Čo dnes najviac útočí na firmy

Rok 2026 prináša firmám nepríjemnú kombináciu: útočníci sú rýchlejší, automatizovanejší a zároveň trpezlivejší. Kým pred pár rokmi dominovali „hlasné“ incidenty typu ransomvér so šifrovaním, dnes čoraz častejšie vidíme útoky, ktoré sa snažia zostať neviditeľné, potichu kradnúť dáta, zneužiť identitu alebo presmerovať peniaze. Zároveň sa mení aj terén: viac služieb beží v cloude, viac integrácií ide cez API a viac rozhodnutí robia systémy s prvkami AI. V tomto článku nájdete prehľad aktuálnych kybernetických hrozieb v roku 2026 a najmä konkrétne, praktické kroky, ktoré dokážu znížiť riziko v reálnych firmách.

1) AI podporené sociálne inžinierstvo: phishing, vishing a deepfake

Sociálne inžinierstvo sa v roku 2026 posunulo od „zle napísaných e-mailov“ k veľmi presvedčivým kampaniam. Útočníci používajú generatívne nástroje na:

• personalizované phishingové e-maily (jazykovo bez chýb, s detailmi o projektoch, dodávateľoch či interných procesoch),
• vishing (telefonáty, ktoré znejú profesionálne a obsahujú relevantné informácie),
• deepfake hlas/video na „urgentné“ schválenie platby, zmenu bankového účtu alebo obídenie interných kontrol.

Čo je nové: útočníci často nekončia pri kliknutí na odkaz. Ich cieľom je konverzácia – presvedčiť človeka, aby vykonal sériu krokov: prihlásil sa do falošného portálu, odsúhlasil MFA, nainštaloval „podporný nástroj“, alebo poskytol citlivé údaje po častiach. Tým sa znižuje šanca, že si obeť uvedomí podvod včas.

Odporúčaná obrana:

• Overovanie požiadaviek mimo kanála: ak príde požiadavka e-mailom, overte ju telefonicky na známom čísle (nie na čísle z e-mailu). Pri telefonáte overte cez interný chat alebo ticket.
• „Payment verification“ politika: zmena účtu dodávateľa alebo urgentná platba musí prejsť dvojitým schválením a spätným overením (call-back).
• Bezpečnostné školenie zamerané na konverzačné útoky: učte ľudí rozpoznať tlak na čas, autoritu, „tajnosť“ a postupné vylákanie informácií.
• Technické opatrenia: DMARC/DKIM/SPF s vynútením, anti-phishing ochrana, blokovanie novoregistrovaných domén, sandbox pre prílohy.

2) BEC/CEO fraud 2.0: útoky na financie bez malvéru

Kompromitácia firemnej e-mailovej komunikácie (BEC) ostáva jednou z najdrahších foriem incidentov, pretože často nevyžaduje technicky zložitý malvér. Útočníci sa snažia získať prístup k mailboxu (cez kradnuté heslá, MFA únavu, tokeny) alebo sa vydávajú za dodávateľa. Následne menia fakturačné údaje, posielajú falošné výzvy na platbu alebo manipulujú s komunikáciou v dlhšom čase.

Varovné signály: zmena bankového účtu „na poslednú chvíľu“, neobvyklá naliehavosť, odchýlky v štýle komunikácie, požiadavky mimo bežného procesu, faktúry s drobnými odlišnosťami.

Odporúčaná obrana:

• Procesné kontroly: platby nad limit len s 2-person approval; zmena bankových údajov vždy s call-back overením.
• Ochrana e-mailu: podmienený prístup, detekcia anomálií pri prihlásení, blokovanie legacy autentifikácie.
• Audit pravidiel v mailboxoch: útočníci často vytvárajú pravidlá na presmerovanie alebo skrytie správ (auto-forwarding).

3) Útoky na identitu: krádež tokenov, únos relácie a obchádzanie MFA

V roku 2026 je identita (účty, tokeny, relácie) hlavným cieľom. Aj keď firmy zaviedli MFA, útočníci sa prispôsobili. Vidíme najmä:

• krádež session cookies alebo tokenov z infostealerov,
• phishing s reverzným proxy (obeť sa „prihlási“ cez falošnú bránu a útočník získa platnú reláciu),
• MFA fatigue (bombardovanie push notifikáciami),
• SIM swap a zneužitie SMS ako druhého faktora,
• zneužitie obnovy účtu (password reset) cez kompromitované e-maily alebo helpdesk.

Odporúčaná obrana:

• Prechod na phishing-resistentné MFA: FIDO2/WebAuthn (bezpečnostné kľúče alebo passkeys) pre kľúčové účty.
• Podmienený prístup: blokovať prihlásenia z rizikových krajín, neznámych zariadení, anomálnych IP; vyžadovať „device compliance“.
• Ochrana pred infostealermi: EDR/XDR, hardening prehliadačov, minimalizácia lokálne uložených hesiel, zakázanie neoverených rozšírení.
• Helpdesk procesy: pri resetoch vyžadovať viacfaktorové overenie identity, interné overovacie otázky nepoužívať (ľahko zistiteľné).

4) Ransomvér sa mení: najprv krádež dát, potom vydieranie

Ransomvér nezmizol, ale často už nie je prvým krokom. Typický scenár v roku 2026: útočník sa dostane cez identitu alebo zraniteľnosť, potichu mapuje sieť, kradne dáta (exfiltrácia), získava prístup k zálohám a až potom spustí šifrovanie alebo „čisté“ vydieranie bez šifrovania. Dôvod je jednoduchý: firmy majú lepšie zálohy, takže útočníci tlačia viac na reputáciu a právne riziká.

