AI a kyberbezpečnost na VŠ: učte lidi, ne jen pravidla

Řeknu to naplno: většina univerzit a vysokých škol nepodceňuje kyberbezpečnost kvůli technologiím. Podceňuje ji kvůli lidem – přesněji kvůli tomu, jak (ne)pracuje s jejich pozorností, stresem a motivací. Phishing se neotevírá proto, že by byl „geniálně napsaný“. Otevírá se, protože někdo zrovna dobíhá mezi seminářem a poradou, řeší stipendia, uzávěrku v SISu nebo objednávku do labu.

A rok 2025 tomu přidává další vrstvu: generativní AI zrychlila výrobu podvodů, zlepšila jazyk a posunula útoky na helpdesk a telefonní podporu. Zároveň ale dává školám nové možnosti, jak dělat školení chytřeji – personalizovaně, citlivě k akademické kultuře a bez zbytečného „přistižení při činu“.

Tahle myšlenka sedí i do našeho seriálu „Umělá inteligence v maloobchodu a e-commerce“. Proč? Protože univerzita dnes funguje podobně jako komplexní digitální služba: má tisíce „uživatelů“, různé role, onboarding, kampaně, podporu a citlivá data. A stejně jako e‑shop zvyšuje konverze personalizací, škola může zvyšovat bezpečné chování personalizací učení.

Kyberbezpečnost na univerzitě je hlavně o důvěře

Nejrychlejší způsob, jak zlepšit bezpečnostní kulturu, není tvrdší politika. Je to důvěra, že nahlášení chyby nebude trest.

V prostředí vysokých škol to platí dvojnásob. Akademická kultura stojí na autonomii, sdílené správě, otevřenosti a experimentu. Když bezpečnostní tým vystupuje jen jako „oddělení, které zakazuje“, lidé začnou dělat dvě věci:

• problémy nehlásí (aby neměli průšvih),
• obcházejí procesy (protože „to jinak nejde“).

Tohle je drahé. Ne finančně – časově a reputačně. U bezpečnostních incidentů totiž často rozhodují minuty až hodiny. Když student nebo vyučující rychle řekne „asi jsem zadal heslo do divné stránky“, můžete účet zablokovat, resetovat přístup, zkontrolovat přihlášení a zabránit škodám. Když se to dozvíte až za dva dny, už řešíte řetězovou reakci.

Praktický princip: „Děkujeme za nahlášení“ jako standard

Zaveďte jednoduché pravidlo pro helpdesk a IT: první odpověď na nahlášení podezřelé události má vždy obsahovat poděkování a ujištění, že hlášení je správný krok. I když uživatel udělal chybu.

Bezpečnostní program, který lidi studí, zvyšuje ticho. A ticho je pro útočníka ideální prostředí.

Proč klasická školení nefungují (a co s tím udělá AI)

Jednorázové e‑learningy jednou ročně bývají formální povinnost. Lidé je „odklikají“ a za týden si nepamatují nic. Funguje spíš rytmus: krátké, pravidelné, relevantní impulzy. Přesně jak zaznívá v praxi mnoha škol: měsíční komunikace (newsletter, krátký tip, mini‑scénář) často udělá víc než velká kampaň.

AI tady může pomoct ve třech konkrétních věcech:

1) Personalizace podle role (student vs. vyučující vs. administrativa)

Stejný útok dopadá jinak:

• Student řeší brigády, stipendia, přístup do LMS, potvrzení o studiu.
• Vyučující řeší rychlé sdílení materiálů, spolupráci, granty, recenze.
• Studijní a ekonomické oddělení řeší faktury, smlouvy, citlivé osobní údaje.

AI umí generovat mikro‑moduly na míru: 3–5 minut, jeden scénář, jedna dovednost. Například „falešná výzva k resetu hesla v SIS“, „podvodná faktura“ nebo „telefonát na helpdesk s naléhavou žádostí“.

2) Adaptivní učení místo plošných testů

V e‑commerce je standardem segmentace: zákazníkům neukazujete stejnou nabídku. V bezpečnosti je analogie jednoduchá: lidé nepotřebují stejné školení.

AI‑podporovaná platforma může:

• sledovat, na jakých tématech uživatel chybuje (např. QR phishing, sdílení hesel, falešné přihlášení),
• nabídnout další mini‑lekci přesně k tomu,
• posílat připomínky v rozumné frekvenci (ne spam).

Výsledek? Méně odporu, víc relevance.

3) „Bezpečné simulace“ bez ztrapňování

Tradiční phishing simulace jsou užitečné, ale často vytvářejí dojem, že IT „čihá na chyby“. Šikovnější přístup je edukační simulace, kde už v předmětu nebo v těle zprávy jasně stojí, že jde o trénink – a uživatel klikne proto, aby viděl, jak to vypadá.

AI může pomoct vytvářet více variant scénářů, aby si lidé netrénovali jen jednu šablonu.

Nové hrozby 2025: útoky přes helpdesk a hlasové klony

Phishing e‑mailem je dnes jen část příběhu. V roce 2025 výrazně roste tlak na sociální inženýrství přes podporu: útočník volá na helpdesk, vydává se za zaměstnance či studenta a zkouší opakovaně různé operátory.

