Ransomware už dávno nie je len o „zašifrovaných diskoch“. V roku 2026 ide o vyspelý biznis model postavený na rýchlom prieniku, krádeži dát (exfiltrácii) a následnom paralyzovaní prevádzky. Pre útočníkov je primárnym cieľom dostupnosť služieb – vedia, že ak firmu odstavia od výroby, logistiky alebo predaja, donútia ju konať pod obrovským tlakom času.

Tento článok analyzuje, prečo aj pri súčasných technológiách ransomware útoky stále končia úspechom, a definuje sadu kontrol, ktoré majú v praxi najlepší pomer ceny a efektivity.

Anatómia útoku: Ako to prebieha dnes?

Väčšina incidentov nie je výsledkom „jedného náhodného kliknutia“. Útok má svoje fázy, ktoré sa snažia obísť moderné detekčné mechanizmy:

1. Prvotný prienik: Podľa analýz Verizon DBIR a Microsoft Digital Defense Report zostávajú kompromitované prihlasovacie údaje a zneužitie zraniteľností na perimetri siete hlavnými vstupnými vektormi. Útočníci čoraz viac využívajú infostealery na krádež relácií (session tokens), čím obchádzajú aj bežné formy MFA. MFA je dnes nutný základ, ale nie je to všeliek – práve preto má zmysel phishing-resistant MFA (štandard FIDO2) a striktná kontrola aktívnych relácií.
2. Eskalácia prístupu: Akonáhle je útočník vnútri, hľadá cestu k doménovým administrátorom, hypervízorom a najmä k zálohám.
3. Laterálny pohyb (Lateral Movement): Cieľom je potichu zasiahnuť čo najviac systémov naraz a pripraviť pôdu na finálny úder bez predčasného spustenia alarmov.
4. Exfiltrácia a vydieranie: Pred samotným šifrovaním dochádza ku krádeži citlivých dát. Útočník tak získava druhú páku – hrozbu zverejnenia informácií (Double Extortion).
5. Šifrovanie a paralýza: Finálna fáza, kde sa dopad mení z technického na existenčný.

Systémové diery: Prečo technické produkty nestačia?

Firmy často disponujú drahými bezpečnostnými riešeniami, no napriek tomu zlyhávajú na základnej hygiene:

• Externé prístupy bez silnej autentifikácie: VPN alebo publikované služby chránené len heslom sú v roku 2026 kritickým rizikom.
• Slabá správa identít: Ak kompromitácia bežného používateľa vedie k ovládnutiu domény, incident sa mení na katastrofu.
• Patching riešený ad hoc: Okno zneužitia je extrémne krátke. Pre zraniteľnosti s vysokou expozíciou a kritickým skóre (CVE) by malo byť SLA na opravu na perimetri siete v rozsahu 24 až 72 hodín.
• Netestovaná obnova: Zálohy sú k ničomu, ak proces obnovy trvá týždne. RPO a RTO nesmú ostať len číslami v dokumentácii.
• Ploché siete: Chýbajúca segmentácia dovoľuje incidentu rozšíriť sa z jednej stanice na celú infraštruktúru.

10 praktických kontrol pre lepšiu odolnosť

Tieto opatrenia tvoria v praxi rozdiel medzi incidentom a krízou:

1. MFA všade a inteligentne: Viacfaktorová autentifikácia pre VPN, cloud portály a administráciu (prioritne postavená na FIDO2).
2. Striktná kontrola aktívnych relácií: Implementácia politík podmieneného prístupu (Conditional Access), skracovanie platnosti session tokenov a schopnosť okamžitej revokácie všetkých relácií používateľa pri podozrivej aktivite.
3. Kontrola privilegovaných účtov (PAM): Oddelené admin účty bez prístupu k e-mailu a internetu. Striktne uplatňovaný princíp minimálnych práv.
4. Nemennosť a izolácia záloh (Immutability): Zálohy, ktoré sú nemenné alebo offline. Útočník nesmie mať možnosť ich zmazať tými istými právami, ktorými ovládol sieť.
5. Pravidelný test obnovy: Minimálne raz za kvartál overiť, že kritické systémy viete reálne obnoviť v biznisom požadovanom čase.
6. SLA pre kritický patching: Prioritná aktualizácia perimetra siete, identitných serverov (AD/Entra ID) a hypervízorov.
7. Segmentácia siete: Oddelenie používateľskej zóny, serverov a zálohovacej infraštruktúry s cieľom znížiť „blast radius“.
8. EDR na endpointoch a serveroch: Nasadenie EDR na všetky koncové zariadenia aj servery. Triáž musí prioritne sledovať signály ako credential dumping (LSASS access), zneužívanie remote nástrojov, mazanie Shadow Copies alebo hromadné operácie s filesystémom.
9. Centrálne logovanie a detekcia pre identity a zálohy: Sledovanie anomálií pri prihlasovaní a neautorizovaných prístupoch k zálohám.
10. Incident Response Plan: Jasné rozhodovacie právomoci, komunikačný plán a technické postupy izolácie systémov.

Čo v žiadnom prípade NEROBIŤ (Common mistakes)

• Nečakať na šifrovanie: Ak vidíte známky exfiltrácie dát alebo podozrivý laterálny pohyb, konajte okamžite. Keď sa spustí šifrovanie, je už neskoro.
• Neriešiť obnovu bez izolácie: Nikdy neobnovujte zálohy do rovnakej, stále infikovanej siete. Bez predošlej izolácie a vyčistenia prostredia riskujete okamžitú re-infekciu.
• Nemať admin účty na bežných staniciach: Administrátorské účty nesmú byť nikdy použité na prihlásenie do bežných pracovných staníc s prístupom na web a e-mail.

Akčný plán: Prvých 7 dní k lepšej bezpečnosti

Ak potrebujete začať okamžite, tu je mikroplán na prvý týždeň:

• Deň 1–2: Vynútiť MFA na všetkých VPN, vzdialených prístupoch a admin portáloch.
• Deň 3–4: Zaviesť oddelené administrátorské účty pre IT personál a zakázať im prístup k e-mailu/webu.
• Deň 5–7: Preveriť odolnosť záloh (izolácia od domény) a vykonať test obnovy aspoň jednej kritickej služby.

Záver: Incident vs. Existenčná kríza

V roku 2026 nevyhráva ten, kto má „najviac hračiek“. Vyhráva ten, kto má zvládnuté základy: identity, privilegované prístupy, odolné zálohy a schopnosť rýchlej reakcie. To je rozdiel medzi incidentom, ktorý firma ustojí, a krízou, ktorá ju vymaže z trhu.