Kybernetická bezpečnost

Kyberbezpečnost s Kristýnou: Největší lekce z kybernetických incidentů roku 2025

Rok 2025 ukázal, že kyberbezpečnost už není hlavně o tom, jestli má firma „dobře zabezpečený server“. Digitální prostředí dnes funguje jako propojená síť identit, cloudových služeb, integrací, dodavatelů, zařízení a datových toků. Útočník proto často nemusí prorazit hlavní obranu organizace – stačí ji obejít přes důvěryhodnou integraci, kompromitovanou identitu nebo slabé místo v dodavatelském řetězci. Tento posun zároveň urychlil proměnu kyberbezpečnosti z IT tématu na strategickou disciplínu řízení rizik.

Níže shrnuji hlavní typy incidentů z roku 2025 a lekce, které z nich vyplývají.

Lekce 1: Dostupnost je bezpečnost

Léto 2025 znovu ukázalo, jak křehký je provoz ve zdravotnictví. Například po kyberútoku na Nemocnici Nymburk muselo zařízení přejít do nouzového režimu, řešit omezení provozu a možné dopady na jejich data.

Zdravotnictví je dlouhodobě „vysněný“ cíl útočníků, protože se tu kumuluje několik faktorů najednou:

Péče musí fungovat i během incidentu, protože ve zdravotnictví zpravidla není reálný prostor „vypnout systémy a opravovat“. Zároveň jde o prostředí s extrémně různorodými technologiemi, kde se potkávají starší systémy, zdravotnické přístroje, specializované aplikace od dodavatelů a velmi často také napojení na externí systémy.
Situaci dále komplikuje složitá hranice mezi IT a OT. Vedle klasické IT infrastruktury, jako jsou počítače, servery a sítě, zde stojí OT technologie přímo navázané na fyzický provoz, v nemocnicích zejména zdravotnické přístroje a integrační vrstvy, které je propojují s nemocničními systémy.

V takovém prostředí bývá největší škodou často samotný výpadek služby, protože ve zdravotnictví nejde jen o „IT problém“, ale o přímý dopad na poskytování péče. Kyberútoky na nemocnice mohou zpozdit zákroky, omezit nebo zablokovat urgentní příjmy a v krajních případech přispět i ke ztrátám na životech. Právě to vystihuje, proč je dostupnost v tomto sektoru skutečně kritická.

Co z toho plyne?

Priorita řízení rizik je jiná než v běžném IT: V nemocnici je „nejhorší scénář“ typicky výpadek péče, nikoli primárně únik dat. To znamená, že bezpečnostní program musí být postavený tak, aby udržel provoz nebo jej rychle obnovil i za cenu dočasných omezení komfortu či některých funkcí.
Zálohy samy o sobě nic negarantují: Rozhodující je ověřená obnovitelnost: pravidelně testované scénáře obnovy, měřený čas obnovy a schopnost obnovit kritické služby v pořadí podle dopadu na péči. Bez testů je „máme zálohy“ pouze předpoklad, ne kontrola.
RTO/RPO se musí stát řídicím parametrem, ne technickou poznámkou: RTO/RPO mají být závazné cíle pro klíčové služby (např. urgentní příjem, LIS/RIS/PACS, laboratorní přístroje, integrační platforma, identita), a podle nich se má navrhovat architektura, kapacity i smlouvy s dodavateli. Jinak se při incidentu ukáže, že očekávání a realita jsou jinde.
„Minimalizace rozsahu škody“ je hlavní architektonický princip: Segmentace, oddělení zón (IT/OT), omezení laterálního pohybu, řízení privilegovaných účtů a kontrola integrací znamenají, že incident typicky neodstaví vše najednou. Prakticky: i když něco spadne, nemocnice musí umět fungovat v degradovaném režimu.
Krizové režimy musí být navržené a nacvičené předem: Nejde o dokument v šuplíku, ale o schopnost přepnout do „krizového provozu“: kdo rozhoduje, co se vypíná jako první, jak se izolují segmenty, jak se komunikuje klinikům, jak se zajišťuje bezpečný návrat do standardu. Nácvik obnovy je v tomto sektoru ekvivalent požárních cvičení.
„Papírový režim“ je pouze poslední možnost: Papír může krátkodobě pomoct přežít, ale neškáluje a rychle generuje klinická rizika (chyby v medikaci, zpoždění, nekompletní dokumentace). Z toho plyne, že investice mají jít primárně do rychlé a ověřené obnovy a do architektury, která zabrání plošnému výpadku.
Dodavatelé a integrace jsou součást kontinuity, ne externí detail: Kontinuita provozu stojí na tom, jak jsou systémy propojené (Enterprise Service Bus, API, identity). Pokud je integrační vrstva kompromitována nebo spadne, zastaví to „celou nemocnici“. Z toho plyne potřeba technických kontrol u integrací a jasných obnovovacích postupů i ve smluvních SLA.

