Cyber Resilience Act: Praktický průvodce implementací pro IoT a embedded systémy
Cyber Resilience Act (CRA) představuje dosud opomíjený regulatorní rámec Evropské unie, který stanovuje povinné kybernetické bezpečnostní standardy pro produkty s digitálními prvky (Products with Digital Elements - PDE). CRA vstoupil v platnost 10. prosince 2024, přičemž hlavní povinnosti se budou uplatňovat od 11. prosince 2027. Tato regulace má zásadní dopad na výrobce IoT a embedded systémů, kteří musí zajistit kybernetickou bezpečnost svých produktů po celou dobu jejich životního cyklu.
Harmonogram a přechodná období
- 10. 12. 2024: CRA vstupuje v platnost
- 11. 6. 2026: Autorizace orgánů posuzování shody (CAB)
- 11. 9. 2026: Povinnost reportingu zranitelností a incidentů
- 11. 12. 2027: Povinná plná compliance
- Během přechodného období mají výrobci 36 měsíců na celkovou implementaci, 21 měsíců na reporting a 18 měsíců na notifikaci CAB.
- 36 měsíců (do prosince 2027):
- Hlavní implementační období pro většinu povinností
- Čas na adaptaci vývojových procesů
- Implementace security by design principů
- Příprava technické dokumentace
- 21 měsíců (do září 2026):
- Kratší období pro reportingové povinnosti
- Implementace vulnerability disclosure procesů
- Zavedení incident response capabilities
- Koordinace s CSIRT a ENISA
- 18 měsíců (do června 2026):
- Nejkratší období pro notifikace CAB
- Příprava certifikačních procesů
- Identifikace vhodných notifikovaných orgánů
- Příprava conformity assessment dokumentace
Kontext a motivace
- CRA byl přijat jako reakce na několik kritických problémů:
- Rostoucí počet kybernetických útoků na IoT zařízení -- každé 39 sekund dochází k kybernetickému útoku podle University of Maryland
- Nedostatečná kybernetická bezpečnost produktů -- spotřebitelé a podniky často nevědí, které produkty jsou kyberneticky bezpečné
- Fragmentace trhu -- různé národní požadavky vytvářely právní nejistotu pro výrobce
- Absence "duty of care" - výrobci nebyli povinni zajišťovat bezpečnost po celou dobu životního cyklu produktu
Cíle a dopady CRA
- Primární cíle:
- Zajištění minimální úrovně kybernetické bezpečnosti pro všechny připojené produkty na EU trhu
- Zvýšení transparentnosti a informovanosti zákazníků
- Harmonizace požadavků napříč EU
- Posílení odpovědnosti výrobců za bezpečnost produktů
- Očekávané dopady:
- Snížení počtu úspěšných kybernetických útoků na IoT zařízení
- Zvýšení důvěry spotřebitelů v digitální produkty
- Zlepšení celkové kybernetické odolnosti EU
- Vytvoření konkurenční výhody pro EU výrobce
Rozsah působnosti CRA
CRA se vztahuje na všechny produkty s digitálními prvky, které lze připojit k síti nebo jinému zařízení. Zahrnuje embedded systémy, IoT, síťová zařízení, software i mikrokontroléry. Výjimku tvoří např. zdravotnické prostředky, automotive a určité open-source softwary.
Výrobci musí zavést cyklické hodnocení rizik během vývoje a provozu. Používají se nástroje jako QuBA nebo MoRA, metodiky jako NIST a principy Secure by Design. Bezpečnost musí být součástí všech fází SDLC – od návrhu (threat modeling, secure architecture) přes vývoj (SAST/DAST, secure coding) až po nasazení (secure boot, OTA aktualizace).
Kategorizace rizik a posuzování shody
- Produkty jsou rozděleny do tří rizikových tříd:
- Default (nízké riziko) -- vlastní posouzení shody
- Important (střední riziko) -- posouzení třetí stranou
- Critical (vysoké riziko) -- certifikace dle EUCC
- K odpovídajícím třídám se vážou postupy CAP1 až CAP3.
- CRA ukládá požadavky na:
- autentizace a řízení přístupů,
- šifrování a integritu dat,
- SBOM (Software Bill of Materials) jako povinný výčet komponent a závislostí.
Výrobci musí reportovat aktivně zneužité zranitelnosti do 24 hodin. Využívá se koordinovaný disclosure proces včetně notifikace CSIRT, ENISA a zákazníků.
AI systémy jsou často zpřístupněny prostřednictvím rozhraní API, což je praktické, ale zároveň zvyšuje plochu útoku, pokud nejsou API odpovídajícím způsobem chráněna. Studie společnosti Orca Security z roku 2023 například zjistila, že 45 % úložišť v rámci Amazon SageMaker – populární AI platformy – využívá výchozí nezabezpečené nastavení, což znamená otevřený přístup k citlivým datům a modelům bez autentizace.
