Představte si, že jednoho rána přijdete do práce, otevřete firemní web a… nic. Stránka se nenačítá. E-shop stojí. Zákaznický portál nefunguje. Telefon začne zvonit – klienti, kolegové, šéf. Co se děje?
Gratulujeme, právě jste se stali terčem DDoS útoku. A pokud vaše firma podporuje Ukrajinu, provozuje veřejně dostupné služby nebo prostě jen spadá pod kritickou infrastrukturu v České republice – šance, že se vám tohle stane, je vyšší, než byste si možná mysleli.
V lednu 2026 zaznamenal NÚKIB 32 kybernetických bezpečnostních incidentů – nejvíce za posledních 12 měsíců. Téměř polovina z nich byly DDoS útoky. A za většinou z nich stojí skupina, jejíž jméno byste měli znát: NoName057(16).
Co je vlastně DDoS útok (a proč je nebezpečnější, než se zdá)
DDoS (Distributed Denial of Service) je v principu jednoduchý: tisíce počítačů najednou začnou posílat požadavky na váš server. Ten je nestíhá zpracovat a přestane odpovídat. Pro vaše zákazníky to vypadá, jako byste vypnuli web.
Zní to jako dětská hra oproti ransomware nebo krádeži dat? Nenechte se mýlit.
Podle analýzy Ponemon Institute stojí každá minuta výpadku způsobeného DDoS útokem firmu v průměru 22 000 dolarů. U malých a středních podniků se celkové náklady na zotavení z jednoho útoku pohybují kolem 52 000 dolarů. A to nepočítáme ztrátu důvěry zákazníků, smluvní pokuty nebo reputační škody.
Navíc – a to je důležité – DDoS útok často slouží jako „kouřová clona". Zatímco se váš IT tým soustředí na obnovení dostupnosti webu, útočníci mohou na pozadí zkoušet proniknout do systémů jinudy. Phishing, exploitace zranitelností, krádež přihlašovacích údajů – to všechno se snáz provádí, když má obránce plné ruce práce s DDoS.
A čísla mluví jasně: Cloudflare jen v prvním čtvrtletí 2025 zablokoval 20,5 milionu DDoS útoků – to je 96 % celkového objemu za celý rok 2024 (21,3 milionu). Jediný kvartál téměř vyrovnal celý předchozí rok. Meziročně jde o nárůst o 358 %. DDoS zkrátka není „low-level" hrozba – je to epidemie.
NoName057(16): Kdo to je a proč útočí na Česko
NoName057(16) je proruská hacktivistická skupina, která vznikla v březnu 2022, krátce po ruské invazi na Ukrajinu. Od té doby systematicky útočí na weby a online služby zemí, které Ukrajinu podporují – a Česko je dlouhodobě jedním z jejich hlavních cílů.
Proč zrovna my? Česká republika patří k nejvýraznějším podporovatelům Ukrajiny v rámci EU, a to vojensky i diplomaticky. A NoName057(16) si vybírá cíle s chirurgickou přesností podle politického dění – stačí summit NATO, návštěva ukrajinského prezidenta, nebo jen prohlášení české vlády, a útoky přijdou.
Jak to funguje v praxi:
Skupina provozuje platformu DDoSia – vlastní nástroj pro koordinované DDoS útoky. Přes Telegram verbují dobrovolníky (odhaduje se kolem 4 000 aktivních členů), kteří si stáhnou software a zapojí se do útoku. Za úspěšné útoky dostávají odměny v kryptoměnách. Je to v podstatě „DDoS jako služba" s gamifikací – kdo udělá nejvíc škody, dostane nejvíc zaplaceno.
Výsledky jsou měřitelné. Podle analýzy Recorded Future skupina v období od července 2024 do července 2025 zacílila na více než 3 700 unikátních hostů – průměrně 50 cílů denně, s maximy přes 90 cílů za den.
Co se dělo v Česku: Časová osa útoků
NÚKIB od roku 2023 eviduje 42 kybernetických incidentů spojených s NoName057(16) – a všechny byly DDoS útoky. Ale za tím číslem se skrývá mnohem intenzivnější realita.
Leden 2023: První velká vlna. Skupina vedla sérii DDoS útoků na webové stránky více než desítky státních i soukromých subjektů. NÚKIB zaznamenal dvojnásobný nárůst incidentů oproti předchozímu měsíci.
Říjen 2023: Jeden z nejviditelnějších útoků. Nedostupné byly weby vlády, Poslanecké sněmovny, Senátu, ministerstva vnitra, Policie ČR, hasičů i pražského letiště. Útok proběhl přes platformu DDoSia a byl pravděpodobně motivovaný zasedáním Krymské platformy.
