Trendy kybernetických incidentů v roce 2025: Co musí firmy vědět

Prostředí kybernetické bezpečnosti se stále vyvíjí znepokojivým tempem, protože záškodníci využívají stále sofistikovanější techniky k narušení organizací ve všech odvětvích. Podniky čelí nebývalým výzvám při ochraně svých digitálních aktiv a udržování provozní odolnosti, od průniků poháněných umělou inteligencí až po zesílené kampaně národních států. Pochopení těchto vznikajících hrozeb a zavedení robustních obranných strategií se stalo klíčovým pro přežití organizací v dnešním propojeném digitálním ekosystému.

Umělá inteligence mění metody kybernetických útoků

Umělá inteligence zásadně změnila způsob, jakým aktéři hrozeb provádějí kybernetické operace. Nedávné údaje ukazují, že přibližně šestnáct procent nahlášených kybernetických incidentů nyní zahrnuje útočníky využívající nástroje umělé inteligence, zejména modely pro generování obrázků a jazyků, k provádění sofistikovaných kampaní sociálního inženýrství. Generativní umělá inteligence dramaticky zvýšila účinnost útoků tím, že vytváří přesvědčivější podvody a umožňuje rozsáhlou automatizaci nástrojů pro vniknutí.

Aktéři hrozeb nasazují technologie AI několika nebezpečnými způsoby. Technologie Deepfake umožňuje zločincům vytvářet realistické zvukové a obrazové napodobeniny vedoucích pracovníků a pracovníků podpory, které používají k autorizaci podvodných bankovních převodů, krádeži uživatelských pověření a kompromitaci účtů. Jeden obzvláště ničivý incident zahrnoval útočníky, kteří použili veřejně dostupné záběry k vytvoření přesvědčivých deepfake videí finančního ředitele a zaměstnanců společnosti, čímž úspěšně oklamali oběť, aby zločincům převedla více než dvacet pět milionů dolarů.

Hlasový phishing neboli "vishing" představuje další vektor hrozeb s využitím umělé inteligence. Útočníci využívají skripty generované umělou inteligencí a hlasové klony v cílených telefonických kampaních, jejichž cílem je přesvědčit oběti, aby si stáhly škodlivé soubory, navázaly relace vzdálené podpory nebo sdělily své přihlašovací údaje. Kromě toho aktéři hrozeb využívají generativní nástroje AI k vytváření vysoce přizpůsobených phishingových e-mailů a textových zpráv, které obsahují kontextové údaje a vzory přirozeného jazyka, což výrazně zvyšuje pravděpodobnost, že oběti kliknou na škodlivé odkazy a odevzdají své přihlašovací údaje.

Útoky ransomwaru jsou stále agresivnější a nákladnější

Ransomware nadále sužuje organizace napříč všemi průmyslovými odvětvími, přičemž nedávné zprávy ukazují dvanáctiprocentní meziroční nárůst počtu narušení souvisejících s ransomwarem. Útočníci používají stále agresivnější techniky vydírání a nasazují sofistikovanější nástroje, aby maximalizovali tlak na oběti. Moderní ransomwarové kampaně kombinují tradiční šifrování dat s rušivými taktikami včetně obtěžování zaměstnanců a ohrožení kritických operací, což vede k prodloužení odstávek a podstatně vyšším nákladům na obnovu.

Několik významných skupin ransomwaru dominovalo nedávným titulkům novin. Znovu se objevila skupina hrozeb Scattered Spider, která využívá pokročilé techniky sociálního inženýrství k získání prvotního přístupu do organizací v různých odvětvích. Mezitím se počátkem roku 2025 znovu objevila operace ransomwaru LockBit s aktualizovanou sadou nástrojů LockBit 4.0, která zahájila agresivní vyděračské kampaně zaměřené zejména na soukromý sektor v celých Spojených státech.

