Středa 19. června 2024, autosalon kdesi v Texasu. Sedm ráno. Manažer prodeje odemyká, klepne na klávesnici – obrazovka černá. Druhý počítač totéž. Jdou se podívat do servisu – ti telefonují dodavateli softwaru, který drží celou jejich operaci pohromadě. Žádná odpověď.
Mezitím se stejná scéna odehrává v dalších přibližně 15 000 autosalonech napříč USA a Kanadou. Operační systém celého severoamerického autoprůmyslu – software, který se stará o objednávky, prodeje, financování, evidenci dílů, mzdy, dokonce i o to, jak si zaměstnanci “píchají” příchod – ten software je offline. A zůstane offline skoro dva týdny.
To, co následuje, je nejdražší ransomwarový incident druhé poloviny roku 2024. Škody přes 1 miliardu dolarů. Pětapadesát tisíc neuskutečněných prodejů aut. Pero a papír místo digitálních systémů. Hromadné žaloby. Citace v Kongresu.
A na vstupu? Jeden software vendor, který představoval pro celé odvětví jediný bod selhání.
Jak se chvilka na kafe změnila v dvoutýdenní krizi
Útočníkům stačilo proniknout do jednoho jediného místa – do systémů firmy CDK Global, kanadského softwarového dodavatele se sídlem v Illinois. CDK provozuje něco, čemu se v branži říká DMS – Dealer Management System. Centrální software, do kterého autosalony zadávají objednávky, fakturace, evidují servisní zakázky, posílají financování do bank, sledují provize obchodníků a vyřizují DMV agendu pro státní úřady.
Bez DMS autosalon prodá auto celkem těžko. Bez DMS hlavně nedokáže ten prodej zaúčtovat, financovat, převést peníze. Auto stojí na parkovišti, klient čeká, papír leží na stole – a v IT systémech není nic.
Útok začal v noci na 19. června 2024. Skupina BlackSuit nasadila ransomware, který začal šifrovat klíčové systémy CDK. Reakce firmy byla z bezpečnostního pohledu správná: ve 2:00 ráno východního času vypnuli obě svá datová centra. Tím šíření zastavili. A tím také vypnuli operace 15 000 zákazníků.
Když 19. června večer začali servery postupně oživovat, přišel druhý útok. Stejný den. CDK musela vypnout všechno znovu.
Vrátit autosalony do normálu trvalo téměř dva týdny. CDK oznámila plné obnovení 4. července 2024.
BlackSuit: nový kabát na staré zboží
Útočníky se podařilo poměrně rychle identifikovat. Šlo o skupinu BlackSuit – relativně novou značku, která se objevila v polovině roku 2023. Bezpečnostní analytici (TRM Labs, Recorded Future) ji od počátku spojovali s předchozí skupinou Royal Ransomware, která je zase přímým potomkem rozpadlé Conti.
Conti pro představu: ruskojazyčný gang, který v letech 2020–2022 paralyzoval irský zdravotní systém, kostarickou vládu, desítky amerických nemocnic. Po veřejných únicích interní komunikace v roce 2022 se rozpadl – ale jen na papíře. Lidé zůstali, jen si změnili jména a značky.
Z toho plyne důležitá lekce: ransomware skupiny nezanikají, jenom se přejmenovávají. Když uvidíte v médiích, že FBI „zlikvidovala" některou skupinu, dejte tomu pár měsíců. Vyrojí se pod novým jménem.
BlackSuit se chová podle učebnice double extortion – nejdřív data ukradne, pak je zašifruje, a pak požaduje peníze za obojí: za dešifrování i za to, že je nevyloží na svém leak situ. CDK to zažila v plné parádě.
Počáteční požadavek: 10 milionů dolarů. Po druhém útoku se vyšplhal na 50+ milionů. Nakonec se obě strany dohodly na 25 milionech (přibližně 525 milionů korun) – platba proběhla 21. června 2024, dva dny po útoku. CDK oficiálně nikdy nepotvrdila, že platila; analytici TRM Labs ale vystopovali přesně 387 bitcoinů na peněženku spojenou s BlackSuit a tři nezávislé zdroje CNN to potvrdily. V té době to byla druhá největší ransomwarová platba v historii (rekord drží CNA Financial Corp. s 40 miliony USD z roku 2021).
Domino: jak jeden vendor položil celý sektor
Tohle je ten klíčový moment, který by každý management měl pochopit. CDK Global nebyla cílem útoku jako autosalon. CDK byla cílem proto, že přes ni se dalo dostat k 15 000 dalším firmám zároveň.
V češtině se tomu říká útok na dodavatelský řetězec, anglicky supply chain attack. Útočník nepotřebuje hacknout 15 000 autosalonů jednotlivě (to by bylo pracné a 14 999krát by byl prozrazený, než se dostane k té poslední). Místo toho hackne jednoho dodavatele, který má technický přístup ke všem.
