Autor: Olga Pincová

  • AI v cybersec: od historie po praktické využití – zápisky ze CyberEdu NIS2 Academy

    AI v cybersec: od historie po praktické využití – zápisky ze CyberEdu NIS2 Academy

    Závěr CyberEdu NIS2 Academy se nesl ve znamení mini konference s mnoha zajímavými přednáškami. Postupně Vám zde prostřednictvím stručných výpisků přiblížíme jejich obsah.

    První přednáška se týkala umělé inteligence a jejího reálného využití v kybernetické bezpečnosti.

    Příspěvěk Vitkora Tyúkose a Zbyňka Vallo byla rozdělena do dvou základních celků: 

    1. Regulační rámec, kterým Evropská unie reguluje použití systémů AI – tzv. AI Act
    1. Praktické využití AI systémů v kyberbezpečnosti

    Nejprve se ale krátce koukněme na historii vývoje umělé inteligence. AI zažívá velký boom a trochu demystifikovat některé mýty kolem ní se může hodit. 

    Historie umělé inteligence 

    V posledních letech se o AI hodně mluví – různí chatboti jsou momentálně velmi populární. Mnoho lidí si ale neuvědomuje, že pojem AI není vůbec nic nového

    Ve skutečnosti byl poprvé zaveden už v roce 1956, tedy téměř před 70 lety. A ani chatboti nejsou novinkou – první chatbot, i když samozřejmě neporovnatelný s dnešními modely, vznikl už v roce 1966

    Matematika a technologie, která pohání umělou inteligenci, je tedy s námi už dlouhá desetiletí. Jak dlouho myslíte, že trvalo, než program porazil nejlepšího šachového hráče světa? Stalo se tak v roce 1996, kdy šachový šampion Garry Kasparov prohrál proti AI modelu. 

    Možná si říkáte, že šach není tak zajímavý, co něco pokročilejšího. Podívejme se tedy na pokročilejší technologie, jako je rozpoznávání tváří. Efektivně jsme ho dokázali vyvinout až v roce 2014

    Další důležitý milník přišel v roce 2017, kdy Google publikoval architekturu transformerů. Tato technologie stojí za dnešními modely, jako je například GPT, a zrychlila vývoj AI do dnešní podoby. 

    Evropská unie si uvědomila, že vývoj AI je velmi rychlý a že je potřeba ho nějakým způsobem regulovat.  

    AI Act a regulace AI v EU 

    Evropská unie vytvořila regulační rámec, který řeší kyberbezpečnost a rizika spojená s AI. 

    Legislativní akty se dělí na dvě hlavní skupiny: 

    1. Organizační regulace – např. NIS 2 (zaměřená na organizace) nebo DORA (zaměřená na finanční sektor). 
    1. Regulace produktů a služeb – například AI Act, který reguluje umělou inteligenci v EU. 

    Většina z nás souhlasí, že je potřeba rozvoj AI nějakým způsobem regulovat, protože AI zažívá masivní boom a její využití se rozšiřuje. 

    AI se začíná dostávat do oblastí, které mohou být eticky problematické. Například čínská AI sledující zaměstnance, která automaticky odečítá hodiny, když zaměstnanec dělá něco jiného než práci. Myslíte, že tohle by mělo být regulováno? Asi ano. 

    Evropská unie určila čtyři klíčové oblasti regulace AI: 

    • Etika 
    • Diskriminace 
    • Zdraví 
    • Bezpečnost 

    AI Act zavádí technologicky agnostickou definici AI a stanovuje pravidla pro vývoj, uvedení na trh a používání AI systémů

    Kategorizace AI systémů podle rizika: 

    1. Zakázané AI systémy – např. AI pro detekci emocí na pracovišti. 
    1. Vysoce rizikové systémy – např. AI pro přijímací řízení na školy. 
    1. Systémy s povinností transparentnosti – např. AI generující deepfakey. 
    1. Minimální riziko – např. AI pro detekci spamu. 

    Na koho AI Act dopadá? 

    • Na všechny provozovatele AI v EU i mimo EU, pokud jejich systémy ovlivňují evropské uživatele. 
    • Na všechny entity v distribučním řetězci – dovozce, poskytovatele, distributory. 

    A jedná se o nařízení, tudíž není potřeba transpozice do českého práva.

