Technologický pokrok hraje do karet kybernetickým útokům, které si každoročně vyžádají obrovské finanční ztráty. V TITANS jsme proto shrnuli několik trendů v oblasti bezpečnosti, jako jsou passkeys či biometrické faktory, i přehlížené hrozby v datech, kterým se vyplatí vyhnout.
Nač by se útočníci namáhali hacknutím vašeho počítače, když se do něj mohou jednoduše přihlásit?
Mezi nejčastější vektory kybernetických útoků, které úspěšně naruší bezpečnost v datech, patří ukradené přihlašovací údaje. Zatímco v minulosti potřebovali hackeři 16 hodin na to, aby vytvořili přesvědčivý phishingový e-mail, kterým se dostali do uživatelského účtu, dnes jim ho AI připraví za 5 minut.
Stejně snadno jim pomáhá zdokonalit a znásobit tvorbu vysoce personalizovaných e-mailů, fotek, hlasů a videí, které napodobují skutečné lidi nebo značky. O to těžší je jejich podvody odhalit. V průměrně 16 % incidentů, kdy byla narušena bezpečnost údajů, útočníci využívali AI, nejčastěji ve formě phishingu (37 %) a deepfake útoků (35 %). Ke získání slabých autentifikačních údajů, jako jsou hesla, jim pomáhá také sociální inženýrství, úniky dat a malware.
„Útočníci pak využívají boty, aby pomocí automatizace prováděli hromadné pokusy o přihlášení do různých služeb — v naději, že v nich lidé použili stejné údaje,“ tvrdí Jeremy D’Hoinne z Gartner.
Čas, který je potřebný k tomu, aby se zneužila zranitelná místa účtů, se tak do roku 2027 zkrátí až na polovinu. Displej mobilu, na kterém svítí 4 přijaté phishingové zprávy. Passkeys jsou odolné vůči phishingu.
Odborníci doporučují passkeys
Situaci však mohou zvrátit moderní metody ověřování, které jsou odolné vůči phishingu, jako například passkeys. Jelikož eliminují zranitelnost tradičních hesel a jednorázových kódů, útočníkům výrazně ztěžují zneužití přihlašovacích údajů.
Na základě technologie web authentication se při vytvoření passkeys vygenerují dva různé klíče: jeden uložený na webové stránce nebo na službě, kde máte účet, a soukromý klíč umístěný na zařízení, které používáte k ověření identity. Tímto způsobem se můžete přihlásit pomocí fyzických biometrických faktorů, jako je vaše tvář či otisk prstu.
Kromě toho Microsoft uvádí, že využívání passkeys při přihlašování umožňuje 98procentní úspěšnost, zatímco v případě účtů založených na heslech jde jen o 32 procent.
Vzhledem k rozvíjející se hrozbě sofistikovanějších kybernetických útoků by měli lídři v oblasti bezpečnosti urychlit přechod na bezheslovou multifaktorovou autentifikaci, která je odolná vůči phishingu. Myslí si to Akif Khan z Gartner. Pro firmy nepředstavuje významné riziko jen krádež účtů, ale i technologicky vyspělejší sociální inženýrství. Gartner předpokládá, že do roku 2028 bude 40 % takových útoků cílit na vedení společností i na širší pracovní sílu.
„Organizace budou muset držet krok s vývojem na trhu a upravit své postupy a pracovní toky, aby byly odolnější vůči útokům, které využívají podvodné techniky,“ uvedl Manuel Acosta z Gartner. „Klíčovým krokem je vzdělávání zaměstnanců o měnícím se prostředí hrozeb, a to prostřednictvím školení zaměřených na sociální inženýrství a deepfakes.“
Netřeba přitom zapomínat, že AI agenti začínají hrát stále větší roli v provozu organizací, a tak se jejich identity musí chránit stejně přísně jako ty lidské. Až 97 % bezpečnostních incidentů, které souvisely s AI firem, bylo totiž cílených na systémy bez řádných kontrol přístupu.
Papírek přilepený na notebooku, na kterém je napsané heslo. Passkeys eliminují zranitelnost tradičních hesel a jednorázových kódů.
