Slogan Glitch Effect with Random Timing

Jaké kybernetické hrozby můžeme očekávat v roce 2026

Publikováno: 17. 12. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 362x
🕒 10 min čtení

Jako každý rok se podíváme na to, co nás v kyberprostoru čeká. Rok 2025 byl přelomový: umělá inteligence se stala běžnou součástí útoků i obrany, ransomware přidal exfiltraci dat a útoky na Active Directory a chyby v cloudu znovu ukázaly, že největším rizikem není technologie, ale její správa.

Rok 2026 nebude o nových trendech, ale o chytřejších kombinacích, vyšší míře integrace a menší lidské kapacitě reagovat.

Umělá inteligence a shadow AI/IT

Nejrůznější AI řešení se teď na nás valí ze všech stran, jejich dodavatelé se předhánějí v tom, kdo z nich nabídne lepší model a za lepší cenu. AI se stává široce dostupným řešením a nedílnou součástí vývoje i provozu, ale často zcela mimo dohled organizace. Hovoříme tak o shadow IT/AI a objevuje se zde i zcela nová útočná plocha v podobě AI asistentů.

Vývojáři si nechávají vygenerovat kód, který sice dělá, to co má, ale bez auditu se dostanou do produkčního prostředí spolu s ním i zranitelnosti, licenční problémy či skryté backdoory. Zaměstnanci vkládají citlivá firemní data do na internetu volně dostupných AI nástrojů, kde z nich vytvářejí dech beroucí prezentace, manažeři si nechávají dokonce od AI psát celé firemní strategie, radit  ohledně dalšího rozvoje a bezmyšlenkovitě přejímají jejich výstupy.

Jenže AI  se přitom dál trénuje nad těmito daty, dál halucinuje, vymýšlí si, odkazuje se na neexistující studie a zdroje, chybně počítá a přesvědčivě se mýlí. Riziko AI ale nespočívá jen v úniku dat nebo halucinacích, ale v jejich systematickém zkreslování (data poisoning). Podvržená data totiž mohou vést k chybným doporučením a následně k nesprávnému rozhodnutí managementu, které organizaci poškodí rychleji než samotný technický útok. Řešením je kontrola využíváni

AI a jasně stanovená pravidla, která bohužel ve většině firem stále schází.

Hacking

Nadále budou zneužívány zranitelnosti v nejčastěji používaných aplikacích, systémech, informačních i operačních technologiích, a především pak chyby v konfiguraci cloudových prostředí. To vše za vydatného přispění volně dostupných nástrojů a skenerů, stále častěji vytvářených nebo podporovaných umělou inteligencí.

Po průniku do prostředí budou útočníci využívat nástroje, které jsou již součástí systému – PowerShell, WMI, PsExec nebo certutil. Tento přístup, známý jako Living off the Land (LOTL), umožňuje útočníkům skrýt se v běžném provozu a působit jako legitimní administrativní činnost, což výrazně ztěžuje detekci.

Stále častěji však útok ani nevyžaduje technický průnik. Chyby v IAM rolích, přehnaná oprávnění, veřejně přístupné bucket nebo sdílené instance umožňují převzetí identity bez znalosti hesla. Útočník tak nepřebírá infrastrukturu, ale schopnost jednat jménem organizace. Důsledkem nemusí být výpadek systémů ani zjevný incident, ale přímé vyvedení peněz, změna obchodních vztahů nebo převzetí rozhodovací pravomoci prostřednictvím falšovaných oprávnění či plných mocí.

Možnou obranou je omezení skriptovacích nástrojů, důsledné uplatňování principu minimálních oprávnění, behaviorální detekce a průběžné sledování odchylek od normálního chování namísto spoléhání se na signatury. Stejně důležitá je schopnost rychle identifikovat zneužitou identitu a okamžitě odebrat její oprávnění, protože právě rychlost a správnost reakce rozhodují o výši škody.

Malware

Malware se samozřejmě bude dál vyvíjet, ale k nějaké zásadní změně paradigmatu asi zatím nedojde. Podobně jako letos, uvidíme nový malware, silně polymorfní, dynamicky se měnící, tvořící skripty za běhu, takže nějaké vytváření hashů a IoC bude dost na pytel.

Dost možná se toho objeví více na Linux a Unixu a možná že bude i více ransomware s postkvantovou kryptografií, protože letos to byla navzdory očekávání celkem bída. Prim bude jistě opět hrát ransomware s triple/quadruple extortion. Útočníci kombinují šifrování, krádež dat a vydírání třetích stran. Cílem je maximální tlak: zneužití dat, poškození reputace i útoky na partnery.

Stále častěji se útoky budou zaměřovat na Active Directory, zálohovací systémy a cloudová úložiště, tedy na prvky, které rozhodují o možnosti obnovy. Cílem už není jen způsobit výpadek, ale zničit schopnost návratu do provozu. Úspěch útoku se proto neměří tím, zda se malware dostal do systému, ale tím, zda se organizace dokáže obnovit v přijatelném čase a rozsahu.