Organizace, které zavádějí AI technologie bez centrální správy nebo bezpečnostního dohledu, jsou zranitelné vůči útokům, jež nemají v tradičních IT systémech obdobu. Klíčová opatření zahrnují:
- Integraci bezpečnostních testů do vývoje a nasazování AI (tzv. AI SecOps)
- Implementaci technik pro ochranu modelů (např. differential privacy, watermarking modelů)
- Audit a řízení API přístupů, včetně sledování anomálií a rate limiting
- Pravidelné školení vývojářů a datových týmů v oblasti AI bezpečnosti
Sociální inženýrství a deepfakes
Rozvoj umělé inteligence nepřináší pouze zvýšení produktivity a efektivity, ale také zásadně mění charakter kybernetických hrozeb. Mezi nejrychleji se vyvíjející a zároveň nejzávažnější hrozby patří nové formy sociálního inženýrství, které využívají generativní AI k vytváření realistických podvodných obsahů – tzv. deepfakes. Nekontrolovaná adopce AI v organizacích výrazně zvyšuje riziko, že se zaměstnanci, procesy nebo technologie stanou cílem těchto útoků.
Tradiční phishingové e-maily bývaly poměrně snadno rozpoznatelné díky jazykovým chybám nebo neautentickému obsahu. S využitím generativní AI je možné automatizovaně generovat vysoce personalizované zprávy, které přesně imitují jazyk, tón a kontext komunikace konkrétního uživatele nebo vedoucího pracovníka. Takové útoky (tzv. spear phishing) jsou mnohem efektivnější a hůře detekovatelné i pro pokročilé e-mailové filtry.
Deepfake technologie umožňuje vytvářet falešné video- a audiozáznamy, které jsou na první pohled nerozeznatelné od autentických. V kontextu firemního prostředí se tato technologie využívá k:
- Obcházení biometrických autentizačních systémů (např. rozpoznání obličeje nebo hlasu)
- Vytváření falešných vystoupení managementu pro účely dezinformace nebo manipulace investorů
- Kompromitaci důvěryhodnosti klíčových osob (reputační útoky)
Moderní AI dokáže na základě několika sekund záznamu vygenerovat hlasovou repliku konkrétní osoby (např. ElevenLabs, Resemble.ai), včetně tónu, intonace a jazykových vzorců. Útočníci tímto způsobem imitují hlasy výkonných ředitelů nebo finančních ředitelů a provádějí telefonické podvody s cílem autorizovat transakce, změnit čísla účtů nebo získat přístup k důvěrným údajům. Vzhledem k důvěře v hlas jako autentifikační faktor se jedná o velmi nebezpečnou techniku.
S pokročilou AI je nyní možné v reálném čase upravovat obsah konverzací, a to jak textových (např. v chatovacích aplikacích), tak hlasových. To umožňuje:
- Vložit klíčová slova nebo instrukce do telefonních hovorů
- Manipulovat se záznamy komunikace pro interní šetření
- Vytvářet falešné důkazy v právních či compliance kontextech
Aby se organizace účinně bránila těmto novým typům hrozeb, musí přistupovat k ochraně před deepfakes a AI-enhanced sociálním inženýrstvím jako ke strategickému bezpečnostnímu riziku:
- Zavést technologickou detekci deepfake obsahu (např. pomocí forenzní AI)
- Školit zaměstnance na rozpoznávání personalizovaných phishingových útoků
- Implementovat vícefaktorovou autentizaci, která nespoléhá pouze na biometrické nebo hlasové prvky
- Vytvářet interní postupy pro ověřování netypických požadavků např. při finančních převodech
Závěrečné shrnutí
Nekontrolovaná adopce nástrojů umělé inteligence v organizacích – známá jako shadow AI – představuje zásadní výzvu pro kybernetickou bezpečnost, ochranu dat i regulatorní compliance. Ačkoli AI nabízí obrovský potenciál pro zvyšování efektivity a automatizaci firemních procesů, její neregulované využívání zaměstnanci mimo dohled IT a bezpečnostních týmů vytváří nové, často obtížně detekovatelné rizikové scénáře.
Firmy dnes čelí nejen riziku úniku důvěrných informací, duševního vlastnictví a osobních údajů, ale i specifickým technickým hrozbám včetně otravy trénovacích dat, prompt injection útoků či zneužití nezabezpečených API rozhraní. Současně narůstají pokročilé formy sociálního inženýrství, jako jsou AI-generované phishingové útoky, deepfake nahrávky a hlasové klonování, které oslabují důvěru v interní i externí komunikaci.
Z pohledu odpovědného řízení je proto nezbytné, aby organizace:
- Zaváděly centralizované řízení a governance AI nástrojů
- Implementovaly bezpečnostní a právní kontroly nad zpracováním dat
- Investovaly do školení zaměstnanců a detekčních technologií
- Začlenily AI do svých procesů řízení rizik a compliance
Pouze tak lze využít přínosy AI, aniž by došlo k ohrožení bezpečnosti, důvěryhodnosti a právní odpovědnosti organizace.
AI není jen technologie, ale strategický partner pro růst. V ACRESIA Consulting pomáháme firmám implementovat umělou inteligenci tak, aby:
- Posilujete procesy bez narušení bezpečnosti
- Máte plnou kontrolu nad každou fází nasazení
- Udržujete lidský rozměr organizace místo slepé automatizace
- Rostete s jistotou, že AI pracuje pro vás, ne proti vám
Naše řešení stavíme na třech pilířích: vaše obchodní cíle, ověřené AI nástroje a transparentní etické standardy.
Další články
Cyber Resilience Act: Praktický průvodce implementací pro IoT a embedded systémy
Shadow AI i ve Vaší firmě?
