Během posledních dvou let zaznamenaly evropské firmy výrazný nárůst falešných uchazečů o práci v IT. Tito lidé, často z Asie, se vydávají za vývojáře z Evropy, využívají technologie deep fake a pokoušejí se proniknout do interních systémů bank či pojišťoven. Podle odborníků může jít o nový typ digitální infiltrace, který kombinuje kyberzločin a zpravodajské riziko.
Za poslední dva roky jsem vedl stovky pohovorů s IT specialisty. Z pozice zakladatele IT agentury SiVe, která propojuje firmy s vývojáři, jsem zvyklý na různorodé profily i přístupy. Ale fenomén, který se objevil v posledních měsících, mě překvapil víc než jakákoli technická neznalost. Stále častěji potkávám kandidáty, kteří nejsou tím, kým tvrdí, že jsou, a někdy ani tím, kde tvrdí, že jsou.
Na první pohled vše vypadá standardně. Dokonalý životopis, kvalitně vyplněný profil na LinkedInu, profesionální komunikace. Až během pohovorů se objeví první nesrovnalosti. Kamera „nefunguje“, mikrofon se opožďuje, odpovědi působí nacvičeně.
Mé zkušenosti z náborové praxe ukazují, že podobné falešné profily lze někdy odhalit jednoduchým způsobem, a sice osobní otázkou mimo rámec technického testu. Kandidát, který pracuje s „nápovědou“, reaguje plynule na odborné dotazy, ale jakmile dojde na téma osobní motivace, týmové spolupráce nebo konkrétní zkušenosti z minulých projektů, ztrácí jistotu a odpovědi působí naučeně. Právě tento moment bývá nejčastějším okamžikem, kdy se hovor náhle ukončí.
V pozadí slyším i další hlasy, desítky lidí, kteří vedou pohovory současně. Když se zeptám, jestli kandidát náhodou nesedí v kanceláři, hovor se většinou okamžitě přeruší. V devíti z deseti případů, kdy jsem na to upozornil, se kandidát okamžitě odpojil. Později se ukázalo, že část těchto lidí volala z Asie, tedy z míst, kde fungují celé kanceláře specializované na „interview outsourcing“.
Není to náhoda. A už vůbec ne ojedinělý jev.
Jak to funguje v praxi
V mnoha zemích, především v Indii a Pákistánu, vznikly takzvané „interview farms“. Jsou to prostory, kde desítky lidí současně vedou online pohovory pro klienty po celém světě.
Za 200 až 500 dolarů si kandidát může zaplatit asistenta, který mu napovídá odpovědi, sdílí obrazovku nebo dokonce vede celý pohovor místo něj. Často se zapojují tři až čtyři lidé: jeden mluví, druhý poslouchá otázky a hledá odpovědi přes ChatGPT, třetí se stará o testy. Kandidát se stává jen tváří na obrazovce, nikoli tím, kdo skutečně pracuje.
Podle dat společností CyberArk a Deloitte vzrostl počet takzvaných remote interview frauds od roku 2020 o více než 300 procent. FBI varuje, že jen v roce 2023 zaznamenala přes tisíc pokusů o podvodné pohovory, včetně případů využití deep fake videí a hlasových syntéz. Podobné nabídky se objevují na Telegramu, Redditu i na běžných pracovních portálech. Z pohledu bezpečnosti to znamená jediné: kdokoli, kdo má kameru a správný skript, může předstírat, že je evropský seniorní vývojář.
Riziko pro celý IT systém
Když takový kandidát projde výběrovým řízením, dostane přístup do interních systémů. A nemusí jít nutně o selhání HR, ale i manažerů a technických lidí, kteří kandidáty pohovorují. Je to novodobá kybernetická hrozba.
Lidé, kteří se dokážou dostat k infrastruktuře banky, pojišťovny nebo technologické platformy, mohou získat přístup k datům, API klíčům, interním repo či kódovým základnám.V jednom konkrétním případě, který jsme řešili, se falešný kandidát pokusil dostat na projekt v bance, která spravuje osobní údaje milionů klientů. Kdyby prošel, měl by přístup k datům, která mají i strategickou hodnotu pro stát.
Podle průzkumu IBM Cost of Data Breach Report 2024 tvoří lidský faktor 74 procent všech bezpečnostních incidentů. A zatímco firmy investují miliony do firewallů, antivirů a monitorovacích systémů, reálné riziko často přichází z druhé strany kamery.
Evropa zaspala dobu
Zatímco USA a Asie už implementují přísné rámce pro ověřování identity kontraktorů (například CMMC a FedRAMP), Evropa stále spoléhá na důvěru a podpis ve Wordu. Banky ověřují klienty pomocí biometrie, ale své vývojáře ověřují přes Teams. Většina firem vůbec nesleduje IP adresy, geografická připojení ani metadata videohovorů.
