Kyberprostor se v posledních letech stal plnohodnotným bojištěm. Vedle online komunikace, sledování filmů či fungování firem v něm probíhají i systematické útoky, které míří na důvěru, chod institucí i citlivá data. Kybernetické útoky tak zapadají do rámce hybridních hrozeb, kterými státy i zájmové skupiny ovlivňují chod společnosti.
Nejčastější hrozbou je ochromení institucí a společností
Podle kvartálních zpráv Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) došlo v Česku během roku 2025 k 203 kybernetickým incidentům. „Z těchto incidentů ohrožujících důvěrnost, integritu nebo dostupnost dat NÚKIB klasifikoval 12 jako významných a dva jako velmi významný incident. Mimo to bylo evidováno i 73 kybernetických událostí,“ vysvětluje analytička Alexandra Cholevová z Evropy v datech.
NÚKIB současně identifikuje několik kategorií nahlášených incidentů. V průběhu let lze vidět největší nárůst u kategorie Dostupnost, kdy se v terminologii NÚKIB jedná nejčastěji o incidenty, jejichž cílem je narušit nebo zcela vyřadit fungování napadených služeb a systémů. Typicky jde o útoky typu DoS či DDoS, při nichž útočníci zahlcují servery takovým množstvím požadavků, že přestanou být dostupné pro běžné uživatele. Nicméně narušení dostupnosti může být způsobeno i sabotáží nebo také běžnými technickými výpadky. Tyto incidenty mají často okamžitý a viditelný dopad, mohou ochromit provoz institucí, firem nebo veřejných služeb, a právě proto patří dlouhodobě mezi nejčastější typy kybernetických incidentů evidovaných v českém prostředí – jen v roce 2024 představovaly 62 % všech registrovaných incidentů.
To potvrzuje i Jakub Ludvík, ředitel korporátní bezpečnosti v T-Mobile. „Nejčastějšími útoky jsou stále dlouhodobě Phishing a DDoS.“ DDoS útoky jsou navíc často využívány jako forma hybridních hrozeb spojených s mezinárodní bezpečnostní situací, jak upozorňuje: „Není proto náhodou, že nárůst DDoS útoků pozorujeme velice často před volbami a jinými důležitými událostmi spojenými s fungováním státu a jeho institucí,“ dodává Ludvík.
Hackeři nezahálí ani na sítích jako je LinkedIn
V posledních letech pozorují operátoři určitý odklon od čistě technických útoků. „Jde například o zneužití zranitelností směrem k cíleným útokům provázaných se sociálním inženýrstvím. Například CEO phishing případně oslovování některých klíčových zaměstnanců na profesních sociálních sítích je poměrně častý scénář,“ popisuje Jakub Ludvík. Cílem těchto často velice propracovaných aktivit není nic jiného, než získat údaje pro následné provedení vlastního útoku. Z pohledu motivace útočníka je, i přes určité změny spojené s mezinárodní situací, stále nejčastější finanční aspekt.
Státem podporovaní aktéři: tichá a dlouhodobá přítomnost
Podle NÚKIB lze obecně říci, že nejzávažnější kybernetické hrozby mají zahraniční původ, zejména v souvislosti s aktivitami státem podporovaných aktérů nebo pokročilých kyberkriminálních skupin. „Státem podporovaní aktéři, často označovaní jako APT (Advanced Persistent Threat), jsou vysoce organizované skupiny s dostatkem zdrojů i technického zázemí. Jejich cílem bývá dlouhodobý, nenápadný průnik do sítí obětí, sběr citlivých informací, krádež duševního vlastnictví nebo příprava na případné disruptivní či destruktivní operace. Motivace je často geopolitická,“ vysvětluje Lenka Soukupová z Oddělení komunikace NÚKIB.
Příkladem širší kampaně je aktivita podskupiny ruského aktéra Seashell Blizzard (taktéž známého jako Sandworm, APT44). Ta cílila na energetické společnosti na Ukrajině a v souvisejících kampaních mezi červencem 2024 a únorem 2025 také na dodavatele v České republice. Útočníci se vydávali za zákazníky a naváděli oběti ke stažení kompromitovaných PDF dokumentů.
Typickým cílem těchto skupin jsou v České republice vládní instituce a další subjekty se strategickým významem jako například ministerstva nebo bezpečnostní složky státu. Dopady jejich aktivit se nemusejí projevit okamžitým výpadkem.
Veronika Víchová: „Hybridní útoky zastavují nemocnice a snižují důvěru občanů ve stát“
Některé útoky jsou ale zřejmé hned v momentě, kdy probíhají, jak vysvětluje Veronika Víchová z Centra pro informovanou společnost: „Když jsou státní instituce v kybernetickém prostoru pod útokem, často to poznáme velmi jednoduše. Např. přestane fungovat webová stránka konkrétního úřadu, nefunguje systém pro podávání žádostí, objednávání nebo vypadávají jiné služby. V některých případech z minulosti, kdy byly pod útokem české nemocnice, jsme zažili třeba odkládání důležitých operací a zákroků,“ vysvětluje analytička. Dlouhodobější psychologický dopad pak můžeme podle Víchové sledovat třeba na celkové důvěře občanů ve stát: „I pokud se jedná veskrze o technický incident, může to způsobit v lidech pocit, že nic nefunguje a ‚nikdo to tu nemá pod kontrolou.‘ Je třeba říci, že kybernetické útoky jsou mnohdy doprovázeny i vytvářením informačního šumu, svalováním viny a dalšími manipulativními tlaky v informačním prostoru. A to se přesně hybridním útočníkům velmi hodí, nejen útočit na fyzickou nebo kybernetickou infrastrukturu, ale také nahlodávat důvěru a rozdmýchávat frustraci,“ doplňuje Veronika Víchová.