Proč jsou passkeys jen jedno z nezbytných opatření
Co by tedy představovalo ideální formu ochrany? Kombinované využití passkeys a behaviorální biometrie. Ta pomocí AI a ML nepřetržitě analyzuje jedinečné vzorce v činnosti uživatele a vytváří modely jeho typického chování. Jde například o charakteristický pohyb myší, používání dotykové obrazovky, rychlost psaní, polohu mobilního telefonu či IP adresu.
To všechno pak porovnává s aktuálními projevy člověka využívajícího zařízení, aby ověřila jeho identitu. Pokud zaznamená jakékoli odchylky od normálního chování, označí to za podezřelou aktivitu a zablokuje autentifikaci uživatele.
Zatímco fyzické biometrické faktory jsou pasivní, vycházejí z neměnných charakteristik a obvykle se kontrolují jen jednou na začátku relace, behaviorální biometrie je něco zcela odlišného. Je aktivní a uživatele monitoruje nepřetržitě po celou dobu relace.
Běžně se používá jako součást adaptivního autentifikačního systému, který mění ověřovací požadavky na základě bezpečnostního kontextu. Pokud se například uživatel přihlásí ze své běžné IP adresy, může stačit, když zadá jen heslo. Pokud se však přihlásí z neočekávané adresy, systém od něj může vyžadovat heslo a naskenování otisku prstu.
Kromě toho, že behaviorální biometrie posílí opatření organizací na ochranu údajů a prevenci podvodných aktivit, má i další využití. Dokáže urychlit a zabezpečit transakce finančních služeb či odhalit účty, které se používají ke skrytí a přesunu peněz na nelegální účely. Jelikož je neinvazivní a nevyžaduje žádné dodatečné úsilí ze strany uživatele, pomáhá zajistit bezproblémové zkušenosti zaměstnanců a zákazníků.
Muž, který se přihlašuje naskenováním své tváře. Passkeys a behaviorální biometrie představují ideální systém ochrany.
Cena za shadow IT
Více než polovina organizací v letošním průzkumu uvedla, že se stále zotavuje z narušení bezpečnosti svých údajů. Až 76 % firem, které se úplně postavily na nohy, uvedlo, že jim zotavení trvalo déle než 100 dní.
A protože zavádění AI probíhá rychleji než nastolení její bezpečnosti a dohledu nad ní, ve velké míře zůstává nekontrolovaná. Až 20 % organizací, které tento rok zkoumala studie IBM, proto utrpělo narušení bezpečnosti v důsledku incidentů souvisejících se shadow AI. Tento termín označuje AI, která se používá bez souhlasu či dohledu zaměstnavatele.
Pokud organizace disponovaly vysokou úrovní shadow AI, jejich finanční ztráty z narušení údajů se v průměru zvýšily o 670 000 dolarů. Tyto incidenty také vedly ke kompromitaci většího množství osobních identifikačních dat a údajů duševního vlastnictví. Studie odhalila, že i jediný nemonitorovaný systém AI může způsobit rozsáhlý únik citlivých informací.
Výrazné využívání AI a automatizace v organizacích však přineslo i dobré zprávy. Čas potřebný k identifikaci hrozby a k zastavení narušení bezpečnosti se zkrátil v průměru o 80 dní, čímž se snížily i finanční ztráty.
Podobné bezpečnostní nástroje dokážou ulevit přetíženým IT týmům, a totéž platí i o outsourcingu freelance specialistů. Chybějící odborníci na kybernetickou bezpečnost totiž dlouhodobě představují pro sektor výrazný problém. Podle letošní zprávy trpělo až 48 % organizací vysokým nedostatkem expertů v oblasti bezpečnosti, což zvýšilo jejich průměrné finanční ztráty z kybernetických útoků na 5,22 milionu dolarů.
Naopak firmy, které měly nízký nebo žádný nedostatek talentů, musely obětovat „jen“ 3,65 milionu dolarů. Právě IT outsourcing tak značkám umožňuje přístup ke klíčové expertíze a dovednostem, které do týmu přináší zkušený freelancer či freelancerka.