Lekce 2: Zranitelnosti nejsou jen problém „IT týmu“. Jejich řešení je závod s časem a součást systematického řízení rizik.

Rok 2025 znovu ukázal stejný vzorec: Od chvíle, kdy se objeví kritická zranitelnost, do okamžiku, kdy ji útočníci začnou aktivně zneužívat, často uplyne jen velmi krátká doba. Zvlášť u technologií, které jsou rozšířené napříč firmami (typicky „enterprise“ platformy), protože útočníkovi stačí jen jeden funkční postup a může zasáhnout velké množství organizací.

Tohle se v praxi projevilo například u Microsoft SharePoint (on-premises). Microsoft i veřejné autority upozorňovaly na aktivní útoky a nutnost aplikovat záplaty okamžitě. 

A stejný motiv se promítl i do české reality na poli incidentů. NÚKIB ve shrnutí za červenec 2025 uvádí nejen vysoký počet incidentů (23), ale také to, že evidoval incidenty spojené se zranitelnostmi v produktu SharePoint.

Proč jde o „řízení rizik“, a ne jen o „patchování“

Zranitelnosti se v softwaru objevují běžně; klíčové je, jak rychle je organizace detekuje, vyhodnotí a omezí expozici:

některé systémy jsou přímo dostupné z internetu nebo pracují s vysoce citlivými daty,
u klíčových platforem bývá patchování složité (testování, kompatibilita, plánované odstávky),
útočníci s tím počítají a cíleně využívají okno mezi zveřejněním zranitelnosti a nasazením opravy.

Mezinárodní paralela je velmi výmluvná. Google popsal a analyzoval rozsáhlou kampaň cílící na Oracle E-Business Suite, kde útočníci kradli data a rozesílali vyděračské výzvy. Reuters uvedl, že podle odhadu může jít o více než 100 zasažených společností.

Co z toho plyne (prakticky)

Řídit zranitelnosti přes SLA podle rizika, ne jako backlog.
Nastavte závazné časy („do kdy musí být riziko sníženo“) podle kritičnosti a toho, jestli je systém vystavený.
Bez aktuálního inventáře nejde dělat patch management. Musíme vědět, co máme, kde to běží, kdo je vlastníkem a co je vystavené do internetu.

Používejte i „externí pohled“ na expozice (attack surface či exposure management) pro ověření reality zvenku.

Lekce 3: Dodavatelský řetězec se proměnil v integrační ekosystém – a často bývá děravější, než si přiznáváme

Dřív se „dodavatelské riziko“ často chápalo jako jednorázové posouzení dodavatele. Rok 2025 ale opakovaně ukázal, že klíčové riziko je v technickém propojení – tedy v tom, jaké privilegované cesty (integrace) mají dodavatelé a SaaS aplikace do vašich prostředí.

V praxi je mechanismus jednoduchý:

Integrace (napojení mezi systémy) je „digitální most“ pro data a akce.
OAuth tokeny / refresh tokeny / API klíče jsou přístupové artefakty, které tento most otevírají (delegovaný přístup aplikace do prostředí).
Pokud útočník získá tento přístup, často už nemusí „prolomit“ hlavní platformu – využije legitimní integrační kanál s přidělenými oprávněními.

