O důsledcích nízké digitální gramotnosti, důvěře v banky a zvyšování odolnosti jsme hovořili s Janem Pichem, expertem na kyberbezpečnost z EY Česká republika, který zároveň uvedl, na co by se organizace měly nyní zaměřit.
Podle vašeho nedávného průzkumu považuje téměř 90 % Čechů kyberbezpečnost za důležité téma. Jen pětina se ale cítí odpovědná za svou vlastní ochranu. Co z toho podle vás vyplývá?
Tato čísla odhalují zásadní a nebezpečný paradox: vnímáme riziko, ale odmítáme za něj převzít osobní odpovědnost. Říkáme tomu „bludný kruh nečinnosti“. Lidé mají pocit, že bezpečnost je služba, kterou má zajistit někdo jiný – stát, poskytovatel nebo banka. Tento postoj vede k pasivitě a vysvětluje, proč tolik lidí ignoruje základní bezpečnostní návyky, jako je například pravidelná změna hesel, a proč je těžké prosadit masové využívání účinných nástrojů. Typickým případem je dvoufaktorové ověření, tedy potvrzení přihlášení pomocí druhé metody, jako je kód z SMS, které mnoho lidí vnímá jako obtěžující krok navíc.
Pro firmy z toho plyne klíčový poznatek: nemůžete se spoléhat na to, že se uživatelé ochrání sami. Organizace, která přijme svůj díl odpovědnosti a nabídne bezpečnost, jež je jednoduchá, srozumitelná a co nejméně obtěžující, získá konkurenční výhodu. Důvěra je dnes klíčová měna – a banky, které se k ochraně klientů aktivně hlásí, to už dávno pochopily.
V této souvislosti se často hovoří o takzvaném paradoxu kyberbezpečnosti. Co to přesně znamená a proč je to zrovna v kontextu české společnosti problém?
Tento pojem úzce souvisí s bludným kruhem nečinnosti. Je to situace, kdy se uživatelé o svou bezpečnost obávají, ale nic nepodnikají. V průzkumu se k tomu přihlásilo 96 % dotázaných, více než polovina z nich už zažila kybernetický útok. Ani tato osobní zkušenost však většinu lidí nepřiměje ke změně chování, protože to nepovažují za vlastní selhání – odpovědnost podle nich nese někdo jiný.
Zároveň se projevuje nízká digitální sebedůvěra – jen deset procent lidí se cítí dostatečně informováno o tom, jak se chránit. Nezafungovala ani osvěta. Uživatelé vnímají absenci autority, která by je nasměrovala. Dokud se tento paradox nepodaří překonat, nelze očekávat zásadní změnu.
Jak zmiňujete, více než polovina Čechů už někdy zažila kybernetický útok. Jak si tuto neochotu chránit se vysvětlujete?
Nejde o to, že by lidé byli lhostejní. Poptávka po bezpečí je obrovská. Klíčové je naučit jednotlivce, jak přejít od pouhého očekávání bezpečí k reálné osobní odpovědnosti. Zkušenost by měla být nejlepší učitel, ale v kyberbezpečnosti to často neplatí.
Kombinuje se tu několik faktorů. Je třeba se ptát, jak „bolestivá“ ta zkušenost byla. Pokud někomu na den zablokovali sociální sítě nebo mu přišel podvodný e-mail, je to sice nepříjemné, ale není to typ katastrofy, který vás donutí změnit návyky. Často chybí silný odstrašující moment, který by ospravedlnil to vnímané úsilí spojené se změnou.
Druhý problém je složitost. Lidé si řeknou: „Dobře, měl bych něco dělat.“ Ale co přesně? Je to jako s předsevzetím jít do posilovny – odhodlání vyprchá při prvním nepohodlí. A to vede k něčemu, co bychom mohli nazvat „naučená bezmoc“. Problém se zdá obrovský a technický, takže jednotlivec rezignuje.
Řekne si: „Tomuhle nerozumím, nejsem expert, tohle má řešit stát.“ A přesně tady jednotlivec přenáší odpovědnost na druhé. Tento stav skvěle ilustruje fakt, že téměř čtvrtina populace nikdy nezaznamenala žádnou informační kampaň. Nejsou vedeni k tomu, aby převzali aktivní roli, a tak ji nepřebírají.
