Hybridní hrozby

Kyberútoky sílí. Nejzávažnější hrozby přicházejí ze zahraničí

Kybernetické útoky v Česku dál přibývají a mění svou podobu. Jen v roce 2025 evidoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) 203 bezpečnostních incidentů. Většina z nich spadala do kategorie Dostupnost, kde se v ohrožení ocitá fungování služeb a systémů například kvůli zahlcení serverů. V roce 2024 tvořily tyto incidenty 62 % všech zaznamenaných případů. Nejzávažnější hrozby mají podle úřadu zahraniční původ a cílí zejména na státní instituce a strategickou infrastrukturu.

Kyberprostor se v posledních letech stal plnohodnotným bojištěm. Vedle online komunikace, sledování filmů či fungování firem v něm probíhají i systematické útoky, které míří na důvěru, chod institucí i citlivá data. Kybernetické útoky tak zapadají do rámce hybridních hrozeb, kterými státy i zájmové skupiny ovlivňují chod společnosti.

Nejčastější hrozbou je ochromení institucí a společností

Podle kvartálních zpráv Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) došlo v Česku během roku 2025 k 203 kybernetickým incidentům. „Z těchto incidentů ohrožujících důvěrnost, integritu nebo dostupnost dat NÚKIB klasifikoval 12 jako významných a dva jako velmi významný incident. Mimo to bylo evidováno i 73 kybernetických událostí,“ vysvětluje analytička Alexandra Cholevová z Evropy v datech.

NÚKIB současně identifikuje několik kategorií nahlášených incidentů. V průběhu let lze vidět největší nárůst u kategorie Dostupnost, kdy se v terminologii NÚKIB jedná nejčastěji o incidenty, jejichž cílem je narušit nebo zcela vyřadit fungování napadených služeb a systémů. Typicky jde o útoky typu DoS či DDoS, při nichž útočníci zahlcují servery takovým množstvím požadavků, že přestanou být dostupné pro běžné uživatele. Nicméně narušení dostupnosti může být způsobeno i sabotáží nebo také běžnými technickými výpadky. Tyto incidenty mají často okamžitý a viditelný dopad, mohou ochromit provoz institucí, firem nebo veřejných služeb, a právě proto patří dlouhodobě mezi nejčastější typy kybernetických incidentů evidovaných v českém prostředí – jen v roce 2024 představovaly 62 % všech registrovaných incidentů.

Státem podporovaní aktéři: tichá a dlouhodobá přítomnost

Podle NÚKIB lze obecně říci, že nejzávažnější kybernetické hrozby mají zahraniční původ, zejména v souvislosti s aktivitami státem podporovaných aktérů nebo pokročilých kyberkriminálních skupin. „Státem podporovaní aktéři, často označovaní jako APT (Advanced Persistent Threat), jsou vysoce organizované skupiny s dostatkem zdrojů i technického zázemí. Jejich cílem bývá dlouhodobý, nenápadný průnik do sítí obětí, sběr citlivých informací, krádež duševního vlastnictví nebo příprava na případné disruptivní či destruktivní operace. Motivace je často geopolitická,“ vysvětluje Lenka Soukupová z Oddělení komunikace NÚKIB.

Příkladem širší kampaně je aktivita podskupiny ruského aktéra Seashell Blizzard (taktéž známého jako Sandworm, APT44). Ta cílila na energetické společnosti na Ukrajině a v souvisejících kampaních mezi červencem 2024 a únorem 2025 také na dodavatele v České republice. Útočníci se vydávali za zákazníky a naváděli oběti ke stažení kompromitovaných PDF dokumentů. Typickým cílem těchto skupin jsou v České republice vládní instituce a další subjekty se strategickým významem jako například ministerstva nebo bezpečnostní složky státu. Dopady jejich aktivit se nemusejí projevit okamžitým výpadkem.

Veronika Víchová: „Hybridní útoky zastavují nemocnice a snižují důvěru občanů ve stát“

Některé útoky jsou ale zřejmé hned v momentě, kdy probíhají, jak vysvětluje Veronika Víchová z Centra pro informovanou společnost: „Když jsou státní instituce v kybernetickém prostoru pod útokem, často to poznáme velmi jednoduše. Např. přestane fungovat webová stránka konkrétního úřadu, nefunguje systém pro podávání žádostí, objednávání nebo vypadávají jiné služby. V některých případech z minulosti, kdy byly pod útokem české nemocnice, jsme zažili třeba odkládání důležitých operací a zákroků,“ vysvětluje analytička. Dlouhodobější psychologický dopad pak můžeme podle Víchové sledovat třeba na celkové důvěře občanů ve stát: „I pokud se jedná veskrze o technický incident, může to způsobit v lidech pocit, že nic nefunguje a ‚nikdo to tu nemá pod kontrolou.‘ Je ostatně třeba říci, že kybernetické útoky jsou mnohdy doprovázeny i vytvářením informačního šumu, svalováním viny a dalšími manipulativními tlaky v informačním prostoru. A to se přesně hybridním útočníkům velmi hodí, nejen útočit na fyzickou nebo kybernetickou infrastrukturu, ale také nahlodávat důvěru a rozdmýchávat frustraci,“ doplňuje Veronika Víchová.

Situaci v tomto ohledu Víchová dlouhodobě hodnotí jako vážnou: „Cílem ruských aktivit je oslabovat důvěru ve stát, podporovat rozdělení společnosti a využívat k tomu různé platformy a nástroje, od propagandy až po kybernetické útoky. Nejde jen o počet různých incidentů, ale hlavně o to, že tlak je dlouhodobý a přichází v různých doménách (např. právě kyberbezpečnost, manipulace s informacemi, ekonomický nátlak nebo sabotáže). V českém kontextu je vidět, že informační operace míří na oslabení podpory Ukrajině a demoralizaci veřejné debaty, což je velice cílená práce s emocemi, nedůvěrou a únavou společnosti.“

Ransomware: byznys model kyberzločinu

Vedle státem podporovaných aktérů představují významnou hrozbu ransomwarové skupiny. Na rozdíl od APT skupin ale nelze ransomware jednoznačně přiřadit ke konkrétním státům. Často funguje model „Ransomware-as-a-Service“ (RaaS), kdy vývojáři škodlivého kódu poskytují nástroj dalším skupinám. Jeden aktér může provést průnik, jiný dodat nástroje a třetí řešit samotné vydírání.

„Primární motivací ransomwarových skupin je finanční zisk, “ říká Lenka Soukupová z NÚKIB a dodává: „U ransomwarových útoků vidíme dlouhodobě poměrně stabilní trend: útočníci si vybírají především ty sektory, kde mohou způsobit rychlý a viditelný provozní dopad – například zdravotnictví, sociální služby, dopravu, veřejný sektor, vzdělávání nebo fintech, a tím zvýšit šanci, že oběť zaplatí výkupné.“ Platba výkupného přitom nezaručuje obnovu dat a zároveň podporuje další trestnou činnost. I proto se Česká republika připojila k iniciativě Counter Ransomware Initiative, která se zavazuje výkupné neplatit.

Soudržná společnost jako obrana proti dezinformacím

Včasné odhalení kybernetických hrozeb stojí na kvalitních datech, mezinárodní spolupráci a práci odborníků. Klíčová jsou hlášení od regulovaných subjektů i sdílení informací v rámci EU a NATO, včetně role cyber attaché, jehož úkolem je budovat a udržovat vztahy se zahraničními partnery a zajišťovat výměnu informací v oblasti kybernetické bezpečnosti. Kyberprostor zůstává proměnlivým bojištěm, a proto obrana vyžaduje dlouhodobý a systematický přístup. I z tohoto důvodu přijala Evropská unie směrnici NIS2, která rozšiřuje okruh povinných subjektů, zpřísňuje bezpečnostní standardy a posiluje spolupráci mezi státy s cílem zvýšit odolnost evropské infrastruktury.

Co však může pro zlepšení odolnosti normální jedinec? „Odolnost si každý z nás může budovat v různých oblastech. Jedna věc je základní digitální a kybernetická hygiena, kde i malé kroky mohou znamenat velký dopad, třeba používání dvoufaktorového ověřování při přihlašování do aplikací. Stejně důležitá je ale informační a vlastně i emoční odolnost, protože právě schopnost odolávat velkým emocím je kritická při ověřování zdrojů. A pro případ, kdy dojde k nejhoršímu, je dobré se informovat o tom, co může nastat a jak se můžeme připravit na různé krizové či mimořádné situace, výpadky služeb, blackout a podobně. K tomu může sloužit například příručka Ministerstva vnitra 72 hodin, ale i další zdroje,“ radí Veronika Víchová a zároveň dodává: „Nezapomínejme ale také na to, že odolnost není jen věcí jednotlivců, ale i schopnost fungovat jako soudržná společnost. Státy, jako je Rusko nebo Čína, spoléhají na to, že přestaneme věřit institucím i sami sobě navzájem. Takže kromě správných návyků v digitálním a informačním prostředí je důležité, abychom kolem sebe měli lidi, kterým věříme, a se kterými si můžeme v nejhorších chvílích pomoci, ať už se jedná o rodinu, přátele, sousedy nebo kolegy.“