Zločin se stěhuje do online prostoru
Česká policie eviduje jasný trend: trestná činnost se přesouvá z fyzického světa do digitálního prostředí. Kyberútoky dnes tvoří přes 14 procent veškeré kriminality v zemi. Jde o číslo, které ještě před několika lety bylo nemyslitelné — a které bude podle policejního prezidenta Martina Vondráška dál růst.
Přitom v porovnání se západní Evropou ještě zdaleka nejsme na vrcholu. Ve Velké Británii tvoří online kriminalita až 44 procent všech evidovaných trestných činů. Česká republika zkrátka tento vývoj teprve dohání a policie se na to musí systematicky připravit.
Zdroj: redakce Chip
Čísla, z kterých mrazí
Loňská statistika hovoří jasně. Na české firmy, úřady, školy, nemocnice a další instituce bylo vedeno více než 1 700 kybernetických útoků. Každý dvacátý z nich byl úspěšný — a to stačí k tomu, aby celkové škody překročily půl miliardy korun.
Ještě výmluvnější je srovnání s konkrétními případy. Loni činila nejvyšší škoda způsobená jedním útokem na firmu necelých šest milionů korun. Letos už policie vyšetřuje případ, ve kterém jediný útok způsobil škodu 24,5 milionu korun. Útoky tedy nejsou jen četnější, ale jsou také stále dražší.
Globální kontext je přitom ještě tísnivější. Celosvětové škody způsobené kybernetickou kriminalitou překračují jeden bilion amerických dolarů ročně, tedy přibližně 22 bilionů korun. A 96 procent obětí své ukradené peníze již nikdy neuvidí.
Zdroj: ČSOB
Zdroj: ČSOB
Malé firmy v největším ohrožení
Velké korporace mají IT oddělení, specializované bezpečnostní týmy a nástroje za miliony. Malé firmy, živnostníci a obecní úřady nic takového nemají. A právě na ně útočníci stále častěji míří. Nejzranitelnější jsou firmy, které si myslí, že je to mine. Průzkumy ukazují, že devět z deseti českých firem v loňském roce čelilo nějakému pokusu o kybernetický útok. Přesto velká část z nich nemá nastavené ani základní bezpečnostní procesy.
Terčem přitom nejsou jen servery nebo databáze. Útočníci v první řadě hledají lidi — konkrétně zaměstnance v ekonomických útvarech, mzdových účtárnách a na pozicích s přístupem k firemním účtům.
Mohlo by vás zajímat
Člověk jako nejslabší článek
Technologie samotné nestačí. Podle aktuálního Indexu kybernetické bezpečnosti jsou na tom firmy technicky relativně dobře — jejich průměrné skóre dosahuje 63 procent. Jenže jednotlivci, tedy samotní zaměstnanci, se pohybují pouze na 45 procentech, což je pásmo označované jako riziková zóna.
Čísla z průzkumů společnosti Mastercard jsou varovná:
- 35 procent lidí přiznalo, že kliklo na podezřelý odkaz
- třetina dotázaných si nikdy nezměnila heslo ke svému hlavnímu e-mailovému účtu
- každý čtvrtý by v telefonátu pokračoval, i kdyby měl podezření na podvod
- hlavní bariérou pro bezpečné chování je pro 36 procent lidí prostá pohodlnost
Útočníci to dobře vědí. Cíleně vyvolávají stres, časový tlak a strach. Pomocí takzvaného spoofingu dokážou zavolat z čísla, které vypadá jako číslo vašeho ředitele. S využitím deepfake technologií dokonce napodobí jeho hlas. Pod tlakem pak stačí jediný špatný krok — a peníze jsou pryč.
Mohlo by vás zajímat
Za útoky nestojí osamělí hackeři
Obraz geniálního samotáře v kapuci, který v noci napadá firmy ze svého pokoje, je dávno překonaný. Dnešní kybernetická kriminalita funguje jako výnosný byznys. Organizované skupiny operují jako skutečné firmy — mají nábor, onboarding, školení, firemní kulturu i pravidelnou výplatu. Jejich call centra jsou situována v zahraničí, často na Ukrajině, a jejich zaměstnanci chodí každý den do práce útočit na zahraniční firmy. Právě proto je tak těžké je zastavit. A právě proto nestačí jen dobrý firewall.
Řadu gangů se policii podařilo rozprášit, ale bohužel ihned nastupují nové skupiny a vytvářejí například nová call centra. Ty jsou často řízeny z úplně jiných regionů.
Mohlo by vás zajímat
Další případ podvodu: Vydával se za pracovníka ČNB a přes videohovor vylákal přes 24 milionů korun
Bezpečnost
Co funguje: spolupodpis a vzdělávání
Odborníci z ČSOB, Mastercard i policie se shodují na dvou opatřeních, která mají největší praktický efekt.
Prvním je zavedení spolupodpisu u finančních transakcí. Pokud k odeslání platby nestačí jeden člověk, ale jsou potřeba dva, dramaticky se snižuje riziko, že jeden zmanipulovaný zaměstnanec způsobí katastrofu. Jde o jednoduchý organizační krok, který nevyžaduje žádnou technologii — a přesto ho mnoho firem stále nemá.
Druhým klíčovým opatřením je průběžné vzdělávání zaměstnanců Nejde o jednorázové školení, které si lidé odškrtnou a zapomenou. Jde o trvalou kulturu bezpečnosti, kde každý ví, jak poznat podezřelý e-mail, co dělat při nestandardním telefonátu a na koho se obrátit, pokud si není jistý.
Zdroj: screenshot webu, redakce
Nový web pomáhá firmám zjistit, jak na tom jsou
ČSOB, Policie ČR a Mastercard společně spustily edukativní kampaň pod názvem Jeden klik a k ní nový web kyberodolnost.cz. Firmy, živnostníci i úřady tam najdou praktická doporučení a mohou si projít test kybernetické odolnosti, který ukáže, kde mají mezery a co by měly řešit jako první.
Cílem iniciativy je oslovit až 250 000 organizací Dosud se podařilo proškolit přes 125 000 z nich. Výsledky ukazují, že informovanost skutečně funguje — a že prevence je mnohonásobně levnější než řešení následků úspěšného útoku.
Kybernetická kriminalita není vzdálenou hrozbou. Je to každodenní realita, které čelí české firmy, školy, nemocnice i obecní úřady — a počty útoků porostou. Technologie útočníků se zlepšují rychleji, než si většina firem uvědomuje.
Dobrá zpráva je, že základní ochrana není ani složitá ani drahá. Spolupodpis na účtu, pravidelné školení zaměstnanců, funkční dvoufaktorové ověřování a zdravá nedůvěra k neočekávaným telefonátům a e-mailům — to jsou kroky, které může udělat každá firma hned. A začít se dá třeba testem na kyberodolnost.cz.
Zdroj: Policie ČR, Mastercard a ČSOB