Jenže segmentace sítě, správa privilegovaných účtů, offline zálohy a pravidelné testy obnovy nestačí, je třeba definovat nezbytný rozsah služeb (tzv. minimum viable product), který je třeba obnovit, aby organizace přežila, protože úspěch se už neměří tím, zda útoku zabráníme, ale jak rychle se z něj dokážeme zotavit. A celý tento systém je pak třeba obnovit, ne jen jeho jednotlivé části.

Phishing, vishing a SCAM

Phishing, vishing a různé formy SCAMu zůstanou i nadále jedním z nejefektivnějších způsobů průniku, protože cílí přímo na jednotlivce. Využívají přirozená omezení lidského vnímání, důvěru v autoritu, časový tlak a schopnost přesvědčivě manipulovat kontextem. Díky generativní umělé inteligenci se tyto útoky stávají jazykově přesné, personalizované a obtížně rozeznatelné i pro zkušené uživatele.

Zásadní změnou je nástup deepfake hlasů a videí, které umožňují vydávat se za nadřízené, obchodní partnery nebo externí autority. V takových případech nejde o technickou chybu ani nepozornost, ale o selhání lidského úsudku pod tlakem, což je stav, který nelze školením nikdy zcela eliminovat. Útočníci toho využívají k vylákání přístupů, schválení transakcí nebo obejití běžných postupů.

Riziko proto nespočívá v tom, že jednotlivec udělá chybu, to je nevyhnutelné, ale v tom, že tato chyba má okamžitý a nevratný dopad. Pokud jedno špatné rozhodnutí může vést k převodu peněz, změně kritických údajů nebo eskalaci oprávnění, selhává návrh systému, nikoli člověk.

Obrana spočívá především v oddělení pravomocí, víceúrovňovém schvalování, zpomalovacích mechanismech u citlivých operací a pravidelném testování scénářů sociálního inženýrství, včetně reakcí jednotlivců i managementu. Úspěch se neměří tím, zda někdo naletí, ale tím, zda organizace dokáže přežít lidskou chybu bez zásadní škody.

Psychologické operace (PSYOPS)

V loňské predikci jsem upozorňoval, že rok 2024 byl pouze obdobím postupného přetváření narativu a testování hranic veřejné debaty, zatímco skutečná politická změna přijde až v roce následujícím. Tato prognóza se potvrdila beze zbytku.

Současný informační prostor je vysoce multipolární a konkurenční. Spojené státy a jejich spojenci nadále cíleně tvarují veřejné narativy prostřednictvím strategické komunikace, AI nástrojů a mediálních aliancí, zatímco Rusko a Čína rozvíjejí propracované vlivové operace využívající generativní technologie, dezinformační sítě a ideologii multipolárního světa, již aktivně posiluje blok BRICS.

Evropská unie v tomto prostředí působí roztříštěně a institucionálně slabě, neboť jednotlivé státy uplatňují rozdílné přístupy a chybí jí centrální strategická koordinace, což snižuje její schopnost čelit koordinovaným informačním kampaním a efektivně prosazovat vlastní narativy. Jinými slovy propaganda pojede dál na plné obrátky a zase si užijeme.

Neopatchovaný software

Neopatchovaný software zůstává jedním z nejčastějších vstupních bodů útoku. Ne proto, že by organizace nevěděly o zranitelnostech, ale proto, že jejich počet, provázanost systémů a provozní omezení znemožňují opravit vše okamžitě. Patchování tak není technickým problémem, ale problémem rozhodování o prioritách.

Bezpečnostní týmy jsou dlouhodobě přetížené a každá aktualizace nese riziko výpadku nebo narušení provozu. Odkládání patchů proto není selháním disciplíny, ale často vědomým kompromisem mezi dostupností a bezpečností. Problém nastává ve chvíli, kdy tento kompromis není řízený a organizace neví, které systémy skutečně představují největší riziko.

Rozhodující není počet zranitelností, ale jejich kombinace, tj. zda je systém vystaven do internetu, zda existuje funkční exploit, jaká je pravděpodobnost zneužití a jaký by byl reálný dopad na provoz, finance a reputaci. V tomto kontextu přestávají mít abstraktní kategorie typu „kritická zranitelnost“ nebo červené pole v risk matici praktický význam.

Řešením je automatizovaný patch management, ale především kvantifikace rizik a jasná prioritizace. Organizace musí být schopna říct, které systémy může dočasně ponechat neopatchované, a které ne. A pokud organizace nedokáže vyčíslit dopad kompromitace konkrétní služby, neřídí riziko, ale pouze reaguje na seznamy zranitelností.

