Konec března 2026. Starosta Náměště nad Oslavou stojí v kanceláři, sedmdesát počítačů v úřadu je třeba kompletně reinstalovat ze záloh, evidence obyvatel mimo provoz, stavební úřad vyřazený. Předběžná škoda půl milionu korun. Starosta v reakci nařídil revizi psacích strojů. Není to vtip – chvíli to vypadalo, že se úřad bude muset vrátit do osmdesátých let.
A nebyl sám. Začátkem března stejný scénář v Jemnici (škoda 600 tisíc), v polovině března pak v Židlochovicích (o tom jsme psali zvlášť). Tři útoky ve třech týdnech, tři menší až střední města na Třebíčsku a Brněnsku. A když se k tomu přidá únorový report NÚKIB s informací, že polovina všech průniků v únoru cílila právě na mapové portály samospráv, vyplyne nepříjemný obrázek: někdo si dělá z českých obcí cvičiště.
Pojďme se podívat, proč zrovna teď, proč zrovna mapové portály – a co s tím konkrétně dělat, pokud máte ve své obci nebo úřadu pár desítek počítačů a tušíte, že byste mohli být další.
Co tvrdá data z NÚKIB skutečně říkají
NÚKIB v únoru 2026 evidoval celkem 23 kybernetických bezpečnostních incidentů. Co je důležité: téměř polovinu z nich (48 %) tvořila kategorie Průnik – tedy úspěšná kompromitace systému, účtu nebo zařízení. To je nejvyšší hodnota za poslední rok.
A teď ten zásadní detail z původního textu reportu: rovná polovina všech těchto průniků zahrnovala útoky na mapové portály samospráv. Druhá polovina pak kompromitace účtů a okrajových zařízení (edge devices – tedy firewally, VPN brány a podobně).
Q1 jako celek? Přes 70 incidentů, sedm významných, většina z nich u státních institucí. Ransomware u subjektů v režimu vyšších povinností nezaznamenán – ale to neznamená, že se nic nedělo. Subjekty v režimu nižších povinností (a to jsou právě obce s rozšířenou působností) ransomware schytaly. Jen je řešil Národní CERT (CSIRT.CZ), ne přímo NÚKIB, takže se to v hlavních statistikách neobjevuje stejně viditelně.
Přeloženo do byznysové řeči: vlna útoků na obce v březnu nebyla anomálie. Je to nová norma.
Proč zrovna mapový portál
Mapový portál (geoportál, GIS portál) je veřejně dostupná webová aplikace, která spravuje a zobrazuje prostorová data obce nebo kraje – územní plán, registr nemovitostí, sítě technické infrastruktury, plán rozvoje, evidence stavebních povolení. Pro samosprávu je to jeden z nejviditelnějších digitálních nástrojů a často to první, co občan při kontaktu s úřadem online vidí.
Z pohledu útočníka má tahle kombinace tři vlastnosti, které dělají z mapového portálu ideální cíl:
Je vystaven na internetu. Z definice. Občan by se k němu měl dostat z domova. Útočník stejnou cestou.
Často běží na zastaralém software. Geoportály se zpravidla budovaly v letech 2010–2018, dotaci dostaly, postavily se, a od té doby se mnohé z nich neaktualizují. Knihovny stárnou, certifikáty vyprší, podpůrné komponenty obsahují známé zranitelnosti, na které jsou hotové exploity. Útočník nepotřebuje nic vymýšlet – stačí scanner a seznam veřejných CVE.
Je propojený s vnitřní sítí úřadu. Tady je ten skutečný problém. Mapový portál není samostatný ostrov. Aby aktualizoval data o nemovitostech, parcelách nebo územním plánu, potřebuje propojení do interního agendového systému, do GIS databáze, do souborového úložiště. Když útočník prorazí portál, dostane se na předmostí ke zbytku úřadu.
Přesně tohle se podle NÚKIB v únoru dělo opakovaně.
