Článek
Počet útoků na klienty bank se meziročně ztrojnásobil, celkové škody přesáhly 1,3 miliardy korun. Počet kybernetických útoků na české banky narostl dokonce pětinásobně. Minulý rok zaznamenaly banky celkem 69 685 napadených klientů s celkovou škodou 1,35 miliardy korun, což znamená, že výše průměrné škody na jednoho klienta dosáhla 19 357 Kč. A útoky na naše peněženky pokračují i letos. Mimochodem, počet kybernetických útoků na tuzemské banky vzrostl o 500 procent.
Banky se nepříznivé situaci snaží bránit zvyšováním efektivity nástrojů využívaných pro odhalování podvodů, čímž výše zachráněných částek převyšuje celkovou škodu způsobenou e-šmejdy. (Nejvyšší zachráněná částka na klienta za historii sledování kyberpodvodů je 13 milionů korun – pozn. red.). Jedná se ovšem nejen o náročný, ale i „sysifofský“ úkol nejen pro banky co by soukromé subjekty, tak pro státní složky, zejména Policii České republiky.
Česká bankovní asociace (ČBA) například již druhým rokem bojuje proti e-šmejdům za pomoci jí organizované edukační kampaně #nePINdej! Podle údajů ČBA si doposud interaktivní vzdělávací Kybertest, který je klíčovým prvkem kampaně, vyzkoušelo 315 tisíc lidí s průměrným skóre 74 procent.
Protože banky obecně považují kyberbezpečnost za klíčové, investují značné prostředky do vývoje pokročilých technologií a realizují rozsáhlé osvětové programy. Tyto strategické kroky vedou ke snižování škod způsobených kybernetickými útoky na klienty. Zatímco v první polovině roku byla průměrná škoda na klienta necelých 22 tisíc korun, ve druhém pololetí to bylo již 19 tisíc korun. „Tento pokles je výsledkem efektivních kontrolních procesů bank. Moderní technologie, do kterých banky investují významnou část svých rozpočtů, umožňují rychle identifikovat a zastavit podezřelé transakce dříve, než mohou způsobit výraznější škody,“ tvrdí Monika Zahálková, výkonná ředitelka České bankovní asociace, a zároveň dodává: „Odpovědnost není jen na bankách, ale především na klientech samotných, kteří se díky neznalosti stávají snadným terčem pro e-šmejdy. Proto Česká bankovní asociace ve spolupráci s dalšími partnery zorganizovala koncem loňského roku již druhý ročník rozsáhlé vzdělávací kampaně #nepINdej!, jejímž cílem bylo oslovit co nejvíce lidí a upozornit je na nebezpečí v online prostředí.“
Kampaň se zaměřuje na širokou veřejnost, mladistvé od 12 let, dospělé i seniory, tedy ty skupiny obyvatelstva, které jsou řáděním těchto zlosynů ohroženy nejvíce. „Loňská kampaň byla velmi úspěšná, Kybertest si dosud vyzkoušelo přes 315000 lidí, přičemž průměrné skóre bylo 74 procent. Nejnižší skóre měli mladiství ve věku 12-17 let, a to 71 procent, a lidé nad 56 let, kteří dosáhli stejného skóre,“ říká Monika Zahálková, výkonná ředitelka České bankovní asociace. „Každý rok se objevují nové metody e-šmejdů a je třeba na ně veřejnost upozornit. Proto v kampani budeme určitě pokračovat i letos. Naším primárním cílem je naučit co nejvíce lidí, jak se bezpečně v kyberprostoru pohybovat a jak e-šmejdům nenaletět. Náš Kybertest si může vyzkoušet ale každý kdykoliv, bez ohledu na to, zda probíhá kampaň nebo ne. Otázky v něm neustále aktualizujeme, aby odrážely nejnovější metody e-šmejdů a veřejnost se s nimi tak mohla seznámit a naučit se je rozpoznat,“ dodává Zahálková.
A její slova potvrzuje také Ondřej Penc z odboru Prevence Policie České republiky: „V posledních letech jsme svědky bezprecedentního nárůstu online kriminality. Útoky e-šmejdů jsou stále sofistikovanější, využívají nové metody a je stále těžší rozeznat, že se jedná o kyberpodvod. Proto je edukace a osvěta v této oblasti zásadní. I z tohoto důvodu jsme se zapojili do projektu České bankovní asociace #nePINdej! Zároveň jsme v loňském roce uskutečnili po celé ČR přes 4300 přednášek a besed na téma prevence kyberkriminality a oslovili tak zhruba 200 tisíc osob.“
Podle statistik Policie ČR byl loňský nárůst kyberpodvodů (zatím) nejmenší od roku 2017, ale i tak rostl. V loňském roce evidovala Policie ČR 19 592 nahlášených případů, což v porovnání s rokem 2022 představuje 5,5procentní nárůst. Významně se ale zvýšila důmyslnost a sofistikovanost kyberpodvodů. „Stále vynalézavější jsou podvodníci na sociálních sítích, kde je velmi snadné najít oběť. Mezi jeden z nejzávažnějších typů podvodů nadále patří podvodné navolávání, tzv. vishing. Je o to nebezpečnější, že e-šmejdi dokážou nejen věrně napodobit i telefonní číslo instituce, za kterou se vydávají, ale s využitím umělé inteligence i hlas a podobu toho, za koho se vydávají. Je tak stále těžší rozeznat podvodný telefonát od toho pravého. Proto je edukace v této oblasti tak zásadní,“ dodal Penc z odboru Prevence Policie České republiky.