    Životní cyklus řízení AI v organizaci 

    1. Definovat – Určet, co je umělá inteligence a jak ji organizace používá. 
    1. Zmapovat – Proveďte inventarizaci AI systémů používaných ve vaší organizaci. 
    1. Zhodnotit – Kategorizujte AI rizika podle dopadu a pravděpodobnosti. 
    1. Vyvinout – Nastavte zásady, postupy, standardy a směrnice pro řízení AI. 
    1. Ustanovit – Určete role a odpovědnosti pro správu AI ve firmě. 
    1. Rozšířit – Zahrňte řízení rizik třetích stran, kybernetických hrozeb a ochranu osobních údajů. 
    1. Implementovat – Zavádějte kontrolní mechanismy napříč životním cyklem AI. 
    1. Monitorovat – Průběžně sledujte fungování AI a aktualizujte pravidla. 

    AI a kyberbezpečnost 

    Hrozby spojené s AI: 

    • Deepfake podvody – např. generální ředitel žádající účetní o převod peněz. 
    • Únik citlivých dat – např. 12 000 API klíčů nalezených v trénovacích datech. 
    • Lidský faktor – většina úniků dat je způsobena zaměstnanci. 

    A tři čísla, která mluví za vše:

    40 % úniků dat souvisejích s AI bude v roce 2027 způsobeno zneužíváním generativní umělé inteligence 12 000 API klíčů a hesel bylo nalezeno ve veřejných trénovacích datech pro LLM 80 % vývojářů obchází bezpečnostní politiky řídící využívání AI

    Co s tím? 

    Například:

    • Školení zaměstnanců o kyberbezpečnosti a AI. 
    • Používání bezpečnostních nástrojů jako Microsoft Defender for AI. 
    • Stanovení interních pravidel pro používání AI. 

    AI v praxi: Ochrana AI systémů 

    AI systémy mohou být nejen užitečné, ale také zranitelné vůči útokům. Například modely zpracovávající citlivá data mohou být cílem útočníků. 

    Příklady zneužití AI zahrnují: 

    • Jailbreak útoky na AI modely. 
    • Podvržené vstupy, které mění chování AI. 
    • Phishing založený na AI generovaném obsahu. (A krásný příklad jak je dnes jednoduché udělat falešnou hlasovou zprávu.)

    Pro ochranu AI systémů je nutné zavést: 

    • Monitorování modelů na podezřelé aktivity. 
    • Šifrování trénovacích dat
    • Pravidelné aktualizace bezpečnostních politik

  • Vylepšení revize analýzy rizik

    V rámci revize analýzy rizik máte dvě možnosti, jak pracovat s historickými hodnotami rizik:

    1. Navážete analýzu rizik na stav ohodnocení rizik tak, jak byl naposledy zaznamenán. Tato volba je vhodná například v situaci, kdy ve vašem prostředí nedošlo k mnoha změnám. V položce „Ohodnocení rizik“ vyberte volbu „Zachovat poslední ohodnocení rizik“. Nebo

    2. Vytvoříte si úplně nové ohodnocená rizik na základě aktuálního hodnocení hrozeb, zranitelností a typových aktiv. Tato varianta by mohla být preferovaná, pokud se tato hodnocení od minula významně změnila. V položce „Ohodnocení rizik“ vyberte volbu „Sestavit nové ohodnocení rizik“.

    Obě varianty představují výchozí stav pro analytika a jeho revizi analýzy rizik.

  • Rozšíření možností zadávání podúkolů

    Pokud má řešitel úkolu roli “Zadavatel úkolů”, může (pod)úkolovat kohokoli. Pokud roli “Zadavatel úkolů” nemá, může definovat (pod)úkoly jen pro sebe.

  • Potvrzování akce Zamítnout při schvalování nového nebo revidovaného záznamu

    Možnost „zamítnout“ zcela ukončí jakoukoli další možnost práce s tímto záznamem. Abychom eliminovali možnost, že k zamítnutí dojde „omylem“, že se uživatel uklikne, přidali jsme varovnou zprávu:

  • Vylepšení tvorby analýzy rizik

    Přidali jsme dvě vylepšení, která výrazně zvýší vaše pohodlí při vytváření analýzy rizik:
    1. Při definování rozsahu analýzy rizik je nově k dispozici „kukátko„, které vám spočítá, kolik rizik na základě této definice vznikne. Díky tomu předem víte, jestli vámi zvolený rozsah povede k takovému počtu rizik, které jste schopni adekvátně zpracovat.

    kukátko na počet rizik

    2. V druhém kroku tvorby analýzy rizik je nově možnost vrátit se na první krok a upravit detaily či rozsah analýzy rizik:

  • Fulltextové vyhledávání ve filtru tabulky

    Fulltextové vyhledávání vyhledává ve všech položkách tabulky, nikoliv jen přes vybrané textové.

