Národní úřad pro kybernetickou a informační bezpečnost

NÚKIB se připojil k mezinárodnímu upozornění na proruské hacktivistické skupiny útočící na subjekty kritické infrastruktury

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se spolu s Vojenským zpravodajstvím a Národní centrálou proti terorismu, extremismu a kybernetické kriminalitě, Spojenými státy americkými a dalšími partnery připojil k upozornění amerického Federálního úřadu pro vyšetřování (FBI) na kybernetické útoky proruských hacktivistických skupin mířených na kritickou infrastrukturu.

Na rozdíl od pokročilých státních aktérů (APT) tyto skupiny využívají méně sofistikované metody s nižším dopadem, které ale mohou vést k poškození napadených systémů. Skupiny přitom často nerozumí procesům, jež se snaží narušit, což může vést k nechtěným dopadům, a to včetně fyzického poškození systémů.

Mezi proruské hacktivistické skupiny, které jsou zmíněny v upozornění, patří např. Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16 a další s nimi spojení aktéři. V souvislosti se skupinou NoName057(16), která se zaměřuje zejména na DDoS útoky a byla aktivní proti českým institucím a firmám, NÚKIB eviduje od roku 2023 42 kybernetických incidentů (všechno DDoS útoky). Proruští hacktivisté využívají jednoduše dostupné a snadno napodobitelné taktiky, které se tak mohou šířit a vést k vyšší četnosti narušení. Skupiny útočí prostřednictvím slabě zabezpečených připojení pro vzdálený přístup (VNC připojení), přes která získávají přístupy k řídicím systémům operačních technologií (OT).

Upozornění obsahuje konkrétní doporučení pro vlastníky a provozovatele OT systémů – např. omezit přístup OT zařízení k veřejné síti, zavést robustní ověřování, nastavit bezpečné rozsahy hodnot v systémech a pravidelně monitorovat provozní data.

Historicky se jedná již o druhé upozornění (Joint Cybersecurity Advisory) týkající se ruských hrozeb, které bylo zveřejněno ve spolupráci s americkými partnery. Upozornění je mj. příkladem operativní spolupráce mezi NÚKIB a USA v oblasti sdílení informací a analýzy kybernetických hrozeb.

Plné znění upozornění naleznete zde: Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure | CISA

NÚKIB představuje Národní politiku CVD pro bezpečné hlášení zranitelností

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil Národní politiku koordinovaného zveřejňování zranitelností, jejímž cílem je nejen zvyšování bezpečnosti produktů informačních a komunikačních technologií (ICT), ale také ochrana objevitelů zranitelností před negativními právními dopady. Součástí je rovněž vytvoření „koordinátora pro účely CVD“, jímž je podle nového zákona o kybernetické bezpečnosti vládní CERT.

Pojem koordinované zveřejňování zranitelností (dále jen CVD z anglického Coordinated Vulnerability Disclosure) představuje proces, kdy nálezci zranitelností spolupracují a sdílejí informace s příslušnými zúčastněnými stranami, jako jsou dodavatelé a vlastníci infrastruktury ICT. Cílem CVD je zajistit, aby byly zranitelnosti zveřejněny až ve chvíli, kdy se dodavateli podaří vyvinout záplatu nebo najít jiné řešení k minimalizaci jejich dopadů. Součástí procesu je typicky nalezení zranitelnosti, její nahlášení a následné odstranění. Celý proces CVD je upraven tzv. politikou CVD, tedy veřejným svolením vlastníka či správce produktu ICT k nalézání zranitelností.

Cílem procesu CVD je ochránit informaci o zranitelnosti do doby její nápravy tak, aby se snížilo riziko, že bude zneužita ze strany potenciálních útočníků. Správně nastavené CVD rovněž chrání objevitele zranitelností před negativními právními dopady nalézání zranitelností, jako je trestní odpovědnost či odpovědnost za škodu.

Národní politika CVD představuje efektivní nástroj pro navyšování bezpečnosti produktů ICT, neboť umožňuje spolupráci jejich vlastníků a správců s objeviteli zranitelností. Součástí celého procesu je tzv. koordinátor pro účely CVD, kterého určuje stát. Tímto koordinátorem je podle nového zákona o kybernetické bezpečnosti vládní CERT, který je součástí NÚKIB.

Nahlásit koordinátorovi nalezenou zranitelnost může jakákoli osoba, a to i anonymně. Koordinátor poskytne oznamovateli pomoc a identifikuje a kontaktuje subjekty dotčené nalezenou zranitelností. Dále je koordinátor zapojen do jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů. Současně působí jako kontaktní bod pro další koordinátory v jiných členských státech Evropské unie. Ohledně nahlášení zranitelnosti se lze na vládní CERT obracet již nyní na e-mailové adrese cvd@nukib.gov.cz.

