Slovo úvodom
Dejiny často utvárajú maličkosti, ktoré nevieme predikovať. Tento fakt sa snažia autori populárno-náučnej literatúry ako Nassim Taleb či Morgan Housel zachytiť vo svojich knihách o riziku a čiernych labutiach.
Starovekí stoici mali k tejto skutočnosti iný prístup, ktorý je dnes aktuálnejší než kedykoľvek predtým. V roku 2026 bude dôležitejšie mať správnu stratégiu, než presnú predpoveď.
Starí známi
Svet kybernetickej bezpečnosti je nestabilné bojisko. Hrozby nielen vznikajú, ale aj mutujú. Dobrým príkladom je ransomvér. Prešiel evolúciou od prostého šifrovania cez vydieranie až po viacnásobné vydieranie, kde sa útočníci vyhrážajú zverejnením dát.
Paradoxne, na tento účel dnes zneužívajú aj legislatívny tlak a hrozbu pokút od regulátora. Podobne „naberajú na obrátkach“ útoky cez dodávateľské reťazce, ktoré menia svoj modus operandi.
Aj disruptívne novinky
Na druhej strane stoja technológie s disruptívnym potenciálom. Umelá inteligencia už dávno posunula hru na vyššiu úroveň. Umožňuje aj menej zdatným útočníkom zvaným script kiddies realizovať sofistikované útoky a phishingové kampane šité na mieru, ktoré sú na nerozoznanie od reality.
Ďalším strašiakom je post-kvantové šifrovanie. Hoci komerčné kvantové počítače nie sú zajtrajšou realitou, už dnes spôsobujú otrasy. Organizáciám sa preto odporúča spraviť inventúru šifrovacích algoritmov a pripraviť sa na krypto-agilitu, čiže schopnosť rýchlo vymeniť prelomený štandard za nový.
Technológie však nemusia byť len hrozbou. Široké nasadenie passwordless, čiže bezheslových štandardov ako FIDO2 a passkeys môže byť definitívnou odpoveďou na phishing. Mnohé firmy však stále bojujú s technologickým dlhom a nedostatkom ľudí, čo im bráni tieto novinky zaviesť.
Ani Rím nepostavili za deň
Vyššie spomenuté technológie nemajú tvoriť konečný zoznam. Slúžia len na ilustráciu faktu, že sa musíme preorientovať na systematickú obranu. Dobré veci sa dejú pomaly a inkrementálne, zatiaľ čo katastrofy prichádzajú okamžite.
Postaviť mrakodrap trvá roky plánovania a investícií. Jeho zbúranie trvá okamih. V kybernetickej bezpečnosti sa útok udeje rovnako „z ničoho nič“. Našou úlohou je postaviť ten mrakodrap tak pevne, aby ten náraz ustál.
Bedeker v skratke
Pevne verím, že čitateľov nemusíme edukovať o dôležitosti kybernetickej bezpečnosti. Kybernetická bezpečnosť je biznisová premenná. Bodka.
Ak ste to ešte neurobili, vaším „krokom nula“ je úprimná odpoveď na otázku: Bude ma trápiť nemožnosť vystavovať faktúry, ak mi stojí výrobná linka alebo útočník práve šifruje kľúčovú databázu?
Po tomto kroku nula by mal nasledovať ten, v ktorom, tak ako pri každom riešení problému, samotný problém pomenujeme. V oblasti kybernetickej bezpečnosti to voláme analýza rizík.
Koniec blufovania
Zabudnite na formálny „katalóg rizík“ pre audítora. Hovorím o reálnom zhodnotení toho, čo vás môže položiť na lopatky. Správna analýza rizík vám povie, kam smerovať investície.
Práve toto bude tvoriť náš odrazový mostík pre vašu stratégiu kybernetickej bezpečnosti. Ak je táto analýza rizík správne uchopená, tak nám poskytne odpovede na kľúčové otázky. Napríklad - ktoré oblasti musíme riešiť prioritne? Kam by mali smerovať naše investície? Akým čelíme rizikám?
Odpovedzte si úprimne
Ďalšie kroky budú samozrejme závislé na konkrétnej spoločnosti, rizikovom apetíte a konkrétnych možnostiach, áno aj finančných.
Viac ako vhodné by bolo zamerať sa na kľúčové aktíva z pohľadu hrozieb. Čiže overiť si, či viete identifikovať svoje kľúčové aktíva a detegovať prípadné hrozby. A hneď si povedať, ako samotné aktíva chránite, či viete reagovať na prípadné incidenty či hrozby a v prípade incidentu obnoviť kľúčové aktíva.
Záverom
Kyberbezpečnosť v roku 2026 nebude o hľadaní krištáľovej gule. Bude o nastavení správnej stratégie, ktorá udrží kurz aj v turbulenciách.
Michal Srnec vedúci oddelenia informačnej bezpečnosti
Aliter Technologies