Tento model byl vidět napříč incidenty kolem ekosystému Salesforce. GTIG popsal „widespread“ kampaň (UNC6395), kde aktér zneužíval kompromitované OAuth tokeny spojené s integrací třetí strany (Salesloft Drift) k přístupu do zákaznických Salesforce instancí.
FBI/IC3 ve své CSA tento mechanismus výslovně zmiňuje a popisuje jej jako součást širší data-theft kampaně, včetně využití sociálního inženýrství (vishing) k dosažení přístupu a exfiltrace dat.

Integrace nejsou „doplněk“, jsou to privilegované přístupy.
Mnoho integrací běží s oprávněními, která jsou dopadově srovnatelná s administrátorem (čtení velkých objemů dat, exporty, změny záznamů, spouštění automatizací). Útočníci proto stále častěji necílí na „hlavní platformu“, ale na připojené aplikace s delegovaným a často dlouhodobým přístupem.

Co z toho plyne?

Integrace je nutné řídit se stejnou mírou disciplíny jako jakoukoli jinou kritickou součást infrastruktury, protože představují technické „mosty“ pro data i akce napříč systémy. Základním předpokladem je ucelený inventář integrací, který pokrývá všechny připojené aplikace a služby, jejich vlastníky a odpovědnosti, popis datových toků, rozsah udělených oprávnění, provozní kritičnost a také praktickou schopnost integraci rychle a kontrolovaně odpojit bez chaosu v provozu.
Na tento přehled navazuje princip least privilege. Integrace mají dostávat pouze taková oprávnění, která jsou nezbytná pro konkrétní účel, a tento účel má být jednoznačně vymezen. V praxi je žádoucí oddělovat integrace podle funkcí a nepřipouštět „multifunkční“ napojení, protože kompromitace jedné integrace pak vede k neúměrně širokému dopadu a usnadňuje laterální pohyb útočníka.
Stejně důležité je řízení životního cyklu tokenů a klíčů. To znamená pravidelnou rotaci, možnost okamžité revokace, zkracování doby platnosti tam, kde to dává smysl, a především jednoznačný postup pro situaci, kdy je potřeba „hned vypnout“ přístup, protože existuje podezření na kompromitaci.
Do toho patří i SSPM, tedy průběžná hygiena SaaS konfigurací a integrací. Cílem je průběžně odhalovat nebezpečné nastavení, přebujelá oprávnění, zastaralé nebo opuštěné integrace a drift konfigurace, který se v SaaS prostředí děje přirozeně a bez pravidelné kontroly.
A konečně, u citlivých integrací musí existovat „kill switch“ a nacvičený playbook. Tedy konkrétní postup, jak integraci vypnout, jak zablokovat nebo znovu vydat tokeny, jak rychle rotovat klíče, kdo za co odpovídá a jak probíhá komunikace směrem do IT, organizace, i k dodavateli. Doporučení rychlé revokace a znovuvydání tokenů je konzistentní napříč veřejnými autoritami a odpovídá i osvědčeným bezpečnostním postupům kolem OAuth.

Lekce 4: Identita je nový perimeter – a helpdesk/call centrum je první obranná linie

Identita v praxi funguje jako digitální klíč: uživatelský účet (typicky e-mail a identity v prostředích jako Microsoft Entra/O365, Google Workspace, VPN nebo podnikové SaaS aplikace), přihlašovací údaje a způsob ověření (například vícefaktorové ověření). Pokud útočník tento „klíč“ získá nebo jej vyláká, často už nemusí technicky překonávat perimetr nebo „hackovat síť“ v tradičním smyslu. Místo toho se jednoduše přihlásí jako legitimní uživatel a jeho aktivita se z pohledu systémů jeví jako standardní provoz.

Proč to v roce 2025 tak výrazně vystoupilo do popředí?

Sociální inženýrství (manipulace lidí a procesů) je stále častější vstupní brána. Jedním z hlavních důvodů je dlouhodobě potvrzovaný trend, že velká část incidentů začíná kompromitací přístupů a sociálním inženýrstvím. Analytiky typu Verizon DBIR opakovaně ukazují, že kradené přihlašovací údaje a manipulace lidí a procesů patří mezi nejčastější mechanismy prvotního průniku a v některých vzorcích útoků se „credentials“ objevují jako dominantní kompromitovaný typ dat.

