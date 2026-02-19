Růst počtu kybernetických hrozeb, rekordní DDoS útoky, ale zároveň rychlejší reakce – takový byl rok 2025 pro Bezpečnostní dohledové centrum společnosti T-Mobile tzv. SOC.
Přes nárůst celkového počtu incidentů, které centrum v loňském roce řešilo, klesla průměrná reakční doba napříč všemi událostmi ze 14 na 13 minut a 25 sekund. Nejvýraznější pokrok pak eviduje právě u kritických incidentů typu Distributed Denial of Service (DDoS).
„V roce 2025 jsme čelili výraznému nárůstu objemu i komplexity DDoS útoků. Přes rekordní zátěž se nám ale dařilo dále zrychlovat naše reakční časy a díky skvělé práci celého týmu jsme u DDoS útoků reagovali v průměru za 5 minut a 2 vteřiny oproti 6,5 minutám v roce 2024,“ uvedl Zdeněk Grmela, ředitel pro oblast kyberbezpečnosti divize pro firemní zákazníky společnosti T-Mobile.
Aktivitu kybernetických útočníků ukazují také pravidelné měsíční a čtvrtletní přehledy Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ty v některých obdobích loňského roku uváděly nárůst incidentů v různých kategoriích, zejména v oblasti ransomwarových a DDoS útoků.
Masivní DDoS útoky: historické maximum překonáno třikrát
Přestože evidence NÚKIB meziročně zaznamenala pokles počtu DDoS útoků, statistiky SOCu společnosti T-Mobile ukazují, že se stále zvyšuje jejich intenzita. Rok 2025 tak v rámci SOCu přinesl její enormní nárůst. Zatímco v předchozím roce zaznamenalo centrum největší DDoS útok o intenzitě 360 Gbps, v roce 2025 byla tato hranice překonána hned ve třech případech.
„V polovině roku jsme zachytili dosud nejmasivnější DDoS útoky, které cílily na našeho zákazníka z finančního sektoru. Ty se opakovaly ve vlnách o intenzitě 550, 625 a až rekordních 700 Gbps,“ popisuje Martin Štalmach, vedoucí Bezpečnostního dohledového centra společnosti T-Mobile.
V tomto případě se podle Štalmacha jednalo o volumetrický útok, tzv. UDP flood. Během něj útočník zahlcuje server nebo síť tisíci až miliony zpráv (tzv. UDP paketů) za sekundu. To způsobí celkové přetížení sítě nebo i koncových systémů – služby zpomalí nebo se zcela zastaví a uživatelé k nim nemohou přistupovat.
„Kvůli velikosti těchto útoků naši analytici použili na obranu mimo jiné speciální protiopatření pomocí technologie flowspec,“ popisuje bezpečnostní expert. To mimo jiné potvrzuje i globální trend, kdy útočníci častěji sahají po masivnějších a technicky komplexnějších metodách než v minulosti.
Threat Intelligence neustupuje
Prostřednictvím ochrany koncových zařízení a uživatelů XDR chrání SOC desítky tisíc koncových zařízení a uživatelů a v roce 2025 detekovalo více jak 60 % případů s pokusy o zneužití zranitelností v dohlížených systémech.
„V tomto ohledu pro nás má velký význam tzv. Threat Intelligence, neboli znalosti taktik útočníků, která je postavena na detekčních scénářích a umožňuje nám incidenty zachycovat dřív, než způsobí vážnější škody. Jedná se o znalost technik a procedur, které jsou útočníky využívány. Přes 20 % útoků bylo zachyceno díky strojovému učení a AI. Jde o meziroční pokles, což může naznačovat změnu v nejpoužívanějších typech útoků, zároveň to však dále potvrzuje význam Threat Intelligence,“ vysvětluje Štalmach.
SIEM: rychlejší prvotní analýza při rostoucí zátěži
Bezpečnostní dohledové centrum T-Mobile se zaměřuje na tři klíčové oblasti: ochranu sítí a infrastruktury (včetně DDoS), ochranu koncových zařízení a uživatelů (XDR) a komplexní monitoring IT prostředí (SIEM).
U monitoringu IT prostředí (SIEM) provedli experti SOC úvodní analýzu a informovali zákazníky v průměru za 28 minut a 58 sekund, což udržuje rychlou schopnost SOC reagovat i při rostoucí zátěži. Jedná se mimo jiné o jeden z požadavků platné legislativy NIS2 na rychlé hlášení incidentů a řízení rizik v dodavatelských řetězcích.