Anatomie útoku, o kterém si můžete přečíst v novinách
Útok na obec typicky neprobíhá tak, jak si lidé představují podle filmů – že nějaký samotářský sociopat nemůže spát, tak prostě jedné noci zaútočí. Probíhá postupně, často měsíce, a v drtivé většině případů má tři jasné fáze.
Fáze 1: Průnik. Někdo otevře phishingový e-mail, klikne na přílohu, zadá heslo na falešné přihlašovací stránce. Nebo – a to je případ mapových portálů – útočník najde zranitelnost v zastaralé komponentě (knihovna, plugin, framework), která je dostupná z internetu, a obejde autentizaci. Nepoužitý nebo slabě chráněný VNC port vystavený na internet je další klasika, na kterou NÚKIB v Q1 2026 explicitně upozorňoval.
Fáze 2: Pohyb po síti a sběr informací. Útočník zmapuje vnitřní síť, najde sdílené disky, e-maily, databáze, zálohovací servery. Zapíše si, kde leží zajímavá data, kde běží doménový řadič, jaké jsou účty s administrátorskými právy. Tahle fáze trvá zpravidla týdny až měsíce a je téměř neviditelná, pokud nemáte EDR nebo SIEM, který zachytí podezřelé chování.
Fáze 3: Šifrování a ultimátum. V ten správný moment – obvykle v noci z pátku na sobotu, aby měl víkend k dispozici, než to někdo zjistí – útočník spustí ransomware. Šifruje data na serverech, na koncových stanicích, a pokud se mu to podaří, i na zálohách (proto se zálohy musí držet off-line nebo v immutable storage). V pondělí ráno přijde do úřadu zaměstnankyně, zapne počítač a místo systému vidí požadavek na výkupné v bitcoinech.
Jemnický starosta po konzultaci s odborníky odhadoval, že by útočníci žádali částku „od statisíců po miliony korun". Město podle dostupných zpráv přišlo o veškerá data, s útočníky nevyjednávalo a muselo budovat IT infrastrukturu de facto znovu. Náměšť ani Židlochovice taky neplatily. NÚKIB i policie dlouhodobě doporučují neplatit – a to ze dvou důvodů. Zaprvé není zaručeno, že útočník data skutečně dešifruje. Zadruhé platba motivuje další útoky a financuje nákup dalších nástrojů.
Pět věcí, které můžete (a měli byste) udělat tento týden
Tady přichází užitečná část. Tohle není kompletní bezpečnostní strategie – tu vám napíše konzultant za peníze. Ale pět rychlých opatření, která eliminují velkou většinu rizika a stojí kombinaci času IT správce a relativně malých peněz na licence:
1. Audit toho, co je vystaveno na internet. Zjistěte, jaké služby vašeho úřadu jsou veřejně dostupné. Web, mapový portál, e-mail server, případně VPN brány. Vše ostatní – RDP, VNC, databázové porty, administrativní rozhraní – musí být mimo internet, dostupné jen přes VPN. NÚKIB v Q1 2026 explicitně varoval před vystavenými VNC porty; v Česku stále evidovali přes 3 200 takto kompromitovaných zařízení v rámci botnetu REDHEBERG.
2. Aktualizovaný inventář zranitelností u mapového portálu. Pokud používáte starší verzi populárních GIS platforem, máte téměř jistě zranitelnost, která je veřejně známá a má hotový exploit. Buďto okamžitě aktualizovat, nebo izolovat, nebo nahradit. Z dotace IROP 120. výzva (1,8 mld. Kč na kyberbezpečnost) se to dá financovat – pokud spadáte mezi oprávněné žadatele. Psali jsme o tom v minulém článku ZDE.
3. Multi-faktorové ověřování (MFA) všude, kde to jde. Hlavně u administrátorských účtů, e-mailu a VPN. Phishing přestane fungovat ve chvíli, kdy útočník zná jen heslo, ale ne druhý faktor. Implementace u Microsoftu nebo Googlu je často jen otázkou nastavení – nestojí to nic navíc.