Prosinec 2025: NÚKIB vydal varování před proruským hacktivismem a skupinu výslovně jmenoval.
Leden 2026: SOCRadar identifikoval masivní koordinovanou kampaň – 5 095 zaznamenaných útoků za jediný týden (19.–25. ledna), cílených na 141 unikátních domén. 74,6 % všech útoků mířilo na českou infrastrukturu. To je víc než v jakékoli předchozí kampani – dokonce víc než při kampani zaměřené na Polsko (67,1 %).
NÚKIB v lednu 2026 evidoval celkem 15 DDoS incidentů, které tvořily téměř polovinu všech zaznamenaných bezpečnostních incidentů. Za útoky stály primárně skupiny NoName057(16) a ServerKillers.
Europol zasáhl – a skupina je zpátky
V červenci 2025 proběhla Operace Eastwood – koordinovaná akce Europolu a Eurojustu ve 12 zemích včetně Česka. Výsledky vypadaly impozantně: přes 100 serverů bylo odstaveno, provedeny desítky domovních prohlídek v šesti zemích, vydáno celkem 7 zatykačů (6 z Německa na ruské občany, 1 ze Španělska), zadrženi dva podezřelí ve Francii a Španělsku.
A co se stalo potom? Skupina na svém Telegramu vzkaz policie označila za „nesmysly zahraničních tajných služeb", rychle obnovila infrastrukturu a pokračovala v útocích. Leden 2026 je toho důkazem – intenzita je vyšší než kdykoli předtím.
Tohle je realita hacktivismu: i když odstraníte infrastrukturu, motivace a lidé zůstávají. Dobrovolnický model s 4 000 členy je extrémně odolný vůči centralizovanému zásahu.
Jak poznat, že jste pod DDoS útokem
Většina firem DDoS útok pozná až tehdy, když už je pozdě – web nefunguje a telefon zvoní. Ale pokud monitorujete správné věci, můžete útok detekovat dříve:
Varovné signály:
Neobvyklý nárůst síťového provozu z jedné geografické oblasti nebo IP rozsahu. Náhlé zpomalení webových stránek nebo aplikací bez zjevné příčiny. Zvýšený počet chybových hlášek (HTTP 503, timeout) v logách. Server nebo firewall reportuje neobvyklé množství požadavků na konkrétní URL. Monitoring ukazuje vytížení šířky pásma blížící se maximu, přestože není špička.
Klíčové je mít monitoring v reálném čase. Pokud se o výpadku dozvíte od zákazníků, je to pozdě. Automatizované alerty na anomálie v provozu vás varují o minuty dříve – a ty minuty rozhodují.
Jak se bránit: Praktický checklist
Proti DDoS se nedá bránit jedním opatřením. Potřebujete vrstvený přístup:
1. CDN a cloudová ochrana (Cloudflare, Akamai, AWS Shield)
Content Delivery Network distribuuje váš obsah přes globální síť serverů. Když přijde DDoS, útok se rozloží mezi desítky datových center místo toho, aby zaplavil váš jediný server. Služby jako Cloudflare nabízejí DDoS mitigaci i v bezplatných plánech – pro základní ochranu nemusíte utratit ani korunu. Pro firmy spadající pod zákon o kybernetické bezpečnosti ale doporučujeme placené plány s SLA a garantovanou dobou odezvy.
2. Web Application Firewall (WAF)
WAF filtruje škodlivý provoz ještě předtím, než se dostane k vašemu serveru. Umí rozlišit legitimní návštěvníky od botů a automaticky blokuje podezřelé požadavky. V kombinaci s CDN tvoří první linii obrany.
3. Rate limiting a geo-blocking
Nastavte limity na počet požadavků z jedné IP adresy za určitý čas. Pokud víte, že vaši zákazníci jsou výhradně z ČR a EU, zvažte blokování provozu z regionů, odkud útoky typicky přicházejí. NoName057(16) využívá distribuovanou síť, ale jádro infrastruktury má jasnou geografickou stopu.
4. Incident response plán
Mít plán reakce na DDoS útok v šuplíku nestačí – musíte ho otestovat. Kdo volá poskytovateli hostingu? Kdo aktivuje záložní řešení? Kdo komunikuje se zákazníky? Kdo hlásí incident na NÚKIB? Zákon 264/2025 Sb. vyžaduje hlášení incidentů s významným dopadem do 24 hodin – a DDoS, který odstaví vaše služby na hodiny, do této kategorie pravděpodobně spadá.