Situaci v tomto ohledu Víchová dlouhodobě hodnotí jako vážnou: „Cílem ruských aktivit je oslabovat důvěru ve stát, podporovat rozdělení společnosti a využívat k tomu různé platformy a nástroje, od propagandy až po kybernetické útoky. Nejde jen o počet různých incidentů, ale hlavně o to, že tlak je dlouhodobý a přichází v různých doménách (např. právě kyberbezpečnost, manipulace s informacemi, ekonomický nátlak nebo sabotáže).“
Ransomware: byznys model kyberzločinu
Vedle státem podporovaných aktérů představují významnou hrozbu ransomwarové skupiny. Na rozdíl od APT skupin ale nelze ransomware jednoznačně přiřadit ke konkrétním státům. Často funguje model „Ransomware-as-a-Service“ (RaaS), kdy vývojáři škodlivého kódu poskytují nástroj dalším skupinám. Jeden aktér může provést průnik, jiný dodat nástroje a třetí řešit samotné vydírání.
Specifickým sektorem jsou z pohledu kyberútoků banky, pro které jsou investice do bezpečnosti zásadní. „Ransomware a DDOS jako jedny z rizik v oblasti kybernetické bezpečnosti jsou součástí strategie digitální provozní odolnosti a banky vynakládají nemalé prostředky na ochranu před touto a dalšími hrozbami. Investice odpovídají faktu, že reputace banky se buduje po celou dobu její existence. V dnešní digitální a až „instantní“ době si nemůžeme dovolit mít svoje služby nepřístupné pro klienty,“ popisuje Pavel Wasserbauer z oddělení řízení informačních rizik ČSOB.
„Primární motivací ransomwarových skupin je finanční zisk, “ říká Lenka Soukupová z NÚKIB a dodává: „U ransomwarových útoků vidíme dlouhodobě poměrně stabilní trend: útočníci si vybírají především ty sektory, kde mohou způsobit rychlý a viditelný provozní dopad – například zdravotnictví, sociální služby, dopravu, veřejný sektor, vzdělávání nebo fintech, a tím zvýšit šanci, že oběť zaplatí výkupné.“
Platba výkupného přitom nezaručuje obnovu dat a zároveň podporuje další trestnou činnost. I proto se Česká republika připojila k iniciativě Counter Ransomware Initiative, která se zavazuje výkupné neplatit.
Kyberbezpečnost firmy stojí i na zaměstnancích
Bezpečnost nikdy není izolovaná oblast, ale vždy se nějak dotýká téměř všech aspektů fungování firmy. Dříve než začne firma investovat peníze do bezpečnosti, je důležité vědět, co a proč chrání a jaké jsou klíčové prostředky, které zajišťují fungování firmy. Následně musí firma chápat, co se těmto klíčovým aktivům může stát. „Teprve na základě těchto znalostí je možné chránit klíčové zdroje firmy proti reálným rizikům. Pokud tuto znalost firmy nemají, pak bude jakákoliv investice nahodilá a neefektivní. Zjednodušeně to lze přirovnat k procesu, kdy si doma vybíráte, co, proti čemu a na jakou částku si v domácnosti pojistíte,“ upozorňuje Jakub Ludvík z T-Mobile.
Mimo to je nutné věnovat se i prevenci a vzdělávání zaměstnanců, včetně managementu „Nejefektivnější útoky totiž probíhají přes klíčové zaměstnance firmy. Proto je třeba zaměstnance nejen trvale vzdělávat, ale následně i testovat, jak jsou schopni na obvyklé hrozby reagovat,“ říká Jakub Ludvík.
Pokud se jedná o kybernetické útoky v bankovním sektoru, rozhodně nelze problém omezovat pouze na IT oddělení, jak vysvětluje Pavel Wasserbauer z ČSOB: „Celá problematika se průběžně řeší na jednotlivých úrovních managementu banky. Vedeme kampaně na zvýšení povědomí o hrozbách, a to jak pro zaměstnance, tak i pro naše klienty. Celá bankovní skupina má jednotnou strategii, jak postupovat v oblasti obrany proti kybernetickým hrozbám a průběžně reportujeme její plnění.“
Soudržná společnost jako obrana proti dezinformacím
Kyberprostor zůstává proměnlivým bojištěm, a proto obrana vyžaduje dlouhodobý a systematický přístup. I z tohoto důvodu přijala Evropská unie směrnici NIS2, která rozšiřuje okruh povinných subjektů, zpřísňuje bezpečnostní standardy a posiluje spolupráci mezi státy s cílem zvýšit odolnost evropské infrastruktury.
Klíčová je ale i spolupráce mezi státem a soukromými firmami zajišťující kritickou infrastrukturu. „Jako poskytovatel kritické infrastruktury samozřejmě trvale spolupracujeme s bezpečnostními složkami státu, což nám nakonec ukládá i legislativa. Nicméně v některých oblastech – typicky například pokud jde sdílení zkušeností nebo spolupráci na tvorbě preventivních programů jde tato spolupráce často nad rámec legislativních povinností,“ upřesňuje Jakub Ludvík z T-Mobile.
Co však může pro zlepšení odolnosti normální jedinec? „Odolnost si každý z nás může budovat v různých oblastech. Jedna věc je základní digitální a kybernetická hygiena, kde i malé kroky mohou znamenat velký dopad, třeba používání dvoufaktorového ověřování při přihlašování do aplikací. Stejně důležitá je ale informační a vlastně i emoční odolnost, protože právě schopnost odolávat velkým emocím je kritická při ověřování zdrojů,“ radí Veronika Víchová.