Nedostatek odborníků

Bez lidí neexistuje bezpečnost. Technologie rychle přibývají, ale odborníků je pořád nedostatek. Nedostatek odborníků v kybernetické bezpečnosti není krátkodobý výkyv, ale strukturální problém. Technologie přibývají rychleji než schopnost organizací je pochopit, provozovat a řídit. A v okamžiku, kdy se odborníkem stává každý, kdo projde nějakým jednodenním kurzem a dokáže napsat prompt do ChatGPT, tak nemůže být líp.

Zvláštní kapitolou je postavení CISO a bezpečnostních týmů v hierarchii organizace. Klíčové nebude mít jen dost lidí, ale především mít lidi na správných místech, s jasnými pravomocemi a odpovědnostmi. Bezpečnostní týmy se musí soustředit na scénáře s nejvyšším rizikem, testování reakcí a obnovu po útoku, nikoli na obsluhu stále se rozrůstajícího nástrojového portfolia a reporting pseudometrik.

Nedostatek odborníků se projeví kvalitou rozhodování v krizových situacích. A právě ta rozhodne o tom, zda organizace útok přežije.

Modularita, řetězová selhání a totální závislost

Vysoká míra integrace znamená vysoké riziko. Každá komponenta závisí na dalších, což zvyšuje pravděpodobnost řetězového selhání. Modulární vývoj přináší rychlost, ale také křehkost, když selže jedna část, padá celý systém.

Řešením není další vrstva integrace, ale kontrola závislostí. Organizace by měly udržovat přehled o použitých komponentách (SBOM), minimalizovat zbytečné vazby a pravidelně testovat náhradní scénáře provozu.

Stejně důležité je snižovat závislost na technologiích, cloudech a AI a budovat alespoň základní strategickou autonomii, protože globální výpadky hyperscalárů nejsou výjimkou, ale trendem, který bude pokračovat i v dalších letech.

Doporučení

Audit jednou za rok přestal dávat smysl. Odolnost nevzniká kontrolou, ale neustálým ověřováním reality. Continuous Threat Exposure Management (CTEM) musí nahradit statické pohledy na riziko. Breach and Attack Simulation (BAS) a Automated Exposure Validation (AEV) umožňují testovat, zda by útok skutečně prošel a jak by se organizace zachovala. Klíčové není sbírat další nálezy, ale pravidelně testovat technická opatření, reakce týmů i rozhodování managementu.

Organizace by měly znát své skutečné závislosti na technologiích, cloudech, dodavatelích i AI. Nejen kde je používají, ale co se stane, když selžou. Je nutné mít jasno v tom, jaký je minimum viable company, tj. jaký je minimální rozsah služeb, procesů a důvěry, který musí přežít, aby organizace mohla fungovat dál. Testování obnovy se nemá soustředit na jednotlivé systémy, ale na schopnost obnovit provoz jako celek.

Priorita bezpečnostních opatření a testů nemá vycházet z barev v risk matici, ale z poctivé kvantifikace rizik. Organizace musí být schopna vyčíslit pravděpodobnost a dopad jednotlivých scénářů útoku a podle toho rozhodovat, kde investovat čas, peníze a pozornost. Bez této schopnosti nelze řídit riziko, pouze o něm mluvit.

Závěr

Útoky budou rychlejší, automatizovanější a méně nápadné. Skutečný problém nebude v jejich technické sofistikovanosti, ale v tom, že se stále častěji dotknou schopnosti organizace rozhodovat, jednat a pokračovat v provozu. Rozhodující proto bude, kdy organizace útok odhalí, jak rychle na něj zareaguje a především zda na něj zareaguje správně. Právě proto je nutné testovat nejen technologie, ale i reakce lidí a rozhodování managementu pod tlakem.

To vyžaduje jasnou představu o tom, které scénáře představují nejvyšší riziko, jaké mají finanční a provozní dopady a co musí organizace za každou cenu zachovat, aby přežila. Z toho plyne nutnost vycházet z konkrétních scénářů a poctivé kvantifikace rizik – tedy z pochopení pravděpodobnosti, dopadu a skutečných následků. Jen tak lze stanovit priority a obnovit provoz v přijatelném rozsahu.

Detekce uklidňuje, reakce rozhoduje a špatně spočítané riziko zabíjí.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Jaké kybernetické hrozby můžeme očekávat v roce 2026. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jake-kyberneticke-hrozby-muzeme-ocekavat-v-roce-2026/. [cit. 2026-01-25].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Jaké kybernetické hrozby můžeme očekávat v roce 2024
  2. Jaké kybernetické hrozby můžeme očekávat v roce 2022
  3. Jaké kybernetické hrozby můžeme očekávat v roce 2021
  4. Jaké kybernetické hrozby můžeme očekávat v roce 2025
  5. Jaké kybernetické hrozby můžeme očekávat v roce 2023

Štítky:

K článku se zde nenachází žádný komentář – buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Text vaší reakce:

 

Tento web používá Akismet k omezení spamu. Podívejte se, jak data z komentářů zpracováváme.

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil