Až 95 procent všech kybernetických incedentů začíná lidskou chybou. To znamená, že technologie jako taková funguje, ale někdo ji obejde zkratkou. A často ten někdo není útočník zvenčí, ale člověk, který už má přístup. Zaměstnanec, externista, někdy i bývalý kolega s neuzamčeným účtem.

Statistiky ukazují, že 43 procent všech útoků pochází přímo zevnitř firmy. Přesto většina organizací pořád chápe kyberbezpečnost jako problém IT oddělení. Ne jako otázku kultury, odpovědnosti nebo strategického řízení rizik.

Útoky jsou čím dál snazší

Když v roce 2019 došlo k útoku na MGM Resorts, způsobil výpadek systémů a odcizení dat škody přesahující 100 milionů dolarů. Útočníci se přitom nedostali dovnitř pomocí viru nebo malwaru. Zavolali na helpdesk a vydávali se za zaměstnance. Pracovník podpory jim v domnění, že pomáhá kolegovi, poskytl přístup.

Hlavním problémem byla lidská chyba. MGM Resorts sice mělo technologicky zabezpečenou infrastrukturu, ale zaměstnanci nebyli dostatečně vyškolení k rozpoznání podvodného hovoru. Právě lidská vstřícnost a snaha pomoci otevřela dveře útoku, který stál firmu čas, peníze i reputaci.

HrotagonHrotagon

Phishing v kryptosvětě. Jak se nenechat nachytat a nepřijít o všechno

Dnes je přitom takový útok ještě jednodušší než před několika lety. Důvodem je nástup generativní umělé inteligence.

AI dnes umožňuje vytvořit hlasový klon libovolné osoby z pár sekund záznamu. Útočníci dokážou díky AI rychle připravit skript hovoru nebo si nechat chatbotem vygenerovat přesvědčivý scénář, který odpovídá konkrétní firemní struktuře.

Útok na MGM Resorts ukázal, že k prolomení obrany často stačí jeden jediný telefonát. A právě tato taktika dnes dostává nové zbraně díky AI. Sociální inženýrství už není doménou vychytralých hackerů. Dnes ho může spustit prakticky kdokoli.

Zaměstnanec jako nejsnadnější vstupní bod

Stačí slabé heslo, neuzamčený počítač, zapomenutý přístup v prohlížeči nebo otevřená wifi. A někdy ani to ne. Často totiž stačí samotný fakt, že má někdo přístup k systému, byť jen částečný.

Mnoho zaměstnanců má pocit, že se k „důležitým“ informacím nedostanou, a tak podceňují základní bezpečnostní návyky.

HrotagonHrotagon

Evropa AI reguluje, USA do ní investují. A české firmy se v tom snaží vyznat

Jenže v praxi to bývá právě naopak. Přístup, který působí neškodně, může být ideální výchozí bod pro útok. Typickým příkladem je starý účet, který zůstal ve firemním systému s plnými právy, aniž by si toho kdokoli všiml.

Kultura firmy rozhodne, jestli útok uspěje

Od listopadu 2025 bude platit nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. Přináší přísnější pravidla, přenáší odpovědnost na vedení firem a zavádí i požadavky na řízení rizik v dodavatelském řetězci. Přesto řada firem bere nové povinnosti jen jako další úkol do checklistu.

NIS2 v zásadě nevymýšlí nic nového. Jen připomíná, že bezpečnost není otázka IT, ale vedení. Manažeři dnes znají rozpočet na korunu přesně, ale nevědí, kdo má ve firmě jaký přístup. Přitom právě tím to většinou začne.

HrotagonHrotagon

Nechceme Excel, chceme klid: Co podnikatelé opravdu čekají od digitalizace

Pokud firmy nerozumějí důvodu, proč bezpečnostní opatření zavádějí, zůstane z nich jen vyplněná kolonka v tabulce. A pokud si vedení myslí, že kyberbezpečnost má řešit jen IT oddělení, je to začátek problému.

Technologie sama o sobě nestačí. Je potřeba i prostředí, kde lidé vědí, co dělat, a hlavně proč to dělat.

Útočníkovi často pomůže rutina

Firmy se většinou soustředí na ochranu před útoky zvenčí. Investují do firewallů, antivirových řešení, šifrování nebo záloh. Jenže většina incidentů začíná jinak. Ne jako přímý útok, ale jako zdánlivě neškodná situace – interní e-mail, telefonát od kolegy nebo rutinní požadavek na přístup.

Proto je dnes největší zbraní firem v kyberprostoru to, co fungovalo vždy. Selský rozum a dobré návyky.

Autor je zakladatel a CEO společnosti APPSEC, která se specializuje na penetrační testy a etický hacking

Máte co říci? Pošlete nám svůj komentář na komentare@hrotmedia.cz