Máte nějaké vize a cíle, se kterými se chcete ujmout předsednictví pracovní skupiny pro kyberbezpečnost v rámci ČAP?
Těším se na spolupráci se všemi, zejména s Janou Lix Andraščikovou, která odvádí velký kus práce na poli legislativních témat. Mým cílem je společnou debatu doplnit a rozšířit především do oblasti sdílení praktických zkušeností – výběrem a implementací nejrůznějších technologií, vývojem aktuálních trendů nebo i řešením konkrétních incidentů. Byl bych rád, kdyby se pracovní skupina stala živým fórem pro vzájemnou výměnu informací a zkušeností mezi experty, kteří mají společný cíl: chránit dobré jméno svých společností i celého pojistného sektoru, chránit data a informace, které nám svěřují naši klienti i obchodní partneři, a hledat cesty, jak tuto ochranu zajistit co nejefektivnějším způsobem. Z mého pohledu je právě toto sdílení zkušeností to nejcennější, čím se v rámci společných setkání můžeme vzájemně obohatit, a doufám, že i kolegyně a kolegy z ostatních pojišťoven tato vize osloví.
Jakým kybernetickým útokům pojišťovny nejčastěji čelí a jaká rizika z toho hrozí?
Aktuální hrozbou číslo jedna jsou bezesporu ransomwarové útoky a pojišťovny nejsou v tomto ohledu žádnou výjimkou. Často řešíme nejrůznější incidenty, kdy se útočníci snaží získat přístupové údaje našich zaměstnanců, aby mohli následně takový útok provést: phishingové e-maily, esemesky, WhatsApp zprávy, přímé navolávání – způsobů je celá řada. Rizikem úspěšného útoku je ochromení schopnosti fungovat, ztráta dat, případně jejich zcizení a samozřejmě následné vydírání s cílem finančního zisku útočníka.
Další významnou hrozbou jsou tzv. supply chain útoky. V tomto případě útočník nenapadá společnost přímo, ale zaměří se na některého z jejích dodavatelů, u kterých předpokládá nižší úroveň zabezpečení. Může se jednat i o jednoho jediného vývojáře, který pracuje na kontraktu ze svého notebooku: Pokud se útočníkovi podaří dostat svůj malware na tento jeden notebook, stačí mu pak využít cestu, kterou tento kontraktor do společnosti má otevřenou, a je hotovo. Význam a dopad těchto útoků v poslední době rapidně nabírá na významu a mimo jiné i nařízení DORA, jehož implementaci teď všichni v pojistném sektoru řešíme, má právě oblast řízení rizika třetích stran jako jednu ze stěžejních nových oblastí, na kterou se regulace v nejbližší budoucnosti bude zaměřovat.
Do pojišťovnictví jste přišel z bankovního sektoru. Liší se podle Vás kybernetická rizika v bankách a pojišťovnách?
Určitě ano. Banky jsou už dlouhou dobu systematickým a velmi atraktivním cílem útočníků; jejich systémy, webové i mobilní aplikace, bankomatové sítě a samozřejmě klienti. Důvod je jednoduchý – jakýkoliv úspěšný útok znamená pro útočníka okamžitý zisk peněz. Současně s tím jsou banky mnohem delší dobu, v ČR zhruba 20 let, pod soustavným tlakem regulátora oblast kybernetické bezpečnosti systematicky řešit a i díky tomu mají oproti pojišťovnám v tomto ohledu jistý náskok.
V posledních letech se ale situace mění s tím, jak roste intenzita a četnost ransomwarových útoků. V tomto případě je totiž útočníkovi v zásadě jedno, zda napadne banku, pojišťovnu, univerzitu, nebo nemocnici, důležitá je pouze možnost dostat organizaci pod tlak hrozbou omezení její schopnosti fungovat a zveřejnění dat, která jsou pro ni citlivá – a tyto parametry dnes splňuje téměř každá firma.
Jak probíhá v tomto ohledu spolupráce mezi pojišťovnami? Sdílíte si své zkušenosti? A spolupracujete také s NÚKIB a Policií ČR?