Z praktického hlediska navíc roste význam helpdesku jako cíle, protože helpdesk umí „resetovat realitu“ uživatele: obnovovat přístupy, řešit ztracené autentizační prostředky a provádět citlivé změny, které útočníkovi otevřou dveře bez potřeby technické exploatace. Útočníci toho využívají prostřednictvím vishingu: vydávají se za zaměstnance, pracují s naléhavostí a tlakem, často mají dopředu zjištěné osobní údaje, a snaží se přimět operátora k provedení změny, která obejde ochranné mechanismy. Typický scénář je popsaný i v oficiálním alertu amerického ministerstva zdravotnictví HC3 (HHS). Začíná tvrzením o „rozbitém telefonu“ a nemožnosti přijmout MFA, načež útočník přesvědčí podporu k registraci nového zařízení pro ověření a získá přístup k firemním zdrojům.

Stejnou třídu hrozeb (impersonace uživatelů směrem k helpdesku) reflektují i doporučení z prostředí threat intelligence. Google ve svých hardening doporučeních pro aktéry typu UNC3944 upozorňuje, že útočníci často disponují osobními údaji a že procesy identity proofingu mají být navržené tak, aby na tyto informace nespoléhaly. Současně doporučuje zpřísnit a řídit změny kolem obnovy přístupů a práce s MFA, zejména v obdobích zvýšené hrozby.

A konečně, tento modus operandi je konzistentní i s veřejnými varováními CISA k aktérům typu Scattered Spider, kde je explicitně uvedeno, že cílem jsou mimo jiné velké organizace a jejich (často externě zajišťované) IT helpdesky, protože právě zde lze sociálním inženýrstvím získat nebo obnovit přístup s vysokým dopadem.

Co z toho plyne?

„MFA pro všechny“ už nestačí. Cíl je phishing resistant MFA: Některé implementace vícefaktorového ověření lze v praxi „obejít“ sociálním inženýrstvím nebo zachytit v průběhu přihlašování, typicky prostřednictvím phishingu či tzv. push fatigue/push-bombingu, kdy je uživatel opakovanými výzvami přinucen potvrdit přihlášení. Proto se v roce 2026 stále výrazněji prosazují tzv. phishing-resistant metody MFA, zejména FIDO2/WebAuthn a passkeys. Tyto přístupy jsou kryptograficky navázané na konkrétní službu a doménu, takže účinně brání podvržení přihlašovací stránky a zneužití přihlašovacích údajů na falešném webu. Tento směr odpovídá doporučením bezpečnostních autorit. CISA dlouhodobě akcentuje phishing-resistant MFA jako preferovanou úroveň ochrany, NIST jej rámuje jako kryptograficky odolné autentizátory a FIDO Alliance vysvětluje, proč jsou passkeys „phishing-resistant by design“. V praxi stejné vlastnosti popisují i velcí poskytovatelé identit; například Microsoft u FIDO2/passkeys zdůrazňuje odolnost vůči podvržení služby (verifier impersonation resistance).
Helpdesk musí mít procesní anti-vishing bezpečnost: Helpdesk je dnes jednou z nejčastějších „vstupních bran“, protože útočníci se nesnaží jen prolomit technickou obranu, ale obejít ji přes člověka a proces. Z toho plyne, že reset hesla nebo MFA nesmí být čistě operátorská „ochota pomoci“, ale řízený a auditovatelný postup. Základní opatření je call-back. Operátor neřeší citlivý požadavek na příchozím hovoru, ale vždy volá zpět na číslo evidované v HR nebo identity systému. Tím se výrazně snižuje riziko, že útočník manipuluje operátora přes podvržené číslo nebo naléhavou „urgentní“ žádost.
U privilegovaných změn musí platit režim bez výjimek. Pokud jde o administrátorské účty, reset MFA nebo registraci nového zařízení, musí být proces přísnější než u standardních uživatelů. Typicky to znamená schválení nadřízeným, ověření druhým kanálem, a u vybraných rolí i osobní verifikaci. Cílem je, aby se privilegovaný přístup nedal získat pouze přes jeden kontakt s helpdeskem. Součástí je i posílení ověřování identity, tedy tzv. positive identity verification. Operátor musí mít jasně definované, opakovatelné kroky, jak prokázat, že na druhé straně je skutečně oprávněný uživatel, a ne někdo, kdo jen přesvědčivě hraje roli.
PAM není „projekt pro banky“. Je to odpověď na realitu kompromitace admin identity: PAM (Privileged Access Management) je řízení privilegovaných účtů, tedy administrátorských účtů, servisních účtů a vysoce oprávněných rolí. Smysl PAM není „udělat to hezké“, ale zabránit tomu, aby se z kompromitace běžné identity stal rychle kompromitovaný celý podnik. Jinými slovy, i když útočník získá přístup standardního uživatele, nesmí být pro něj jednoduché z toho udělat „admina všech adminů“. PAM proto zavádí kontrolované přidělování privilegí, omezuje jejich rozsah a dobu trvání a zajišťuje dohledatelnost a kontrolu nad tím, kdo, kdy a proč privilegovaný přístup použil.

