Dlhé obdobie bez incidentov často nevypovedá o sile obrany, ale o strate ostražitosti. Mnohé organizácie si zamieňajú absenciu útoku ransomvérom za dôkaz bezpečia. Útočníci ale môžu byť v systémoch prítomní dávno predtým, než sa ozvú so žiadosťou o výkupné.
Falošný pocit bezpečia
V histórii zlyhaní organizácií sa opakuje určitý vzorec, ktorý sa vyskytuje príliš často na to, aby išlo o náhodu: Systém dlhodobo funguje bez problémov, vďaka čomu si v neho všetci budujú dôveru. Takmer vždy to zároveň nenápadne oslabuje ostražitosť, ktorá v prvom rade zabezpečovala hladký chod systému. A potom systém zlyhá – presne v okamihu, keď by vám všetci zainteresovaní tvrdili, že je v skvelej kondícii.
Aj keď to môže znieť protichodne, stabilita sama osebe môže byť destabilizujúca. Plodí samozrejmosť, ktorá následne znižuje investície do pripravenosti a zväčšuje priepasť medzi skutočným a vnímaným rizikom. Spisovateľ Morgan Housel zhrnul tento vzorec: „pokoj zasieva semienka šialenstva.“ Toto sa prejavuje pomerne viditeľne a s takmer klinickou pravidelnosťou na finančných trhoch, ale keďže je to vtkané do štruktúry ľudskej psychológie, kyberbezpečnosť sa tomu v žiadnom prípade nevyhne.
A tak sa stáva, že spoločnosť, ktorá nebola napadnutá, má sklon považovať svoju bezpečnostnú situáciu za primeranú. Kľud sa javí ako dôkaz, že nebezpečenstvo pominulo, čo mení správanie spôsobmi, ktoré nebezpečenstvo opäť vyvolávajú. Predpoklad sa ticho upevňuje, aj keď to nikto nemusí výslovne uviesť: ak sa nič nestalo, potom musia byť naše kontrolné mechanizmy vynikajúce. V niektorých prípadoch to však môže byť zamieňanie absencie dôkazov za dôkaz absencie.
To vyvoláva aspoň dve otázky, ktoré stojí za to si položiť: Viete, či je vaše prostredie maximálne zabezpečené proti hrozbám, ktoré sa v súčasnosti šíria? Alebo viete len to, že máte zavedené (základné) kontrolné mechanizmy? Mnohé organizácie odpovedajú na druhú otázku, pričom sa domnievajú, že odpovedali aj na tú prvú. Môžu sa spoliehať na rámce zabezpečenia súladu s predpismi, hoci tie nutne nekontrolujú, či sú opatrenia primerané voči hrozbám, ktoré sa práve teraz šíria. Spoločnosť teda môže byť v súlade s predpismi a zároveň vystavená riziku. (Nepripomína vám to paradox Schrödingerovej mačky?)
Zostaňte v obraze
a o krok pred útočníkmi.
Prihláste sa na odber nášho newslettra a každý mesiac získajte prehľad o aktuálnych hrozbách aj praktické rady, ako chrániť firmu.
Skryté pasce, ktoré bezpečnostné tímy prehliadajú
Formálny stav bezpečnosti organizácie sa dá ľahko zmerať a – za predpokladu, že všetko dopadne dobre – je tiež ľahké mať z neho dobrý pocit. Či sa prihlasovacie údaje zamestnancov dostávajú do rúk na trhoch na dark webe, alebo či nástroj EDR vašej organizácie môže byť za určitých okolností zneškodnený ľahko dostupným „anti-nástrojom“ – to je ťažšie posúdiť bez toho, aby ste sa pozreli na miesta, na ktoré mnohé organizácie nemyslia.
Ľudská myseľ má skutočne tendenciu, ak ju nikto zámerne nekoriguje, opierať sa o ľahko dostupné informácie, aby si vytvorila príbeh, ktorý považuje za ucelený. Deje sa tak na úkor ťažko dostupných informácií a s blaženým ignorovaním toho, ktorá z týchto dvoch kategórií je poučnejšia. Rozhodujúce je, že myseľ neupozorňuje na to, čo chýba – obraz sa javí ako kompletný a pocit istoty je tak či tak na mieste. Psychológ Daniel Kahneman vymyslel pre tento zvyk skratku: WYSIATI (What You See Is All There Is – Čo vidíš, je všetko, čo existuje).
Problém sa môže ešte zhoršiť, ak zohľadníte, ako mnohí manažéri uvažujú o riziku: ak sa niečo nedá zmerať, nezáleží na tom. V praxi je často pravdou skôr opak, a to do tej miery, že tento základný problém získal status omylu. Bez ďalšieho rozvádzania stačí povedať, že akonáhle raz spoznáte aspoň niektoré z týchto pascí, už ich nemôžete „nevidieť“.
