Kyberšmejdi se změnili, jsou organizovaní, používají propracované metody útoků na účty Čechů. Během pandemie covidu se naučili používat základy psychologie a čím dál úspěšněji zapojují umělou inteligenci. Pavel Kolář, gestor komise pro digitalizaci a bankovní a finanční bezpečnost České bankovní asociace, vysvětluje, jak se bránit.

Útoky e-šmejdů jsou stále sofistikovanější, využívají nové metody a je stále těžší rozeznat, že jde o kyberpodvod. Existuje obecný návod, jak být opatrný?

Ale ano, existuje. Pro zjednodušení by si měl každý položit tři otázky. První, zda a jak mám zabezpečené své zařízení, s nímž na internetu komunikuji, a tím myslím i telefon. Je až zarážející, jak velké množství uživatelů to ignoruje. Druhou, jak se o aktuálních hrozbách informuji. Vektory útoku se často dynamicky mění a kombinují, i když je modus operandi v zásadě stejný. A třetí, poslední, jak se v kyberprostoru chovám. Jsem splašený bezmyšlenkovitý klikač na všechny odkazy ZDARMA nebo SLEVA, upozornění mě jen otravují a zdržují a vydávám se i do rizikových oblastí, aniž o tom přemýšlím? Je to opravdu jednoduché. Prostě se v kyberprostoru chovejme jako ve fyzickém životě, kde se přece o svou bezpečnost staráme. Chráním si svůj byt a dům důkladnými zámky a zabezpečovacími systémy, nikdy od něj klíče nepředám někomu cizímu atd. Stejné je to v kyberprostoru, vše dělám vědomě, a když si něčím nejsem jist, klidně to ukončím. O všem přemýšlím, pokud možno s chladnou hlavou a bez časového stresu. A hlavně se nevystavuji zbytečnému riziku újmy tím, že se vydám do míst, kde mi pravděpodobně hrozí. Nechtěl bych, aby to vyznělo negativně, ale nejslabším článkem řetězu bývá v drtivé většině uživatel, tedy klient.

Dobrá. A lze říct, co se za posledních například deset let v kyberprostoru změnilo?

Pokud bych otázku vztáhl ke kyberšmejdům, tak skoro všechno. Jsou organizovaní, používají kvalitní technologie i propracované metody útoku, většinou zacílené na co nejširší skupiny obyvatel, aby byla pravděpodobnost úspěchu vysoká. Od covidového internetového boomu využívají základní psychologické poučky a metody sociálního inženýrství. Útoky si pečlivě připravují a často vycházejí i z reálných obchodních nabídek. Pryč je doba primitivních, na první pohled rozpoznatelných podvodných e-mailů, pokusů skimmovat karty u bankomatů a obchodníků. Je to pro útočníky nejen levnější, ale i reakce na to, že se do digitálního virtuálního světa přesunula značná část našeho jednání z fyzického světa, protože v době pandemické izolace jsme si zvykli své potřeby uspokojovat právě tam.

Je zřejmé, že umělá inteligence (AI) začíná hrát v podvodech čím dál důležitější roli. Ale je to i naopak, pomůže nám naše data nebo peníze chránit?

Ano, zejména finanční instituce – a prim hrají banky – svým klientům nabízejí a vyvíjejí stále dokonalejší prostředky zabezpečení používaných klientských aplikací i internetového bankovnictví a autorizace transakcí. Je to samozřejmě reakce na dostupnost a použití AI útočníky. Zároveň jsou pomocí AI v bankách stále zdokonalovány používané behaviorální nástroje a modely, které dokážou odhalovat nestandardní aktivity, které s odcizenými přihlašovacími údaji provádějí útočníci. Perimetrů obrany je daleko víc než v minulosti.

A lze jednoduše říct, jak moc AI vlastně kyberbezpečnost mění?

Zásadně. S ohledem na dostupné a stále se učící i zdokonalující AI nástroje bude jejich použití při útocích na klienty stále častější a věrohodnější. Tomu se už nyní snaží v bankách přizpůsobit. Budou měnit některé své obchodní modely a především hledají a připravují nové způsoby zabezpečené komunikace s klienty tak, aby si mohli ověřit, že jednají skutečně se svou bankou, zkrátka reálnou protistranou. Dnes jsou útočníky nástroje AI používány zejména u investičních podvodů, kde se díky stále se zdokonalující technologii vytváření videí i hlasových modulů setkáváme s velmi věrohodnými videi. Reálné osobnosti nám v nich sdělují své zkušenosti a nabízejí skvělé příležitosti, aniž je natočily. A bude hůř. Už nyní se objevují náznaky pokusů o „realistické“ falešné doporučení z bank, takový vylepšený podvodný videobankéř.