Co je dnes považováno za rozumný standard:

Least privilege (nejmenší nutná oprávnění) a omezení privilegovaných účtů. 
Oddělené admin účty a silnější ochrana privilegovaných identit. Microsoft to rámuje jako zásadní, protože kompromitace privilegovaných uživatelů má téměř vždy závažný dopad.
Just-in-time a time-bound přístupy

Lekce 5: Minimalizace dat není „privacy téma“. Je to kybernetická odolnost

Rok 2025 přinesl velmi názorný příklad, proč je „kolik citlivých dat držíme“ bezpečnostní otázka, nejen legislativní (GDPR) či reputační. Aplikace Tea (bezpečnostně profilovaná aplikace pro ženy v kontextu seznamování) oznámila, že útočníci získali přístup přibližně k 72 000 obrázkům – včetně cca 13 000 selfie a fotografií identifikačních dokladů, které uživatelky poskytly kvůli ověření účtu.

Proč je to zásadní: sekundární škody často převýší „běžný únik e-mailů“

U vysoce citlivých artefaktů (ID či selfie) často hrozí sekundární škody: doxing, stalking, identity theft a potenciálně i dopady na fyzickou bezpečnost. Proto je klíčové hodnotit dopady na jednotlivce, ne jen „typ dat“.

U osobních údajů není klíčové jen „co uniklo“, ale hlavně jaké negativní důsledky to může mít pro jednotlivce (práva a svobody osob) – tedy přesně ty sekundární dopady, které se u ID/selfie artefaktů typicky řeší.

Co z toho plyne

Každé „sbírání občanky či selfie“ musí mít režim pro vysoce citlivá data: Pokud aplikace sbírá verifikační fotky nebo doklady, musí se to chovat jako práce s „high-risk“ daty:
- šifrování (v klidu i při přenosu),
- segregované úložiště (oddělené od běžných obrázků/postů),
- přísně omezené přístupy (princip nejmenších oprávnění),
- audit přístupů,
- krátká retence (držet jen to, co je nezbytné a po nezbytně dlouhou dobu).

Architektura má zabránit „jednomu bodu selhání“ (compartmentalization): Cíl je, aby kompromitace jedné komponenty neotevřela celou databanku citlivých artefaktů. Prakticky: oddělená data, oddělené role, oddělené klíče, oddělené přístupové cesty
„Legacy storage“ a historická data jsou bezpečnostní mina: Tea je typický příklad, kdy se incident týkal starších a archivovaných dat (uživatelé před určitým datem registrace – starší obsah).  To je obecný problém. Historické úložiště bývá méně hlídané, hůř monitorované a často přežívá „mimo hlavní bezpečnostní režim“. Proto je potřeba mít proces pro:
- pravidelnou inventuru úložišť (včetně „zapomenutých“),
- vyřazování dat (data disposal),
- kontrolu veřejných bucketů/úložišť a přístupových práv.