Podle Národního úřadu pro kybernetickou a informační bezpečnost byl rok 2024 v Česku rekordní. Bylo nahlášených 268 kybernetických incidentů, což představuje meziroční nárůst o 17 procent (NÚKIB měří jen pod něj spadající regulovanou oblast). Počet útoků na české firmy dosáhl 1 699 případů s celkovou škodou přes 632 milionů korun. Zvlášť dramatický je vývoj v bankovnictví. Podle společnosti Semantic Visions vzrostl počet útoků na české banky pětinásobně během jediného roku.
Na úrovni Evropské unie je situace obdobná. Podle zprávy European Union Agency for Cybersecurity (ENISA) za rok 2024 se počet hlášených incidentů oproti předchozímu roku zdvojnásobil a více než 40 procent z nich mělo přímou vazbu na státní nebo geopolitické aktéry. Evropské prostředí je tedy stále častějším cílem hybridních útoků: kombinace ekonomického, politického a technologického tlaku. To znamená, že kybernetické útoky přestaly být otázkou zisku, ale staly se nástrojem i politického tlaku.
Nová forma digitální infiltrace
Zpravodajské služby v celé Evropě dlouhodobě upozorňují, že kyberprostor je novým prostorem mocenského soupeření. Přístup k infrastruktuře evropských firem je zbraň levná, efektivní a těžko odhalitelná. Když se někdo dostane do zdrojového kódu banky, nepotřebuje armádu. A právě falešní kandidáti mohou být tím nejslabším článkem obranného řetězce.
Falešní kandidáti jsou ale jen špička ledovce. V době, kdy se firmy digitalizují a outsourcují, vzniká nový typ infiltrace „soft entry“. Nejde o klasické hacknutí systému, ale o tichý vstup přes falešnou identitu. Není potřeba prolomit firewall, stačí přesvědčit personalistu nebo manažera. Evropské firmy navíc často pracují se subdodavateli, kteří zase využívají své subdodavatele.
V praxi to znamená, že na projektu v bankovním sektoru může pracovat někdo, koho nikdy nikdo osobně neviděl. Pokud takový člověk exportuje data, zkopíruje přístupové tokeny nebo instaluje neautorizované knihovny, není cesty zpět. Vítejte v bezpečnostní realitě roku 2025.
Co se musí změnit
Podle Evropské komise dosahují roční škody způsobené kybernetickými útoky v Evropské unii přes 180 miliard eur, tedy víc než roční HDP Česka. Každý falešný přístup, každé narušení důvěry, se tak může stát ekonomickou i reputační katastrofou.
Pokud Evropa nechce čelit digitální verzi infiltrace, musí změnit přístup. Je potřeba vytvořit standardizovaný systém ověřování pracovníků, něco jako digitální pracovní identitu (EU Work ID), propojenou s biometrickým ověřením a kryptografickou autentizací. Každý, kdo má přístup k citlivým systémům, by měl projít víceúrovňovou verifikací.
Firmy by měly začít využívat technologická řešení, která sledují metadata připojení (IP, ping, geolokaci), a aktivně vyhodnocovat, jestli kandidát skutečně pracuje z deklarované lokace.
Z hlediska legislativy by měla být tato praxe součástí rámce NIS2, který od října 2024 vstupuje v platnost a nově definuje povinnosti v oblasti kybernetické bezpečnosti pro tisíce firem v Česku.
Evropská komise také připravuje Cyber Resilience Act, který rozšiřuje odpovědnost výrobců softwaru za bezpečnost jejich produktů, ale podobný přístup by měl platit i pro „lidský software“: vývojáře, konzultanty a kontraktory.
Byrokracie jako Achillova pata Evropy
Zároveň je nutné si přiznat, že důvod, proč se podobní podvodníci dostávají do evropských projektů, není jen v jejich šikovnosti. Je to i kvůli naší neefektivitě. Evropské firmy čelí obrovské byrokratické zátěži. Založení firmy, získání povolení či podpis smlouvy trvá týdny. Podle Světové banky je Česko v žebříčku Ease of Doing Business až kolem čtyřicátého místa, hluboko za Estonskem, Polskem nebo Litvou. A zatímco my bojujeme s razítky, asijský trh běží sprint.
Není divu, že i velké korporace hledají zkratky. Rychlejší nábor, levnější vývoj, méně papírování. Ale právě tohle zrychlení často otevírá dveře těm, kteří se umí do systému vetřít.
Bezpečnostní experti se shodují, že největším rizikem není umělá inteligence, ale lidská lehkomyslnost. Stejně jako kdysi e-maily plné phishingu využívaly lidskou zvědavost, dnešní „fake kandidáti“ využívají naši důvěru. A dokud se Evropa nenaučí ověřovat, komu tu důvěru dává, zůstane zranitelná.
Vzdálená práce měla přinést svobodu. Ale pokud nezměníme způsob, jak ověřujeme, kdo za obrazovkou skutečně sedí, může se stát, že místo efektivity získáme otevřená zadní vrátka. A v době, kdy data znamenají moc, to opravdu není jen detail. Je to naše strategická slabina.
