Vladimíra Žáčková

Specialistka kybernetické bezpečnosti společnosti ESET

Společnosti a organizace jsou čím dál více závislé na digitálních prostředcích, a tím pádem vystaveny kybernetickým hrozbám více než před lety. S příchodem nového Zákona o kybernetické bezpečnosti a požadavků NIS2 se navíc budou muset ještě více zaměřit na zvyšování svého zabezpečení.

NIS2 má oproti předchozí verzi směrnice mnohem větší rozsah působnosti a přináší mimo jiné třeba požadavky na sledování a hlášení incidentů nebo na bezpečnost dodavatelského řetězce.

Právě útoky dodavatelským řetězcem, při kterých se např. útok na dodavatele aplikace pro přenos a správu souborů dotkne celé řady jeho klientů, jsou u malých a středních firem stále častější. Důvodem bývají většinou jejich omezené zdroje k zajištění kybernetické bezpečnosti.

Hesla stojí v první linii obrany mezi kyberútočníky a našimi citlivými údaji. Tyto údaje jsou pro ně velice cenné, protože je mohou zpeněžit nebo využít k dalším útokům. Útočníci se k nim snaží dostat třeba za pomoci škodlivých kódů, kterými jsou typicky tzv. infostealery. Ty se řadí mezi spyware, který v Česku dlouhodobě sledujeme.

Podle našich dat tyto útoky stále mírně rostou, a to především ve vyspělejších zemích EU a v USA, přičemž mezi oběťmi jsou především uživatelé operačního systému Windows. Ještě před několika lety byla za silné heslo považovaná náhodná kombinace velkých a malých písmen, speciálních znaků a čísel. Lidé tak začali volit sice složitá, ale krátká hesla.

Dnešní automatizované nástroje na prolamování hesel využívané např. v útocích tzv. hrubou silou ale dokáží taková hesla uhodnout během několika minut.

Lepší variantou je proto volit např. heslovou frázi, která by ale neměla přímo souviset s našimi osobními údaji nebo informacemi o naší rodině a koníčcích - útočníci si je totiž mohou snadno zjistit např. z veřejných informací na sociálních sítích.

Rok 2023 byl rokem, kdy kyberzločinci začali naplno využívat generativní umělou inteligenci ke zlepšování svých útočných kampaní, zejména pokud jde o vytváření obsahu pro různé online podvody, phishing nebo jinou manipulaci s uživateli.

Očekáváme, že v roce 2024 se tento trend zrychlí a AI se stane ústředním prvkem ve vytváření útoků tzv. sociálního inženýrství.

Při online nakupování je stále nejčastějším způsobem placení platba kartou. Lidé se naopak letos mírně více než loni přiklánějí k platbě přes dobírku nebo převodem. To může souviset s nárůstem podvodů při online nakupování a obavami uživatelů o svoji digitální bezpečnost. Vzrostl počet lidí, kteří chrání svoje finance nastavením limitu pro platby, a to o 5 %.

Limity pro platby ale nebrání kyberútočníkům v tom, aby se dostali k našim finančním prostředkům, pouze snižují škody v případě úspěšného útoku. Oproti tomu vícefázové ověření může rovnou zabránit neoprávněné transakci nebo neoprávněnému přístupu k vašemu online účtu.

V případě streamovacích placených platforem si uživatelé častokrát plně neuvědomují všechna rizika, která jsou s nedostatečně silnými hesly a s jejich sdílením spojená. Už jen tím, že sdílíme heslo s dalšími lidmi, výrazně zvyšujeme pravděpodobnost, že naše přístupové údaje někdo zneužije.

Mohou to být přitom jak lidé z našeho blízkého okolí, tak samozřejmě kybernetičtí útočníci, kteří mohou odcizená hesla prodat na černém trhu nebo použít k různým útokům.

Pokud se útočníci dostanou k našim e-mailům, mohou prostřednictvím slovníkových útoků zkusit prolomit naše účty nejčastěji používanými a jednoduchými hesly. Rizikem je ale také takzvaný credential stuffing, kdy mohou zkusit prolomit naše další účty stejnou kombinací e-mailu a hesla.