Velké evropské kyberincidenty 2025 a jak se z nich poučit

Říjen je měsícem, který patří zvyšování povědomí o kybernetických hrozbách. Pojďme se podívat na aktuální data. ENISA ve zprávě ETL 2025 (Enisa Threat Landscape) analyzuje téměř 4 900 vybraných incidentů (za období od 1. 7. 2024 do 30. 6. 2025). 

Dominují hacktivistické DDoS (76,7 % všech záznamů), zatímco největší byznysové dopady má nadále ransomware a zneužití přístupových údajů. Nejčastějším vstupním vektorem je phishing (60 %), následovaný exploity zranitelností (21,3 %).

Na jaké segmenty hackeři cílí? První pětku tvoří: státní správa (38,2 %), doprava (7,5 %), digitální infrastruktura a služby (4,8 %), finance (4,5 %) a výroba (2,9 %) . Klíčovým komponentem útoků jsou čím dál více AI a velké jazykové modely: až 80 % sociálně-inženýrských kampaní (phishing, vishing apod.) využívá AI podporu. 

Ze zprávy vyplývá, že ojedinělé průniky nahradil neustálý konvergentní tlak, který nahlodává kolektivní odolnost. Praktická odpověď pro firmy proto nespočívá jen v prevenci, ale v prokazatelné ochraně a obnovitelnosti. Dále si ukážeme incidenty, který letos v EU rezonovaly.

Paralyzovaná evropská letiště

Výpadek platformy pro odbavení (MUSE/​Collins Aerospace) poslal na řadě evropských letišť check-in zavazadel do manuálního režimu. Jedná se o klasický případ tzv. vendor concentration risk (situace, kdy je více subjektů závislá na jednom dodavateli či řešení). Co se přesně stalo?

Krátce před půlnocí v pátek 19. září zaznamenal Collins Aerospace na platformě MUSE neobvyklou aktivitu. V sobotu 20. září začal ransomware šifrovat klíčové databáze, což na řadě letišť vyřadilo automatizované check-in systémy. Provoz se přepnul do manuálního režimu a počet odbavených cestujících klesl na polovinu. To mělo za následek výrazná zpoždění a rušení letů. Problémy pokračovaly i v neděli 21. září. V pondělí pak ENISA potvrdila, že příčinou výpadku byl právě ransomware útok.

Poučení pro každý byznys: je třeba mít dobře zmapované závislosti na třetích stranách. Dále mít připraven plán pro snížený operační režim (co může běžet offline a jak dlouho) a také disaster recovery runbook. Od klíčových dodavatelů si nechte pravidelně dokládat RTO/RPO a výsledky DR testů a vlastní fallback pravidelně trénujte.

Téměř milion lidí vystaven riziku

Orange Belgium potvrdil, že při narušení na konci července došlo k úniku údajů z 850 000 zákaznických účtů. Útočníci získali jména a telefonní čísla, ale také identifikátory SIM karet a PUK kódy – kombinace, která výrazně zvyšuje riziko cíleného phishingu a podvodů. Firma zdůraznila, že hesla, e‑maily ani platební údaje ohroženy nebyly, nicméně odborníci varují, že propojení jména s číslem a SIM identifikátory může usnadnit vysoce přesvědčivé útoky na uživatele. Incident veřejně vyšel najevo 21. srpna 2025.

Operátor mezitím posílil ověřování na linkách podpory (tajné kontrolní otázky) a v prodejnách trvá na ověření totožnosti pomocí dokladu. Zákazníkům doporučil zvýšenou ostražitost vůči podvodným zprávám a pravidelnou změnu silných hesel; současně uvedl, že nevidí důkazy o zneužití dat či o dopadech na provoz služeb. I tak případ ukazuje strukturální zranitelnost telco sektoru: i bez „kritických“ dat může únik metadat okolo SIM a identity stačit k cíleným podvodům, sociálnímu inženýrství a potenciálním pokusům o převzetí účtů.

