Ochrana kritické infrastruktury? Rozdíly mezi institucemi jsou někdy propastné, říká expertka Monika Kutějová

Kateřina Benešová
09. 07. 2025

Jak se liší ochrana kritické infrastruktury od běžných podmínek? Jaké jsou dnes největší hrozby pro podobné organizace? Kyberbezpečnostní expertka Monika Kutějová má zkušenosti z působení v NÚKIBu, na pražském letišti nebo na Pražském hradě. Zeptali jsme se jí také na čínské vlivové působení u nás a ve světě. A na to, proč je dobré mít v kyberbezpečnostním týmu ženy.
Na jaké úrovni je podle vás kyberbezpečnostní ochrana kritické infrastruktury v Česku?
Obecně je na dobré úrovni. Máme zákonný rámec, který jasně definuje povinnosti v oblasti kyberbezpečnosti. A v posledních letech je vidět i snaha o větší podporu a koordinaci ze strany státu. Přinejmenším se o tom mluví. Na druhou stranu je ale stále znát výrazná nerovnováha mezi jednotlivými institucemi – rozdíly v přístupu, kapacitách i odbornosti jsou někdy propastné.
Nový zákon o kybernetické bezpečnosti
Poslanci schválili nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2.
Cílem zákona je zvýšit odolnost firem a organizací z kritických odvětví proti kybernetickým rizikům. Dotkne se tisíců subjektů z oblastí jako energetika, bankovnictví, zdravotnictví nebo veřejná správa.
Zjistěte, jestli se vás týká, a nechte si od nás poradit, s čím začít.
Hlavní rezervy vidím ve třech oblastech. První je lidský faktor – konkrétně nedostatek odborníků, kteří rozumějí nejen technologiím, ale i specifikům provozu dané organizace. Druhou výzvou je strategické plánování – ne každá instituce má nastavený dlouhodobý rozvoj bezpečnosti, často se řeší hlavně to, co je právě akutní nebo nařízené. A třetí oblastí je spolupráce – instituce by měly výrazně aktivněji sdílet své informace a zkušenosti.
Jak se z vašeho pohledu liší práce na pozici specialistky kyberbezpečnosti v rámci běžného podniku a v rámci kritické infrastruktury?
Za mě se to nedá úplně srovnávat nebo generalizovat. Nejde totiž ani tak o to, jestli pracujete pro běžnou firmu, nebo pro organizaci spadající pod kritickou infrastrukturu. Zásadní rozdíl často určuje něco jiného – a sice přístup vedení.
Tam, kde vedení chápe význam kybernetické bezpečnosti a aktivně ji podporuje, se i běžná firma může dostat na velmi vysokou úroveň zabezpečení. Naopak i instituce, které mají ze zákona určité povinnosti, se mohou omezit jen na jejich formální splnění.
Například na letišti je krásně vidět, co udělá rozdíl. Existuje tam silná podpora shora a důvěra v kyberbezpečnostní tým. A zároveň jsou tam motivovaní bezpečáci, kteří chtějí svou práci dělat dobře a zlepšovat se v ní. To je podle mě ideální kombinace, která může fungovat napříč prostředím – bez ohledu na to, jestli jste v korporátu, nebo v kritické infrastruktuře.
Phishing? Útočníci by se vůbec neměli k zaměstnanci dostat
Kde se dnes v případě kritické infrastruktury nejčastěji objevují vstupní body pro útočníky? Jsou to stejné věci jako u běžných firem, například phishing?
Ano, ve většině případů jsou vstupní body podobné. Phishing, zneužití identity, zranitelnosti aplikací jsou všechno univerzální nástroje, které útočníci používají bez ohledu na to, na koho útočí.
Takže i tady radíte pořád dokola školit zaměstnance, aby neklikali na podezřelé odkazy v e-mailech?
To je samozřejmě důležité, ale samo o sobě to nestačí. Ještě větší důraz musí být kladen na bezpečnostní týmy. Ty by měly aktivně hledat způsoby, jak těmto zprávám vůbec zabránit v doručení. Vrstvené zabezpečení, prevence, detekce – to jsou prvky, které musí fungovat dřív, než se nebezpečný odkaz dostane k zaměstnanci.
70 % úspěšných útoků jde přes mobily nebo notebooky. O2 přichází s pokročilou ochranou
Zobrazit článek
Jaké nové hrozby, o kterých se třeba před dvěma lety ještě nemluvilo, dnes kritické infrastruktuře hrozí?