  • Jak začít s MoyaKybeon krok za krokem

    Začít používat MoyaKybeon je velmi jednoduché a nepotřebujete k tomu ani kreditní kartu. Chceme, abyste si udělali představu o tom, jak vám může MoyaKybeon pomoci řídit rizika. Generovat si cashflow tím, že zapomenete, že jste nám dali kreditní kartu, nám nepřijde fér. Pojďme na to.

    1. Registrace

    Ano, potřebujeme vaši registraci, abyste si mohli hrát na svém písečku. Vaše data tak zůstanou v bezpečí, můžete si tam přizvat kolegy, které potřebujete, a nikdo cizí vám nebude přepisovat data pod rukama.

    Zaregistrujete se na https://app.moya.zone/auth/register-tenant/kybeon a počkáte na potvrzující e-mail. Ten chodí okamžitě, ale někdy je zbytečně hravý a bude si s vámi hrát na schovávanou. Podívejte se tedy do hromadné pošty a podobných složek.

    2. Přizvání kolegů

    Testovat aplikaci můžete sám, nebo se svými kolegy.

    Pozvaní kolegové dostanou zvací e-mail a po jeho potvrzení mohou začít pracovat v aplikaci podle toho, jaká práva jste jim přiřadil(a).

    3. Zorientujte se

    Jste tu všichni? Skvěle. Základní orientace je velmi jednoduchá. V tabulkách můžete filtrovat a vyhledávat, data si můžete naimportovat i vyexportovat, můžete si také změnit počet zobrazených řádků v tabulce, stejně jako si můžete položky v tabulce řadit kliknutím do záhlaví. A pokud se vám nelíbí světlý režim, můžete se zapnout dark mode. Jednotlivé položky (jako např. karta hrozby, primárního aktiva atp.) si také můžete vyexportovat do pdf.

    V neposlední řadě máte u každé položky k dispozici nápovědu. A pokud by přece jenom byla potřeba pomoc, najdete vpravo nahoře i SOS tlačítko.

    4. Sestavte první katalogy

    Primární aktiva

    S nastavením aplikace si můžete samozřejmě více pohrát – např. nastavit multifaktorové ověřování a změnit si heslo, upravit si zobrazované jméno nebo upravit údaje v zákaznické zóně. Pro vyzkoušení práce s řízením rizik pro vás budete chtít začít budováním potřebných katalogů, abyste si mohli sestavit první analýzu rizik.

    Doporučujeme začít zadáním primárních aktiv. Od těch se vám pak bude odvíjet ohodnocení podpůrných aktiv.

    Typová podpůrná aktiva

    Dalším důležitým katalogem je katalog typových podpůrných aktiv. Typové podpůrné aktivum je nutné pro správnou funkčnost zpracování uchování a zajištění bezpečnosti primárních aktiv.

    Hrozby a zranitelnosti

    Každé riziko je kombinace typového podpůrného aktiva, hrozby (ohrožení, které přichází zvenčí) a zranitelnosti (slabé místo uvnitř organizace). Proto musíte sestavit ještě katalogy hrozeb a zranitelností.

    5. Sestavte svou první analýzu rizik

    Pokud máte připravené katalogy primárních aktiv, typových podpůrných aktiv, hrozeb a zranitelností, můžete přistoupit k první analýze rizik.

    Chcete vědět víc?

    Přihlašte se do CyberEdu NIS2 Academy, spojte se s námi, nebo se podívejte na další návody. Na našem YouTube jich najdete spoustu a další stále přibývají. Nebo si vyzkoušejte MoyaKybeon na vlastní kůži a s dotazy se na nás obraťte rovnou přes SOS tlačítko v aplikaci.

  • Úprava chování podúkolů v případě storna nebo odmítnutí

    Pokud zadavatel úkol stornuje nebo řešitel úkol odmítne, jsou všechny ještě nedokončené podúkoly stornovány.

  • Tři největší mýty kolem NIS2

    Tři největší mýty kolem NIS2

    NIS2 se vlnách je v médiích často skloňováno, obzvlášť když se blíží projednávání zákona o kybernetické bezpečnosti. Co ale NIS2 je? Jak připravit? Jaké povinnosti plynou podnikatelům z NIS2? Pojďme se podívat na tři nejčastější mýty, kterým manažeři stále věří a které jsou často zneužívány v marketingové komunikaci. Nezapomene ani na praktické tipy, jak zachovat klidnou hlavu.