83 % dotázaných se cítí bezpečně v online bankovnictví. Proč banky budí takovou důvěru? Může to být inspirací pro jiné?
Důvěra v banky je obrovská, protože lidé vidí, že banky berou odpovědnost za bezpečnost v on-line prostředí vážně. Na rozdíl od zablokovaného účtu útok na peníze „bolí“ každého a okamžitě. Hrozba mění chování na obou stranách: klienti jsou ostražitější a banky si nemohou dovolit selhat.
Investují do technologií, komunikují srozumitelně a používají nástroje, které uživatele upozorňují na nebezpečí – třeba push notifikace. Vysílají tím signál: „Záleží nám na vaší bezpečnosti.“ Nutno říct, že je k tomu dotlačila přísná regulace. A právě to se díky NIS2 nyní začíná dít v celé ekonomice. Regulace zvyšuje odpovědnost za bezpečnost u vedení firem.
43 % Čechů se necítí bezpečně při využívání AI. Čím si tyto obavy vysvětlujete?
Paradoxně se nejvíc bojí mladí lidé, kteří AI využívají nejčastěji. Umějí si představit zneužití identity přes deepfake videa a klonování hlasu. Bojí se podvodů, které budou téměř neodhalitelné. Způsoby a technologie, jimiž je možné „vyrobit“ podvodné video, se vyvíjejí rychleji než obrana, a je tak zapotřebí cílená edukace.
Co v edukaci chybí – a co by mohlo reálně pomoci?
Čtvrtina populace nezaznamenala žádné informace o kyberbezpečnosti – ani od institucí, ani od poskytovatelů. Chybí důvěryhodný, systematický zdroj. Dobrá zpráva je, že poptávka existuje – 85 % respondentů by uvítalo návody, tipy nebo upozornění. Nejčastějším zdrojem informací jsou přitom s velkým náskokem banky (55 %), které masivně předstihují média i státní instituce jako NÚKIB.
Právě zde je inspirace: potřebujeme silný subjekt – státní či mezioborový –, který se osvěty ujme podobně aktivně jako bankovní sektor. Ne formou jednorázových kampaní, ale jako dlouhodobé, srozumitelné komunikace přizpůsobené různým skupinám.
Co by měly dělat firmy?
Zkušenosti z trhu i naše analýzy ukazují čtyři oblasti, na něž by se měly zaměřit a které říkají:
1. Investujte do lidí, nejen do technologií. Lidská chyba je nejčastější příčinou selhání.
2. Zaveďte jasná vnitřní pravidla pro přístup, práci s daty a práci na dálku.
3. Začněte chápat bezpečnost jako součást firemního plánování.
4. Dělejte pravidelné kontroly a hodnocení rizik. Pomohou odhalit slabiny dříve, než se stanou cílem útoku.
Lze se na tuto cestu vydat bez výrazného navýšení nákladů?
Ano, ale vyžaduje to chytrý přístup. Největší obavou firem jsou náklady. Klíčem není, zda řešit vše interně nebo externě, ale jak spolupracovat. Organizace, které si vše dělají samy, často přeinvestují. Ty, jež vše přenechají bez kontroly, riskují neefektivní řešení. Nejefektivnější je kombinace interního týmu a externích expertů. Tento model může snížit náklady až o polovinu.
Jaké jsou největší překážky?
Dnes už nejde jen o nedostatek lidí. Největšími překážkami jsou podle našich závěrů složitost a nejasnost zákona (18 %), dále zabezpečení dodavatelského řetězce (18 %) a nutnost změn v procesech a technologiích (16 %). To jsou překážky, které odlišují reaktivní přístup od odpovědného řízení.
Pokud byste měl dát jedno doporučení, co by to bylo?
Přesuňte debatu o kyberbezpečnosti ze serverovny do zasedací místnosti. Největší výzvy NIS2 nejsou technické, ale strategické – složitost legislativy, dodavatelský řetězec, změna procesů.
Vaším úkolem není rozumět kódu, ale chápat rizika a rozhodovat o investicích, které zajistí odolnost vašeho byznysu a také soulad s novým zákonem o kybernetické bezpečnosti.
Více informací o směrnici NIS2 a službách v oblasti kyberbezpečnosti najdete na: ey.com/nis2.
