Článek přečtěte do 3 min.

Přehled kybernetické bezpečnosti: „Měsíc povědomí o kybernetické bezpečnosti“ se blíží a Bezpečnost Umělé inteligence je v plném proudu

S příchodem „Měsíce povědomí o kybernetické bezpečnosti“ (Cybersecurity Awareness Month) se pozornost zaměřuje na kritické, nově vznikající i dlouhodobé výzvy v oblasti digitální ochrany. Od naléhavých bezpečnostních rizik spojených s umělou inteligencí (AI), přes zásadní nové pokyny pro zabezpečení provozních technologií (OT), až po aktualizace klíčových standardů, je zřejmé, že potřeba aktivního a informovaného přístupu k bezpečnosti nebyla nikdy větší.

Společnost Solutia přináší souhrn nejdůležitějších zpráv a pokynů, které by měly být na radaru každého bezpečnostního týmu a každého zaměstnance.

Alarmující stav bezpečnosti AI

Měsíc povědomí o kybernetické bezpečnosti přichází v době, kdy se ukazuje, že zavádění AI prudce předbíhá bezpečnostní povědomí a školení. Zpráva „Oh, Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2025-2026“ od Národní aliance pro kybernetickou bezpečnost (NCA) a organizace CybSafe odhaluje znepokojivé statistiky:

  • Využívání raketově roste: Nástroje AI používá 65% lidí, což je výrazný skok oproti 44% před rokem.
  • Školení zaostává: Celých 58% zaměstnanců neprošlo žádným školením o bezpečnostních rizicích spojených s AI.
  • Úniky obchodních tajemství: Alarmujících 43% zaměstnanců přiznává, že vkládá firemní informace (včetně interních dokumentů, finančních dat a dat klientů) do AI nástrojů.

„Rychlý nárůst využívání umělé inteligence je dvousečnou zbraní, která má ukončit všechny dvousečné zbraně: sice zvyšuje produktivitu, ale zároveň otevírá nová a naléhavá bezpečnostní rizika, zejména proto, že zaměstnanci sdílejí citlivá data bez řádného dohledu,“ uvádí zpráva.

Tento nedostatek povědomí otevírá dveře „stínové AI“ (neoprávněné používání AI nástrojů), která se stává novou normou a rozšiřuje útočnou plochu, kterou musejí bezpečnostní týmy chránit.

Klíčové bezpečnostní postupy

Zpráva doporučuje, aby se organizace zaměřily na pět základních praktik, které jsou klíčové pro zabezpečení:

  1. Dodržování hygieny hesel (komplexní hesla, žádné opakované použití).
  2. Používání vícefaktorového ověřování (MFA).
  3. Udržování softwaru aktualizovaného.
  4. Pravidelné zálohování dat.
  5. Ostražitost vůči signálům phishingu.

Přehled o provozních technologiích: Mapování architektury je zásadní

Pro týmy zabývající se zabezpečením operačních technologických (OT) systémů – sítí, které řídí průmyslové a kritické procesy – vydaly americké a britské kybernetické agentury (CISA a NCSC) klíčové pokyny: Vytvoření a udržování definitivního přehledu o architektuře vašich OT.

Hlavní poselství je jasné: nemůžete zabezpečit, co nevidíte. Kvůli rostoucímu propojení OT sítí s IT sítěmi je nezbytná kompletní a aktuální mapa architektury OT, která slouží jako jediný zdroj pravdy o každé komponentě, připojení a konfiguraci.

„Důkladný záznam o provozních operacích umožňuje organizacím provádět komplexnější hodnocení rizik, stanovovat priority kritických a exponovaných systémů a implementovat vhodné bezpečnostní kontroly,“ uvedla CISA.

Průvodce předepisuje pět základních principů:

  1. Definujte svůj proces: Jak budete informace shromažďovat, ověřovat a uchovávat.
  2. Zajistěte to: Chraňte informace o OT prostřednictvím programu řízení bezpečnosti informací OT.
  3. Vězte, na čem záleží: Identifikujte a kategorizujte aktiva a chraňte ta nejdůležitější.
  4. Sledování kabelů: Dokumentujte každé připojení OT.
  5. Monitorujte své dodavatele: Pochopte a dokumentujte rizika plynoucí z přístupu třetích stran.

Postkvantová kryptografie a aktualizace benchmarků CIS

NCSC volá po standardizaci postkvantové terminologie

S blížící se hrozbou kvantových počítačů, které by mohly prolomit dnešní kryptografii, pracuje britské Národní centrum pro kybernetickou bezpečnost (NCSC) na standardizaci terminologie v rámci postkvantové kryptografie (PQC). Nový standard, RFC 9794, má zajistit, aby všichni, od expertů po tvůrce politik, používali stejný jazyk, což je klíčové zejména pro diskusi o „hybridních“ scénářích (tradiční kryptografie a PQC společně).

Nová várka benchmarků CIS

Centrum pro internetovou bezpečnost (CIS) vydalo měsíční aktualizaci svých pokynů, které pomáhají organizacím posílit konfigurace softwaru proti kybernetickým útokům. Mezi novými a aktualizovanými benchmarky jsou pokyny pro:

  • Microsoft Windows Server 2016 STIG a 2022 STIG.
  • Oracle Database 23ai a Oracle Linux 8.
  • Google ChromeOS.
  • GitHub, MongoDB 7 a 8, a řadu distribucí Linuxu.

Organizace, které používají tyto systémy, by měly neprodleně zkontrolovat a implementovat nejnovější doporučení pro konfiguraci.

Využijte „Měsíc povědomí o kybernetické bezpečnosti“

S cílem podpořit povědomí o kybernetické bezpečnosti nabízí průmysl řadu bezplatných zdrojů, včetně sady nástrojů pro vzdělávání v oblasti AI od Institutu SANS a materiálů pro organizace a malé a střední podniky od CISA.

Společnost Solutia důrazně doporučuje, aby se tento měsíc stal katalyzátorem pro přehodnocení interních školení o bezpečnosti AI a pro zahájení procesu mapování architektury OT, pokud tak již neučinila. Zabezpečení začíná u viditelnosti a informovanosti.

Kontaktujte společnost Solutia a proberte, jak můžeme pomoci vaší organizaci zajistit komplexní přehled a implementovat klíčové bezpečnostní standardy v éře AI a propojených OT systémů.

Solutia – Váš partner v kybernetické bezpečnosti.

Zdroj: Tenable