Říká se, že opakování je matka moudrosti. Takže znovu: Kontrolujte své dodavatele, než přijdete o data, klienty a peníze!
I na začátku roku 2026 platí, že dodavatelé jsou častým vektorem útoku. Řada organizací, ať už ze státní či soukromé sféry, byla cílem útoků nepřátelských skupin vedených právě přes dodavatele. Typicky přes jeho zařízení, zabezpečení, provozovaný nástroj. Útočníci obvykle získali přístup k osobním údajů stovek tisíc či milionů lidí, jejich jména, kontakty, někdy i zdravotní záznamy, čísla účtů či informace o elektronickém podpisu.
Švédský e-government na lopatkách
V březnu 2026 zveřejnila hackerská skupina „ByteToBreach“ na Darknetu kompletní zdrojové kódy švédské vládní platformy pro e‑government. Zdroje pocházely z napadené infrastruktury CGI Sverige (švédská pobočka IT dodavatele CGI Group), která spravuje digitální služby pro vládu.
Útočníci zveřejnili citlivé informace, včetně zdrojového kódu, konfiguračních souborů a údajů zaměstnanců (interní databáze). Ve zdrojovém kódu jsou natvrdo “hardcodeovány” přihlašovací údaje. Na Darknetu je pak prý k dispozici i databáze osobních údajů a podepsaných dokumentů milionů švédských občanů.
Podle dostupných informací hacker získal přístup prolomením CI/CD (přístupy do Jenkins, Docker útok), nikoli prostým phishingem.
Zdravotní údaje klientů české pojišťovny na prodej
Již na začátku března 2026 informovala Slavia pojišťovna své klienty o útoku hackerské skupiny na IT systémy a nástroje u jejího IT dodavatele. Útočníci získali asi 22 GB údajů souvisejících s likvidací pojistných událostí. Jednalo se o pojistné smlouvy, dokumentaci, lékařské záznamy a komunikaci s klienty. Samotné interní systémy Slavia pojišťovny údajně nebyly prolomeny.
Co bylo důvodem úniku dat tentokrát? Mělo se jednat o chybu bezpečnostního nastavení nebo aktualizací u externího dodavatele, která umožnila hackerům přístup к datům. Přesný technický vektor útoku nebyl zveřejněn.
Šikovný kutil - hacker
Francouzská on-line platforma pro řemeslníky a DIY komunitu ManoMano zveřejnila, že v lednu 2026 došlo k rozsáhlé krádeži údajů jejich zákazníků. Útok postihl externího poskytovatele zákaznické podpory, konkrétně call centrum v Tunisu. Útočník tvrdil, že získal přibližně 37,8 milionů záznamů z interních systémů a tisíce servisních ticketů. Únikem bylo zasaženo prakticky celé klientské portfolio ManoMano.
V tomto případě prý útočníci prolomili prostředí člena dodavatelského řetězce podílecího se na fungování call centra. Útok měl být realizován pravděpodobně falešným či kompromitovaným přístupem do aplikace Zendesk.
Kam zmizela osobní data cestujících?
Nizozemský provozovatel služby pro mezinárodní železniční pasy v březnu 2026 informoval cestující i dozorový úřad pro ochranu osobních údajů o kybernetickém incidentu, který se u něj odehrál. Na přelomu ledna a února 2026 došlo k neoprávněnému přístupu ke klientské databázi. Útočníci ukradli osobní údaje držitelů jízdenek Interrail/Eurail, včetně celých jmen, čísel cestovních pasů, platebních IBANů, e-mailů a telefonů. Ideální kombinace pro další útoky, třeba právě phishing.
Podrobnosti útoku nebyly zveřejněny. Spekulovalo se ovšem, že mohlo opět dojít k napadení a prolomení některé z partnerských platforem, například u externího správce klientské databáze.
Mobilní zařízení úředníků EU pod útokem
V lednu tohoto roku CERT-EU detekoval průnik do centrální správy mobilních zařízení (MDM) zaměstnanců Evropské komise. Komise oznámila, že útok mohl odhalit pracovní údaje části úředníků, konkrétně jména a mobilní čísla, ale žádná mobilní zařízení prý nebyla zasažena.
