- Hana Skoupá
Kybernetické incidenty se můžou stát ani nevíte jak a rok 2025 to znovu potvrdil. Některé vznikly jako klasické útoky útočníků, jiné jako důsledek špatných rozhodnutí, podcenění situace nebo provozního chaosu. Technickou genialitu nebo super-sofistikované metody byste v nich často hledali marně. Co všechno se pokazilo? Vybrali jsme sedm situací z loňska, které ukazují, že největší slabinou organizací nejsou vždy jen útočníci, ale i způsob, jakým se bezpečnost řeší (nebo neřeší) v praxi.
Heslo „LOUVRE“ jako přístup do bezpečnostního systému
Co se stalo?
Vyšetřování krádeže v Louvru (říjen 2025) odkrylo, že přístup k video dohledovému systému byl chráněn heslem „LOUVRE“. Zároveň vyšlo najevo, že část infrastruktury běžela na dlouhodobě zastaralých technologiích, na které bezpečnostní experti upozorňovali už roky před incidentem. Nešlo tedy o náhlé selhání, ale o kombinaci technického dluhu a laxního přístupu k základním bezpečnostním opatřením.
Proč je to problém a co z toho plyne?
Louvre není malá organizace bez rozpočtu nebo know-how. Právě naopak. Ročně pařížské muzeum navštíví přes 10 milionů lidí a systém hlídá exponáty v hodnotě miliard. Přesto existovalo heslo, které by napadlo i žáka páté třídy. Tento incident je výsledkem prostředí, kde se technický dluh toleruje, protože se dlouho nic nestalo. V kyberbezpečnosti je pocit „tohle se nás netýká“ poměrně běžný.
Případ nám každopádně znovu připomněl, že ani prestiž, velikost nebo význam instituce automaticky neznamenají odpovídající úroveň kyberbezpečnosti. Základní chyby v přístupových údajích mohou existovat i tam, kde by to nikdo nečekal, a právě to z nich dělá tak nebezpečné zranitelnosti.
Na co si dát pozor?
- Hesla systémů, ke kterým má přístup více lidí
- Staré kamery, NVR, fyzické prvky, které nikdo neřeší
- Systémy, které „fungují, tak na ně nešaháme“
- Přístupy, které v čase rotují mezi zaměstnanci, ale nikdy se nemění
Erie Insurance: měsíc problémů kvůli přesvědčivému telefonátu
Co se stalo?
V červnu 2025 využila skupina Scattered Spider techniky sociálního inženýrství, zejména cílené manipulace po telefonu (vishing) a spear-phishingu, k získání přístupů do interních systémů americké pojišťovny Erie Insurance. Nešlo o prolomení technických zabezpečení, ale o cílenou manipulaci pomocí přesvědčivých telefonátů a komunikace, která působila důvěryhodně. Sice nedošlo k masivnímu úniku dat, ale výsledkem byly dlouhodobé provozní problémy společnosti, které firma řešila několik týdnů.
Proč je to problém a co z toho plyne?
Kybernetické incidenty nejsou jen otázkou technologie, ale významnou roli mají hlavně lidé, a to klidně i proškolení. Zaměstnanci v podobně velkých korporátech většinou vědí, že mají být opatrní. Problém nastává ve chvíli, kdy se potká únava, stres a nátlak od někoho z vedení, kdo něco „nutně potřebuje“.
Bez jasného postupu, jak takovou situaci ověřit a kdy je v pořádku říct „stop“, se z odpovědného zaměstnance stává nejslabší článek systému. Ne nutně kvůli neznalosti, ale kvůli tlaku prostředí.
Na co si dát pozor?
- Absence pravidla 4 očí
- Tlak na rychlé schvalování požadavků
- Nedostatečná nebo nepravidelná školení zaměstnanců
- Nejasné procesy pro ověřování interních požadavků
Marks & Spencer: škoda £300 milionů kvůli slabině u dodavatele
Co se stalo?
Kyberútok nezasáhl přímo Marks & Spencer, ale jednoho z jeho dodavatelů. Útočníci u něj našli zranitelnost, kterou využili ke vstupu do interního systému M&S, kde se řídil provoz e-shopu, logistiky a dalších klíčových procesů. Výsledkem byly výpadky e-shopu, logistiky i výrazné finanční ztráty (kolem 300 milionů liber).
Proč je to problém a co z toho plyne?
Dodavatelské vztahy dnes tvoří páteř fungování většiny firem. Přesto se bezpečnost partnerů, dodavatelů a externích služeb často řeší jen formálně, při podpisu smlouvy (jestli vůbec). Realita je ale taková, že přístup dodavatele bývá často hlubší než přístup vlastního zaměstnance.
Marks & Spencer ukázal, že jedna přehlédnutá závislost může mít větší dopad než roky investic do interní bezpečnosti. Myslete na to, až budete podepisovat smlouvu s dodavatelem, který má přístup do vašich klíčových systémů.
Na co si dát pozor?
- Mapujte, kdo co dělá. Ne papírově, ale reálně
- Vyžadujte minimální standardy u dodavatelů
- Ověřujte, že se bezpečnostní opatření skutečně dodržují
- Nenakupujte „jistotu“ podle loga dodavatele
- „Bezpečnost dodavatele“ ≠ „bezpečnost organizace“
UNFI: útok v potravinách, který narušil zásobování
Co se stalo?
Kyberútok na UNFI, jednoho z hlavních distributorů potravin, narušil fungování systémů, které zajišťují objednávky, skladování a distribuci zboží. Incident se neomezil na interní IT problémy, ale projevil se přímo v dodavatelském řetězci a dostupnosti zboží v supermarketech napříč USA.
Proč je to problém a co z toho plyne?
