Kybernetické útoky už nejsou otázkou „jestli“, ale „kdy“. V pořadu Byznys DNA na platformě FocusOn upozorňuje Marek Kovalčík, ředitel informační bezpečnosti společnosti BDO, že české firmy stále podceňují základní bezpečnostní návyky. Slabá hesla, neznámá zařízení v síti nebo nekontrolované používání AI nástrojů dnes podle něj představují větší hrozbu než sofistikované hackerské skupiny. Klíčem je systematický přístup, odpovědnost vedení a schopnost mluvit o rizicích jazykem byznysu.

Z pohledu kyberbezpečnosti jsou startupy paradoxem. Na jedné straně stojí technologicky orientované týmy, na druhé minimální zabezpečení. Podle Marka Kovalčíka jsou mladé firmy často výrazně méně chráněné než zavedené podniky, protože veškerou pozornost věnují růstu a byznysu.

„Bezpečnost je pro startupy často až druhotné téma. Prioritou je produkt a trh,“ vysvětluje. Zároveň ale dodává, že právě začátek podnikání je ideální chvíle, kdy lze bezpečnost správně zabudovat do procesů: od segmentace sítě až po návyky uživatelů.

Rozdíl mezi firmou, která bezpečnost řeší od prvního dne, a firmou, která ji začne dohánět po pěti letech, je podle něj zásadní. Dodatečné „zalepování“ problémů bývá výrazně dražší, pomalejší a méně efektivní.

Slabá hesla a pohodlnost. Nejčastější chyby českých firem

Navzdory mediálnímu obrazu sofistikovaných útoků vzniká většina bezpečnostních incidentů na banálních chybách. Kovalčík opakovaně zmiňuje stále stejný scénář: slabá nebo znovu používaná hesla, chybějící vícefaktorové ověřování a špatně navržená síťová architektura.

„Firmy si často zjednodušují život tím, že mají všechno v jedné síti. Útočníkům to pak výrazně usnadňuje práci,“ říká. Přitom základní opatření nejsou podle něj ani extrémně nákladná, ani složitá – klíčové je vědět, kde začít. Problémem je také slepá důvěra v nákup bezpečnostních technologií. Samotný nástroj bez správného nastavení a průběžné kontroly podle Kovalčíka žádnou ochranu nezaručí.

Kdy přestávají stačit základní opatření

Zlomový bod přichází ve chvíli, kdy firma ztrácí přehled o vlastních aktivech. Jakmile vedení neví, kdo má k čemu přístup, jaké systémy firma používá a kde se nacházejí klíčová data, je podle Kovalčíka čas přejít ke komplexnějšímu řízení bezpečnosti.

Prvním krokem má být inventarizace aktiv: hardware, software, data, know-how i dodavatelé. „Musíme vědět, co chráníme. To, o čem nevíme, nemůžeme zabezpečit,“ shrnuje. Právě v této fázi se často objevují problémy, které firmy dlouhodobě přehlížely – od nezdokumentovaných systémů až po nekontrolované přístupy třetích stran.

Šedá IT a šedá AI. To, co nevidíte, vás ohrožuje nejvíc

Jedním z nejrychleji rostoucích rizik je takzvaná šedá IT. Jde o zařízení, aplikace nebo služby, které zaměstnanci používají bez vědomí IT oddělení. Podle Kovalčíka sem dnes stále častěji patří i nástroje umělé inteligence. „Pokud organizace neví, kde se zpracovávají její data, nemůže je chránit,“ upozorňuje. Experimentování s AI samo o sobě problém není, ale musí být řízené. Jinak hrozí, že citlivé informace skončí mimo kontrolu firmy.

Správný přístup k AI má podle něj vycházet shora – od vedení, které definuje cíle a pravidla. Teprve poté má smysl vybírat konkrétní nástroje. Opačný postup vede k chaosu a neřiditelnému riziku.

Lidský faktor zůstává nejslabším článkem

Nejčastější vstupní branou útoků zůstává člověk. Sociální inženýrství cílí na emoce, stres a nepozornost. Podvodné e-maily, falešné weby nebo telefonáty dnes díky AI vypadají stále přesvědčivěji.

Celý rozhovor si můžete pustit jako video nebo podcast: