Na moderní kybernetické hrozby poháněné umělou inteligencí není podle studie State of Cybersecurity Resilience 2025 připraveno devadesát procent firem. AI přitom výrazně zvyšuje počet, sofistikovanost i frekvenci útoků. Jaké jsou nejčastější nedostatky zabezpečení? Kterým firmám hrozí největší riziko? A jak se bránit? Radí experti technologicko-poradenské firmy Accenture Kristýna Jakesch a Karel Kohout.

V prosklené budově Visionary v pražských Holešovicích se ukrývá jedno z největších center kybernetické bezpečnosti v regionu. Tři stovky analytiků, etických hackerů, lovců hrozeb i projektových manažerů odtud podporují globální klienty společnosti Accenture v boji proti hrozbám. 

Součástí Cyber Fusion Center Prague je i laboratoř, kde se testuje software i hardware v realistických scénářích. To umožňuje poskytovat komplexní řešení a služby od strategie až po operativní podporu. Firmy díky tomu mohou získat přístup ke kapacitám, které by samy budovaly velmi obtížně. 

„Cyber Fusion Center není veřejnosti příliš známé, protože velká část naší práce je citlivá. Pražské centrum je ale jedním z největších týmů Accenture v Evropě v oblasti kybernetické bezpečnosti,“ vyzdvihuje vedoucí kyberbezpečnosti společnosti Karel Kohout.

Podle expertů Accenture většina českých podniků sice začíná s výraznějšími bezpečnostními iniciativami, ale stále jim chybí ucelená strategie i dostatek kapacit. Hlavním problémem je nedostatečná identifikace všech rizik a směrování omezených zdrojů podle jejich priorit.

Nové typy útoků

„Generativní a pokročilé AI přitom zcela mění pravidla hry. Dnes se vstup do systému stále častěji odehrává prostřednictvím přirozeného jazyka a konverzací, na které bezpečnostní prvky navržené pro tradiční aplikace nestačí,“ popisuje Kohout aktuální výzvy.

Problémem pro bezpečnost je i rychlost, s jakou firmy nasazují různá AI řešení. „Nekoncepční zavádění vytváří bezpečnostní mezery, které mohou útočníci snadno využít,“ podotýká expert, jenž má v oboru víc než dvacet let zkušeností a pyšnit se může i doktorátem z kybernetiky a umělé inteligence z ČVUT.

Upozorňuje, že bezpečnostní specialisté by měli být do návrhu AI řešení zapojeni od samého začátku. „Musí se hodnotit rizika, určovat původ a kvalita dat, nastavovat kontrolní mechanismy a vytvářet auditovatelné procesy,“ varuje Karel Kohout. 

Je nutné se též připravit na incidenty, které počítají s novými scénáři z prostředí AI. „Pokud se to zanedbá, výrazně roste riziko dopadů na byznys, reputaci i finanční stabilitu firmy,“ doplňuje.

Šedé firemní IT

Jedním z rizik jsou často i sami zaměstnanci a nekontrolované využívání nástrojů, jako je ChatGPT. Do chatbota mohou nevědomky vložit citlivé informace, které se pak stanou součástí prostředí, nad nímž firma nemá kontrolu.

Druhým rizikem je kvalita výstupů – ty nemusí být přesné a zaměstnanec je může bez ověření začlenit do důležitých rozhodnutí. Třetím rizikem je problematika generovaného kódu, který může obsahovat dokonce škodlivé prvky. 

Zaměstnanci tak vytvářejí spojení mezi interními systémy a veřejnými modely bez dohledu, a vzniká tak další problematické šedé IT. „Doporučujeme proto vytvořit jasná firemní pravidla, zajistit technická opatření v případě potřeby a školit zaměstnance v tom, jak rozpoznat rizikové chování. Je také nutné budovat interní kompetence zaměřené na bezpečnost AI,“ dodává expert Accenture.

Slabina v dodavatelském řetězci

Jeho kolegyně Kristýna Jakesch přidává další hrozbu – zabezpečení dodavatelských řetězců. Společnosti totiž často nechávají kritické procesy běžet u dodavatele, ale prověřují ho velmi omezeně. Odpovědnost přitom leží na nich. A útočníci tuto slabinu využívají stále častěji.

„Jde o jednu z nejzranitelnějších domén velké spousty firem. Je to náročná a často podceňovaná disciplína, její význam ale roste,“ varuje konzultantka bezpečnosti ze společnosti Accenture. 

Atak cílený na dodavatele může být pro útočníky levnější a rychlejší. „Například útok na firmy jako Microsoft, Google či Amazon bude velmi obtížný. Budou mít ale jejich dodavatelé energie stejně sofistikované zabezpečení?“ zmiňuje Jakesch.

Princip ochrany je v základu stejný jako u vlastních systémů: vědět, co mám, identifikovat důležité a to proporčně chránit. „Prvním krokem by mělo být sestavení úplného seznamu dodavatelů, zmapování služeb, které poskytují, a určení jejich kritičnosti. Poté může firma nastavit bezpečnostní požadavky a adekvátní kontroly,“ dodává Kristýna Jakesch.

Smlouvy s dodavateli musí obsahovat konkrétní závazky, mezi které patří právo na audit, povinnost hlásit incidenty, pravidla pro zapojení subdodavatelů, garance zálohování a redundance nebo jasně vymezená úroveň ochrany dat. 

U poskytovatelů cloudových služeb se rizika a požadavky mění – důležité je jasně vymezit kompetence mezi dodavatelem a zákazníkem, precizně nastavit konfiguraci, pečlivě prověřit bezpečnostní kontroly. 

Firemní oddělení bezpečnosti by tak mělo být u každé akvizice nové služby. Regulace zdůrazňují také důležitost exit strategií – firma má přesně vědět, co udělá, když dodavatel ztratí schopnost službu spolehlivě dodávat. Je lepší být připraven než překvapen.

Zranitelné malé firmy

Významně jsou ohroženy menší firmy, které často řeší subdodávky a zároveň nemají prostředky na vlastní robustní zabezpečení. „Větší firmy mohou výrazně posílit ochranu celého řetězce tím, že menším partnerům nabídnou podporu a sdílení know-how,“ shrnuje Jakesch jedno z doporučení vycházejících i ze zprávy Global Cybersecurity Outlook 2025, kterou ve spolupráci s Accenture vypracovalo Světové ekonomické fórum.

AI agenti mění pravidla hry. Jak Škoda Auto zvládla digitalizaci zákaznické péče Pojišťovat teď budeme hlavně proti kyberpodvodům, říká šéf BNP Paribas Cardif Pojišťovny Kyberútok na Jaguar Land Rover stál Británii 53 miliard korun. Zasáhl přes pět tisíc firem
AdVoice Accenture 7 min
AI agenti mění pravidla hry. Jak Škoda Auto zvládla digitalizaci zákaznické péče
BrandVoice BNP Paribas Cardif Pojišťovna 6 min
Pojišťovat teď budeme hlavně proti kyberpodvodům, říká šéf BNP Paribas Cardif Pojišťovny
Breaking News ČTK 3 min
Kyberútok na Jaguar Land Rover stál Británii 53 miliard korun. Zasáhl přes pět tisíc firem

Nejúčinnější je partnerský přístup, který nestojí na kontrole, ale na společném posilování odolnosti. „Prakticky to znamená sdílení bezpečnostních politik, informací o nově vznikajících hrozbách, doporučených konfigurací nebo základních kontrolních seznamů, které menším firmám výrazně usnadní orientaci,“ doplňuje Kristýna Jakesch.

I sdílení technologií je pro menší firmy velmi efektivní cesta, jak zajistit bezpečnost, aniž by vynakládaly velké prostředky. A významnou pomocí může být zapojení menších partnerů do školení, simulací incidentů či testování odolnosti.

Inovace bez překážek

Mnoho firem má obavu, že přítomnost bezpečnostních týmů zpomalí vývoj, ale dnešní přístup je jiný. Bezpečnost má být začleněna tak, aby inovace nebrzdila, což je možné například díky automatizaci bezpečnostních testů a kontrol.

Důležitým prvkem je správně nastavená governance a kultura bezpečnosti ve firmě. „Je nutné proaktivně identifikovat rizika, určit, kdo má rozhodovací pravomoci ohledně rizik, kdo je odpovědný za minimalizaci těchto rizik a jak se bude ověřovat chování systémů, a v důsledku toho zbývající rizika v produkčním prostředí. Takový přístup snižuje rizika a umožňuje bezpečně využívat AI,“ říká Karel Kohout. 

I v obraně může AI firmám pomoci. Dokáže nacházet signály útoků, což pomáhá analytikům soustředit se na nejdůležitější incidenty. Automatizované postupy založené na AI modelech dokážou také dramaticky zkrátit čas mezi detekcí a nápravou. Navíc AI pomáhá při odhalování deepfake hlasu a videa. 

„V našem vlastním IT se nám podařilo ušetřit řádově miliony dolarů za rok nasazením automatizace a AI v oblasti testování bezpečnosti aplikací. Jsme také schopni testovat v měřítku, které by tradičním přístupem trvalo měsíce či roky. Poměrně malé množství relativně jednoduchých testů, které bylo potřeba otestovat na velkém množství cílových systémů, by nám jinak zabralo asi 140 tisíc hodin práce,“ dodává Karel Kohout ze společnosti Accenture.