Představte si, že se v úterý ráno probudíte a váš telefon nemá signál. Žádný. Ani na kopci za barákem. V celé republice. A protože mobilní síť je páteří pro systém včasného varování, bankomaty, platební terminály, a navigaci záchranky – začíná se dít to, čemu se říká kaskádový efekt.
Přesně tohle zažila Ukrajina 12. prosince 2023.
Kyivstar, největší telekomunikační operátor v zemi s 24,3 miliony mobilních zákazníků a dalším milionem domácích internetových přípojek, přes noc přišel o 70 % své virtuální infrastruktury. Ze zhruba 5 000 virtuálních serverů jich bylo poškozeno nebo smazáno 4 800. Útočníci přitom byli v síti sedm měsíců, než “stiskli spoušť”.
Kdo to byl a proč na tom záleží i u nás
Za útokem stojí Sandworm – hackerská skupina, která operuje pod přímým velením ruské vojenské zpravodajské služby GRU, konkrétně její jednotky 74455. Není to nová skupina. Sandworm způsobil blackouty na Ukrajině v letech 2015 a 2016. Sandworm vytvořil malware NotPetya, který v roce 2017 smazal data v tisících firmách po celém světě – zasáhl i velké nadnárodní korporace v Evropě. Sandworm je zodpovědný za kyberútoky na dopravní infrastrukturu, nemocnice a energetiku.
A Sandworm neoperuje jen na Ukrajině.
Google Mandiant, jeden z předních světových bezpečnostních výzkumníků, po kyivstarském útoku výslovně varoval: „Vážný, úspěšný útok na telekomunikace by měl být znepokojující obzvláště pro Západ." Zmínil přitom, že čínské skupiny útočí na americký telekomunikační sektor podobnými metodami.
Česká republika novým zákonem č. 264/2025 Sb. reguluje stovky firem v odvětvích, která Sandworm systematicky napadá: energetiku, telekomunikace, dopravu, zdravotnictví, vodohospodářství. Kyivstar není vzdálený příběh. Je to modelový scénář.
Jak útok probíhal – krok za krokem
Vstup: kompromitovaný zaměstnanecký účet. CEO Kyivstaru Oleksandr Komarov vysvětlil na kyjevské bezpečnostní konferenci, jak se útočníkům podařilo dostat dovnitř: kompromitovali jeden zaměstnanecký účet a postupně si z něj prošli cestu až k Active Directory – centru správy uživatelů a přístupů v celé síti. Jakmile měli Active Directory, měli klíče od všeho.
Sedm měsíců nepozorovaně. Šéf kybernetického oddělení SBU (ukrajinská bezpečnostní služba) Illia Vitiuk potvrdil agentuře Reuters, že Sandworm byl prokazatelně v síti Kyivstaru od května 2023. Plný přístup – pravděpodobně od listopadu 2023. Do útoku zbývaly čtyři týdny. Čtyři týdny, ve kterých útočníci mohli číst SMS zprávy, sledovat polohu telefonů, mapovat záložní systémy a plánovat maximální destrukci.
Kyivstar přitom nebyla firma, která by bezpečnost podcenila. Naopak – podle Vitiuka Kyivstar do kybernetické bezpečnosti výrazně investoval. Útok byl připraven pečlivě a trpělivě.
12. prosince, ráno. Útočníci aktivovali destrukci. Během několika hodin bylo smazáno nebo poškozeno 4 800 virtuálních serverů z přibližně 5 000. Celkem 70 % virtuální infrastruktury Kyivstaru přestalo existovat. Komarov to nazval „zdrcujícím zásahem do infrastruktury" a prvním příkladem útoku, který „zcela zničil jádro telekomunikačního operátora."
Vedlejší škody. Útok nezůstal u telekomunikací. Zasáhl varovné sirény v Kyjevě a Sumách – oblastech, kde probíhají raketové útoky a kde sirény zachraňují životy. Přestaly fungovat bankomaty PrivatBank, jedné z největších bank v zemi. Platební terminály v obchodech odmítaly karty. Automatické řízení pouličního osvětlení ve Lvově selhalo. Toto je ukázka toho, co zákon nazývá „kaskádovým efektem" – jedna zasažená regulovaná služba vleče za sebou desítky dalších závislostí.
Obnova: osm dní. Základní služby byly obnoveny do 20. prosince 2023. Celkové náklady na zvládnutí následků útoku – opravy infrastruktury, posílení zabezpečení a kompenzace zákazníkům – dosáhly 90 milionů dolarů (CEO Komarov, Reuters/Interfax-Ukraine, květen 2024).
Proč se to přihodilo právě takto velké firmě
Tenhle příběh mívá v diskusích snadnou odpověď: „Kyivstar je ve válce. To se nás netýká."
Ale to je špatná interpretace. Sandworm nezastavil provoz v době míru. Naopak – právě „mírový provoz" je ideální podmínka pro sedmiměsíční průzkum. Útočníci nepotřebují válku. Potřebují čas a přístup.
A Kyivstar měl tři faktory, které sdílí s mnoha evropskými regulovanými firmami:
Faktor 1: Kompromitovaný zaměstnanecký účet jako vstupní bod. Žádný sofistikovaný zero-day exploit, žádný průlom přes záplaty. Jeden zaměstnanec, jeden účet, jeden přístup – a z toho cesta do Active Directory. To není výjimečné – podle Verizon DBIR 2025 je 22 % průlomů způsobeno zneužitím přihlašovacích údajů.
Faktor 2: Sedm měsíců bez detekce. I firma, která investovala do bezpečnosti, nedokázala odhalit útočníka po dobu, ve které by se stačil přestěhovat, přečíst vaše zálohy, zmapovat záložní systémy a naplánovat maximální škodu.