Zajímavé je, že reakce organizací na útoky ransomwaru se zřejmě mění. Nedávný průmyslový výzkum ukazuje, že přibližně šedesát tři procent dotázaných organizací odmítlo v uplynulém roce zaplatit výkupné, což představuje nárůst oproti padesáti devíti procentům v roce 2024. Tento trend naznačuje rostoucí odolnost vůči vyděračským požadavkům zločinců, i když také zdůrazňuje potřebu robustních zálohovacích a obnovovacích funkcí, které organizacím umožní obnovit provoz, aniž by před útočníky kapitulovaly.

Hrozby ze strany národních států sílí uprostřed geopolitického napětí

Aktéři národních hrozeb výrazně zintenzivnili své kybernetické operace a zaměřují se na telekomunikační infrastrukturu, kritické systémy a poskytovatele strategických služeb třetích stran. Tyto sofistikované kampaně běžně využívají techniky kybernetické špionáže a pokročilé podvodné taktiky s cílem ukrást přihlašovací údaje uživatelů a získat neoprávněný přístup k citlivým sítím a datům.

Skupiny aktérů hrozeb z Číny v uplynulém roce dramaticky vystupňovaly své aktivity, přičemž v některých cílových odvětvích došlo k dvouset až třísetprocentnímu nárůstu útoků ve srovnání s předchozím rokem. Celosvětovou pozornost upoutaly dvě významné kampaně na proniknutí do systému: Salt Typhoon a Volt Typhoon. Operace Salt Typhoon úspěšně infiltrovala významné telekomunikační sítě v rámci rozsáhlé kyberšpionážní kampaně, zatímco operace Volt Typhoon zahrnovala přednastavení škodlivého kódu v systémech kritické infrastruktury, což vyvolalo vážné obavy z možného přerůstání ve fyzické škody nebo rozsáhlé narušení provozu.

Aktéři napojení na národní státy využívají kromě technických průniků také taktiky sociálního inženýrství. Aktéři hrozeb napojení na Severní Koreu pronikli do amerických společností tím, že zfalšovali dokumentaci a vytvořili přesvědčivé profily kandidátů, aby si zajistili zaměstnání na pozicích IT podpory, které následně využili ke sběru uživatelských pověření a provádění podvodných finančních transakcí. Aktéři napojení na Írán si zejména osvojili generativní nástroje umělé inteligence, přičemž jedna skupina údajně po hackerské kampani zaměřené na citlivé údaje novinářů v červenci 2025 zesílila uniklé informace prostřednictvím chatbotů s umělou inteligencí.

Útoky na dodavatelský řetězec třetích stran představují rostoucí riziko

K útokům třetích stran dochází, když aktéři hrozeb kompromitují partnery dodavatelského řetězce, dodavatele nebo poskytovatele softwaru a využívají tento přístup k průniku do sítí cílových organizací. Tyto útoky se často kaskádovitě šíří napříč propojenými systémy a ovlivňují více navazujících subjektů a zákazníků, kteří jsou závislí na napadeném softwaru nebo službách. Nedávné údaje ze zpravodajství o hrozbách poukazují na nárůst finančně motivované kybernetické kriminality zaměřené na poskytovatele softwaru jako na počáteční vstupní body do širších podnikových ekosystémů.

Prolomením dodavatelů třetích stran mohou útočníci obejít tradiční obranu perimetru a získat privilegovaný přístup do citlivých podnikových prostředí. Tito aktéři hrozeb často využívají hostovaná prostředí, jako jsou cloudové platformy a ekosystémy softwaru jako služby, a pohybují se laterálně napříč zákaznickými instancemi, získávají pověření a exfiltraci vlastních dat ve velkém měřítku. Tato taktika umožňuje rozsáhlý dopad, zejména pokud dodavatelé obsluhují více klientů v různých odvětvích.

Kompromitace dodavatelského řetězce třetích stran se stala jedním z nejnákladnějších a nejtrvalejších vektorů kybernetických hrozeb, kterým dnes organizace čelí. Nedávné údaje ukazují, že tato narušení způsobují průměrné náklady ve výši téměř pěti milionů dolarů a jejich identifikace a potlačení vyžaduje delší dobu než jakákoli jiná forma kybernetického narušení. Složitost vztahů s dodavateli a prodloužená doba zdržení přispívají ke zpožděné reakci a zvýšené expozici postižených organizací.

