Evropa zároveň dosahuje nejvyšší míry adopce zákonů o kyberkriminalitě na světě.
Společnost Fortinet upozorňuje na alarmující trajektorii kyberkriminality, která by mohla do roku 2027 způsobovat firmám celosvětově finanční škody ve výši až 23 bilionů dolarů ročně1. Finanční sektor – banky, pojišťovny i další finanční instituce – přitom patří mezi hlavní cíle útočníků a zároveň čelí historicky nejsložitějšímu regulačnímu prostředí v EU: musí plnit požadavky DORA, NIS2 i nařízení EU o umělé inteligenci.
Podle analýzy Fortinetu věnované finančním službám v EU čelí instituce náročnému prostředí, které zahrnuje nové předpisy, neustálé kybernetické hrozby, rychle se měnící geopolitickou situaci a rostoucí využívání nástrojů umělé inteligence jak v obranné, tak v útočné rovině. Ačkoli inovace, jako je využívání cloudu pro některé pracovní úlohy a rostoucí integrace aplikací třetích stran, zvyšují produktivitu a zlepšují zákaznický servis, rozšiřují zároveň plochu pro útoky a zvyšují nároky na bezpečnost i soulad s předpisy.
„Finanční sektor je již nyní hlavním terčem hackerů, ransomwarových útoků a dalších kybernetických hrozeb. Přidávání nových technologií, nových aplikací a nových obchodních vztahů s třetími stranami na základy tvořené zastaralými systémy a on-premise aplikacemi dále rozšiřuje potenciální útočnou plochu,“ říká Ondřej Šťáhlavský, regionální senior ředitel společnosti Fortinet pro střední a východní Evropu.
Regulace jako příležitost i výzva
Evropské finanční organizace musí v souladu s nařízením DORA (Digital Operational Resilience Act) pravidelně testovat odolnost svých systémů a řídit rizika spojená s využíváním třetích stran v oblasti ICT. Nařízení EU o umělé inteligenci zase zavádí odstupňované požadavky na vysvětlitelnost a kontrolu AI systémů a směrnice NIS2 zpřísňuje kybernetické požadavky na kritickou infrastrukturu. Velká Británie i další evropské země mimo EU zavádějí obdobné kontrolní mechanismy, aby sladily požadavky v rámci celého kontinentu.
Výzkum publikovaný v odborném časopisu Journal of International Business Studies přitom ukazuje, že stabilita bankovního systému se po zavedení regulace v oblasti kyberkriminality zvyšuje v průměru o více než 25 %. Evropa zároveň dosahuje nejvyšší míry adopce zákonů o kyberkriminalitě na světě – příslušnou legislativu přijalo 91 % zemí.
„Je zásadní budovat tyto příležitosti na základech bezpečnosti, zabezpečení a souladu s předpisy,“ zdůrazňuje Ondřej Šťáhlavský z Fortinetu. „Bezpečnostní týmy potřebují úplnou viditelnost dat a chování aplikací v celé organizaci. Bez ní jim zůstane roztříštěný a neúplný pohled na operace, kdy jsou klíčové informace schovány a chybí jediný zdroj pravdivých informací pro rozhodování.“
Regulatorní komplex se ještě zkomplikuje: AI mění pravidla hry
Umělá inteligence přináší do finančního sektoru zcela novou dimenzi rizik. Kyberbezpečnostní týmy ji sice využívají k automatizaci detekce a reakce – a snižují tím průměrné ztráty z kybernetických incidentů průměrně o 1,9 milionu dolarů – útočníci ji ale zároveň zneužívají pro phishing, deepfakes, krádeže identity a zero-day exploity. Podle analýz dnes AI pohání již 16 % kybernetických útoků.
Zvláště závažný je scénář, kdy útočníci napadnou nebo manipulují samotné AI modely v průběhu trénování. V praxi se již stalo, že pojišťovna měsíce uplatňovala chybné pojistné podmínky, aniž zjistila, že její model pro hodnocení pojistných událostí byl natrénován na nespolehlivých syntetických datech dodaných třetí stranou.
