Dostali jste e-mail, ale netušíte, od koho? Jste zvědaví, kdo vám píše a proč? Kdo by nebyl! Může to být zajímavá pracovní nabídka, důležitá informace, nějaká legrácka, nad kterou pookřeje duše každého z nás. Ale také nemusí. Stačí kliknout a… A váš bankovní účet zeje prázdnotou. Nejen osobní, ale třeba i firemní. Kyberútoky jsou na denním pořádku. Nepřipravené dokážou zmást, podvodníci jsou stále vynalézavější a jejich metody sofistikovanější. ČSOB tato rizika vnímá velmi ostře. Významnou část svých aktivit v tomto směru věnuje prevenci. Tomáš Stegura, předseda Pracovní skupiny pro kyberbezpečnost ČBA a ředitel pro kybernetickou bezpečnost skupiny ČSOB, k tomuto tématu poznamenal:
Digitální svět změnil naše životy. Dal nám obrovský prostor k seberealizaci, získávání informací, vzdělávání, úspoře času. Bez mobilu už nejde ani senior na nákup, bez internetu by nedokázala fungovat jediná firma. Ale má to i stinné stránky. Do našeho soukromí, našich bankovních účtů, naší ložnice, naší dovolené, zdravotní dokumentace může nahlédnout kdokoli, pokud jsme nepozorní, pokud uděláme chybu. Trochu drsná odměna za takový pokrok…
Digitální svět s sebou samozřejmě přináší další rizika, ale je důležité si uvědomit, že on není nebezpečnější než ten fyzický. Jen funguje podle trochu jiných pravidel a naším úkolem je si ta pravidla osvojit a naučit se je ovládat stejně, jako když se jako děti učíme třeba přecházet přes ulici. Je to zkrátka nutná výbava do dnešního života. Začít můžeme například tím, že budeme věnovat dostatečnou pozornost tomu, jaké aplikace si do telefonu instalujeme a jaká práva jim v rámci telefonu povolujeme.
Podle nejrůznějších průzkumů firmy o problémech s možným napadením jejich dat vědí, ale ne vždy tomu přikládají patřičný důraz. Tedy berou kyberbezpečnost pořád ještě spíš na lehkou váhu. Změní se to?
To může být způsobeno tím, že o kybernetických podvodech u firem se nemluví tak často jako v případě jednotlivců. V obou případech ale platí, že nejúčinnější obranou je osvěta a prevence. Proto jsme se v ČSOB začali v tomto roce více zaměřovat právě na kybernetickou prevenci směrem k firmám a naším cílem je v této oblasti varovat, edukovat, proškolit… přes 250 000 firem, podnikatelů, bytových družstev, obcí, škol nebo nemocnic. Tím, věřím, že pomůžeme změně k lepšímu.
Mít dobré zabezpečení je ale poměrně nákladná záležitost. Ne každý podnik nebo živnostník má tolik peněz, aby mohl platit špičkového ajťáka. Je i jiná cesta?
Jak už jsem zmínil, nejdůležitější i nejlevnější je prevence. Firmy by měly investovat dostatečný čas a nezbytné prostředky do informovanosti svých zaměstnanců. Ti mají totiž zcela klíčovou roli. Mohou být buď nejslabším, nebo nejsilnějším článkem v první linii obrany proti kybernetickým útokům. Proto je důležité pro ně pravidelně organizovat školení a včas je upozorňovat na správné vzorce chování i nové druhy kyberútoků. Vedle toho by firmy samozřejmě neměly podceňovat pravidelnou aktualizaci IT systémů a investovat do nástrojů kybernetické bezpečnosti, mít nastavené postupy a politiky ohledně přístupů, hesel, zálohování. Pak je třeba je i dodržovat.
Vedle všech těchto prostředků je pak důležité zvážit pojištění. Možná to některé firmy ještě neví, ale stejně jako máme v ČSOB Pojišťovně pojištění proti rizikům digitálního světa pro fyzické osoby, tak máme velmi dobrý produkt na ochranu před kyberhrozbami i pro firmy.
Velkou hrozbou je lidská chyba z nedbalosti. Nesoustředěnost zaměstnanců, roztržitost, podcenění okamžiku, česká švejkovina. Předcházet problémům může kvalitní řízení rizik. Co to v prostředí malých a středních firem obnáší, co to vlastně znamená?