Lekce 6: Základy se pořád lámou – Louvre je jen extrémně viditelný symbol

Po spektakulární loupeži v Louvru (19. října 2025) se veřejně otevřelo téma, že bezpečnost není jen o „jednom selhání“, ale o dlouhodobě odkládaných základech a zastarávajících postupech. Hodnota odcizených šperků byla vyčíslena zhruba na 88 milionů eur. 

Do debaty vstoupily i závěry státních institucí. Francouzská státní kontrola (Cour des Comptes) ve zprávě pokrývající období 2018–2024 (dokončené ještě před loupeží) kritizovala zpoždění v bezpečnostních úpravách a uvedla, že plné dokončení bezpečnostního projektu se očekává až kolem roku 2032. Ve stejné linii Reuters a Guardian citují, že v roce 2024 bylo kamerami pokryto jen 39 % místností. 

Vedle toho se objevila i mediálně „vděčná“ informace o slabých přístupových praktikách: podle dokumentů, k nimž měl přístup deník Libération, měl audit francouzské agentury v roce 2014 zjistit, že heslo do kamerového systému bylo „Louvre“.

Stejný vzorec existuje v tisících organizací – když se dlouhodobě odkládají „nudné“ základy (identity, přístupy, aktualizace, monitoring), dříve nebo později se z toho stane incident – jen většinou bez světových titulků. 

Co z toho plyne?

Investice do kybernetické bezpečnosti musí být vyvážené mezi „viditelnými“ transformačními iniciativami a systematickou provozní bezpečností, která rozhoduje o reálné odolnosti organizace. Nestačí financovat pouze projekty s dobře prezentovatelným výstupem (např. nové nástroje či strategické programy), pokud současně chybí kapacity a disciplína pro každodenní řízení rizik, provoz, monitoring, správu konfigurací, patchování, správu identit, zálohování a ověřenou obnovu.
Jinými slovy, bezpečnostní portfolio má být řízeno jako mix investic: část prostředků má směřovat do modernizace a rozvoje, ale stabilní a nepodkročitelný podíl musí být vyhrazen na „run“ – tedy na kontinuální provozní kontrolu, detekci, reakci na incidenty a udržování hygieny prostředí. Právě tato méně „viditelná“ vrstva v praxi určuje, zda organizace incident zvládne, nebo jen zjistí, že má strategii a technologie, ale nemá provozní schopnosti.

Lekce 7: Kyberprostor je geopolitika – a incidenty mají dlouhý časový horizont

Část kybernetických incidentů není „náhoda“ ani běžný kyberzločin. Jde o dlouhodobé, cílené kampaně (kyberšpionáž), které staví na perzistenci (udržení přístupu), průběžném sběru informací a strategickém efektu. V Česku to v roce 2025 ilustrovala veřejná atribuce. Vláda ČR 28. května 2025 oznámila, že škodlivou kybernetickou kampaň proti jedné z neutajovaných sítí Ministerstva zahraničních věcí vedl aktér APT31, který je veřejně spojován s čínským Ministerstvem státní bezpečnosti (MSS).

Podle vyjádření šlo o aktivitu probíhající minimálně od roku 2022. Podobně ve finančním světě rok 2025 ukázal škálování schopností státních aktérů i mimo „klasické IT“. FBI vydala 26. února 2025 veřejné upozornění (PSA), že Severní Korea byla zodpovědná za krádež přibližně 1,5 miliardy USD z kryptoburzy Bybit okolo 21. února 2025. 

Co z toho plyne?

U citlivých organizací nestačí bezpečnostní model postavený pouze na předpokladu „běžného“ kyberzločinu. Je nezbytné vycházet i z realistické možnosti cílených a vysoce schopných protivníků, kteří kombinují technické útoky se sociálním inženýrstvím, zneužitím důvěry v dodavatelském řetězci a dlouhodobým působením v prostředí.
Je nutné řídit riziko perzistentního průniku – detekce anomálií, threat hunting, PAM, segmentace, omezení laterálního pohybu a disciplinované logování (IAM, endpointy, klíčové systémy, SaaS).