Útočník byl stručný. Na hackerském fóru napsal: "adminer > webshell > exfiltrace. Nic zvláštního, jednoduchý postup."
A víte co? Měl pravdu. Nebylo to nic zvláštního. Žádné filmové hackování na několika klávesnicích zároveň a v obklíčení monitorů se zelenými čísly na obrazovce. Jen tři kroky, pravděpodobně pár desítek minut práce, a výsledkem bylo 22 GB dat putujících na darknetová fóra. A nebyly to právě fotky z dovolené nebo záznamy esemesek s babičkou. Šlo o data z likvidace pojistných událostí – zdravotní záznamy, pojistné smlouvy, lékařské zprávy, snímky z ultrazvuku…
Tohle se odehrálo v Česku. Minulý týden.
Vítejte v sérii Skutečné příběhy z kyberprostoru. Začínáme tam, kde to bolí nejvíc: doma.
Co se stalo?
9. března 2026 se na darknetovém fóru DarkForums objevila nabídka. Hackerská skupina ByteToBreach oznámila, že se dostala do systémů jedné z českých pojišťoven. Útočník na fóru tvrdil, že v rukou má 150 GB dat: pojistné smlouvy, komunikaci s klienty, zdravotní dokumentaci včetně obrazové. A pro jistotu dodal, že přístup do systémů má stále.
Pojišťovna útok potvrdila ještě týž den. Mluvčí Václav Bálek pro iRozhlas.cz sdělil, že šlo o "chybu u dodavatelské společnosti, která byla detekována bezpečnostním systémem" – a že firma podniká kroky, aby se to neopakovalo.
O den později, po interní forenzní analýze, přišlo upřesnění. Skutečný rozsah úniku byl 22 GB – tedy ne 150 GB, jak útočník hlásil. (Přehánění je v tomto oboru standardní marketingová strategie. Data-extortion funguje na principu maximálního tlaku, takže čísla bývají nafouklá.) Dotčeno bylo přibližně tisíc klientů – pár promile z celkových 300 000. Naprostá většina klientů byla ochráněna bezpečnostními systémy pojišťovny.
Firma splnila povinnosti vyplývající z DORA a GDPR. Ředitel bezpečnosti Petr Skalický potvrdil, že situace je pod kontrolou, a klienti začali dostávat individuální informace do 48 hodin.
Dobrá zpráva: pojišťovna reagovala rychle a transparentně.
Nepříjemná zpráva: přes to všechno se útok odehrál. A příčina je poučná.
Technická detektivka: co je Adminer a proč je to problém
Adminer je legitimní nástroj. Vývojáři ho znají a rádi používají – je to malá PHP aplikace pro správu databází přes webový prohlížeč. Napíšete adresu, přihlásíte se, a máte přehledné rozhraní pro práci s databázemi. Praktické, rychlé, přehledné.
Teď si představte, že tento nástroj nechá někdo spuštěný na produkčním serveru, přístupný z internetu, bez dostatečného zabezpečení nebo se zranitelnou verzí. Je to zhruba jako mít v trezoru zadní servísní dvířka – a nechát je odemčená, protože technik zapomněl nebo "to stejně nikdo nenajde".
ByteToBreach to našel.
Útočník využil Adminer k nasazení webshell skriptu – škodlivého kódu, který mu dal vzdálený přístup k serveru. Od téhle chvíle byl celý systém v jeho moci. Pak přišla exfiltrace dat – stahování souborů ven.
A ještě jeden detail, kvůli kterému si bezpečnostní specialisté zakrývají oči: uniklé soubory byly "zaheslované". Heslem bylo datum narození pojištěnce. Průměrné GPU takové heslo prolomí za méně než 5 sekund.
Datum narození jako heslo chrání citlivé zdravotní záznamy. V roce 2026.
(Kdybychom žili ve světě, kde je tohle standardem, tak útočníci mají opravdu snadnou práci. A bohužel žijeme v tom světě.)
Proč tohle není jen IT problém – je to NIS2 problém
Zde přicházíme k jádru celého příběhu.
Pojišťovna sama nezpůsobila útok vlastní nedbalostí. Zranitelnost byla u externího dodavatele. Bezpečnostní systém pojišťovny útok dokonce detekoval. To zní skoro jako úspěch – a v jistém smyslu je.
Jenže zákon o kybernetické bezpečnosti č. 264/2025 Sb. (česká implementace NIS2) v § 34 říká naprosto jasně: organizace jsou odpovědné za bezpečnost celého dodavatelského řetězce. Nejen za vlastní infrastrukturu.
Jinými slovy: "Náš dodavatel to pokazil" není obhajoba. Je to popis problému, za jehož prevenci jste spoluzodpovědní vy.
A DORA (Digital Operational Resilience Act) – nařízení EU přímo aplikovatelné na finanční instituce včetně pojišťoven – jde ještě dál. Vyžaduje mapování ICT závislostí na třetích stranách, smluvní požadavky na bezpečnost a pravidelné testování odolnosti celého ekosystému.
Co to v praxi znamená:
- Musíte formalizovat výběr a hodnocení dodavatelů z bezpečnostního hlediska
- Ve smlouvách musíte mít konkrétní bezpečnostní požadavky a právo na audit
- Nestačí podepsat smlouvu a zapomenout – hodnocení musí být pravidelné
- Musíte vědět, jaká data a jaký přístup má každý dodavatel
Kdyby pojišťovna měla nastavený proces bezpečnostního auditu svých dodavatelů – zranitelný Adminer by byl buď dávno opravený, nebo by vůbec neměl být přístupný z internetu. Útočník by neměl kde začít.