4. Off-line zálohy, které opravdu fungují. Klíčová věta: zálohy, které jsou připojené ke stejné síti jako hlavní systémy, nejsou zálohy. Útočník je zašifruje stejně jako vše ostatní. Jemnice si poradila tak, že fyzicky odebrali zálohy ze serverovny – to je funkční postup. Lepší ale je mít zálohovací řešení s immutable backup (zálohy, které nelze přepsat ani po proniknutí útočníka).
5. Plán krizové reakce. Když to praskne v sobotu večer, kdo volá IT dodavateli? Kdo má autoritu vypnout síť? Kdo komunikuje s občany v pondělí ráno, když je úřad mimo provoz? Kdo informuje policii a NÚKIB? Tyhle otázky se neřeší v krizi – řeší se s předstihem v podobě plánu zvládání kybernetického bezpečnostního incidentu, což ostatně vyžaduje vyhláška 410/2025 Sb. (pro režim nižších povinností, kam ORP spadají).
Kde do toho zapadá zákon 264/2025
Obce s rozšířenou působností (205 největších obcí v ČR) jsou od listopadu 2025 nově poskytovateli regulované služby v režimu nižších povinností podle zákona č. 264/2025 Sb. Bezpečnostní opatření, plán kontinuity, řízení incidentů, dokumentace – to všechno musí mít zavedené do roka od registrace. Vyhláška 410/2025 Sb. detailně specifikuje, co se po ORP požaduje.
Z pohledu obce, která ještě nezačala: máte v zásadě dvě cesty.
Cesta první: dotace + dodavatel. IROP 120. výzva (otevřená do prosince 2026) financuje 50 % z technických opatření. Ke každému technickému řešení potřebujete dokumentaci – politiku, plán, registr aktiv, plán zvládání incidentů. Tohle je práce na měsíce u externího konzultanta a stojí to v řádu set tisíc.
Cesta druhá: AI nástroj na dokumentaci. Pokud vyřešíte technickou stránku (firewall, EDR, MFA, zálohy) a potřebujete jen dotáhnout dokumentaci a procesy, Kraita Cyber One vám provede GAP analýzu podle vyhlášky 410/2025, vygeneruje povinné dokumenty a udržuje je aktuální. Není to náhrada za technická opatření – je to způsob, jak nemít na úřadě zaměstnance na plný úvazek na ISMS.
Shrnutí pro starostu, který má pět minut
Mapové portály samospráv jsou v roce 2026 prokazatelně nejčastější vstupní bod pro útoky na obce. Polovina všech průniků v únoru evidovaných NÚKIB cílila právě tam. Tři útoky na města jen v březnu (Jemnice, Židlochovice, Náměšť nad Oslavou) ukazují, že to není teorie. Útočníci spoléhají na to, že obec je hůř zabezpečená než firma srovnatelné velikosti – a často mají pravdu.
Co s tím dělat:
- Zjistit, co je vystaveno na internetu, a nepotřebné porty zavřít
- Aktualizovat nebo nahradit zastaralý mapový portál
- Zapnout MFA u všeho, co něco znamená
- Mít off-line nebo immutable zálohy
- Mít napsaný plán, co dělat, když to praskne
A papírovou stránku zákona 264/2025 řešit paralelně – buď s konzultantem, nebo s nástrojem typu Kraita Cyber One. Když přijde NÚKIB na kontrolu (a u 205 ORP postupně bude), papírová stopa rozhoduje stejně jako technická opatření.
Chcete vědět, jak na obci vypadá gap analýza podle vyhlášky 410/2025 v praxi? Domluvte si nezávaznou konzultaci. Ukážeme, co Kraita Cyber One pro vaše ORP udělá za týdny místo měsíců. Vyzkoušet demo | Nezávazná konzultace
Související článek: Jak vypadá takový útok zevnitř? V březnu jsme rozebrali konkrétní případ Židlochovic – ransomware Deadlock, stopy útočníků až do KLDR a šťastnou náhodu, díky které IT pracovníci stihli šifrování zastavit v půli procesu. Číst dál →