    Mýtus 1: NIS2 klade požadavky přímo na společnosti

    NIS2 je směrnice EU a klade požadavky na členské státy, aby ji implementovaly do své legislativy. Na společnosti se vztahuje až národní zákon o kybernetické bezpečnosti, který z NIS2 vychází.

    Může být tedy NIS2 českým podnikatelům ukradená? Ano i ne.

    • Ano – NIS2 na české společnosti přímo nedopadá. Žádná „zlá EU“ nepřijde na kontrolu do firmy a nerozdá pokuty.
    • Ne – NIS2 dává podnikům indicie, co je čeká v budoucnosti, až bude směrnice do českého práva převedena.

    A ruku na srdce: Myslíte, že hackeři budou čekat, až bude platit nějaký zákon, vy budete mít čas se zákonu přizpůsobit, a teprve potom na vás zaútočí? Asi ne, že?

    V kybernetické bezpečnosti je klíčem prevence, nikoli reakce.

    Mýtus 2: NIS2 je jen bublina jako GDPR

    Řada lidí má pocit, že NIS2 je jen další regulací, která se ve skutečnosti nebude vymáhat a nebude mít žádný reálný dopad. To je však omyl. Připravovaný český zákon o kybernetické bezpečnosti, který implementuje NIS2, obsahuje konkrétní povinnosti pro statutární orgány a sankce za jejich neplnění. Oproti GDPR je legislativa mnohem přísnější a lépe vymahatelná než v případě GDPR.

    Mýtus 3: Existuje „krabičkové“ řešení, které pokryje požadavky NIS2/kyberzákona

    Bohužel. Nic takového neexistuje a existovat ani nemůže. Implementace vyžaduje komplexní přístup, který zahrnuje technologická řešení, procesy a lidské zdroje.

    Představte si svůj byznys jako poklad, který chráníte. A to včetně nástrojů, které k tomu využíváte. Myslíte, že dvě firmy budou mít zcela totožné poklady a nástroje? Těžko, že? Někdo na ochranu používá vodní příkop, někdo nedá dopustit na elektrický plot. A firmě s elektrickým plotem nové vodovodní potrubí moc nepomůže… Možná vyřeší občasný problém s přívodem pitné vody do kanceláří, což je rozhodně fajn, ale je to to klíčové? Nejsou tady důležitější naftové generátory pro případ, že vypadne (bude vypadnut) proud?

    Praktické tipy

    1. Nepanikařte. Nádech, výdech, jedeme dál.
    2. Zjistěte, zda a jak se vás bude nový zákon dotýkat.
      • Tip: při procházení vyhlášky se nezapomeňte zaměřit i na vedlejší činnosti. Fotovoltaika nebo bioplynová stanice jsou častí podezřelí, jak se můžete dostat pod regulaci, i když vyrábíte háčkované klobouky.
      • Tip 2: dejte si pozor i na propojení s jinými organizacemi.
    3. Proveďte GAP analýzu, abyste si udělali jasno, které požadavky zákona již plníte a kde máte prostor.
    4. Identifikujte správně aktiva, hrozby a zranitelnosti a proveďte analýzu rizik.
    5. Vypracujte plán implementace opatření.
    6. Vzdělávejte celou firmu počínaje managementem a konče uklízečkami.
    7. Externí pomoc může celý proces urychlit. Vyberte si spolehlivé konzultanty a dejte si pozor na „krabičková řešení“.

    Vyplatí se počkat na finální znění zákona?

    Ne.

    Tak jednoduché to je. Finální znění zákona nezmění vaše rizika, ani nesníží pravděpodobnost phishingu na vaši účetní. Čím dříve začnete, tím lépe pro vás.

    Kybernetické bezpečnost není jednorázový projekt, ale průběžný proces.

    MoyaKybeon – pomůže vám s řízením rizik, evidencí incidentů a dalšími procesy, které jsou klíčové pro splnění požadavků Zákona o kybernetické bezpečnosti, DORA a ISO 27 000.

  • Vytváření Opatření z Auditů – tabulky Zjištění a doporučení

    V rámci formuláře pro editaci auditu v tabulce Zjištění a doporučení přibyla nová ikona – založit ze záznamu nové Opatření.

    Opatření bude založené automaticky s využitím zadaných hodnot a uloženo ve stavu „V přípravě“.

    Udržuje se vazba mezi záznamem v tabulce Zjištění a doporučení a vytvořeným Opatřením – lze využít možnost prokliku.

    opatření z auditu