České banky pod vlnou kybernetických útoků
A další nedobrá čísla: jak vyplývá z analýz společností Analytics Data Factory (která se zaměřuje na prevenci vzniku podvodů v reálném čase – pozn. red.) a také firmy Semantic Visions, vyhodnocující data z globálních médií, vzrostl ve stejném období počet kybernetických útoků na české banky pětinásobně: loni takových útoků bylo zaznamenáno 131. Připomeňme, že se jedná historicky o nejvyšší číslo, protože oproti počtu útoků v roce 2022 (26) se jedná o nárůst o více než 500 procent. Podle analytiků za tímto hrozivým nárůstem stojí hlavně dopady geopolitické situace související s válkou na Ukrajině, a protože tamní boje jen tak neskončí a další přibývají, hlavně na Blízkém a Středním Východě, je nutné smířit se s vysokými počty kybernetických útoků také v budoucnu. „Kybernetické útoky na banky jsou nejvíce intenzivní zejména v období různých svátků nebo velkých sezónních výprodejů, obecně tedy tehdy, kdy lidé nejvíce využívají elektronické způsoby placení. Zároveň to úzce souvisí i s mezinárodními konflikty,“ říká Jiří Mojžíš, technický ředitel společnosti Analytics Data Factory, která je expertem na správu a využití firemních dat včetně fraud managementu. „Musíme si otevřeně přiznat, že poslední rok v zásadě nastavil nový standard toho, s jakým množstvím kyberbezpečnostních hrozeb musí banky počítat. Dříve se těchto čísel zdaleka nedosahovalo. I v tomto roce pak očekáváme další nárůst kybernetických hrozeb a zejména i využití sofistikovanějších typů útoků,“ dodal Mojžíš.
Julius Rusnák, provozní ředitel technologické společnosti Semantic Visions, se domnívá, že počet kyberútoků a hrozeb týkajících se českého bankovního sektoru dosáhl svého vrcholu. „Ve skutečnosti ale mohlo být hrozeb a útoků ještě více, některé se do médií totiž ani nedostanou. Naše platforma v obrovském měřítku analyzuje data z článků ze zpravodajství globálně, včetně České republiky a detekujeme v nich pomocí umělé inteligence konkrétní události. Na základě velkého objemu dat můžeme sledovat trendy například jako je tento a porovnávat jednotlivé země mezi sebou,“ uvedl Rusnák.
Za významné útoky či ohrožení v loňském roce označil ty u celkem dvanácti institucí, kromě všech větších komerčních bank i České národní banky. Nejvíce zaznamenaných případů (36) představovalo „pouze“ významnou kyberbezpečnostní hrozbu. Ovšem jen o něco méně, přesněji 34krát již došlo k naplnění skutkové podstaty trestného činu, souvisejícího s počítačovou kriminalitou. Právě tento typ incidentů přitom mimochodem o rok dříve tvořil majoritu evidovaných událostí. V dalších 22 případech se jednalo o ilegální průnik bezpečnostní ochrany hackery, a zaznamenáno bylo i 19 DDoS útoků. Jejich počet oproti roku 2022 podle expertů několikanásobně narostl. Naopak pouze v řádu jednotek se došlo k phishingovým útokům, proniknutí malwaru a dalším hrozbám, když některé události představovaly dokonce vzájemnou kombinaci těchto kategorií.
Autor: Petr Blahuš
Kampaň #nePINdej! zcela jistě patří k nejrozsáhlejším kampaním v oblasti kyberbezpečnosti, které byly doposud realizovány. Unikátní je i to, že se do ní zapojily jak orgány státní správy, které se kyberbezpečností zabývají, tak klíčové firmy českého byznysu, jichž samotných nebo jejichž klientů se podvodné útoky také týkají. Kromě České bankovní asociace, která je realizátorem projektu, byly do kampaně zapojeny Policie České republiky, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), itego, a.s., Česká spořitelna, Komerční banka, ČSOB, VISA, ČEZ, Balíkovna, O2, České dráhy a DLA Piper. Mediálními partnery byly Česká televize, Seznam Zprávy, Deník a Cinestar.
Analytics Data Factory je na českém trhu dodavatelem a správcem řešení postavených na analytických technologiích společnosti SAS včetně veškerého navazujícího ekosystému, jako je hardware, operační systémy, databáze, vývojový a verzovací software, messaging infrastruktura nebo big data platformy. Společnost se primárně specializuje na analýzu dat v reálném čase (např. v oblastech aktivního řízení vztahu se zákazníky, tzv. CRM, a dále prevence vzniku podvodů, zpracování signálů a rozpoznávání obrazu nebo pokročilé analytiky na velkých a streamovaných datech. Mezi její klienty patří například Komerční banka, Česká podnikatelská pojišťovna, pojišťovna Kooperativa a Home Credit.
Česká společnost Semantic Visions, která se specializuje na detekci rizik, využívá AI a nejmodernější postupy technologického zpracování přirozeného jazyka pro vyhodnocování dat z globálních elektronických médií. Sbírá a denně analyzuje data z více než 1,1 milionu článků ve 12 jazycích a detekuje v nich události, které se týkají konkrétních aktivit, událostí či firem, a dokáže v nich sledovat trendy a kontext. Na základě takto rozsáhlého katalogu témat umí identifikovat potenciální rizika či příležitosti pro firmy, země nebo teritoria, a tyto data slouží jako unikátní zdroj informací pro firmy s mezinárodním působením, zejména pro účely AML (Anti-money Laundering), KYC (know your customer), řízení rizik třetích stran a dodavatelského řetězce, nebo ochrany před kybernetickými hrozbami (včetně detekce informačních útoků a dezinformací).