Odporúčaná obrana:

• Segmentácia siete a oddelenie administrátorských účtov (tiering), aby sa útok nešíril.
• Imutabilné zálohy a pravidelné testy obnovy (nie len „zálohujeme“).
• Detekcia exfiltrácie: DLP, monitorovanie veľkých prenosov, anomálií v cloude, CASB.
• Rýchla reakcia: pripravený incident response plán, kontakty, rozhodovací strom, právne a komunikačné kroky.

5) Cloudové riziká: zlé nastavenia, tajomstvá a prehnané oprávnenia

Cloud je dnes štandard, ale aj najčastejší zdroj „tichých“ incidentov. Problémom nebýva samotný cloud, ale konfigurácia a identita. Najčastejšie chyby:

• verejne dostupné úložiská alebo snapshoty,
• tajomstvá (API kľúče, tokeny) v repozitároch, CI logoch alebo v kontajnerových obrazoch,
• príliš široké IAM roly („admin“ tam, kde stačí read-only),
• nedostatočné logovanie a monitoring (bez audit trailu je incident ťažko dokazateľný),
• shadow IT a neinventarizované SaaS aplikácie.

Odporúčaná obrana:

• Cloud security posture management (CSPM) alebo aspoň pravidelné kontroly konfigurácií a politík.
• Secrets management: trezor na tajomstvá, rotácia kľúčov, skeny repozitárov na uniknuté tajomstvá.
• Least privilege: roly navrhovať od minimálnych oprávnení, používať dočasné privilegované prístupy (JIT).
• Centralizované logy: SIEM alebo aspoň centralizácia audit logov z IdP, cloudu a kritických SaaS.

6) API útoky: slabé autentifikácie, úniky dát a business logic chyby

API sú nervovým systémom moderných aplikácií. Útočníci ich milujú, lebo často obchádzajú UI a idú priamo po dátach. Medzi časté problémy patria:

• Broken Object Level Authorization (BOLA): používateľ vidí cudzie záznamy zmenou ID,
• slabé tokeny a dlhá životnosť prístupových tokenov,
• nedostatočné rate limiting (scraping, brute force),
• business logic zneužitie (zľavy, kredity, workflow).

Odporúčaná obrana:

• API gateway s rate limiting, autentifikáciou a schémami; validácia vstupov.
• Bezpečnostné testovanie API: automatizované skeny + manuálne testy (OWASP API Top 10).
• Krátko žijúce tokeny, rotácia refresh tokenov, viazanie tokenu na zariadenie/kontext.

7) Zraniteľnosti v okraji siete: VPN, brány, zariadenia a „nulté dni“

Aj v roku 2026 zostávajú atraktívnym cieľom zariadenia na hrane siete: VPN, reverse proxy, load balancery, firewallové brány, e-mailové brány a kolaboračné servery. Dôvod: často sú priamo vystavené internetu a spravujú sa „keď je čas“. Útočníci intenzívne skenujú internet a po zverejnení kritickej zraniteľnosti nasadzujú exploit v priebehu hodín až dní.

Odporúčaná obrana:

• Patch management so SLA: kritické internet-facing systémy opravovať prioritne (napr. do 72 hodín podľa rizika).
• Externý attack surface management: vedieť, čo je vystavené internetu (domény, subdomény, IP, služby).
• Hardening: vypnúť nepotrebné služby, obmedziť administráciu na VPN/allowlist, používať MFA pre admin prístupy.

8) Infostealery a „malvér ako služba“: tichý zberač prístupov

Infostealer malvér (kradnúci heslá, cookies a tokeny) je jedným z najčastejších zdrojov následných prienikov. Často sa šíri cez falošné aktualizácie, cracknutý softvér, škodlivé prílohy alebo reklamy. Následok je zákerný: aj keď firma zmení heslo, kompromitovaná relácia alebo token môže ešte istý čas fungovať.

Odporúčaná obrana:

• EDR na koncových staniciach, blokovanie neznámych bináriek, kontrola skriptov (PowerShell hardening).
• Správa prehliadačov: politiky pre rozšírenia, izolácia prehliadača pre rizikové role.
• Bezpečnostná hygiena: zakázať používanie nelegálneho softvéru, pravidelné školenia, jasné pravidlá.

Praktický kontrolný zoznam: čo urobiť v najbližších 30 dňoch

1. Zapnite a vynúťte DMARC (aspoň p=quarantine, ideálne p=reject) a skontrolujte SPF/DKIM.
2. Zaveďte phishing-resistentné MFA pre administrátorov a finančné roly (FIDO2/passkeys).
3. Skontrolujte auto-forwarding a podozrivé pravidlá v mailboxoch; zapnite alerty na zmeny.
4. Urobte inventúru internet-facing služieb a nastavte patch SLA pre kritické komponenty.
5. Otestujte obnovu zo záloh (aspoň jeden kritický systém end-to-end) a overte, že zálohy sú chránené pred zmazaním.
6. Preverte IAM oprávnenia v cloude: odstráňte „admin“ roly, kde nie sú nutné; zapnite audit logy.
7. Spustite API bezpečnostný audit na top 3 najpoužívanejšie API (autorizácia, rate limiting, logovanie).

Záver

Aktuálne kybernetické hrozby v roku 2026 sú menej o „jednom veľkom víruse“ a viac o kombinácii identity, cloudu, API a presvedčivého sociálneho inžinierstva. Dobrá správa je, že veľká časť rizika sa dá znížiť bez dramatických investícií: posilnením procesov pri platbách, prechodom na odolnejšiu MFA, disciplinovaným patchovaním internetových brán, kontrolou cloudových oprávnení a pravidelným testovaním obnovy. Kto zvládne tieto základy, bude výrazne odolnejší voči tomu, čo dnes útočníci reálne robia.