2 000 kyberútoků týdně na každou českou firmu. Stačí jeden přešlap a celé podnikání může skončit

Prosincová telemetrie Check Point Research přiřadila českým organizacím v průměru 2 068 kyberútoků týdně, více než světový průměr.

Zdroj fotografie: PickPik

Číslo 2 068 znamená, že tolikrát se na firmu někdo nebo něco pokusilo zaútočit: skenování portů, phishingové e-maily, automatizované zkoušení hesel, pokusy o zneužití známých zranitelností. Většina pokusů narazí na firewall, antivir nebo spam filtr a zmizí v logách. Jenže útočníkům stačí uspět jednou. A právě ta jedna chvíle, otevřená příloha, zapomenuté heslo, nezáplatovaný server, může spustit řetězec, na jehož konci stojí zašifrovaná data, odstavený provoz a faktury, které nikdo nevystaví.

Česko v evropském srovnání: nad průměrem, pod Itálií

Globální průměr za prosinec 2025 činil podle Check Point Research 2 027 útoků týdně v organizaci. Evropský průměr byl výrazně nižší, 1 677. Česko se svými 2 068 pokusy stálo nad oběma hranicemi. V Evropě nás předčila jen Itálie s 2 299 útoky. Na opačném konci žebříčku sedělo Finsko s 860 pokusy, méně než polovinou českého čísla.

Tomáš Růžička z české pobočky Check Pointu v lednu 2026 uvedl, že Portugalsko dosáhlo 2 020 útoků, Izrael 2 040 a Švédsko 1 986. Česko se tedy pohybuje v horní třetině evropských zemí. Přímé kauzální vysvětlení zprávy nerozepisuje, ale nabízí se kombinace dvou faktorů: silně exponované sektory (vzdělávání, veřejná správa) a velký podíl menších organizací se slabšími bezpečnostními kapacitami.

Nejhůř dopadlo vzdělávání, 4 349 útoků týdně v organizaci. Check Point přičítá velkému počtu uživatelů, zastaralé infrastruktuře a omezeným rozpočtům. Vládní sektor dosáhl 2 666 pokusů, neziskové organizace 2 509 s meziročním nárůstem 56 %.

Jeden přešlap: co to konkrétně znamená

Petr Stinka z bezpečnostní firmy Adineo v prosinci 2025 pro BusinessInfo.cz popsal typický průběh útoku na českou firmu. Začíná nenápadně. Zaměstnanec otevře přílohu e-mailu, která vypadá jako faktura od dodavatele. Povolí makra. Malware se usadí v systému, tiše mapuje síť, hledá přístupy a zálohy. Teprve po dnech nebo týdnech útočník udeří, zašifruje data, odstaví e-mail, ERP, objednávkový systém a předloží požadavek na výkupné.

Nejčastější vstupní orgán podle NÚKIB a expertů:

• Phishingová příloha nebo odkaz – stále nejúčinnější vektor; stačí jedno kliknutí.
• Slabé nebo znovupoužité heslo – útočník ho zkusí z uniklé databáze a trefí se.
• RDP bez MFA a VPN – vzdálená plocha vystavená do internetu je otevřené dveře.
• Nezáplatovaná veřejně dostupná služba – známá zranitelnost, na kterou existuje hotový exploit.
• Zálohy dostupné ze sítě – útočník zašifruje spolu se vším ostatním.

Žádný z těchto bodů není sofistikovaný. Žádný státem sponzorovanou hackerskou skupinu. Právě proto jsou tak nebezpečné, firmy se podceňují, protože vypadají banálně.

Jak z útoku vznikne konec podnikání

Zašifrovaný server je jen začátek. Nefunguje e-mail, takže firma nekomunikuje se zákazníky. Nefunguje ERP, takže neví, co má na skladě a co má vyrobit. Nefunguje fakturace, takže nepřichází platby. A pokud útočník data nejen zašifroval, ale i odcizil, hrozí jejich zveřejnění, a s ním únik osobních údajů klientů, obchodních tajemství nebo smluv.

Čísla z průzkumů kreslí tvrdý obraz. V českém průzkumu Mastercard z května 2025 uvedl zkušenost s kyberútokem nebo podvodem každý čtvrtý malý a střední podnik. Deset procent přišlo o peníze, devět procent o zákazníky. A 28 procent podnikatelů přiznalo, že by po vážném útoku mohli činnost ukončit. Globálně je situace ještě drsnější: v průzkumu Mastercard mezi malými firmami téměř každý pátý napadený podnikatel po útoku zbankrotoval nebo zavřel.

Veřejně doložený český případ firmy, která kvůli kyberútoku definitivně zanikla, se nám nepodařilo dohledat. Stinka ale řekl, že mnoho útoků tají, z obav o reputaci, z ostudy, ze strachu před klienty. Absence veřejného precedentu tedy neznamená, že se to neděje. Znamená to, že se o tom nemluví.

Co udělal zítra ráno

Stinka doporučuje začít jednoduchou otázkou: kolik peněz stojí jeden den bez e-mailu, webu, objednávek a počítačů? Odpověď na to, kolik má smysl investovat do ochrany. Minimální balík opatření, na kterém se shodují NÚKIB i komerční experti, vypadá takto:

• Zálohy podle pravidla 3-2-1 – tři kopie dat, na dvou různých médiích, jedna mimo síť. Pravidelně testovat obnovu.
• Vícefaktorové ověření (MFA) – pro vzdálený přístup, e-mail, administrátorské účty.
• RDP schovat za VPN nebo vypnout – žádná vzdálená plocha přímo na internetu.
• Aktualizace systémů a firmware – do dnů, ne měsíců.
• Školení lidí – ne jednorázová přednáška, ale opakované simulace phishingu.
• Křížový plán obnovy – kdo volá komu, kde jsou zálohy, jak se obnoví provoz.

Rozlišit běžné ostřelování od skutečné kompromitace pomáhají konkrétní signály: neznámé změny hesel, resetovací zprávy, které nikdo nevyžádal, nelze se přihlásit do účtu, neobvykle pomalé systémy nebo chybějící platby od zákazníků. Objeví se reálná změna přístupů nebo byznysového chování, nejde o šum, jde o incident.

Nejdražší iluze: „jsme moc malí na to, aby nás někdo napadl“

České prostředí přitom nečelí jen běžné kyberkriminalitě. Čtvrtletní přehled NÚKIB za poslední kvartál 2025 vykonávat i na aktivity proruských hackerů a čínského ekosystému cílícího na české subjekty. Ransomwarové gangy mezitím zrychlují: Check Point v prosinci evidoval veřejné vydírání 945 společností po celém světě, o 60 procent víc než před rokem. Skupina Qilin agresivně nabírá nové partnery, kteří útoky provádějí za podíl z výkupného. A útočníci stále častěji využívají AI k automatizaci vývoje malwaru a generování přesvědčivějších phishingových zpráv.

Čtyřicet procent českých podnikatelů v průzkumu Mastercard přiznalo, že jistě neví, jak se správně chránit. Šedesát procent uvedlo potřebu lepšího porozumění kyberbezpečnosti. Od nového roku přitom pod připravovaný kyberzákon má spadat zhruba 6 000 firem a organizací, což tlak na připravenost dále zvýší.

Dva tisíce pokusů týdně jsou statistický šum, dokud jeden z nich neprojde. A ten neprojde přes sofistikovanou zero-day zranitelnost, ale přes heslo „Firma123“, přes přílohu, kterou někdo otevřel ve spěchu před obědem, přes zálohu, která ležela na stejném disku jako všechno ostatní.