Hackeři prodávají přístup k vaší síti za pár dolarů. Ransomware řetězec v energetice začíná u jednoho špatného e-mailu.

Představte si, že přijdete ráno do práce, zapnete počítač a místo plochy na vás svítí rudý nápis. Vaše data jsou pryč. Zálohy? Smazané. Dispečink nereaguje. A co je nejhorší, někde venku právě začínají kolabovat systémy, které drží v chodu rozvodnou síť. Není to scénář z béčkového filmu od Netflixu. Je to realita, kterou v posledních týdnech zažívají firmy po celém světě díky kampaním skupin jako ShinyHunters nebo zneužívání kritických chyb v systémech Ivanti.

Ransomware už dávno není o náhodném šifrování domácích fotek. Je to vysoce organizovaný byznys. Útočníci mají své HR oddělení, technickou podporu pro oběti a marketing. V energetice a kritické infrastruktuře se ale hraje o víc než jen o bitcoiny. Tady jde o stabilitu státu. Když hackeři nedávno masivně napadli přihlašovací portály Canvas nebo zneužili zero-day zranitelnosti v Ivanti EPMM, ukázali nám jednu věc. Naše obrana je děravá jako ementál.

První článek řetězu: Když selže člověk i stroj

Útok nikdy nespadne z čistého nebe. Má svůj přesný řetězec – attack chain. Vše začíná u průzkumu. Útočníci nejsou hloupí. Neposílají statisíce e-mailů s gramatickými chybami. Dívají se na LinkedIn, studují strukturu vaší firmy. Pak přijde phishing. Ale ne ledajaký. Je to cílený úder na konkrétního administrátora, který má přístup k "vnitřnostem" systému.

V případě aktuální kampaně ShinyHunters vidíme brutální efektivitu. Tito lidé se nezdržují drobnými. Jdou po velkých rybách a využívají ukradené přihlašovací údaje z dřívějších úniků. Pokud vaši zaměstnanci používají stejné heslo do firemního portálu i na e-shop s krmivem pro psy, máte problém. Masivní útoky na Canvas portály ukázaly, že stačí ovládnout jeden vstupní bod a máte otevřené dveře k datům tisíců uživatelů.

Pak je tu technická cesta. Ivanti nedávno varovala před novou trhlinou v Endpoint Manager Mobile (EPMM). Hackeři ji začali zneužívat dřív, než si většina firem stihla vypít ranní kávu. Tohle je noční můra každého admina. Zero-day útok znamená, že útočník zná díru v plotě, o které vy ani výrobce plotu ještě nevíte. V energetice, kde systémy často běží na zastaralém softwaru, protože "se do toho nesmí sahat, aby to nespadlo", je tohle rozsudek smrti.

Proč je energetika tak sexy cílem?

Proč se hackeři obtěžují s útoky na solární parky, trafostanice nebo dodavatele energií? Protože je to páka. Když zašifrujete server s účetnictvím v pekárně, je to nepříjemné. Když ale ochromíte řídicí systémy (OT – Operational Technology), můžete vydírat celou vládu. Moderní energetika se navíc radikálně mění. Přecházíme na decentralizované zdroje, chytré sítě a IoT prvky. Každý chytrý střídač, každý senzor v síti je potenciální brána pro útočníka.

Bezpečnostní experti se shodují, že propojení světa IT a OT je největší slabinou současnosti. Dřív byly tyto světy oddělené "vzduchovou mezerou". Dnes musí dispečink komunikovat s cloudem, aby mohl efektivně řídit spotřebu. Pokud v této komunikaci chybí robustní zabezpečení, stačí jedna chyba v konfiguraci a útočník se z vašeho kancelářského e-mailu dostane až k ovládání turbíny.

Právě proto vznikají řešení jako SmartEnergyShare, která kladou důraz na chytrou a bezpečnou správu energetických toků. V době, kdy se energetika digitalizuje, nemůžete spoléhat na to, že vás ochrání starý firewall. Potřebujete systémy, které jsou postavené s myšlenkou na kybernetickou odolnost už od první řádky kódu.

Technická anatomie průšvihu

Pojďme si to rozebrat na součástky. Útok přes Ivanti EPMM nebyl náhodný. Útočníci využili chybu v API, která jim umožnila obejít autentizaci. V překladu: prostě zaklepali na dveře a systém je pustil dál, aniž by se zeptal, kdo jsou. Jakmile jsou uvnitř, začíná fáze "lateral movement". Útočník se rozhlíží. Instaluje si zadní vrátka (web shells). Krade tokeny.