A tady to dostává druhou dimenzi: software CDK má v autosalonech aplikace s administrátorskými právy a využívá always-on VPN. To znamená, že kromě toho, že CDK měla offline své vlastní systémy, představovala potenciálně i bezpečnostní hrozbu pro vnitřní sítě zákazníků. Pro autosalony nebyla otázka „kdy se vrátí systém", ale taky „nedostal se náš kompromitovaný dodavatel i k nám?"
Pár dní po útoku se odehrála ještě jedna scéna, která dokresluje realitu: útočníci začali volat zaměstnancům autosalonů. Vydávali se za pracovníky CDK supportu a snažili se z nich vytáhnout přihlašovací údaje pod záminkou pomoci s obnovou. CDK musela vydat varování svým zákazníkům, ať s nikým nemluví.
Když útočník jednou prolomí dodavatele, neútočí jen z dat. Útočí dál.
Pero a papír: jak vypadá byznys bez software
Tohle je nejvíc citovaná část celé krize a oprávněně. Autosalony se na dva týdny vrátily o čtyřicet let zpátky. Kupní smlouvy se psaly ručně. Evidence skladu se vedla v Excelu, který kolegové posílali jako přílohy mailem (pokud měli vlastní mail nezávislý na CDK). Financování bank se vyřizovalo telefonem. DMV agenda – registrace vozů na úřadech – se prakticky zastavila.
Jeden majitel autosalonu z Pensylvánie odhadl ztrátu na 600 000 dolarů jen pro svou firmu (cca 12,6 milionu Kč). Analytická firma Anderson Economic Group spočítala, že za 27 dní mezi začátkem útoku (19. června) a stabilizací (15. července) se v USA neuskutečnilo přibližně 56 200 nových prodejů aut a kumulativní ztráta autosalonů přesáhla 1 miliardu dolarů (cca 21 miliard korun).
Co je ale pro management nejzajímavější část: ten údaj „kumulativní ztráta 1 miliardy" neznamená, že hackeři získali jednu miliardu. Hackeři dostali 25 milionů. Tu zbylou miliardu zaplatily autosalony jako následky – buď přímo (ztracené tržby, mzdy zaměstnanců, kteří seděli a nemohli pracovat), nebo nepřímo (právní náklady, externí IT poradci, ztráta klientů).
To je typický rozdíl mezi „cenou útoku" a „cenou neexistujícího plánu kontinuity".
Žaloby a poučení
Do měsíce po útoku stálo CDK před nejméně 10 federálními žalobami. Skupinové žaloby od autosalonů. Skupinové žaloby od zaměstnanců, jejichž osobní data (rodná čísla, údaje z řidičáku, finanční účty, mzdové historie) putovala s ostatními daty na leak site. Skupinové žaloby od klientů, kteří si auto koupili.
Nejúrodnější argumentační linka žalob: CDK neměla zavedená dostatečná bezpečnostní opatření. Nemonitorovala, nedetekovala, neprevenovala. Žalobci přitom nemuseli dokazovat, že útok byl nevyhnutelný – stačilo argumentovat, že CDK měla pochopit svou strategickou pozici v odvětví a podle toho se zabezpečit.
Pro autosalony to byla bolestivá lekce: smlouva s CDK je nechránila. Ztráty jdou primárně za nimi. CDK jim teoreticky může zaplatit kompenzaci, ale i kdyby vyhráli (což trvá roky), tak jen za zlomek skutečných škod.
A tady přicházíme k otázce, která by měla zajímat každého českého manažera.
Proč by tohle mělo zajímat vaši firmu
V Česku nemáte CDK Global. Ale máte své dodavatele.
Máte poskytovatele cloudu, který hostuje váš ERP. Máte providera mzdového softwaru. Máte správce vaší IT infrastruktury (často externí). Máte dodavatele datového centra. Máte VoIP poskytovatele, na kterém běží telefony. Máte e-shopovou platformu. Máte poskytovatele platebních bran. Účetní software, který hostuje někdo jiný. Skladový systém, který je v cloudu.
Kdyby kterýkoli z těchto dodavatelů zítra utrpěl ransomwarový útok srovnatelný s CDK, jak dlouho byste mohli normálně fungovat?
Toto je přesně to, na co cílí nový zákon č. 264/2025 Sb. a navazující vyhlášky (zejména 409/2025 a 410/2025). Ne proto, že by EU chtěla šikanovat firmy další papírovou povinností – ale proto, že supply chain útoky jsou v posledních letech čtvrtá nejpočetnější kategorie incidentů, kterou NÚKIB eviduje.
Co konkrétně zákon a vyhláška říkají k dodavatelům:
- Evidence významných dodavatelů. Musíte vědět, koho v řetězci máte. Ne jen účetní, která vám vystavuje fakturu – ale technicky: kdo má přístup k vašim datům a systémům.
- Hodnocení rizik každého dodavatele. Ne jednou. Pravidelně. A musí to být dokumentované.