Nejvýraznější je nepřekvapivě nárůst hrozeb spojených s využíváním umělé inteligence. Útočníci ji používají k automatizaci a personalizaci útoků, ke generování škodlivého kódu i k simulaci lidské komunikace ve phishingu nebo v deepfake videích a zvukových nahrávkách.
Dalším trendem je propracovanější zneužívání přístupů třetích stran. Kritická infrastruktura je často navázaná na dodavatele, integrační partnery nebo servisní společnosti – a právě přes ně se může útočník dostat dovnitř. To s sebou nese potřebu detailně řešit nejen vlastní ochranu, ale i bezpečnost v celém ekosystému.
A pak je tu ještě jeden důležitý aspekt: geopolitické napětí. V dnešní době už není výjimkou, že motivace za útokem není ekonomická, ale čistě destabilizační – například cílený útok na důvěru obyvatel v určitou instituci. Kybernetická bezpečnost tak přestává být jen technickým oborem a stále víc se posouvá do strategické roviny, kde jde o odolnost společnosti jako celku.
Čína chce omezit svobodu internetu
Když jste narazila na geopolitické napětí: Vy jste odbornice na Čínu. Jak vidíte její roli ve světě kyberbezpečnosti?
Čína hraje klíčovou roli hned ve třech rovinách: zaprvé jako původce kybernetických hrozeb, zadruhé jako technologický konkurent a zatřetí jako stát, který se snaží ovlivňovat mezinárodní pravidla digitálního prostoru.
Z pohledu hrozeb patří Čína dlouhodobě mezi nejaktivnější státní aktéry v oblasti kybernetické špionáže. Mnoho vládních i soukromých institucí po celém světě opakovaně čelí útokům ze strany skupin napojených na čínský stát – například APT41 nebo Mustang Panda. Tyto skupiny se často zaměřují na získávání citlivých informací, jako jsou technologická data, informace z obranného průmyslu nebo ze zdravotnictví.
Co se týká technologického vývoje, Čína masivně investuje do budování vlastních řešení – od čipů přes umělou inteligenci až po mobilní a komunikační sítě. Nejde přitom jen o ekonomickou soutěž, ale o geopolitickou nezávislost. Jejím cílem je snížit závislost na Západu a současně šířit čínské technologie do zahraničí. To s sebou ale přináší bezpečnostní rizika, například kvůli netransparentnímu fungování systémů nebo možné přítomnosti takzvaných zadních vrátek.
Jako třetí bod jste zmínila snahu ovlivňovat pravidla fungování internetu a digitálního prostoru jako celku. Jak tady vypadá působení Číny?
To je ta méně viditelná, ale neméně důležitá oblast. Čína v rámci OSN a dalších mezinárodních organizací silně tlačí koncept „digitální suverenity“, který v jejím pojetí znamená větší státní kontrolu nad internetem a omezení volného toku informací. Pokud by se tento přístup rozšířil globálně, zásadně by to změnilo podobu internetu, jak ho známe dnes – a snížilo by to prostor pro otevřenou komunikaci i mezinárodní spolupráci.
Západní země tak dnes čelí výzvě, jak se s čínským působením vyrovnat – a to nejen technicky, ale také strategicky. Znamená to posilovat vlastní kapacity, diverzifikovat dodavatelské řetězce a hájit demokratické principy i v digitálním prostoru.
Musíme být o krok napřed nejen v softwaru, ale i v myšlení
Vůči těmto typům hrozeb se asi nejde účinně bránit jen běžnými kyberbezpečnostními prostředky. Má smysl uvažovat u kritické infrastruktury o věcech, jako je úplná izolace, odpojení, nezávislé systémy?
Klasické prostředky – jako je vícevrstvé zabezpečení, monitoring, aktualizace a řízení přístupových práv – tvoří základ, bez kterého se neobejdeme. Ale proti hrozbám, které nejsou jen technické, ale také strategické a dlouhodobě plánované, to zkrátka nestačí. Nejde jen o to chránit systém, ale pochopit, proč a proti komu ho chráníme.
V některých případech dává smysl uvažovat i o daleko vyšší úrovni bezpečnosti – například právě o fyzickém oddělení klíčových systémů, odpojení od internetu, využívání suverénních komunikačních kanálů nebo provozu vybraných systémů v naprosto izolovaném režimu. Tyto kroky ale nejsou univerzální recept – jsou náročné, drahé a musí vycházet z konkrétní analýzy rizik a hodnoty chráněného aktiva.
Ve světě, kde kyberprostor už dávno není čistě technickou doménou, ale prostorem geopolitických střetů, musíme přehodnotit i to, co znamená „účinná obrana“. Je to kombinace technologií, procesů, lidí – a také schopnosti dívat se za roh. Tedy předvídat motivace protivníka a být o krok napřed nejen v softwaru, ale i v myšlení.
Čínský DeepSeek: Máme se bát, nebo je panika zbytečná?
Zobrazit podcast
Jaké motivace jsou za čínským jednáním?
Motivace čínských kyberaktérů se liší podle regionu a strategických zájmů, které v dané části světa Peking sleduje.
V evropském prostředí převládá motivace ekonomická a technologická. Čínští kyberaktéři se zaměřují jednak na průmyslovou špionáž a také na sběr politických informací – například monitoring komunikace mezi úředníky, mapování postojů jednotlivých států k Číně nebo pokusy o ovlivňování veřejné debaty.
V asijsko-pacifickém regionu zase dominuje bezpečnostní motivace. Čínské aktivity se zde soustředí na sledování geopolitických konkurentů, jako je Tchaj-wan, Japonsko, Filipíny nebo Indie, a na monitorování vojenské infrastruktury a komunikačních systémů. Cílem je získat informace, které by v případě ozbrojeného konfliktu poskytly taktickou výhodu. Kyberprostor je zde také nástrojem vnitřní i vnější kontroly, včetně sledování čínských komunit v zahraničí.
No a ve Spojených státech se kombinují všechny tři motivace – technologická špionáž, geopolitický vliv i strategické mapování klíčové infrastruktury. USA jsou pro Čínu dlouhodobě hlavním geopolitickým soupeřem, což se odráží i v intenzitě kyberaktivity. Útoky se zde zaměřují na obranný průmysl, dodavatelské řetězce, univerzity, vládní databáze i think-tanky.
Nesmíme zapomínat na to, že hlavní prioritou Číny je Čína.
Je něco, co je pro čínské působení společné napříč regiony?
Určitě je to promyšlenost a dlouhodobost – čínští aktéři neútočí náhodně, ale v souladu se strategickým plánem, jehož cílem je upevnění vlivu bez přímé konfrontace. Nesmíme zapomínat na to, že hlavní prioritou Číny je Čína.
Ženy přinášejí do týmů smysl pro detail a spolupráci
V neposlední řadě se angažujete v podpoře žen v kyberbezpečnosti. Co by více žen mohlo oboru přinést?
Před dvěma lety jsem založila neziskovou organizaci, která má za cíl propojování a podporu žen v našem oboru. Skvěle se v tom doplňujeme s aktivitami spolku CyberLadies.
Více žen v kyberbezpečnosti totiž neznamená jen větší diverzitu na papíře – znamená to širší pohled na problémy, jiné zkušenosti, smysl pro detail i schopnost komunikace napříč týmy. Kyberbezpečnost dnes z velké části stojí na spolupráci a schopnosti přemýšlet v souvislostech – a právě v tom ženy často přirozeně přinášejí kvality, které oboru prospívají.
Proč je obecně důležitá rozmanitost v kyberbezpečnostních týmech?
Čím rozmanitější tým máte, tím lépe dokáže reagovat na různé typy hrozeb i lépe porozumět různým typům uživatelů. To není jen ideál – to je realita každodenní praxe. Kyberbezpečnost se už dávno netýká jen ajťáků, ale všech zaměstnanců i občanů. A pokud má být skutečně funkční, musí odrážet různorodost těch, které chrání. Proto je důležité, aby ženy nejen do oboru vstupovaly, ale také v něm zůstávaly, rozvíjely se a měly v něm svůj hlas.
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Zobrazit článek
Co si z článku odnést?
- Podle Moniky Kutějové je stav kyberbezpečnosti kritické infrastruktury v Česku dobrý. Mezi institucemi jsou nicméně velké rozdíly. Jako klíčový se vždy ukazuje přístup vedení.
- Na kritickou infrastrukturu se často útočí podobnými technikami jako na běžné firmy. U phishingu nestačí školit zaměstnance, bezpečnostní týmy se musí snažit zařídit, aby se k nim nebezpečné e-maily vůbec nedostaly.
- Jaké jsou aktuální hrozby pro kritickou infrastrukturu? Kutějová jmenuje využívání AI pro útoky, zneužití přístupů přes dodavatele a partnery nebo geopoliticky motivované kampaně.
Kateřina Benešová
Marketingový specialista pro B2B
Byl pro vás článek užitečný?