na principu man-in-the-middle a podvrhnutí jiného čísla účtu

Tento typ útoků používají útočníci k podvržení jiného čísla účtu. Princip je založen na tom, že se nějakým způsobem dostanou do Vaší e-mailové schránky, nebo k e-mailovým zprávám, které pozmění. Například si objednáváte nějaké ubytování v zahraničí. Útočník zprávu odchytí a často s upozorněním na to, že došlo ke změně čísla účtu vám pošle pozměněné platební údaje. Požadavek na platbu vypadá věrohodně, často jde o pozměněné PDF s původní fakturou, obsahuje IBAN i SWIFT, částka je nezměněna. A celý e-mail se graficky tváří jako ostatní komunikace s daným obchodním partnerem a to včetně toho, že je níže v e-mailu zkopírována kompletní původní historie komunikace. V tomto případě podvodu platbu uděláte vy sám/sama, takže jen velmi těžko budete přes banku získávat peníze zpět.

Na co si dát pozor a jak se bránit?

  • Zkontrolujte pravost odesílatele e–mailu. Patří e-mailová adresa skutečně tomu, s kým si píšete? Často je změna minimální. Např. může být změněno jméno domény v e-mailové adrese a to přidáním pouze jednoho písmene.
  • Zkontrolujte, zda je e-mailová adresa pro zasílání odpovědí, tedy „Reply-to“ či „Odpovědět na“ stejná jako emailová adresa toho, s kým komunikujete.
  • Uvažujte racionálně, zda je obvyklé, aby vás někdo žádal o zaplacení na jiný účet, často v jiné zemi, než bylo původně dohodnuté, nebo než bylo placeno při poslední platbě.
  • Zkontrolujte, zda číslo účtu, kam má platba odejít, opravdu patří jejímu příjemci.
  • Dávejte si pozor, zda se vám pod rukama nemění obsah e-mailové schránky.

Pokud máte jakoukoliv pochybnost o pravosti e–mailu, pro jistotu si zavolejte s vaším partnerem, kterému platbu máte poslat. Dále doporučujeme změnit si heslo u e-mailové schránky a nepoužívat takové, které již používáte u jiné služby. Pokud takové podezření máte, kontaktujte odborníka na kybernetickou bezpečnost.

Bezpečné používání hesel

Další díl naší série Kybernetické útoky je věnován otázkám používání hesel v různých službách. Sledujte na stránce Kybernetická bezpečnost.