Sdílení zkušeností a vzájemná spolupráce je přesně to, co bych si velmi přál, abychom dokázali v rámci naší pracovní skupiny skutečně nastartovat. U Policie ČR vidím v posledních letech velký posun v oblasti zvyšování její kybernetické kompetence: V roce 2023 byla v rámci jejích struktur vytvořena nová Národní centrála proti terorismu, extremismu a kybernetické kriminalitě. Důvodem jsou nepochybně razantně rostoucí statistiky kybernetické kriminality, která v posledních pocovidových letech letí nahoru skutečně raketovým tempem. Já jsem velmi rád, že v rámci ČAP je komunikace s PČR velmi intenzivní, myslím, že obě strany mají v této oblasti zájem o vzájemnou informovanost a spolupráci a to je jedině dobře. Spolupráce s NÚKIB až tak intenzivní není, protože i po představení regulace DORA zůstává primárním dohledovým orgánem pro pojišťovny Česká národní banka, a to i v oblasti řízení IT rizik a kybernetické bezpečnosti.
Když se podíváte na vývoj za uplynulých 10 let, jak moc se mění charakter Vaší práce? Co bylo tehdy pro Vás největší výzvou a jak je tomu dnes?
Především se nám neustále mění techniky a způsoby útoků, a to stále rychlejším tempem. S tím, jak se kybernetický zločin stává stále lukrativnějším, samozřejmě roste i jejich rozsah a množství.
Před 10–15 lety bylo největší výzvou dokázat vysvětlit vedení společnosti, proč je kybernetická ochrana důležitá a měli bychom do ní investovat. Dnes už množství útoků, jejich publicita i reálně způsobené škody jsou tak vysoké, že málokterý top management bude tuto oblast zcela ignorovat. Následně jsme se posunuli do debat, jak ty přidělené rozpočty nejlépe využít a jak složit technologický mix bezpečnostních technologií tak, abychom dokázali ideálně pokrýt co největší škálu potenciálních hrozeb s co nejvyšší efektivitou. Následovala reakce na rostoucí množství detekovaných incidentů – automatizace detekce i reakce, centralizace správy různých technologií do jedné přehledné řídicí obrazovky.
Dnes je bezpochyby největší výzvou najít kvalitní specialisty do týmů kybernetické bezpečnosti a tyto týmy postavit. Je to obrovský, dnes už globální problém, o kterém jednají organizace jako Světové ekonomické fórum. Podle některých odhadů chybí celosvětově na trhu práce cca 4 miliony expertů na kybernetickou bezpečnost, z toho téměř 400 000 v Evropě. I já mám v týmu pozice, které se nám nedaří obsadit déle než rok, a to je něco, co za dobu své kariéry nepamatuji.
Jaké hrozby vnímáte s nástupem umělé inteligence?
Umělá inteligence je dnes do určité míry mediální buzzword, od kterého je třeba trochu poodstoupit, abychom její přínosy i dopady dokázali reálně zhodnotit. Je to nová technologie, která má v řadě oblastí bezesporu velmi zajímavý potenciál využití anebo zneužití. V oblasti kybernetických hrozeb už teď vidíme nové typy útoků, kterým AI dokáže zdokonalit jejich kvalitu či zvýšit jejich rychlost nebo četnost. Například dobře známé phishingové e-maily jsou dnes útočníci schopni generovat ve vysoké kvalitě a s perfektní češtinou, zřejmě právě díky využití technik AI. Známé jsou i první viry, které si dokáží inteligentně stáhnout z internetu jednotlivé moduly na základě analýzy zařízení, které se jim podařilo infikovat. A kromě ChatGPT si můžete v síti Darknet zaplatit přístup například k nástroji FraudGPT a s jeho pomocí generovat falešné dokumenty, phishingové e-maily nebo dokonalé falešné kopie webových stránek libovolné společnosti.
Na druhé straně se objevuje řada implementací u obranných technologií, kde nám AI pomáhá efektivněji analyzovat velká množství dat, lépe a přesněji identifikovat potenciální hrozby či probíhající útoky a rychleji na ně reagovat. Jako každou novou technologii se ji snaží osvojit a využít k dosažení svých cílů obě strany, ale tak je tomu vždy u všech novinek, které se ve světě technologií objeví.
Má podle Vás pojistný sektor v České republice dostatečně silnou ochranu?
Myslím, že neexistuje žádná firma nebo organizace, které by si dovolily říct – tak, naše ochrana už je dostatečně silná, nám už se nic stát nemůže. Dosažení určité úrovně zabezpečení samozřejmě vždy znamená investování adekvátního množství nákladů jak do nákupu technologií a jejich následné údržby a rozvoje, tak do vybudování týmů bezpečnostních specialistů a každá společnost si musí v první řadě správně posoudit, jaká je hodnota aktiv, která je třeba chránit, a jaká je adekvátní úroveň nákladů, které je třeba do této ochrany investovat.
Děkujeme za rozhovor.
Zdeněk Adamec |