Dodavatelé jako nejslabší článek: Kaspersky odhaluje, kudy útočníci nejčastěji pronikají do firem

Kybernetické hrozby se vyvíjejí rychleji, než stačí většina organizací reagovat. A útočníci si toho jsou dobře vědomi. Podle nejnovější zprávy Kaspersky „Anatomy of a Cyber World“, která analyzuje data sesbíraná v průběhu roku 2025 ze služeb detekce a reakce na incidenty, vstupují do firemních sítí v drtivé většině případů třemi konkrétními cestami – a celkově tvoří více než 80 % všech zaznamenaných incidentů.

Na prvním místě figuruje zneužití zranitelností ve veřejně dostupných aplikacích, které stojí za 43,7 % útoků. Druhý nejčastější vektor představuje zneužití legitimních uživatelských účtů s podílem 25,4 %. A právě třetí v pořadí je ten, který by si české IT manažery měl přimět k zamyšlení: takzvané vztahy důvěry, tedy vazby mezi firmou a jejími externími partnery či dodavateli, se podílely na 15,5 % incidentů. To je nárůst oproti 12,7 % z předchozího roku a tento vektor v žebříčku hrozeb definitivně vytlačil phishingové e-maily, které ještě nedávno vévodily statistikám.

Tichá hrozba skrytá v dodavatelském řetězci

Tato čísla by neměla být vnímána izolovaně. Zpráva ukazuje, že zmíněné vektory útočníci kombinují do promyšlených sekvencí. Typický scénář vypadá takto: nejprve je kompromitován IT integrátor nebo poskytovatel služeb prostřednictvím zranitelnosti v jeho veřejně přístupné aplikaci. Jakmile útočníci získají přístup do sítě tohoto partnera, využívají jeho legitimní vzdálené přístupy k proniknutí do systémů koncových zákazníků.

Právě tady leží zásadní problém. Mnoho menších subjektů – ať už správci webů, poskytovatelé účetního softwaru nebo regionální IT dodavatelé – nemá ani dedikované bezpečnostní týmy, ani odpovídající rozpočty na kybernetickou bezpečnost. Stávají se tak nejslabším článkem celého řetězce a jediná jejich kompromitace může zasáhnout desítky jejich zákazníků najednou. Bezpečnostní audit se proto nesmí zastavit na hranicích vlastní organizace – musí zahrnovat i klíčové dodavatele a partnery.

Rychlý úder nebo měsíce skryté infiltrace

Kaspersky ve zprávě třídí incidenty také podle průběhu a délky trvání do tří kategorií, přičemž každá z nich vyžaduje odlišný přístup k obraně:

Bleskové útoky (50,9 %): Celý útok proběhne za méně než 24 hodin. Nejčastějším výsledkem je okamžité zašifrování dat – typický ransomwarový scénář, kdy rychlost útoku překoná schopnost organizace reagovat.

Dlouhodobé infiltrace (33 %):Útočníci se v síti pohybují průměrně 108 dní, aniž by byli odhaleni. V tomto čase instalují nástroje pro persistenci, kompromitují strukturu Active Directory a exfiltrují citlivá data. Teprve poté systémy uzamknou. Pro firmy, které spoléhají pouze na reaktivní bezpečnostní opatření, je tento scénář zvláště nebezpečný – škody mohou být v tu chvíli nevratné.

Hybridní model (16,1 %): Kombinace obou přístupů. Útok začíná rychlým průnikem, po němž následuje fáze latence, a škodlivý náklad je aktivován s odstupem. Celý cyklus trvá přibližně 19 dní.

Reaktivní přístup nestačí

Proaktivní kybernetická bezpečnost podle společnosti Kaspersky stojí na třech pilířích: kontinuálním monitoringu prostředí, který umožňuje zachytit útočníky dříve, než způsobí škodu; rychlém nasazování bezpečnostních záplat; a důsledném vícefaktorovém ověřování přístupu. Neméně důležitá je pak pečlivá kontrola sdílených přístupů s třetími stranami – tedy přesně těch vztahů důvěry, které se staly třetím nejčastějším vstupním vektorem útočníků.

Zdroj: kaspersky.com