Evropa potřebuje nový model
Pokud má Evropa zabránit tomu, aby se z fenoménu falešných kandidátů stal standardní prvek digitálního podsvětí, nestačí jednotlivé kroky. Je třeba změnit samotný rámec, v němž se dnes práce, nábor i důvěra pohybují. Nejde jen o otázku HR procesů, ale o nový model digitální bezpečnosti.
Digitální identita jako podmínka přístupu k práci: V době, kdy už banky, pojišťovny i státní správa využívají biometrické ověření klientů, je paradoxní, že u lidí, kteří získávají přístup k interním systémům, podobná pravidla neplatí. Evropská komise by měla urychlit zavedení jednotného nástroje (EU Work ID), tedy digitální pracovní identity, která by byla vázána na občanskou identitu v systému eIDAS 2.0. Tento systém by mohl fungovat na principu decentralizované autentizace (takzvané verifiable credentials), uchazeč by jednou ověřil svou identitu vůči státu a následně by ji mohl kryptograficky potvrzovat při nástupu do práce kdekoliv v EU. Tím by odpadla potřeba individuálních kontrol a zároveň by se omezil prostor pro podvody.
Povinné ověřování a audit dodavatelských řetězců: Firmy, které pracují s citlivými daty, především v oblasti financí, zdravotnictví, energetiky nebo veřejných služeb, by měly mít zákonnou povinnost ověřovat identitu všech osob, které se dostávají k infrastruktuře. Nejen interních zaměstnanců, ale i subdodavatelů, kontraktorů a jejich subdodavatelů. Podle rámce NIS2 a připravovaného Cyber Resilience Actu lze tento princip integrovat přímo do požadavků na dodavatelské audity a compliance. Ověřování by přitom nemuselo být invazivní, postačila by kombinace digitálního podpisu, biometrie a kontroly geografického připojení.
Sdílené registry důvěryhodnosti: Podobně jako existují blacklisty v bankovnictví, měla by vzniknout evropská databáze subjektů, u nichž došlo k prokázaným pokusům o podvodné pohovory či zneužití identity. Nejde o nástroj šikany, ale o systém prevence. V praxi by mohl fungovat jako centrální bezpečnostní registr pod správou ENISA, který by umožnil firmám ověřit, zda se kandidát nebo agentura v minulosti nedopustili bezpečnostního incidentu. Stejný princip už úspěšně funguje v USA pod hlavičkou CISA.
Změna firemní kultury: Technologie sama o sobě nestačí. Evropské firmy musí přestat vnímat nábor jako čistě administrativní proces. Je třeba posílit roli interních bezpečnostních specialistů i při výběrových řízeních, především u pozic s přístupem do systémů, kódů a dat. Standardem by se mělo stát takzvané „security onboarding review“, tedy krátká kontrola nového zaměstnance či kontraktora po nástupu, včetně verifikace identity, zařízení a síťové stopy. Rovněž by měly firmy investovat do vzdělávání personalistů. Zkušený recruiter často rozpozná nekonzistenci, kterou umělá inteligence přehlédne. Zpětná vazba z praxe ukazuje, že falešné profily lze odhalit i psychologicky právě díky neočekávaným otázkám, změně rytmu rozhovoru či požadavku na sdílení pracovní plochy v reálném čase.
Evropská byrokracie potřebuje zrychlit: Současná administrativní náročnost evropského trhu paradoxně nahrává těm, kteří systém obcházejí. Založit firmu, uzavřít kontrakt nebo podepsat NDA často trvá týdny. Podle OECD patří Česko mezi státy s největší byrokratickou zátěží v oblasti B2B kontraktů. Pokud Evropa chce udržet technologický talent doma a přitáhnout zahraniční, musí digitalizovat a zrychlit vlastní procesy. Jinak se z byrokracie stane Achillova pata evropské bezpečnosti, čím pomalejší bude legální cesta, tím atraktivnější bude ta nelegální.
Nový rámec digitální důvěry: Důvěra se v digitálním světě musí stát ověřitelnou hodnotou. Podobně jako vznikl systém „ověřených účtů“ na sociálních sítích, měl by existovat evropský rámec pro ověřené digitální pracovní identity. „Know your employee“ (KYE) se musí stát obdobou principu „know your customer“, který už roky platí v bankovnictví. Bez této úrovně ověřování se budou incidenty opakovat a pokaždé s větším dopadem.
Evropa na rozcestí
Starý kontinent se nachází v bodě, kdy rozhoduje o budoucnosti své digitální suverenity. Buď přijme systémová opatření, která propojí bezpečnost, efektivitu a důvěru, nebo se stane nejzranitelnějším regionem technologického světa – bohatým na data, ale chudým na kontrolu.
Bezpečnost už dnes není jen otázkou kyberútoků, ale i toho, kdo sedí na druhé straně obrazovky. A dokud Evropa nezačne ověřovat identitu těch, kteří do jejích systémů vstupují, zůstane otevřená nejen hackerům, ale i těm, kteří přicházejí s úsměvem a falešným životopisem.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU