Kybernetické útoky v Česku dál přibývají a mění svou podobu, upozorňuje souhrnná zpráva iniciativy Evropa v datech. Jen v roce 2025 evidoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) 203 bezpečnostních incidentů. Většina z nich spadala do kategorie Dostupnost, kde se v ohrožení ocitá fungování služeb a systémů například kvůli zahlcení serverů.
Co se dozvíte v článku
V roce 2024 tvořily tyto incidenty 62 % všech zaznamenaných případů. Nejzávažnější hrozby mají podle úřadu zahraniční původ a cílí zejména na státní instituce a strategickou infrastrukturu.
Kyberprostor se v posledních letech stal plnohodnotným bojištěm. Vedle online komunikace, sledování filmů či fungování firem v něm probíhají i systematické útoky, které míří na důvěru, chod institucí i citlivá data. Kybernetické útoky tak zapadají do rámce hybridních hrozeb, kterými státy i zájmové skupiny ovlivňují chod společnosti.
Ochromené instituce a společnosti
Podle kvartálních zpráv NÚKIB došlo v Česku během roku 2025 k 203 kybernetickým incidentům. „Z těchto incidentů ohrožujících důvěrnost, integritu nebo dostupnost dat NÚKIB klasifikoval 12 jako významných a dva jako velmi významný incident. Mimo to bylo evidováno i 73 kybernetických událostí,“ vysvětluje analytička Alexandra Cholevová z Evropy v datech.
NÚKIB současně identifikuje několik kategorií nahlášených incidentů. V průběhu let lze vidět největší nárůst u kategorie Dostupnost, kdy se v terminologii NÚKIB jedná nejčastěji o incidenty, jejichž cílem je narušit nebo zcela vyřadit fungování napadených služeb a systémů. Typicky jde o útoky typu DoS či DDoS, při nichž útočníci zahlcují servery takovým množstvím požadavků, že přestanou být dostupné pro běžné uživatele.
Nicméně narušení dostupnosti může být způsobeno i sabotáží nebo také běžnými technickými výpadky. Tyto incidenty mají často okamžitý a viditelný dopad, mohou ochromit provoz institucí, firem nebo veřejných služeb, a právě proto patří dlouhodobě mezi nejčastější typy kybernetických incidentů evidovaných v českém prostředí – jen v roce 2024 představovaly 62 % všech registrovaných incidentů.
Státem podporovaní aktéři
Podle NÚKIB lze obecně říci, že nejzávažnější kybernetické hrozby mají zahraniční původ, zejména v souvislosti s aktivitami státem podporovaných aktérů nebo pokročilých kyberkriminálních skupin.
„Státem podporovaní aktéři, často označovaní jako APT (Advanced Persistent Threat), jsou vysoce organizované skupiny s dostatkem zdrojů i technického zázemí. Jejich cílem bývá dlouhodobý, nenápadný průnik do sítí obětí, sběr citlivých informací, krádež duševního vlastnictví nebo příprava na případné disruptivní či destruktivní operace. Motivace je často geopolitická,“ vysvětluje Lenka Soukupová z Oddělení komunikace NÚKIB.
Příkladem širší kampaně je aktivita podskupiny ruského aktéra Seashell Blizzard (taktéž známého jako Sandworm, APT44). Ta cílila na energetické společnosti na Ukrajině a v souvisejících kampaních mezi červencem 2024 a únorem 2025 také na dodavatele v České republice. Útočníci se vydávali za zákazníky a naváděli oběti ke stažení kompromitovaných PDF dokumentů.
Typickým cílem těchto skupin jsou v České republice vládní instituce a další subjekty se strategickým významem jako například ministerstva nebo bezpečnostní složky státu. Dopady jejich aktivit se nemusejí projevit okamžitým výpadkem.
Ransomware, oblíbený model kyberzločinu
Vedle státem podporovaných aktérů představují významnou hrozbu ransomwarové skupiny. Na rozdíl od APT skupin ale nelze ransomware jednoznačně přiřadit ke konkrétním státům. Často funguje model „Ransomware-as-a-Service“ (RaaS), kdy vývojáři škodlivého kódu poskytují nástroj dalším skupinám. Jeden aktér může provést průnik, jiný dodat nástroje a třetí řešit samotné vydírání.
„Primární motivací ransomwarových skupin je finanční zisk, “ říká Lenka Soukupová z NÚKIB a dodává: „U ransomwarových útoků vidíme dlouhodobě poměrně stabilní trend: útočníci si vybírají především ty sektory, kde mohou způsobit rychlý a viditelný provozní dopad – například zdravotnictví, sociální služby, dopravu, veřejný sektor, vzdělávání nebo fintech, a tím zvýšit šanci, že oběť zaplatí výkupné.“
Platba výkupného přitom nezaručuje obnovu dat a zároveň podporuje další trestnou činnost. I proto se Česká republika připojila k iniciativě Counter Ransomware Initiative, která se zavazuje výkupné neplatit.
Důležitá je soudržnost
Včasné odhalení kybernetických hrozeb stojí na kvalitních datech, mezinárodní spolupráci a práci odborníků. Klíčová jsou hlášení od regulovaných subjektů i sdílení informací v rámci EU a NATO, včetně role cyber attaché, jejichž úkolem je budovat a udržovat vztahy se zahraničními partnery a zajišťovat výměnu informací v oblasti kybernetické bezpečnosti.
Kyberprostor zůstává proměnlivým bojištěm, a proto obrana vyžaduje dlouhodobý a systematický přístup. I z tohoto důvodu přijala Evropská unie směrnici NIS2, která rozšiřuje okruh povinných subjektů, zpřísňuje bezpečnostní standardy a posiluje spolupráci mezi státy s cílem zvýšit odolnost evropské infrastruktury.
Zdroj: Evropa v datech