ByteToBreach: kdo za tím stojí?
Skupina (nebo jednotlivec – to není jasné) ByteToBreach je aktivní od června 2025. Za necelý rok si na účet připsal útoky na evropskou digitální infrastrukturu, španělské telekomunikace, mexickou státní univerzitu, banky a letecké dopravce. Česká pojišťovna je dalším jménem na tomto seznamu.
Modus operandi je konzistentní: SQL injection, zranitelnosti v Adminer, F5 BIG-IP, MongoDB Express. Žádné státem sponzorované hackování. Čistý oportunistický útok: automatizovaně skenuji internet, hledám otevřená okénka, prolézám dovnitř, beru co mohu, nabídnu k prodeji nebo zveřejním.
Na fórech skupina operuje pod přezdívkou "Pentesting Ltd." – tváří se jako legitimní bezpečnostní firma. Tohle by bylo vtipné, kdyby to nebylo smutné.
Zrádné je, že ByteToBreach cílí na organizace s vysokou hodnotou dat: zdravotnictví, pojišťovny, banky, státní instituce. Data z takových organizací jsou na černém trhu podstatně cennější než uniklý seznam e-mailů z e-shopu.
Čtyři lekce, které si odneseme
Opakujeme: tenhle článek není o tom, že někdo selhal. Je o tom, jak vypadá reálný útok v reálné české firmě v roce 2026. A co z toho plyne pro vás.
1. Váš dodavatel = další zranitelnost do party
Útočník nemusí překonat váš perimetr. Stačí mu překonat perimetr dodavatele, který má přístup k vašim datům. Kolik takových dodavatelů máte? Co přesně ke kterým datům přistupují? Kdy jste naposledy kontrolovali jejich bezpečnostní praxi?
2. Legitimní nástroje jsou oblíbené vstupní body
Adminer, phpMyAdmin, webové administrační konzole, vzdálené přístupy pro správu – jsou to věci, které v produkci nemají co dělat bez důkladného zabezpečení. Útočníci tohle vědí lépe než většina IT správců. Internet prohledávají automatizovaně, hledají právě tyhle nástroje.
3. Heslo z data narození není heslo
Pokud vaše systémy nebo systémy vašich dodavatelů chrání citlivá data hesly, která jdou prolomit za 5 sekund – je to bezpečnostní incident čekající na příležitost. Správná hesla, vícevrstvé šifrování a přístupová práva nejsou nadstandardní luxus. Jsou to základy.
4. Rychlá detekce a reakce snižují škody
Pojišťovna útok zachytila, reagovala rychle, splnila regulatorní povinnosti a klienty informovala do 48 hodin. To je přesně to, co zákon 264/2025 Sb. vyžaduje: hlášení závažných incidentů do 24 hodin od detekce (v souladu s § 30 zákona) a informování dotčených osob bez zbytečného odkladu.
Nepříjemná otázka na závěr
Víte, jaký software provozují vaši klíčoví dodavatelé? Víte, jestli ho pravidelně aktualizují? Máte ve smlouvách klauzule o bezpečnostních standardech a právu na audit?
Pokud tápete – nejste sami. Přesně v téhle oblasti začíná NIS2 compliance vstupovat do každodenního byznysu. A přesně tady může Kraita Cyber One pomoci: zmapovat dodavatelské vztahy z hlediska bezpečnostních rizik, identifikovat slabá místa a nastavit procesy, které odpovídají požadavkům zákona 264/2025 Sb. a vyhlášky 408/2025 Sb.
A příště? Ukážeme, jak jeden telefonát na helpdesk stál kasino 100 milionů dolarů. Ale o tom zase za týden.
Zdroje
- iROZHLAS.cz: Pojišťovna Slavia čelila kybernetickému útoku, potvrdil mluvčí (10. 3. 2026) — irozhlas.cz
- Měšec.cz: Slavia pojišťovna potvrdila kybernetický útok. Mluví o zlomku klientů, zloděj naopak o 150 GB dat (11. 3. 2026) — mesec.cz
- CHIP.cz: Ze Slavia pojišťovny uniklo 150 GB dat. Hackeři tvrdí, že mají pojistné smlouvy i zdravotnickou dokumentaci (10. 3. 2026) — chip.cz
- Lupa.cz: Pojišťovně Slavia unikly citlivé informace včetně zdravotní dokumentace klientů (10. 3. 2026) — lupa.cz
- ČeskéNoviny.cz / ČTK: Únik dat ze systému Slavia pojišťovny se týká asi tisícovky jejích klientů (11. 3. 2026) — ceskenoviny.cz
- Kurzy.cz: Slavia má únik dat pod kontrolou. Klienty bude neprodleně informovat (11. 3. 2026) — kurzy.cz
- Zákon č. 264/2025 Sb., zákon o kybernetické bezpečnosti — zejm. § 30 (hlášení incidentů), § 34 (bezpečnost dodavatelů)
- Vyhláška č. 408/2025 Sb., o bezpečnostních opatřeních pro poskytovatele regulovaných služeb