5. Redundance a oddělení kritických služeb
Nespouštějte web, e-mail, interní systémy a zákaznický portál na jednom serveru. Vyhláška 409/2025 Sb. (§ 11) požaduje segmentaci komunikační sítě a oddělení provozního a zálohovacího prostředí – a má k tomu dobrý důvod. Pokud DDoS sestřelí váš veřejný web, interní systémy by měly jet dál.
6. Monitoring a threat intelligence
Sledujte aktivitu NoName057(16) a dalších skupin. Target listy nástroje DDoSia jsou často sdíleny veřejně na Telegramu – pokud se na seznamu objeví vaše doména, máte čas se připravit dřív, než útok začne. CERT.cz a CSIRT.MU pravidelně publikují varování.
Co o tom říká zákon
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti a prováděcí vyhlášky (zejména 409/2025 a 410/2025) neřeší DDoS explicitně jako samostatný typ útoku, ale požadavky na ochranu dostupnosti regulovaných služeb jsou jednoznačné.
Vyhláška 409/2025 Sb. v § 26 požaduje „zajišťování dostupnosti regulované služby" včetně bezpečné správy konfigurací a ochrany zálohovacího prostředí. Paragraf 11 pak vyžaduje segmentaci sítí, omezení komunikace na perimetru a použití bezpečných protokolů – přesně to, co potřebujete pro efektivní mitigaci DDoS.
Pro firmy v režimu nižších povinností (vyhláška 410/2025 Sb.) platí povinnost zajistit bezpečnost komunikačních sítí (§ 11) a zvládat kybernetické bezpečnostní incidenty (§ 10) – včetně hlášení na NÚKIB.
Jinak řečeno: pokud spadáte pod zákon a nemáte řešenou ochranu před DDoS, nesplňujete požadavky na zajištění dostupnosti. A to je problém nejen technický, ale i právní.
Proč by vás to mělo zajímat, i když „nejste cíl"
Možná si říkáte: „My jsme výrobní firma, proč by na nás někdo posílal DDoS?" Dobrá otázka. Tady jsou tři důvody:
Za prvé: NoName057(16) necílí jen na vládu. V lednu 2026 tvořil soukromý sektor 19,1 % jejich cílů – média, e-commerce, business služby. Pokud máte veřejně dostupný web, jste potenciální terč.
Za druhé: DDoS-for-hire služby (tzv. „bootery" nebo „stressery") si může objednat kdokoli za 5 dolarů na hodinu. Nemusíte být cílem geopolitického hacktivismu – stačí naštvaný konkurent, nespokojený ex-zaměstnanec nebo znuděný teenager.
Za třetí: Zákon nerozlišuje, kdo vás napadl. Pokud jste registrovaný poskytovatel regulované služby a nemáte ošetřenou dostupnost, odpovědnost je na vás – bez ohledu na to, jestli za útokem stojí ruští hacktivisté nebo lokální script kiddie.
Co může udělat Kraita Cyber One
Kraita vám neposkytne CDN ani WAF – to není její role. Ale pomůže vám s tím, co je často větší problém než samotná technologie: připravenost.
Kraita zmapuje vaše aktiva a identifikuje, které z nich jsou kritické pro dostupnost regulované služby. Provede GAP analýzu a ukáže, kde máte mezery v ochraně – včetně chybějícího incident response plánu, nedostatečné segmentace sítě nebo absence monitoringu. Navrhne konkrétní opatření ke splnění požadavků vyhlášek 409 a 410/2025. A pomůže s dokumentací, kterou budete potřebovat pro případ, že incident opravdu nastane – od šablon hlášení přes registr rizik po plán kontinuity.
Protože DDoS útok vás může potkat kdykoli. Důležité je, jestli na něj budete připraveni.
Vyzkoušejte si demo Kraita Cyber One zdarma a zjistěte, jak je na tom vaše firma s ochranou dostupnosti – dřív, než to zjistíte od zákazníků.
Zdroje:
- NÚKIB: Kybernetické incidenty pohledem NÚKIB – leden 2026
- NÚKIB: Varování před proruským hacktivismem (prosinec 2025)
- SOCRadar: Czechia Under Coordinated DDoS Assault (leden 2026)
- Recorded Future: Inside DDoSia – NoName057(16)'s DDoS Campaign Infrastructure
- Europol/Eurojust: Operation Eastwood (červenec 2025)
- Cloudflare: DDoS Threat Report Q1 2025
- Ponemon Institute: Cost of DDoS Attacks
- CSIRT-MU: Varování – zvýšené riziko DDoS útoků (2026)
- ENISA Threat Landscape 2025
- Zákon č. 264/2025 Sb. o kybernetické bezpečnosti
- Vyhláška č. 409/2025 Sb. a 410/2025 Sb.