Pokud nástroje řízení logistiky, plánování nebo fakturace stojí na jednom systému nebo jednom dodavateli, je to větší riziko než chybějící bezpečnostní nástroj. Zároveň nám tento případ ukázal, že kybernetický incident nemusí mířit na „důležitá“ data. UNFI zaujalo právě tím, že se dopady útoku projevily okamžitě a fyzicky (prázdné regály a narušené dodávky).
Na co si dát pozor?
- Jediné body selhání v logistických procesech
- Nenápadné integrace mezi systémy
- Povázání ERP, skladů a přepravců
Jaguar Land Rover: miliardové škody a zastavená výroba
Co se stalo?
Systémy, na kterých je závislá výroba automobilů Jaguar Land Rover zasáhl v září 2025 kyberútok. Výsledkem bylo zastavení výroby ve více závodech, protože bez funkčních digitálních systémů nebylo možné pokračovat v provozu. Incident se obešel bez většího úniku dat, finanční škody šly do miliard Kč.
Proč je to problém a co z toho plyne?
U výrobních firem se dlouho držela představa, že výroba je „oddělená“ od IT. Jenže realita posledních let je docela jiná. Výrobní linky, plánování, údržba i reporting jsou dnes digitálně propojené. Jakmile se naruší jedna část, řetěz se rozpadne.
Incident s Jaguar Land Rover ukázal, že kyberútok nemusí ukrást žádná data, aby způsobil obrovské škody. Stačí, když znemožní běžný provoz. A to je scénář, na který bohužel není připravena řada organizací, protože bezpečnost výroby se pořád bere jako technická specialita, ne jako strategické riziko. Ponaučení (nejen) pro výrobní firmy? Kyberbezpečnost je přímo spojena s kontinuitou podnikání.
Na co si dát pozor?
- Propojení výrobních technologií s běžnou IT sítí
- Staré výrobní systémy bez pravidelných patchů a podpory
- Závislost výroby na centrálních digitálních systémech (single point of failure)
- Závislost na jednom dodavateli nebo technologii (vendor lock-in)
- Představa, že „výroba je něco jiného než IT“
McDonald’s: 64 milionů uniklých žádostí o práci
Co se stalo?
V roce 2025 vyšlo najevo, že v systému pro správu žádostí o práci u McDonald’s existovaly závažné nedostatky v řízení přístupu. Bezpečnostní výzkumníci odhalili, že testovací administrátorský účet používal velmi jednoduché výchozí heslo („123456“), což umožnilo získat oprávněný přístup do systému.
Následně se ukázalo, že aplikační logika obsahovala chybu typu Insecure Direct Object Reference (IDOR), která dovolovala zobrazovat data, ke kterým uživatel neměl mít přístup. V důsledku toho bylo možné neoprávněně přistupovat k desítkám milionů žádostí o zaměstnání. Nešlo o cílený útok na zákaznická data ani o prolomení zabezpečení sofistikovanými metodami, ale o kombinaci slabého řízení přístupů a chyb v aplikační logice. Zranitelnost se týkala systému, který je v organizacích často vnímán jako podpůrný (HS aplikace), a právě proto mohla existovat delší dobu bez povšimnutí.
Proč je to problém a co z toho plyne?
Na první pohled nešlo o „citlivá“ data v klasickém slova smyslu. Žádosti o práci obvykle neobsahují platební údaje nebo přístupová hesla. Problémem byl ale jejich rozsah. Desítky milionů záznamů znamenají masivní reputační i regulatorní riziko, a to bez ohledu na to, jaký typ dat unikl.
Případ McDonald’s zároveň ukázal, jak nebezpečné je dělit systémy na „důležité“ a „nedůležité“. HR, onboardingové a formulářové aplikace často stojí mimo hlavní pozornost bezpečnostních týmů, přestože pracují s obrovským množstvím osobních údajů. Jakmile se z malé chyby stane masový únik, problém už není technický, ale systémový.
Na co si dát pozor?
- Aplikační logika a kontrola přístupů (nejen infrastruktura)
- API a formuláře, které vznikaly „bokem“ hlavního vývoje
- Testovací a administrátorské účty se slabým nebo výchozím zabezpečením
- HR a interní systémy, které nejsou považované za kritické
SK Telecom: 27 milionů uniklých údajů a zásah regulátora
Co se stalo?
U jednoho z největších telekomunikačních operátorů v Asii došlo k úniku dat desítek milionů uživatelů. Incident se týkal informací souvisejících s provozem mobilních služeb a vyvolal okamžitou reakci státních orgánů. Regulátor zahájil vyšetřování a společnosti následně nařídil konkrétní nápravná opatření zaměřená na posílení bezpečnostních kontrol.
Proč je to problém a co z toho plyne?
SK Telecom působí v silně regulovaném odvětví a dlouhodobě investuje do bezpečnostních opatření. Přesto se ukázalo, že formální plnění požadavků a existence bezpečnostních politik samo o sobě nestačí. Jakmile došlo k rozsáhlému úniku dat, regulátor neřeší, zda organizace „něco měla nastavené“, ale zda ochrana skutečně fungovala v praxi.
Případ ukázal, že následky podobného incidentu nekončí pokutou. Zásah regulátora znamená dlouhodobý dohled, povinnost investovat do nápravy pod tlakem, a především ztrátu důvěry, kterou je velmi obtížné získat zpět. V regulovaných sektorech se tak kyberbezpečnost přímo propojuje s řízením rizik na úrovni vedení.
Na co si dát pozor?
- Nezaměňovat compliance za bezpečnost
- Řídit rizika, nejen plnit požadavky
- Nedostatečný dohled nad prací s daty napříč procesy