Faktor 3: Zálohy jako cíl útoku. Útočníci nezablokovali provoz jako ransomware – smazali zálohy a záložní systémy. Obnova pak trvá nikoliv hodiny, ale dny a týdny, přestože Kyivstar má zdroje a motivaci k rychlé obnově, jaké málokterá firma v Česku může mít.
Co zákon říká a proč právě teď
Zákon č. 264/2025 Sb. a prováděcí vyhlášky na tyto scénáře explicitně pamatují.
Detekce a monitoring. Vyhláška 409/2025 Sb. §21–23 vyžaduje nepřetržité sledování kybernetických bezpečnostních událostí a jejich vyhodnocování. Sedm měsíců nedetekované přítomnosti útočníka je přesně ten scénář, který zákon chce eliminovat. Nestačí mít log systémy – musíte mít nastavená pravidla a kapacity pro jejich vyhodnocování, která by anomální chování zachytila dříve.
Řízení přístupů. Sandworm vstoupil přes kompromitovaný zaměstnanecký účet a dopracoval se k Active Directory. Vyhláška 409/2025 §19–20 vyžaduje nástroj pro správu identit a řízení přístupových práv – s vícefaktorovou autentizací, s pravidelnou revizí toho, kdo má přístup k čemu, a s principem nejmenšího oprávnění. Kdyby měl kompromitovaný zaměstnanec přístup jen k tomu, co opravdu potřeboval pro svou práci, cesta k Active Directory by byla výrazně složitější.
Zálohy jako součást kontinuity. Vyhláška 409/2025 §15 a vyhláška 410/2025 §6 vyžadují plán kontinuity a obnovy, pravidelné zálohy, a – zásadní detail – zálohy musí být chráněny tak, aby byly dostupné i v případě destruktivního útoku na primární infrastrukturu. Zálohy na stejné síti jako produkce jsou v principu jen o něco zpomalená ztráta dat.
Hlášení incidentu. Zákon 264/2025 §16 ukládá hlášení incidentu s významným dopadem do 24 hodin. Kyivstar oznámil útok veřejně tentýž den – ne proto, že to zákon přikazoval, ale proto, že výpadek celonárodní sítě nelze skrýt. U méně viditelných průlomů je pokušení čekat, než se ukáže rozsah. Zákon tuto odkladnou hru eliminuje.
Česká kritická infrastruktura: jsme jiní?
Poctivá odpověď je: ne, nejsme imunní, ale máme výhody.
Nevýhoda: Česká republika je členem NATO a EU, aktivně podporuje Ukrajinu, a je tak na radarech státem sponzorovaných útočníků z Ruska i Číny. NÚKIB ve svých ročních zprávách o stavu kybernetické bezpečnosti v ČR opakovaně zmiňuje APT28, APT29 (Sandworm) a čínské skupiny jako aktivní hrozby pro českou kritickou infrastrukturu.
Výhoda: zákon č. 264/2025 Sb. vytváří systém, jehož smyslem je právě takovým scénářům předcházet. Firmy, které zákon budou plnit – nikoli jako papírovou povinnost, ale věcně – budou mít lepší monitoring, rychlejší detekci, oddělené zálohy, a plán obnovy, který byl testován před incidentem, ne poprvé při něm.
Kyivstar vydal na zvládnutí celkových následků útoku 90 milionů dolarů. Zainvestovat do prevence a monitoringu výrazně méně je matematicky triviální rozhodnutí – ale jen tehdy, pokud k němu dojde dříve, než Sandworm zaklepe na vaše dveře.
Závěr: Ukrajina jako učebnice, ne jako vzdálená válka
Ukrajina je v kontextu kybernetické bezpečnosti unikátním laboratorním prostředím: vidíme v přímém přenosu, co dokáže státem sponzorovaný útočník udělat s kritickou infrastrukturou, která do kybernetické bezpečnosti investovala.
Závěry jsou nepohodlné, ale jasné:
Investice do bezpečnosti nezaručuje bezpečí – ale výrazně zvyšuje šanci, že útočníka odhalíte dříve než za sedm měsíců. Zálohy musí přežít i destruktivní útok – jinak nejsou zálohami, ale součástí toho, co bude smazáno. Přístupy zaměstnanců jsou klíčovým vstupním bodem – kompromitovaný účet není selhání jednoho zaměstnance, je to selhání systému správy přístupů. A kaskádový efekt je reálný – výpadek vaší regulované služby neohrozí jen vaše zákazníky, ale i desítky navázaných systémů.
Zákon č. 264/2025 Sb. na všechny čtyři body explicitně reaguje. Zbývá je vzít vážně.
Chcete vědět, jak je vaše firma připravena na scénáře srovnatelné s Kyivstarem v kontextu zákona 264/2025 Sb.? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: Wikipedia – 2023 Kyivstar cyberattack (datum útoku, počty zákazníků), Interfax-Ukraine, rozhovor CEO Komarov (máj 2024) – 70 % infrastruktury, 4 800 serverů, Reuters / The Register – rozhovor Illia Vitiuk, šéf kyber SBU (leden 2024) – přítomnost Sandworm od května 2023, plný přístup od listopadu 2023, Kyivstar CEO Komarov – vstup přes kompromitovaný zaměstnanecký účet, Active Directory (BitDefender), Wikipedia – $90M náklady na obnovu, Google Mandiant / John Hultquist – varování pro Západ (The Register leden 2024), zákon č. 264/2025 Sb. §16, vyhláška 409/2025 Sb. §15 (kontinuita), §19–20 (identity), §21–23 (detekce), vyhláška 410/2025 Sb. §6 (zálohy)