Spoločnosť Verizon vo svojej správe „Data Breach Investigations Report 2025“ kvantifikovala, aká veľká môže byť priepasť medzi vnímanou bezpečnosťou a skutočným ohrozením: zistila, že domény 54 % obetí ransomvéru sa pred útokom objavili aspoň v jednom protokole programu na krádež údajov alebo v ponuke na nelegálnom trhovisku. Prístupové údaje už kolovali – a v niektorých prípadoch mohlo k narušeniu bezpečnosti dôjsť už skôr – hoci sa všetko zdalo byť v poriadku.
Tento druh slepého miesta najviac zasahuje spoločnosti, ktorých bezpečnostný systém nedokáže odhaliť stopy správania útočníkov, ako sú pokusy o deaktiváciu bezpečnostných procesov. Náprava si vyžaduje posilnenie viditeľnosti celého digitálneho prostredia firmy a použitie správnych nástrojov – takých, ktoré idú nad rámec potvrdenia, že sú zavedené kontroly, a upozorňujú na to, že sa niečo v prostredí správa podozrivo.
Keď sa dôvera rozpadne: skutočné dôsledky ransomvéru
To všetko má význam aj preto, že úspešný útok ransomvérom je udalosťou ovplyvňujúcou kontinuitu podnikania s ďalekosiahlymi následkami. Keď sa spoločnosť Change Healthcare stala obeťou ransomvéru v roku 2024, následný dopad na nemocnice a lekárne trval mesiace, nehovoriac o tom, že incident zasiahol takmer celú populáciu USA. Celkové náklady sa odhadovali na 3 miliardy dolárov. Ransomvérový útok na spoločnosť Jaguar Land Rover v roku 2025 spôsobil podobné finančné škody.
Spoločnosť IBM odhaduje priemerné náklady na únik údajov na približne 5 miliónov dolárov, vrátane výpadkov, obnovy a následných škôd. Konkrétne v prípade zdravotníckych organizácií sa tento priemer pohybuje takmer na úrovni 10 miliónov dolárov. Tieto čísla však nezahŕňajú dlhodobé dôsledky, ako sú neobnovené zmluvy so zákazníkmi alebo prudký nárast poistného.
Škody sa znásobujú v priebehu mesiacov a rokov, najmä v prípadoch, keď sa odcudzené údaje dostanú na špecializované stránky zamerané na úniky údajov (DLS), čo je v dnešnej dobe veľmi časté. Verejné odhalenie firemných údajov samo o sebe vyvoláva krízu, keďže zverejnené zmluvy, e-maily a osobné údaje sa stávajú podkladom pre následné útoky, ako je phishing a podvody typu BEC (business email compromise).
Čoskoro sa pridajú aj regulačné povinnosti. Zároveň zákazníci a partneri začínajú klásť otázky, na ktoré spoločnosť často nemá ako odpovedať. A je tu ešte jedna vec, na ktorú by mali obrancovia myslieť. Dostupné dáta zachytávajú len prípady, ktoré sa útočníci rozhodli zverejniť. Predpokladá sa, že ukradnuté dáta sa verejne objavia len pri menšej časti ransomvérových útokov.
Disciplína a viditeľnosť ako základ obrany
Okrem správnych nástrojov a ľudí spočíva dlhodobá bezpečnosť na zvyku neustále sledovať situáciu a prispôsobovať sa jej. To všetko vychádza z povedomia o tom, čo sa deje v prostredí hrozieb, nehovoriac o vašom vlastnom IT prostredí.
Priznajme si, že udržiavanie neustálej ostražitosti v prípade, že neexistuje viditeľná a akútna hrozba, je nákladné – aspoň z psychologického hľadiska. Ľudia nie sú stvorení na to, aby zostávali v strehu pred udalosťami, ktoré sa nezdajú byť bezprostredné.
Keďže útočníci v tejto „rovnici“ nikdy nezostávajú v pokoji, nemôžu ani obrancovia. Informácie o hrozbách, najmä tie, ktoré poskytujú množstvo signálov o aktívnych kampaniach, sú základom tohto povedomia. Práve ich môžu bezpečnostné nástroje „premeniť“ na detekcie a výstrahy, ktoré umožňujú bezpečnostným tímom reagovať včas. Bez nich sa môže priepasť medzi tým, čo si organizácia myslí o svojej bezpečnosti, a tým, čo je skutočne pravda, naďalej prehlbovať – až kým ju pomerne nákladne nezatvoria kyberzločinci.