Česko potvrzuje trend

Domácí obraz je podobný Evropě: po celý rok 2025 se střídaly vlny DDoS (zejména od proruských hacktivistů) s jednotlivými ransomware případy, které zasáhly zdravotnictví (nemocnice přecházely do „papírového“ režimu a obnovovaly provoz ze záloh) i státní správu (úřady a složky IZS s výpadky částí agend). NÚKIB dlouhodobě popisuje, že nejpočetnější jsou útoky cílí na dostupnost, ale nejcitelnější jsou napadení a šifrování dat – což potvrzuje, že klíčové je mít ověřené zálohy a schopnost je rychle obnovit.

Zálohuji ≠ umím obnovit

Zelený checkbox u zálohy není garance, že firma skutečně obnoví provoz. V praxi často narážíme na tiché poškození dat (Silent Data Corruption), nekonzistentní snapshoty aplikací nebo retention politiku, která neodráží realitu byznysu. Smysl dává nastavit RTO/RPO a průběžně ověřovat, že umíme spustit klíčové služby v degradovaném režimu i plné obnově. 

V prostředí zálohovací platformy Veeam můžete stav zálohy také zajistit pomocí nástroje SureBackup. Tento nástroj ověřuje obnovitelnost tím, že spouští zálohy v izolovaném „virtual labu“ (bez dopadu na produkci) a provádí nad nimi sadu automatických testů. V praxi to znamená:

• Boot z backupu: VM se startují přímo z komprimovaných/​deduplikovaných záloh přes vPower NFS (read-only).
  
• Automatické testy: heartbeat, ping a aplikanční testy proti živým službám (volitelně i malware/​YARA scan).
  
• Kontrola integrity: volitelná CRC validace záložních souborů po testech.
  
• Report: po doběhu vzniká protokol se stavem (včetně „0 chyb“), který lze použít pro audit/​NIS2.

Pro plnohodnotné ověřování se definuje Application Group (závislosti) a Virtual Lab (izolovaná síť), testy pak běží jako SureBackup job podle plánu. Cíl: ne jen zelený checkbox, ale důkaz, že konkrétní služby půjdou skutečně nahodit a přihlásit.

Základ, který funguje

Zlaté pravidlo zálohování tedy 3 – 2‑1 – 1‑0 je dobré mít vždy na paměti (už jsme o něm psali zde). Kromě něj je také důležité nezapomenout na pravidelné vzdělávání zaměstnanců, jejichž pochybení může jedním kliknutím sloužit jako vektor útoku. Chcete mít také klid na práci a zajištěnou business kontinuitu? Naši experti se postarají o to, aby vaše zálohy byly bezpečné, pravidelně ověřované, a aby obnova proběhla podle jasného plánu– rychle a spolehlivě.

Slovníček pojmů

RTO (Recovery Time Objective) – „rychlost zotavení“
Maximální přijatelný čas, po který může být služba mimo provoz. Určuje, jak rychle musíte po incidentu obnovit klíčové systémy, aby nevznikla nepřijatelná ztráta tržeb či reputace.

RPO (Recovery Point Objective) – „tolerance ztráty dat“
Kolik dat (v čase) si můžete dovolit ztratit mezi poslední zálohou a incidentem. Řídí frekvenci záloh a replikací – čím menší RPO, tím častější zálohování a vyšší nároky na infrastrukturu.

DR runbook (Disaster Recovery runbook)
Praktický návod pro obnovu – kdo co dělá, v jakém pořadí a s jakými přístupy. Obsahuje kontakty, rozhodovací matice, postupy pro DNS/VPN/ACL, pořadí startu aplikací a kritéria pro „zpět do produkce“. Cíl: rychlá, opakovatelná a auditovatelná obnova, ne improvizace.

Phishing
Podvodné e‑maily/​weby, které se vydávají za důvěryhodnou službu a lákají na přihlášení, platbu či stažení souboru. Nejčastější vstupní vektor útoků.

Vishing (voice phishing)
Podvodný telefonát (např. „banka/​IT podpora/​policie“), kde se z vás snaží vylákat kódy, hesla nebo vás navést k instalaci škodlivého softwaru.

Smishing (SMS phishing)
Podvodná SMS s odkazem na falešný web („zásilka“, „faktura“, „bezpečnostní varování“), který sbírá přihlašovací údaje či platební data.