Základní doporučení pro kybernetickou odolnost

Nejúčinnější obranou proti vyvíjejícím se kybernetickým hrozbám zůstává udržování komplexního programu kybernetické bezpečnosti založeného na rizicích. Organizace by měly upřednostnit připravenost na reakci na incidenty prováděním stolních cvičení za účasti klíčových vedoucích pracovníků, zástupců představenstva a vedoucích oddělení s cílem ověřit role, eskalační postupy a rozhodovací rámce. Tato cvičení by měla zahrnovat nové hrozby, jako je například škodlivé využívání generativní umělé inteligence, aby se zajistila připravenost týmů na realistické scénáře.

Správě politik je třeba věnovat trvalou pozornost. Organizace musí pravidelně revidovat a aktualizovat plány reakce na incidenty, postupy pro zajištění kontinuity provozu a procesy schvalování komunikace, aby zajistily, že odrážejí aktuální hrozby a splňují požadavky na rychlé oznamování, jako je požadavek směrnice Evropské unie NIS2 na čtyřiadvacetihodinové prvotní oznámení a pravidlo Komise pro cenné papíry a burzy cenných papírů o zveřejnění závažných incidentů do čtyř pracovních dnů. Aktualizované zásady by měly být rozeslány příslušným zúčastněným stranám a měly by se zabývat tolerancí k rizikům u nově vznikajících technologií, jako je generativní umělá inteligence.

Snižování rizik třetích stran vyžaduje důkladnou hloubkovou kontrolu dodavatelů a smluvní záruky. Organizace by měly provádět analýzy kritičnosti, aby identifikovaly dodavatele a komponenty, jejichž kompromitace by způsobila největší provozní dopad. Klíčová ochranná opatření zahrnují vyžadování potvrzení dodavatelů o bezpečných postupech vývoje softwaru, zavedení silné smluvní ochrany s požadavky na rychlé oznamování incidentů a právy na audit, provádění pravidelného hodnocení bezpečnostních postupů dodavatelů a testování úsilí o reakci prostřednictvím stolních cvičení zahrnujících scénáře dodavatelů třetích stran.

Procesy správy zranitelností musí být rychlé a systematické vzhledem k četnosti bezpečnostních záplat a vývoje zneužití. Organizace by měly udržovat zdokumentované procesy pro identifikaci, hodnocení, stanovení priorit, nápravu a sledování zranitelností a zároveň by měly přidělit jasnou odpovědnost a termíny pro činnosti nápravy. Zavedení průběžného monitorování a proaktivních nástrojů pro správu záplat, které vytvářejí auditovatelné protokoly, umožňuje organizacím řešit zranitelnosti dříve, než je mohou aktéři hrozeb zneužít.

A konečně, zapojení se do oborových skupin a informování o aktualizacích regulačních a donucovacích orgánů posiluje bezpečnostní pozici organizace. Navzdory nedávné právní nejistotě týkající se sdílení informací o kybernetické bezpečnosti po vypršení platnosti některých zákonných ustanovení zůstává včasné a koordinované sdílení informací zásadní. Organizace by se měly zapojit do oborových skupin pro kybernetickou bezpečnost, aby byly informovány o hrozbách a osvědčených postupech specifických pro dané odvětví, a zároveň sledovat aktualizace od vládních agentur a odebírat zpravodaje o hrozbách pro orgány činné v trestním řízení.

Ačkoli úplná eliminace kybernetického rizika je nadále nemožná, upřednostňování připravenosti na reakci na incidenty a dodržování právních předpisů buduje technickou odolnost a vytváří příznivější pozici organizací z provozního i právního hlediska, když se nevyhnutelně stanou terčem kybernetických útoků.

Zdroj: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know