Ktoré kyberbezpečnostné trendy zasiahnu slovenskú realitu? Čoho sa obávať v praxi? Marketing nabok, hovorme stručne a prakticky.
Úsvit cyberpunku
Etickí hackeri musia byť o krok pred útočníkmi, takže odchytiť a pomenovať kyberbezpečnostné trendy je ich prácou. „Aj keď to pravdepodobne bude sklamaním pre fanúšikov dystopického cyberpunku, na zlomyseľné virtuálne AI entity číhajúce v kyberpriestore si budeme musieť ešte chvíľu počkať,“ s nadhľadom hovorí Martin Hanic zo spoločnosti Citadelo.
Hneď však zvážnie a dá odpoveď na pravú mieru: „Teda nie tak úplne. Tieto zlomyseľné AI entity už stoja vo forme AI asistentov na strane zločincov. Nevytvárajú však futuristické zraniteľnosti, ale sú pomocníci pri škálovaní a zefektívňovaní už existujúcich hrozieb.“
Realita stručne
S nástupom umelej inteligencie sa latka pre vstup do sveta kyberzločinu rapídne znížila. Namiesto útočného tímu s rôznou odbornosťou teraz vedie ofenzívu aj jednotlivec. Vystačí si. AI agenti zvládnu spracovať dáta rýchlejšie, vo väčšom objeme a nemusia spať.
„Kyberzločin je teraz demokraticky pre každého a cieľom sa zrazu stávajú aj doteraz nezaujímavé menšie firmy,“ varuje Martin Hanic.
ClikFix
Prečo rovno nepožiadať používateľov o spustenie škodlivého kódu priamo na svojom počítači? Napríklad spustiť nejaký súbor z eshopu ako kontrolu, že ste naozaj človek a nie robot.
ClickFix útok je typ kyberútoku, pri ktorom útočník zmanipuluje používateľa, aby sám vykonal škodlivú akciu. Takže obeť kliká na podvodný odkaz, povoľuje falošnú aktualizáciu alebo spúšťa škodlivý kód v presvedčení, že „opravuje problém“.
Nárast popularity a úspešnosti takéhoto typu útokov nás varuje pred drastickou asymetriou. Hoci sa dostupnosť prístupu k technológiám zvyšuje, nárast počítačovej gramotnosti tento trend nekopíruje.
Zas o nás
Generatívne AI modely excelujú vo vytváraní personalizovaných phishingových či výhražných správ, v imitovaní hlasov, generovaní videa. A to rýchlo a vo veľkom. Vydierať ľudí zozbieranými dátami alebo zverejnením vygenerovaných obrázkov či videí, je jednoduchšie ako spoliehať sa na zneužitie zraniteľností.
Na trende, že najslabším článkom kyberodolnosti je človek, sa nič nezmení ani budúci rok. Pravdepodobne ani ten ďalší a pravdepodobne to bude iba horšie, glosuje trend Martin Hanic.
Očakávania založené na faktoch
K skúsenostiam pripája varovanie aj Národný bezpečnostný úrad: „Ako každý rok, aj v tom budúcom čakáme výrazný nárast kybernetických útokov,“ avizuje Jaroslav Ďurovka riaditeľ Národného centra kybernetickej bezpečnosti.
Široké nasadzovanie AI riešení spolu so slabo uchopenou tematikou jeho ochrany spôsobí zníženie celkovej úrovne bezpečnosti organizácií. Bude takmer nevyhnutné, aby firmy zvýšili rozpočet na ochranu a reagovali tak na AI útoky a ransomvér bez šifrovania. Organizácie budú zároveň prechádzať na postkvantové štandardy.
Strhujúci a inšpiratívny nástup
„Príchod umelej inteligencie priniesol nový rozmer zodpovednosti manažérov kybernetickej bezpečnosti za ochranu modelu a aj za odpovede AI modelu,“ upozorňuje Marek Zeman riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
Zároveň však AI eufória podčiarkuje existujúce pravidlá v informačnej bezpečnosti. Technická bezpečnosť znamená ochranu samotnej infraštruktúry, čiže serverov, cloudov, rozhraní, modelov a prístupov. Procesná bezpečnosť ošetruje pravidlá a kontroly, ako sa AI navrhuje, vyvíja, používa a schvaľuje. Dátová bezpečnosť rieši ochranu osobných, citlivých a firemných údajov, ich pôvod, kvalitu, anonymizáciu a správu počas celého životného cyklu.
Oceľovo odolný skelet
Algoritmická bezpečnosť sa týka samotných AI modelov a ich správania. Či nie sú zaujaté, manipulovateľné, zraniteľné voči útokom alebo mimo kontroly. Riešia sa tu riziká ako halucinácie, zaujatosť, bezpečnostné úniky cez prompty, či úniky citlivých údajov.
Tu už nestačí poznať iba technickú bezpečnosť. Ak chceme mať bezpečné systémy umelej inteligencie, nevyhnutné je poznanie matematiky a štatistiky. Až potom pochopíme samotné správanie AI systémov. Lepšie porozumieme aj chybám, akými sú zlá interpretácia promptov a syntakticky správne, ale sémanticky nesprávne výstupy.
Nástrahy outsourcingu
Veľká časť AI riešení pochádza od externých dodávateľov. Preto je nevyhnutné vedieť, kto model postavil, kde beží, čo sa deje s dátami a kto a za čo nesie právnu a bezpečnostnú zodpovednosť.
Používanie systémov umelej inteligencie vyžaduje, aby používateľ dobre poznal licenčné podmienky. Je dôležité vedieť, či sa privátne dáta použijú na vzdelávanie AI a kto ich môže ďalej použiť. A tu Marek Zeman upozorňuje na ďalšiu nástrahu: „Overte si, komu budú patriť výstupy z AI systémov vytvorené na vašich dátach. Nie vždy platí, že vlastníkom výstupov je pôvodný vlastník dát.“
Doba kvantová
Nástup kvantových počítačov je hudba budúcnosti, kryptografia však nečaká. Iniciatíva Quantum-Safe 2026 jednoznačne smeruje k nasadzovaniu postkvantových algoritmov v šifrovaní. Preto budúci rok prinesie zásadné zmeny a zvýšené nároky na šifrovanú komunikáciu aj na Slovensku.
Odporúčania bezpečnostných autorít už dlhodobo vytvárajú tlak na modernizáciu kryptografických riešení. „Očakáva sa, že tradičné algoritmy nebudú po roku 2030 považované za dostačujúce,“ spresňuje Andrej Žucha, riaditeľ spoločnosti Alison Slovakia. Rokom 2026 sa prechádza na hybridné šifrovanie, čiže kombináciu klasickej a postkvantovej kryptografie.
Šifrová ochrana nado všetko
Významne sa sprísňujú požiadavky na prostriedky šifrovej ochrany informácií. Povinnosti pribudnú kritickej infraštruktúre a základným službám, čiže energetike, doprave, zdravotníctvu, bankovníctvu a digitálnej infraštruktúre. Prísnejšie pravidlá monitoringu, riadenia incidentov a bezpečnej komunikácie budú povinné aj pre súkromné organizácie so zvýšeným rizikom.
Ak ide o štátne organizácie, tie budú musieť nasadiť certifikované šifrovacie nástroje, pravidelne revidovať kryptografické politiky a zabezpečiť ochranu utajovaných skutočností podľa nových noriem. Tým pádom sa zmeny budú týkať aj dodávateľov štátu. Vzniká pre nich povinnosť preukázať bezpečný dodávateľský reťazec a súlad hardvéru a softvéru so slovenskými aj európskymi štandardmi.