- Smluvní ustanovení. Vyhláška 409/2025 v příloze č. 5 přímo vyjmenovává, co musí obsahovat smlouvy s významnými dodavateli – povinnost mít bezpečnostní opatření, právo na audit, povinnost informovat o incidentech, exit strategie, sankce.
- Plán pro případ, že dodavatel selže. Co když váš poskytovatel cloudu padne? Co když vám ransomware útok na účetní firmu zablokuje fakturaci? Kdo přebírá funkce? Jak rychle?
- Hlášení. Pokud incident u dodavatele ovlivní vaši regulovanou službu, máte 24 hodin na první hlášení NÚKIB.
To není teoretická povinnost. CDK případ ukázal, že dodavatelské riziko je často větší než vaše vlastní riziko. Můžete mít perfektní MFA, EDR, zálohy, školení zaměstnanců – a pak vám padne dodavatel a stojíte stejně jako 15 000 amerických autosalonů.
Pět konkrétních kroků pro management
Bez technického žargonu. Pokud máte týden, můžete v tomhle pořadí prakticky udělat:
1. Seznam IT dodavatelů. Sestavte si seznam každého dodavatele, který se dotýká vašich dat nebo systémů. Cloud, software, externí IT, hosting, telekomunikace. Pokud ten seznam nikde nemáte, jste přesně ve výchozí pozici, ze které začínají všichni.
2. Otázka kontinuity. U každého dodavatele si položte tři otázky: Co budeme dělat, když na týden vypadne? Kolik nás bude den jeho výpadku stát? Máme za něj náhradu?
3. Audit smluv. Vytáhněte aktuální smlouvy. Hledejte v nich: zmínka o bezpečnostních opatřeních, povinnost informovat vás o incidentech, právo na audit, sankce za výpadek, exit klauzule. Pokud chybí, je čas na dodatek.
4. Plán B pro top 3 dodavatele. Není potřeba mít plán B pro každého. Pro tři nejkritičtější ano. Co budete dělat, když padnou? Záložní účetní firma? Manuální vystavování faktur? Záložní VPN přes mobil?
5. Tabletop exercise. Sedněte si jednou kvartálně s vedením a IT a simulujte: „Náš nejdůležitější dodavatel padl ransomwarem. Co teď?" Padesát minut, žádné technologie potřeba, jen tabule a otázky. (O tabletop testech jsme psali víc minulý týden, najdete to tady.)
Nepříjemná otázka na závěr
Pokud zítra ráno přijdete do práce a zjistíte, že vám nefunguje cloudový ERP, nelze vystavovat faktury, e-mail neodpovídá a externí IT správce má své telefony offline – bude váš byznys dál fungovat nebo se zastaví?
A vlastně ještě nepříjemnější: víte to už dnes, nebo to budete zjišťovat v krizi?
Pokud nevíte – nebo víte, že odpověď je „dvě hodiny" – tohle je přesně to, s čím může pomoci Kraita Cyber One: zmapovat váš dodavatelský řetězec, identifikovat významné dodavatele podle metodiky vyhlášky 409/2025 Sb., dotáhnout smluvní podmínky podle přílohy č. 5 a postavit plán kontinuity, který funguje, ne jen sedí v šuplíku.
Nebo 15 minut nezávazně s naším týmem – bez přesvědčování, jen konkrétní odpovědi.
Příště? GPS souřadnice 800 000 elektrických aut volně ke stažení na internetu. Špatně nakonfigurované cloudové úložiště, žádný útok potřeba. Politici, policisté, řadoví majitelé – na centimetry přesně. Cloud, sdílená odpovědnost a velký rozdíl mezi „cloud je bezpečný" a „my máme cloud bezpečně nakonfigurovaný".
Zdroje
- TechTarget: The CDK Global outage: Explaining how it happened – techtarget.com
- BreachLock: Ransomware Attack on CDK Global Cripples US Automotive Dealerships
- ExtraHop: CDK Global Ransomware Attack Sends Shockwaves
- CNN Business: How did the auto dealer outage end? CDK almost certainly paid a $25 million ransom (11. 7. 2024)
- CyberScoop: Wallets tied to CDK ransom group received $25 million two days after attack
- Crain's Chicago Business: CDK Global cyberattack lawsuits can proceed, judge rules (11/2025)
- CBS News: CDK Global faces multiple lawsuits from dealerships crippled by cyberattack
- Anderson Economic Group: odhad škod 1 miliarda USD / 56 200 neuskutečněných prodejů
- Zákon č. 264/2025 Sb., zákon o kybernetické bezpečnosti – zejm. § 27–31 (prověřování bezpečnosti dodavatelského řetězce)
- Vyhláška č. 409/2025 Sb., § 9 a příloha č. 5 (řízení dodavatelů, smluvní ujednání)
- Vyhláška č. 410/2025 Sb. (režim nižších povinností)