Tohle se špatně řeší jen „lepší osvětou“. Potřebujete proces.

Ověření identity volajícího: jednoduché, ale ne snadné

Nejde o to být paranoidní. Jde o to mít jasné kroky, aby helpdesk nemusel improvizovat.

Doporučené prvky (kombinujte):

1. Zpětné volání na číslo z interního systému (ne to, které diktuje volající).
2. Out‑of‑band potvrzení: potvrzení v aplikaci, v portálu, přes školní identitu.
3. Krátké čekací okno pro rizikové změny (např. 15–30 minut) a notifikace uživateli.
4. „Stop‑slovo“ pro citlivé žádosti – jednoduchý interní postup, který operátor spustí, když něco „nesedí“.

A tady je AI dvojsečná: umí pomoct s detekcí neobvyklých požadavků (např. opakované pokusy o reset stejného účtu), ale zároveň umožňuje věrohodnější hlasové a video podvrhy.

Co učit lidi kvůli deepfake a voice‑clone útokům

Zapomeňte na starou radu „hledej gramatické chyby“. AI píše čistě. U deepfake je lepší učit toto:

• ověřuj kanálem, který útočník nekontroluje (zavolej na známé číslo, napiš do interního chatu),
• reaguj na naléhání: „musí to být hned“ je varovný signál,
• měj interní pravidlo pro finanční a přístupové změny (dvě osoby, druhé schválení).

Jedna věta, která by měla viset na nástěnce:

Když jde o přístup nebo peníze, ověřujeme. I kdyby volal rektor.

Malé školy a „tým o jednom“: jak škálovat bez rozpočtu

Spousta českých škol nemá velký SOC tým. Někdy je bezpečák jeden člověk, který zároveň řeší compliance, rizika, politiky i „ať už to běží“. Dobrá zpráva: i v tomhle režimu se dá udělat hodně, když se přestane hrát na dokonalost.

Prioritizace rizik: neřešte jen to, co má nejvyšší skóre

Automatické skenery a auditní reporty umí vyplivnout „kritické“ zranitelnosti. Jenže kritická zranitelnost, která je za firewallem a má kompenzační opatření, může být v praxi menší riziko než „střední“ problém dostupný z internetu.

Funguje jednoduchý filtr:

• Je to exponované navenek?
• Je to reálně zneužitelné v našem prostředí?
• Jaký je dopad (osobní údaje, finance, provoz školy)?
• Jak rychle to umíme opravit?

Komunita jako multiplikátor (a to není fráze)

Vysoké školy mají jednu obrovskou výhodu: sdílení. Šablony politik, zkušenosti s MFA, scénáře školení, doporučení nástrojů – to všechno už někdo řešil. Když jste „tým o jednom“, nejdražší je vymýšlet kolo.

AI v tomhle pomáhá prakticky: z interních poznámek a podkladů dokáže připravit návrh komunikace, FAQ pro helpdesk nebo osnovu školení. Člověk ale musí držet kvalitu i kontext.

30denní plán pro univerzitu: bezpečnostní osvěta, která má šanci

Pokud chcete během ledna 2026 rozjet program, který nebude jen „povinnost“, začněte takhle:

1. Týden 1: Nastavte důvěru

   • Jedna krátká zpráva celé škole: kam hlásit incident, co se stane po nahlášení, že se nepostihuje omyl.

2. Týden 2: Hesla a správce hesel

   • Doporučte správce hesel, ukažte 2min demo, proč hesla nerecyklovat.

3. Týden 3: MFA všude, kde to jde

   • Zaveďte MFA aspoň pro e‑mail, SIS/LMS a vzdálené přístupy. Dejte vyučujícím konkrétní scénář „proč“ (ochrana účtu = ochrana kurzu).

4. Týden 4: Scamy a helpdesk útoky

   • Přidejte příklady telefonních útoků, vysvětlete ověřování identity, nacvičte „odmítnutí naléhání“.

Bonus, který funguje: vyhlaste „reportovací výzvu“ – kdo nahlásí podezřelý e‑mail, dostane malou odměnu (třeba kávu v menze, drobný merch). Je to levné a zvyšuje to hlášení.

Co si z toho odnést (a kam to celé míří)

Kyberbezpečnostní vzdělávání na VŠ stojí na dvou pilířích: důvěra a relevance. AI dokáže obojí posílit – když ji použijete jako nástroj pro personalizované učení, ne jako automat na „povinné testy“.

A pokud přemýšlíte, proč to řešíme v seriálu o AI v maloobchodu a e‑commerce: protože princip je stejný. Personalizace mění chování. V e‑shopu vede k nákupu. Na univerzitě vede k tomu, že člověk klikne na „Nahlásit podezření“ místo „rychle to vyřešit sám“.

Chcete zlepšit bezpečnost bez navyšování stresu a odporu? Začněte jednou věcí ještě před koncem roku: udělejte z hlášení incidentu normu, ne událost. A pak teprve přidávejte technická opatření.

Jaká část vaší bezpečnostní osvěty dnes nejvíc připomíná „odklikávací školení“ – a co by se stalo, kdybyste ji přepsali do tříminutových scénářů pro konkrétní role?