Neexistuje tak malá firma, aby pro ni investice do kybernetické bezpečnosti nehrála roli. I živnostník pracuje s nějakými daty, při jejichž krádeži nebo zablokování může mít existenční problémy. Každý podnikatel nakládá s penězi, na které mají internetoví zločinci zálusk. Zcela zásadní – a možná se budu opakovat, ale opakování je matka moudrosti – je osvěta. Platí, že ostražitý zaměstnanec, který nenaletí na falešný e-mail s podvrženou fakturou nebo urgentní žádostí „ředitele“ o převod finančních prostředků, je pro firmu to nejcennější, co může mít. Důležité je mít v jakékoliv společnosti nastavené procesy, které vedou k edukaci. U firem s větším počtem zaměstnanců je také dobré ostražitost pracovníků pravidelně testovat, vyhodnocovat a vzdělávání opakovat. Podstatné pro to vše je mít ve firmě někoho, komu téma bezpečnosti nebude „jedno“ a vezme jej za své.
Kyberzločinnost je dnes nejen škodná, ale i velký business. Umělá inteligence mu dává výborné nástroje ke stále dokonalejším metodám, které předbíhají lidské myšlení i schopnosti. Jak AI zkrotit ve prospěch dobrých věcí namísto služby proti zákonu?
Umělá inteligence je jedním z nejdiskutovanějších aktuálních témat v nejrůznějších oborech a kyberbezpečnost není výjimkou. Podle dat kolegů z Mastercard se bohužel dokonce tři z pěti firemních IT expertů domnívají, že umělá inteligence pomáhá spíše útočníkům než obráncům, a zvyšuje tak úspěšnost kyberútoků. Je pravda, že pokrok v oblasti AI pomáhá kyberpodvodníkům připravovat se na vysoké úrovni, mazat jazykové bariéry, omezovat nepřesvědčivou argumentaci, a hlavně útočit v bezprecedentním rozsahu. Dobrá zpráva ale je, že banky i další finanční instituce investují miliardy korun do vývoje AI řešení, která celý platební ekosystém chrání a podvody aktivně odhalují. Stále ale platí, že základním kamenem obrany není sebedokonalejší technologické řešení, ale opatrnost a zdravý rozum každého z nás.
ČSOB s Policií ČR a značkou Mastercard spojily síly a chtějí v nejbližší době proškolit, jak jste uvedl, představitele 250 000 firem, podnikatelů a dalších subjektů. Kdy se začne?
Už se začalo. ČSOB se věnuje vzdělávání klientů a posilování prevence v oblasti kyberbezpečnosti dlouhodobě. Jako jediná banka na trhu přímo spolupracujeme s Policií ČR. V červnu 2023 jsme proto společně vyhlásili misi s cílem do roku 2025 proškolit v oblasti kyberbezpečnosti přes milión osob. Tuto misi jsme splnili, překonali a letos v dubnu jsme plynule navázali další se zaměřením na firmy a další právnické osoby, kterých chceme proškolit přes 250 000. V rámci této osvěty jsou naplánované nejrůznější aktivity, od workshopů přes online školení až po informační newslettery, které pomohou podnikům se zorientovat v oblasti kybernetické bezpečnosti. Chceme zapojit i další partnery. Naším dlouhodobým cílem je edukovaná, proti digitálním hrozbám odolná a zajištěná společnost, protože jen taková je schopná bez komplikací naplňovat svůj ekonomický potenciál. Digitální důvěra je zkrátka klíčovým předpokladem pro fungující ekonomiku budoucnosti.
Jak to však udělat, aby si dobrou radu vzali účastníci školení doopravdy k srdci?
V této oblasti platí, že nejdůležitější je klíčové věci opakovat, aby se každému vryly pod kůži (všimli jste si toho i v tomto rozhovoru?). Funguje také sdílení konkrétních příkladů, které nemusejí být nutně jen odstrašující, ale třeba i s dobrým koncem. Máme v bance tu výhodu, že konkrétních příkladů pokusů o podvod na našich klientech máme prakticky nepřeberné množství. Některé z nich jsou až neuvěřitelné a ukazují, jak moc podvodníci dokážou své oběti zmanipulovat a obrátit i proti vlastní bance. Naši experti pak řeší bizarní situace, kdy je klient přesvědčuje, že na první pohled podvodný převod peněz je ve skutečnosti v pořádku a že podvodníci v roli domnělých pracovníků nějaké vyšší autority je dokonce upozornili, že bance se nemusí líbit, ale že ho mají za každou cenu autorizovat.
