V roku 2026 prechádza paradigma kybernetickej obrany zásadnou transformáciou. Kým v predchádzajúcej dekáde sa organizácie sústredili na budovanie robustného perimetra a ochranu koncových bodov, aktuálne dáta ukazujú, že ťažisko útokov sa presunulo do oblasti, ktorú interné bezpečnostné tímy kontrolujú najťažšie – do dodávateľského reťazca. Kompromitácia dôveryhodných tretích strán (Third-Party Risk) predstavuje pre manažment strategické riziko, ktoré už nie je možné mitigovať len technickými prostriedkami, ale vyžaduje komplexnú zmenu governance modelu.

Analýza incidentov za posledných 12 mesiacov potvrdzuje, že sofistikované APT (Advanced Persistent Threat) skupiny čoraz častejšie opúšťajú metódu priameho útoku na cieľovú organizáciu (tzv. „Big Game Hunting“). Namiesto toho sa zameriavajú na menšie, technicky menej zabezpečené subjekty v ekosystéme cieľa – poskytovateľov spravovaných IT služieb (MSP), vývojárov softvéru, dodávateľov cloudových riešení či dokonca právne a účtovné kancelárie. Tento vektor útoku, známy ako Supply Chain Attack, zneužíva implicitnú dôveru a technické prepojenia medzi organizáciami na obídenie primárnych bezpečnostných kontrol.

Technická anatómia útokov cez dodávateľský reťazec

Z technického hľadiska je Supply Chain útok efektívny preto, lebo eliminuje potrebu prekonávať firewall alebo IDS/IPS systémy obete hrubou silou. Útočník využíva existujúce, autorizované kanály. Možno identifikovať tri dominantné vektory, ktoré v roku 2026 spôsobujú najväčšie škody.

Kompromitácia softvérového CI/CD potrubia

Ide o najsofistikovanejšiu formu útoku, pri ktorej útočník infikuje zdrojový kód alebo build proces priamo u dodávateľa softvéru. Cieľom nie je dodávateľ samotný, ale tisíce jeho klientov, ktorí si stiahnu legitímnu, digitálne podpísanú aktualizáciu obsahujúcu škodlivý payload.

Na rozdiel od historických prípadov (ako SolarWinds), moderné útoky v roku 2026 cielia na knižnice s otvoreným zdrojovým kódom (Open Source Software – OSS) a závislosti v repozitároch ako npm, PyPI či Docker Hub. Útočníci využívajú techniky ako Typosquatting alebo Dependency Confusion, aby do interného vývoja podniku prepašovali malvér. Akonáhle je kód skompilovaný a nasadený do produkcie, útočník získava Remote Code Execution (RCE) pod identitou legitímnej aplikácie, čo sťažuje detekciu behaviorálnou analýzou.

Zneužitie spravovaných prístupov (MSP/MSSP)

Poskytovatelia spravovaných služieb majú často neobmedzený administratívny prístup k infraštruktúre desiatok až stoviek klientov cez nástroje na vzdialenú správu (RMM). Kompromitácia jedného MSP poskytovateľa tak otvára útočníkovi dvere do sietí všetkých jeho zákazníkov súčasne.

V praxi vidíme, že útočníci po získaní prístupových údajov technika MSP (často cez phishing alebo brute-force útok na RDP bez MFA) využívajú tieto legitímne kanály na tzv. Living off the Land (LotL) útoky. Používajú štandardné administrátorské nástroje (PowerShell, WMI) na pohyb v sieti klienta (lateral movement), čím sa vyhýbajú detekcii antivírusovými riešeniami, ktoré tieto nástroje považujú za bezpečné.

Digitálne certifikáty a identita

Tretím vektorom je krádež privátnych kľúčov a digitálnych certifikátov dodávateľov. Malware podpísaný platným certifikátom dôveryhodnej autority je operačným systémom a bezpečnostnými riešeniami často automaticky whitelistovaný. V roku 2026, s nástupom post-kvantovej kryptografie, sa správa kľúčov a identít (PKI) stáva kritickým bodom zlyhania.

Zlyhanie tradičného modelu dôvery

Základným problémom, ktorému čelia CISO a CIO, je architektonický dlh. Väčšina podnikových sietí je stále navrhnutá na princípe „Trust but Verify“ (Dôveruj, ale preveruj), kde je prevádzka od známych partnerov a cez VPN tunely považovaná za bezpečnú. Tento model je v kontexte Supply Chain útokov neudržateľný.

Ak má dodávateľ ERP systému trvalý VPN tunel do vašej siete pre účely servisu, a jeho pracovná stanica je kompromitovaná, útočník sa stáva „interným používateľom“ vašej siete. IDS systémy nemusia reagovať, pretože komunikácia prebieha cez povolený port a protokol. Persistence (trvalá prítomnosť) útočníka v sieti sa tak predlžuje z dní na mesiace, čo radikálne zvyšuje dopad incidentu – od priemyselnej špionáže až po nasadenie ransomvéru v momente najväčšej zraniteľnosti (napr. počas účtovnej závierky).

Legislatívny a regulačný rámec (NIS2 a DORA)

Pre štatutárov a manažment rizík priniesol rok 2026 zásadnú zmenu v posudzovaní zodpovednosti. Európska legislatíva, konkrétne smernica NIS2 a nariadenie DORA (pre finančný sektor), explicitne definuje povinnosť riadiť riziká v dodávateľskom reťazci.

Z pohľadu compliance už neobstojí argument, že k úniku dát došlo chybou dodávateľa. Regulačné orgány posudzujú, či prevádzkovateľ základnej služby (vaša organizácia):

1. Dostatočne preveril bezpečnostnú úroveň dodávateľa pred podpisom zmluvy (Due Diligence).
2. Zakotvil bezpečnostné požiadavky do zmluvných vzťahov.
3. Pravidelne auditoval a kontroloval dodržiavanie týchto požiadaviek.

V prípade incidentu, ktorý vznikol u dodávateľa, ale ovplyvnil vašu službu, ste to vy, kto čelí sankciám. Tie môžu v zmysle NIS2 dosiahnuť až 10 miliónov eur alebo 2 % z celkového celosvetového obratu, pričom novinkou je priama osobná zodpovednosť štatutárnych orgánov, vrátane možnosti dočasného zákazu výkonu riadiacej funkcie.

Stratégia mitigácie: Od dôvery ku kontrole

Odpoveďou na tieto hrozby nemôže byť izolácia, keďže moderný biznis je na integráciách závislý. Riešením je implementácia prísnych kontrolných mechanizmov a prechod na architektúru Zero Trust.

Zero Trust Network Access (ZTNA)

Nahradenie klasických VPN riešení technológiou ZTNA je prvým krokom. V modeli Zero Trust nemá žiadny používateľ ani zariadenie (ani dodávateľ) implicitnú dôveru. Prístup nie je udeľovaný na úroveň celej siete (Network Level Access), ale granulárne len ku konkrétnej aplikácii (Application Level Access), ktorú dodávateľ potrebuje pre svoju prácu. Overovanie prebieha kontinuálne, pri každej požiadavke, a zohľadňuje nielen identitu, ale aj kontext (stav zariadenia, geolokáciu, čas).

Segmentácia a mikrosegmentácia

Ak nie je možné nasadiť ZTNA okamžite, nevyhnutnosťou je striktná segmentácia siete. Dodávateľské systémy musia byť izolované v DMZ alebo dedikovaných VLAN bez priamej routovacej cesty do kritických interných segmentov. Komunikácia musí byť obmedzená na nevyhnutné porty a prísne monitorovaná.

Vendor Risk Management (VRM)

Proces riadenia dodávateľov sa musí presunúť z právneho oddelenia na oddelenie informačnej bezpečnosti. Efektívny VRM program zahŕňa:

• Kategorizácia dodávateľov: Rozdelenie partnerov podľa úrovne rizika a prístupu k dátam.
• Bezpečnostné doložky v SLA: Zmluvné zakotvenie povinnosti hlásiť bezpečnostné incidenty do 24 hodín, povinnosť dodržiavať štandardy šifrovania a patch managementu.
• Pravidelné audity: Právo na vykonanie penetračného testu infraštruktúry dodávateľa alebo vyžiadanie nezávislého auditu (SOC 2 Type II, ISO 27001).

Software Bill of Materials (SBOM)

V reakcii na útoky cez open-source komponenty sa štandardom stáva vyžadovanie SBOM od dodávateľov softvéru. Ide o formálny zoznam všetkých komponentov a knižníc, z ktorých sa softvér skladá. Taketo opatrenie umoží organizácii v prípade objavenia zraniteľnosti (napr. v knižnici Log4j) okamžite identifikovať, ktoré aplikácie v jej prostredí sú ohrozené, bez čakania na vyjadrenie dodávateľa.

Úloha AI v detekcii anomálií

V kontexte Supply Chain útokov zlyhávajú statické pravidlá detekcie (podpisové bázy). Budúcnosť obrany spočíva v nasadení AI a ML (Machine Learning) modelov pre analýzu správania používateľov a entít (UEBA – User and Entity Behavior Analytics).

AI dokáže vytvoriť „baseline“ bežného správania dodávateľa (kedy sa pripája, aké objemy dát prenáša, k akým súborom pristupuje). Ak sa legitímny účet dodávateľa začne správať anomálne – napríklad začne v noci skenovať sieť alebo pristupovať k databázam, s ktorými bežne nepracuje – AI systém dokáže tento deviáciu identifikovať a automaticky zablokovať prístup skôr, než dôjde k exfiltrácii dát.

Pár slov na záver

Bezpečnosť dodávateľského reťazca v roku 2026 nie je technologický problém, ktorý sa dá vyriešiť nákupom nového hardvéru. Je to procesný a governance problém. Organizácie musia akceptovať fakt, že nemôžu kontrolovať bezpečnosť svojich partnerov, ale môžu a musia kontrolovať to, aký prístup týmto partnerom udelia.

Prechod na Zero Trust architektúru, dôsledný Vendor Risk Management a právne ošetrenie zodpovednosti sú jedinou cestou, ako minimalizovať riziko, ktoré prichádza zdanlivo „od priateľa“. V digitálnom ekosystéme platí, že ste len takí silní, ako váš najslabší dodávateľ.