Útočník využil dosud neopravné chyby v MDM platformě, tzv. Zero day útok, provozované třetí stranou. Podobný útok postihl těsně před Komisí i nizozemské veřejné instituce. Ale všechna čest, podle dostupných údajů Komise a CERT-EU na útok rychle zareagovaly a během devíti hodin od zjištění neoprávněného průniku byl systém vyčištěn a slabina odstraněna.
Odpovědnost nelze outsourcovat!
Odpovědnost za bezpečnost dat nelze outsourcovat. Opakování je matkou moudrosti, takže ještě jednou: ODPOVĚDNOST. ZA. BEZPEČNOST. DAT. NELZE. OUTSOURCOVAT.
Ať už k úniku dat nebo jinému kybernetického incidentu dojde v prostředí dodavatele, jeho subdodavatele, útokem na externího vývojáře nebo pozdí aktualizací využívané online platformy, odpovědnost za bezpečnost dat zůstává stále na každé organizaci. Ano, v případě porušení smlouvy či jiného flagrantního selhání lze proti dodavateli uplatnit nárok, například na smluvní pokutu. To ovšem na primární odpovědnosti a riziku jak veřejnoprávních sankcí, tak uplatnění soukromoprávních nároků (např. ve formě hromadné žaloby) nic nemění.
Jen pro úplnost doplňme, že povinnost ověřovat dodavatele, jejich reputaci, interní zajištění bezpečnosti, řízení rizik atd. přímo vyplývá z řady právních předpisů. Za všechny jmenujme GDPR, nařízení DORA, NIS2 a nový zákon o kybernetické bezpečnosti, směrnici CER a zákon o kritické infrastruktuře atd.
Hygienické minimum
Pravidel, doporučení i standardů pro ověřování a kontrolu dodavatelů je dostupných celá řada. Nikdo se tak nemůže věrohodně vymlouvat, že nevěděl, co dělat. Kdo chce svoji organizaci chránit a řídit rizika spojená se třetími stranami, k tomu najde spoustu návodů.
Pro rekapitulaci, v tomto článku už několikátou, ale shrňme alespoň to naprosto nezbytné minimum. Každá organizace by měla:
Znát své dodavatele. Vědět, jaké externí společnosti jí dodávají služby a jestli dodávané služby zajišťují přímo nebo prostřednictvím dalších subdodavatelů.
Znát své procesy a data a vědět, jaké služby jsou na konkrétním dodavateli závislé a k jakým (jak citlivým) datům má ten který dodavatel přístup.
Vědět, jak jsou procesy a data chráněny. Ve vlastním prostředí, u dodavatele, v online platformě. Ale vždy vědět, aby organizace mohla reagovat, pokud jsou nastavená pravidla nedostatečná.
Vybírat si důvěryhodné dodavatele. Stanovit si alespoň základní kritéria pro to, s kým bude organizace spolupracovat. A ne, cena by tím jediným kritériem rozhodně být neměla.
Mít se svými dodavateli dostatečné smlouvy. Zejména s těmi, kteří podporují kritické funkce nebo mají přístup k citlivým údajům a interním informacím. Argumenty typu “oni nám do smlouvy žádné garance dát nechtěli”, nejsou omluvou a vlastně ani argumentem pro nikoho a pro nic.
Dodavatele, jejich fungování a jimi provozované nástroje monitorovat. Pokud je někde zjištěna slabina, tak ji opravit. A když organizace zjistí, že dodavatel porušuje smlouvu, právní předpisy či základní pravidla pro zajištění kybernetické bezpečnosti, pak to organizace musí řešit. Dodatečnými opatřeními na své straně nebo změnou dodavatele.
Interně určit, kdo je za který krok (kontrola dodavatelů, smlouva, mapování datových toků, průběžný monitoring) odpovědný. A plnění této role také kontrolovat. Jinak vše zůstane jen na papíře bez skutečné přidané hodnoty.