Na druhé straně – hesla, piny, kódy, je jich tolik v souvislosti s bezpečností dat, že se v tom mumraji informací někdy i odborníci ztrácejí. Nedostaneme se do fáze, kdy budeme místo vlastní práce řešit především bezpečnost připojení, operací, procesů?
To se zase vracíme na začátek. Žijeme v digitálním světě, a pokud se v něm chceme cítit bezpečně, musíme počítat s tím, že se budeme muset naučit nové věci. To ale neznamená učit se desítky různých hesel plných malých a velkých písmenek, čísel a speciálních znaků. Existují nástroje na správu hesel, které silné heslo samy navrhnou a bezpečně uloží, na mnoha zařízeních je možné využít biometrické ověření. Samozřejmě, že několik hlavních hesel si pamatovat potřebujete, ale pocvičit paměť se hodí v každém věku.
A neměla by to za nás, lidi, převzít právě AI, když je tak chytrá? A neměla by hlídat, spravovat vše, co firma potřebuje ke klidnému životu v internetovém prostředí?
Využití umělé inteligence v oblasti správy a ochrany firemních dat je čím dál běžnější a může opravdu lidem ušetřit práci. Nicméně stále platí, že odpovědnost nelze delegovat. Odpovědnost za svůj život i podnikání máme jen my sami. Spolehnout se slepě na to, že za nás problém vyřeší někdo jiný, může dopadnout velkým průšvihem.
Umělá inteligence zvládne efektivně pomáhat s rutinními úkoly, monitorovat bezpečnostní hrozby a upozorňovat na podezřelé aktivity, avšak stále potřebuje lidského parťáka pro správné nastavení a schopnost reagovat na nestandardní situace. Navíc je potřeba si uvědomit, že AI je sada programů a matematických modelů, a tedy se dá rovněž napadnout i zneužít, když víte jak. U nás v ČSOB nám pomáhá při detekci nejen AI, ale hlavně zkušený tým analytiků a specialistů. A i díky umělé inteligenci se ČSOB podařilo před kyberútočníky volači a klikači v prvním pololetí 2025 uchránit celkem 3,1 miliardy korun.
Co je základem kybernetické bezpečnosti ČSOB? Co musí znát každý zaměstnanec?
V ČSOB považujeme bezpečnost za klíčový pilíř naší činnosti. Zaměstnancům především opakujeme, aby zachovali klid a obezřetnost, neklikali na podezřelé odkazy ani přílohy. Dále zaměstnanci musí používat silná hesla, která pravidelně obměňují, aktualizujeme pravidelně software na jejich zařízeních, účastní se všech školení o kyberbezpečnosti, a dbáme i na to, aby četli newslettery o nových hrozbách. A aby v případě incidentu spolupracovali a dodržovali pokyny bezpečnostních expertů. Zároveň pravidelně zkoušíme ostražitost našich zaměstnanců například prostřednictvím interních phishingových útoků a vyhodnocujeme, jaká část příjemců se nechá napálit. Blíže specifikovat naše mechanizmy nemůžeme, protože nechceme kyberpodvodníkům pomáhat.
A jaké hodnoty se podařilo například loni vašim klientům ochránit? Kolik jste zmařili kyberútoků, kolik peněz zachránili, kolika průšvihům jste předešli?
Samozřejmě nemůžeme říkat detaily, ale máme radost, že průměrná škoda na jednoho podvedeného klienta se díky preventivním aktivitám nejen nás jako ČSOB, ale i dalších bank a institucí, významně snižuje. Zatímco v roce 2022 činila zhruba 32 000 Kč, v roce 2024 to bylo podle České bankovní asociace 16 000 Kč, a to navzdory tomu, že počty útoků se nadále zvyšují. Za loňský rok se nám podařilo jen našim klientům uchránit před podvodníky 3,5 miliardy korun s tím, že nejvyšší taková částka přesahovala 3,5 miliónu. Naše interní mechanizmy detekují a zabrání každý měsíc stovkám tisíc pokusů o podvod na naše retailové klienty, takže je zřejmé, že nebezpečí je zcela reálné a týká se každého z nás.
otázky připravila Eva Brixi