Co bych měl jako klient požadovat od své banky, abych měl jistotu, že mám peníze v bezpečí?

Než si účet u banky otevřete, rozhodně se zajímejte o to, zda a na jaké úrovni zabezpečení má vícefaktorovou identifikaci svých klientů. Jak banka své klienty informuje o aktuálních hrozbách a jaké nástroje pro komunikaci s klienty používá. A využijte dostupných informací na internetu, kde si můžete porovnat nejen finanční výhodnost a dostupnost produktů, ale i informace nezávislých společností a spotřebitelských organizací v oblasti bezpečnosti. Jde o vaše peníze, věnujte tomu čas.

Troufnete si odhadnout, jak budou vypadat bankovní služby v roce 2030?

Domnívám se, že se bude nadále rozšiřovat počet produktů dostupných elektronickou formou. Tomu se budou přizpůsobovat procesy na pozadí, v backoffice, a také poskytované služby na pobočkách. A zcela jistě se bude nově klást daleko větší důraz na finanční gramotnost klientů, a to i v oblasti kyberbezpečnosti. Poučený klient je méně ohrožen a dokáže na útoky reagovat, a tak mu nevznikají škody.

Jak jsme na tom z hlediska kyberbezpečnosti v kritické infrastruktuře? Třeba v nemocnicích?

Jsem přesvědčen o tom, že se za posledních několik let situace v oblasti kritické infrastruktury výrazně zlepšila. Významnou roli v tom sehrála samozřejmě agrese Ruska na Ukrajině a tomu odpovídající zvýšená aktivita Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Do budoucna kyberbezpečnosti pomůže i nová evropská legislativa, která se výrazně propisuje do našeho zákona o kybernetické bezpečnosti tak, že mimo jiné posouvá perimetr obrany i do dodavatelských řetězců.

A jaké je povědomí o kybernetické bezpečnosti mezi tuzemskou veřejností?

Od covidové pandemie se výrazně zlepšilo. Souvisí to s tím, že v reakci na rostoucí počet útoků dotčené společnosti začaly své klienty na toto téma edukovat. Stále častěji se setkáváme s tím, že soukromý sektor i úřady na této osvětě, lépe řečeno prevenci, spolupracují. Důkazem jsou společné kyberbezpečnostní kampaně, jako je #nePINdej ČBA, která vznikla z iniciativy bank a probíhá na platformě spolupráce řady partnerů, ať už policie, NÚKIB, a především za pomoci a přispění médií. Na druhou stranu si musíme přiznat, že je stále co zlepšovat. Nechci být přehnaně kritický, co si ale mám myslet o tom, že z Indexu kyberbezpečnosti ČBA v loňském roce vyplývá, že téměř polovina uživatelů chytrých telefonů nemá svoje zařízení nějakým způsobem chráněno? Až neuvěřitelně zní, že 15 procent věří bezpečnosti operačního systému a téměř pětina uživatelů si ochranou svého telefonu není jistá. Aspoň že si počítač chráníme častěji než mobilní telefon. Nějakou formu ochrany mají v počítači dvě třetiny Čechů.

Na bezpečnostních expertech tedy zůstává, aby uměli předvídat počínání hackerů všeho druhu.

Samozřejmě, snad z mých odpovědí vyplynulo, že už se tak děje. A nejde jen o reakci na sezonní charakter některých útoků, ale také o nově používané manipulativní techniky ze strany útočníků a také jejich technologické a softwarové nástroje. Z osobní zkušenosti vím, že sdílení informací mezi bankami a policií například o aktuálních typech útoků a jejich intenzitě umožňuje přijetí řady preventivních opatření nejen v systémech bank, ale i v informování klientů na aktuální rizika, s nimiž se v kyberprostoru mohou setkat.

Když se podíváme na statistiky, je jasné, že kyberpodvodů a pokusů o ně setrvale přibývá. Předpokládám, že banky budou posilovat a neustále aktualizovat ochranu...

Ano, banky stále víc svých zdrojů investují na posilování ochrany. Dokladem je i jejich vzájemná spolupráce na každodenní bázi, expertní výměny zkušeností, které umožňují sdílení nejúčinnějších postupů, jak sebe i klienty chránit. A máme zde nový prvek spolupráce. Banky spolupracují nejen s policií a NÚKIB, ale například i s mobilními operátory. Rozvíjí se tedy i mezisektorová spolupráce s cílem eliminovat určité typy útoků. Cílem bank je škodám klientů pokud možno předcházet, proto výrazně investují do preventivních akcí směrem ke školákům, zranitelným skupinám obyvatel, ale i široké veřejnosti.