.webp)
Cílené útoky na zámožné rodiny se v posledních letech staly samostatnou kategorií kyberzločinu. Útočníci nejdou po systému, jdou po konkrétní rodině, jejím poradci nebo asistentovi. Ochrana se proto musí týkat nejen IT, ale i lidské vrstvy, soukromí a digitální stopy, kterou rodina zanechává.
Když americká FBI v roce 2023 zveřejnila statistiky o kybernetické kriminalitě, jednou z nejrychleji rostoucích kategorií byly útoky cílené na zámožné jednotlivce a jejich rodinné kanceláře. Hodnota škod hlášených v této kategorii přesáhla v meziročním srovnání více než třicet procent (FBI Internet Crime Complaint Center, 2023). Tento trend není náhodný. Family office a zámožné rodiny představují atraktivní cíl, protože spravují velké objemy kapitálu, často s menším počtem zaměstnanců a nižší úrovní bezpečnostních procesů, než by odpovídalo bance nebo velké korporaci.
Profil typického útoku se v posledních letech proměnil. Místo masových phishingových emailů, které byly typické pro období do roku 2018, se prosadily cílené sociální inženýrské útoky, kterým odborníci říkají whaling nebo CEO fraud. Útočník si o své oběti zjistí dostatek informací z veřejných zdrojů, jako jsou LinkedIn, společenské časopisy, výroční zprávy a obchodní rejstříky. Na základě těchto informací sestaví scénář, který působí důvěryhodně. Email od jednatele rodinného holdingu, který se technicky neliší od běžné komunikace, žádá asistentku o převod několika milionů korun na účet nového dodavatele. Asistentka převod provede a chyba se zjistí až o dva týdny později (Verizon, 2023).
Skutečnost, že tyto scénáře fungují, vychází ze tří faktorů. Prvním je dostupnost informací, které byly dříve neveřejné. Druhým je urychlení komunikace, kdy se rozhodnutí činí v řádu minut a chybí prostor pro ověření. Třetím je nepřipravenost lidí, kteří v rodinných strukturách pracují. Zatímco velké korporace investují do bezpečnostních školení miliony, rodinné kanceláře často spoléhají na osobní vztahy a důvěru, která je sama o sobě bezpečnostní zranitelností.
Novou kategorií, která v posledních dvou letech rapidně vzrostla, jsou útoky využívající umělou inteligenci. Generativní modely umožňují vytvořit realistickou hlasovou imitaci nebo videofalzifikát konkrétní osoby. Známé jsou již případy, kdy útočník telefonicky kontaktoval finančního ředitele rodinného holdingu hlasem majitele a požádal o urgentní převod prostředků. Hlas zněl autenticky, situace byla naléhavá a převod byl proveden. Studie společnosti McAfee odhadla, že podobné deepfake útoky vzrostly v roce 2023 o více než dvě stě procent oproti předchozímu roku (McAfee, 2023).
Vedle aktivních útoků je třeba uvažovat i o pasivním riziku, kterým je digitální stopa rodiny. Sociální sítě dospívajících členů rodiny, příspěvky o zahraničních dovolených, fotografie před rodinným sídlem, údaje o zájmech a koníčcích, to vše tvoří mozaiku, ze které lze sestavit přesný obraz o rodině. Tato data se používají nejen pro kybernetické útoky, ale i pro fyzické zločiny, jako jsou cílené krádeže během dovolené nebo únosy v rizikových zemích. Profesionální ochrana digitální stopy je proto stejně důležitá jako bezpečnost serverů (World Economic Forum, 2023).
Zranitelným místem rodinné kanceláře jsou často externí poradci. Daňový poradce, advokát, investiční manažer a auditor mají typicky přístup k velmi citlivým informacím, ale jejich vlastní bezpečnostní úroveň nemusí odpovídat tomu, co spravují. Útočník, který nedokáže prolomit zabezpečení rodiny, často zaútočí na nejslabší článek řetězce, kterým je menší účetní kancelář s deseti zaměstnanci a dvěma roky starým antivirem. Z této kanceláře získá citlivé dokumenty, které pak použije pro cílený útok na samotnou rodinu.
Praktická ochrana se opírá o několik vrstev. První vrstva je technická. Patří do ní šifrované úložiště dokumentů, vícefaktorové ověřování pro všechny klíčové účty, segregace e-mailových schránek pro různé účely a pravidelné penetrační testy. Druhá vrstva je procesní. Žádný finanční převod nad stanovenou částku nesmí být proveden pouze na základě e-mailového pokynu. Vyžaduje se telefonické potvrzení na předem dohodnutém čísle, ideálně doplněné o kontrolní otázku, kterou útočník nemůže znát. Třetí vrstva je školicí. Asistenti, vedoucí kanceláří a klíčoví zaměstnanci procházejí pravidelným školením, které zahrnuje simulované phishingové útoky a vyhodnocení reakcí (NIST, 2023).
Specifickou kategorií je ochrana dětí a dospívajících členů rodiny. Mladší generace tráví značnou část života online a její digitální chování má přímý vliv na bezpečnost celé rodiny. Sdílení polohy v reálném čase prostřednictvím aplikací, geotagging fotografií, zveřejňování informací o cestování nebo o spolužácích jsou činnosti, které samy o sobě působí neškodně, ale ve spojení mohou poskytovat útočníkům velmi přesné informace. Diskuse s mladšími členy rodiny o digitální hygieně je proto stejně důležitá jako diskuse o financích.
V neposlední řadě je vhodné mít připravený krizový plán pro situaci, kdy k útoku nebo úniku dat dojde. Tento plán by měl obsahovat seznam kontaktů na specializované IT firmy, právníky a vyjednavače, dále postupy pro komunikaci s bankami pro zastavení podezřelých transakcí a postupy pro komunikaci s policií a regulátorem. Statistiky ukazují, že rychlost reakce v prvních hodinách po útoku zásadně ovlivňuje rozsah škody. Rodiny, které mají krizový plán a zkusily si jeho použití při simulaci, ztratily v průměru o sedmdesát procent méně prostředků než rodiny bez připraveného plánu (IBM, 2023).
Kybernetická bezpečnost přestala být doménou IT oddělení. Stala se součástí rodinné strategie, podobně jako právní struktura nebo investiční politika. Investice do prevence se vyplácí v okamžiku, kdy se projeví, jaká částka by byla v sázce bez ní. Tento výpočet bývá obvykle pozdě a ve prospěch toho, kdo se připravil včas.
Seznam zdrojů
