CERT-In Mandates 12-Hour Patching for Internet-Facing Flaws Amid AI-Assisted Attacks
Máte 12 hodin, než vás AI hackeři vymažou z mapy. Nový bezpečnostní diktát mění pravidla hry i v Česku
Představte si, že se v pondělí v osm ráno v kanceláři dozvíte o kritické zranitelnosti ve vašem firewallu nebo redakčním systému. Dřív jste měli dny, možná týdny na to, abyste naplánovali údržbu, otestovali záplatu a pak ji v klidu nasadili. Tyhle časy jsou definitivně pryč. Indický úřad CERT-In (Computer Emergency Response Team) právě odpálil bombu, která přepíše manuály všech IT manažerů na světě: na opravu kritických děr v systémech vystavených do internetu máte přesně 12 hodin. Ani o minutu víc.
Proč taková hysterie? Protože zatímco vy si mícháte ranní kávu, AI boty útočníků už dávno skenují váš segment sítě. Rychlost, s jakou se dnes zranitelnost změní v aktivní útok, se díky umělé inteligenci smrskla na jednotky hodin. Pokud nebudete rychlejší než skripty napsané v LLM, vaše infrastruktura patří někomu jinému.
Ghost CMS: Když vám web ukradnou před očima
Příkladem z absolutní praxe je aktuální masakr kolem Ghost CMS. CVE-2026-26980 není jen další nudné číslo v databázi zranitelností. Je to vstupenka pro útočníky, kteří během pár dní dokázali ovládnout přes 700 webových stránek. Cíl? ClickFix útoky.
Možná jste to už viděli. Web vypadá normálně, ale najednou na vás vyskočí okno: „Váš prohlížeč vyžaduje aktualizaci. Zkopírujte tento kód do PowerShellu a opravte chybu.“ Zní to jako hloupost, na kterou nikdo neskočí? Opak je pravdou. Psychologický nátlak v kombinaci s vizuální identitou moderních prohlížečů funguje skvěle. Jakmile uživatel ten kód spustí, je vymalováno. Útočník má plný přístup k počítači, k heslům, k firemní VPN a k ovládání kritických systémů.
Tohle není teorie. Tohle se děje právě teď a oběťmi jsou i technologické firmy, které si myslely, že jsou v bezpečí. Útoky typu ClickFix jsou novým standardem, jak obejít drahé firewally přes nejslabší článek – člověka u klávesnice.
Íránská stopa a jedovaté vyhledávání
Aby toho nebylo málo, do hry vstoupili íránští hackeři s novou generací malwaru MiniFast a MiniJunk V2. Zapomeňte na špatně napsané phishingové maily plné gramatických chyb. Jejich nová zbraň je mnohem sofistikovanější: SEO poisoning.
Funguje to jednoduše. Hledáte technickou dokumentaci k průmyslovému ovladači nebo aktualizaci pro svůj střídač ve fotovoltaické elektrárně? Útočníci otrávili výsledky vyhledávání v Google tak šikovně, že na prvních místech neuvidíte oficiální web výrobce, ale jejich infikovanou kopii. Stáhnete si PDF, které se tváří jako manuál, ale na pozadí si nainstalujete backdoor, který čeká na instrukce.
Právě v energetice je tohle riziko extrémní. Pokud spravujete data o výrobě nebo spotřebě, jako to dělají uživatelé na platformách typu smartenergyshare.com, musíte si uvědomit, že vaše přihlašovací údaje k monitoringu jsou pro útočníka stejně cenné jako přístup k bankovnímu účtu. Možnost vzdáleně ovlivnit toky energie v síti je snem každého státního hackerského uskupení.
Proč se z toho energetika potí?
Kritická infrastruktura byla dlouho považována za izolovaný ostrov. „Máme to za firewallem, k nám nikdo nemůže,“ byla mantra devadesátek. Dneska je ale všechno propojené přes cloud, API a vzdálený monitoring.
Když indický CERT-In nařídil oněch 12 hodin, nemířil tím na majitele e-shopů s ponožkami. Mířil na banky, telekomunikace a hlavně energetiku. Představte si, že máte v síti stovky solárních střídačů nebo nabíjecích stanic pro elektromobily. Každé z těch zařízení má svůj webový management. Stačí jedna neopravená nultá chyba (zero-day) a útočník může způsobit lokální blackout nebo poškodit hardware za miliony.
V Česku situaci bedlivě sleduje NUKIB. Jejich doporučení jsou jasná: segmentace sítě není volba, je to nutnost. Pokud se vám někdo nabourá do webu s marketingovými články, nesmí se přes něj dostat k řídicímu systému elektrárny. Zní to logicky, ale v praxi na to spousta firem kašle, protože „to stojí peníze a komplikuje to správu“.
Technický detail: Jak vypadá AI útok
Proč už nestačí týdenní cyklus záplatování? Protože hackeři začali používat AI k reverznímu inženýrství záplat. Jakmile Microsoft nebo Ghost vydají opravu, AI model během sekund analyzuje, co přesně se změnilo, a najde cestu, jak zneužít původní chybu v systémech, které ještě aktualizaci nemají.
Dříve trvalo vytvoření exploitu dny. Dnes je to otázka minut. Automatizované botnety pak začnou okamžitě ostřelovat celý internetový rozsah adres. Vaše IP adresa není schovaná. Pokud je v internetu, útočník o ní ví. A pokud má váš Ghost CMS nebo Apache server díru, bot ji najde dřív, než vy dopijete ranní kávu.
Dvanáctihodinový limit od CERT-In je v podstatě uznáním porážky lidské rychlosti. Je to pokus vynutit si automatizaci bezpečnosti. Pokud váš systém neumí automaticky detekovat kritickou záplatu a s minimálním rizikem ji nasadit (nebo aspoň izolovat zasaženou část), prohráli jste.
Jak se nezbláznit a přežít
Co s tím má dělat český šéf IT nebo majitel solárního parku?
- Vypněte to, co nepotřebujete. Má váš střídač webové rozhraní vystavené přímo do internetu bez VPN? Proč? Dejte ho za pořádnou bránu.
- MFA je povinnost, ne obtěžování. Dvoufázové ověření u všech administrátorských účtů by mělo být zákonem. Bez něj jste v roce 2026 jen snadná kořist.
- Sledujte zdroje. NUKIB a CISA nejsou jen úřady pro legraci. Jejich varování o "active exploitation" jsou signálem k okamžité akci.
- Auditujte dodavatele. Pokud používáte platformy pro řízení energie, ptejte se jich na bezpečnostní politiku. Jak rychle záplatují? Kdo má přístup k datům?
V budoucnu se kybernetická bezpečnost rozdělí na dvě skupiny: na ty, kteří vsadili na automatizovanou obranu a AI asistenty v bezpečnosti, a na ty, kteří budou v televizi vysvětlovat, proč jejich zákazníci přišli o data nebo energii.
Limit 12 hodin je brutální. Je nepohodlný. Ale je to jediná cesta, jak udržet digitální svět v chodu v době, kdy na druhé straně linky nesedí puberťák v mikině, ale vysoce efektivní neurální síť s neomezeným rozpočtem od cizí mocnosti. Buďte rychlejší, nebo buďte offline. Jiná možnost už neexistuje.