NÚKIB zároveň zveřejnil svou politiku CVD ve spolupráci s ACTIVE 24, s. r. o., (dostupná zde) která objevitelům zranitelností umožňuje testovat webovou aplikaci nukib.gov.cz. Tato konkrétní politika uvádí zejména zakázané způsoby nalézání zranitelností a definuje postup, jak správně nahlásit zranitelnost prostřednictvím formuláře. Věříme, že politika CVD NÚKIB povede k navázání bližší spolupráce s experty v oblasti nalézání zranitelností a přispěje k zavádění obdobných politik v České republice.

Národní politika CVD je dostupná zde:

https://nukib.gov.cz/download/publikace/strategie_akcni_plany/narodni_politiky_koncepce/CVD_FINAL_aktualizace-dle-nZKB.pdf

Vydali jsme přehled kybernetických incidentů za listopad 2025

V listopadu počet kybernetických incidentů, které evidoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), klesl na podprůměrné hodnoty. Závažnost incidentů ale mírně vzrostla – tři z patnácti byly označeny jako významné.

V kategorii Dostupnost NÚKIB evidoval zejména výpadky, ale žádné DDoS útoky. Do kategorie Informační bezpečnost spadají čtyři ransomwarové útoky (např. Warlock, INC Ransom), které znamenají mírný nárůst oproti předchozím měsícům. Kategorie Průnik byla zastoupena kompromitacemi VPN, administrátorských účtů či e-mailových schránek. Navíc NÚKIB evidoval jeden případ škodlivého kódu u zdravotnického subjektu.

Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/vyzkum/Kyberneticke-incidenty-pohledem-NUKIB-listopad-2025.pdf

Na aktuální zranitelnosti upozorňujeme prostřednictvím profilu vládního CERT na síti X.

1Kybernetickým bezpečnostním incidentem se rozumí narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.

Oba pojmy definuje zákon o kybernetické bezpečnosti.

NÚKIB podporuje upozornění Spojeného království na škodlivé kybernetické aktivity čínských společností I-S00N a Integrity Tech

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) podporuje vyjádření partnerů ze Spojeného království, kteří upozorňují na škodlivé aktivity společností Anxun Information Technology (též „I-S00N“) a Beijing Integrity Technology (též „Integrity Tech“) působících v kyberprostoru a sídlících v Čínské lidové republice (ČLR). Tyto společnosti jsou součástí komplexního ekosystému soukromých subjektů v ČLR, které pro tamní zpravodajské a bezpečnostní složky mimo jiné vyvíjejí ofenzivní nástroje a samy, s vědomím vlády ČLR, provádějí operace proti ČR a jejím spojencům. Národní bezpečnostní instituce i mezinárodní organizace na čínské škodlivé aktivity upozorňují koordinovaně stále častěji.

NÚKIB také na základě vlastních zjištění i informací od domácích a zahraničních partnerů opakovaně varuje před aktivitami vycházejícími z tohoto ekosystému i ze strany státních aktérů. Tyto činnosti představují pro ČR rostoucí hrozbu, což dokládá kybernetická kampaň APT31, kterou Vláda České republiky v roce 2025 veřejně přisoudila ČLR, stejně jako společné analýzy vypracované se zahraničními partnery, zejména ze září 2025 zaměřující se na aktéra Salt Typhoon.  

NÚKIB proto zveřejňuje vlastní analýzu ke společnosti I-S00N, která přináší detailní pohled na její fungování v rámci ekosystému soukromých společností, jejichž škodlivé aktivity ČLR umožňuje, podporuje a využívá.  Podle informací uniklých na webové stránce Github měla čínská společnost I-S00N vyvíjet ofenzivní kybernetické nástroje, včetně hardwarových nástrojů na penetrační testování, na zakázku čínským státním institucím. Mezi jmenované příjemce těchto nástrojů patří různá lokální pracoviště čínského Ministerstva veřejné bezpečnosti, Ministerstva státní bezpečnosti či Čínské lidové osvobozenecké armády a je pravděpodobné, že nástroje byly využívány i dalšími institucemi.

„Tento stav je podporován právním a politickým prostředím v ČLR, které vládě poskytuje mimořádnou kontrolu nad internetovým prostorem i technologickými firmami. Komunistická strana Číny zasahuje do všech oblastí společnosti, včetně nevládních organizací, státních i soukromých podniků a poboček zahraničních firem. Stát navíc ovlivňuje formálně soukromé společnosti prostřednictvím vlastnických podílů tzv. „Golden Shares“ a povinných stranických buněk, které jsou podle zákona z roku 2013 zřizovány uvnitř firem,“ uvedla k tomu Martina Ulmanová, náměstkyně sekce strategických agend a spolupráce NÚKIB.  Na problematické právní a politické prostředí ČLR NÚKIB upozornil mimo jiné i ve varování z 3. září 2025. 

Podpora a využívání škodlivých kybernetických aktivit soukromých subjektů ze strany ČLR je porušením norem OSN pro zodpovědné chování států v kyberprostoru, čímž ČLR jedná v rozporu s mezinárodními závazky i vlastními veřejnými prohlášeními.

Tiskové prohlášení Spojeného království naleznete zde: https://www.gov.uk/government/news/uk-clamps-down-on-china-based-companies-for-reckless-and-irresponsible-activity-in-cyberspace