Je to jako rakovina. Nejdřív o ní nevíte. Útočníci v síti průměrně stráví několik týdnů až měsíců. Nešifrují hned. Nejdřív kradou data pro "double extortion" (dvojité vydírání). Tedy: "Zaplať, abychom ti vrátili data, a zaplať znovu, abychom je nezveřejnili na internetu." Pro firmy v energetice je představa, že se na veřejnost dostanou citlivá schémata sítě nebo seznamy kritických zranitelností, naprosto likvidační.

NUKIB nekecá, situace je vážná

Český Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) vydává varování pravidelně. A ne, není to jen úřednický spam. Doporučení NUKIB (najdete je na nukib.gov.cz) jasně říkají: segmentujte síť, používejte vícefaktorové ověřování (MFA) a hlavně – patchujte.

MFA (multi-factor authentication) je dnes naprosté minimum. Pokud ho nemáte, v podstatě necháváte klíče od trezoru v zámku. Ale pozor, ani MFA není samospásné. Hackeři už umí techniky jako "MFA fatigue", kdy vás zahltí požadavky na schválení přístupu v mobilu, dokud to prostě v otupění neodklepnete. Nebo využívají ukradené session cookies, čímž MFA úplně obejdou.

V energetice je navíc kritické sledovat anomálie v provozu. Pokud váš střídač začne uprostřed noci posílat pakety na server v Severní Koreji, něco je špatně. Detekce incidentů je v kritické infrastruktuře stejně důležitá jako samotná prevence. Protože otázka nezní "jestli" vás napadnou, ale "kdy".

Jak z toho ven? Recovery není jen o záloze

Většina firem si myslí, že je zachrání zálohy. Jenže moderní ransomware jako první věc v síti hledá právě zálohovací servery. Pokud jsou vaše zálohy připojené ke stejné doméně jako zbytek sítě, útočník je smaže jedním příkazem.

Potřebujete tzv. "immutable storage" – úložiště, do kterého se dá zapisovat, ale data z něj nelze po určitou dobu smazat ani změnit. A hlavně potřebujete plán obnovy, který jste si reálně vyzkoušeli. Už jsem zažil firmy, které měly skvělé zálohy, ale zjistily, že obnova 50 TB dat přes jejich pomalou linku bude trvat tři týdny. V energetice máte na obnovu kritických funkcí spíš hodiny než dny.

Strategie přežití pro rok 2026

Zapomeňte na to, že kyberbezpečnost vyřeší nákup jedné drahé krabičky od Cisca. Je to o lidech a procesech.

Nulová důvěra (Zero Trust): Nikomu nevěřte. Ani zařízení v kanceláři šéfa. Každý přístup musí být ověřen, pokaždé.
Vzdělávání: Dokud bude sekretářka klikat na přílohy "faktura_final_final.zip", nepomůže vám ani svěcená voda.
Investice do moderních platforem: Pokud stavíte chytrou energetiku, využívejte partnery, kteří bezpečnost nepovažují za přívažek, ale za základ. Bezpečná správa dat a řízení spotřeby jsou klíčové pro stabilitu celé sítě.
Simulace útoků: Najměte si etické hackery. Ať vám ukážou, kudy se k vám dostanou. Bolí to méně než skutečný útok.

Předpověď pro ty, co dočetli až sem

Ransomware se bude vyvíjet dál. S příchodem AI budou phishingové e-maily nerozeznatelné od zpráv od vašeho kolegy. Deepfake hovory, kde k vám mluví hlas vašeho IT ředitele a žádá o reset hesla, už se dějí. Energetika zůstane v první linii, protože je to nejcitlivější místo moderní společnosti.

Pokud dnes spoléháte na to, že jste "příliš malí na to, aby vás hackli", pamatujete na ShinyHunters. Ti nikoho nehledají ručně. Mají skripty, které prohledávají celý internet a hledají známé chyby. Jste jen IP adresa v jejich seznamu. A je jen na vás, jestli se z té adresy stane další titulek v novinách, nebo příklad firmy, která útok ustála, protože nebyla líná patchovat.

Svět se nezastaví. Útoky se budou zrychlovat. Ale dokud budeme o krok před nimi v myšlení, máme šanci. Kyberbezpečnost není náklad. Je to pojistka na to, že zítra ráno ještě budeme svítit.