Kybernetická bezpečnosť je téma, ktorá by mala patriť medzi priority každej modernej organizácie. Dnes však už nestačí „mať antivírus“ alebo „mať smernice“. V čase, keď je najčastejším vektorom útoku ľudský faktor, sa najlepšou obranou stáva práve ten „najslabší článok“ – zamestnanec. Práve preto hrá komunikácia kybernetickej bezpečnosti kľúčovú úlohu. To, ako o bezpečnosti hovoríme, výrazne ovplyvňuje, ako ju zamestnanci chápu – a ako podľa nej konajú. Navyše, dobre zvládnutá komunikácia znižuje odpor voči pravidlám a zvyšuje povedomie. Zamestnanci môžu byť najslabším, ale aj najsilnejším článkom Často sa hovorí, že zamestnanci sú slabým článkom bezpečnostného reťazca. Áno – bez školenia, jasných pravidiel a podpory môžu skutočne spôsobiť problém. Na druhej strane, ak ich zapojíme, ukážeme im význam ich konania a poskytneme nástroje, môžu sa stať najsilnejšou líniou obrany. Zamestnanec, ktorý: vie rozpoznať phishing, zamyká zariadenie, keď odchádza, má zdravý rešpekt k súkromiu dát, a nahlási podozrivú aktivitu, reálne zabráni incidentu – nie systém. Vďaka tomu môže byť práve „najslabší článok“ vašou najväčšou výhodou.   Kde robia firmy najčastejšie chyby? Napriek snahám o nastavenie pravidiel firmy často podceňujú spôsob, akým ich komunikujú. 1. Komunikácia len smerom zhora – z IT alebo vedenia Zamestnanci často cítia, že „dostali ďalší príkaz“. Výsledkom býva odpor, nie spolupráca. 2. Príliš technické výrazy, ktorým nerozumejú Napríklad: „Zaviedli sme nový SIEM modul s DLP integráciou“ neznie ako niečo, čo má bežný človek dodržiavať. 3. Jednorazové školenia raz ročne Jedno veľké školenie má nulový efekt po pár dňoch. Oveľa účinnejší je pravidelný rytmus krátkych pripomienok, ktoré zamestnanci vnímajú priebežne. 4. Neexistencia vizuálnej podpory a firemnej identity bezpečnosti Plagáty, ikonky, názvy kampaní, motivačné slogany – to všetko pomáha. Ak nič také neexistuje, bezpečnosť ostáva neviditeľná a nezrozumiteľná. 5. Žiadna spätná väzba Zamestnanci často nemajú komu nahlásiť problém, alebo sa boja dôsledkov. Preto sa incidenty zamlčujú alebo zostávajú nepovšimnuté. Ako komunikovať bezpečnosť efektívne? Základom je premyslená a systematická komunikácia. Tu je niekoľko princípov, ktoré sa v praxi osvedčili: 1. Komunikujte zrozumiteľne, nie zložito Používajte jazyk, ktorému rozumie každé oddelenie – nie len IT. Napríklad: napíšte „Nezdieľajte heslo cez e-mail.“ Nie „Zamedzte prenosu autentifikačných údajov nešifrovaným kanálom.“   2. Prispôsobte posolstvo cieľovej skupine Pre bežných zamestnancov: zrozumiteľné pravidlá, praktické tipy, „čo robiť keď…“ Pre vedenie: dôsledky, riziká, dopad na biznis, reputáciu a compliance Pre IT: odborné detaily, politiky, checklisty   3. Podporte komunikáciu vizuálne Okrem klasických e-mailov pomáhajú: plagáty (napr. v štýle „Uncle Sam wants YOU to lock your screen“), infografiky a interné meme, screensavery, e-mailové podpisy, gif upozornenia, microlearning – krátke interaktívne minikurzy alebo kvízy.   4. Buďte konzistentní a systematickí Jedno školenie nestačí. Ideálna je kombinácia: onboarding + mesačné pripomienky, sezónne kampane (napr. Október – mesiac kybernetickej bezpečnosti), interný bezpečnostný newsletter alebo mikroblog.   5. Podporujte nahlasovanie – bez strachu Vytvorte kultúru, kde je úplne v poriadku nahlásiť podozrivý e-mail či incident. Zamestnanci by mali vedieť, že nahlasovanie nie je priznanie viny, ale dôkaz zodpovednosti. Vďaka tomu sa zvýši pravdepodobnosť, že incident bude včas odhalený.   Bezpečnostná kultúra nie je o kontrolách. Je o dôvere. Skutočná kultúra kybernetickej bezpečnosti nevzniká cez audit ani nariadenie. Vzniká v každodennej komunikácii. V zrozumiteľnosti, otvorenosti a podpore. V ochote zamestnanca zamknúť počítač, nahlásiť problém alebo opýtať sa bez strachu. Organizácie, ktoré túto kultúru systematicky pestujú, nie sú len odolnejšie – sú zároveň dôveryhodnejšie pre partnerov, klientov aj regulátorov. Ako vám s tým vieme pomôcť? V rámci našich služieb vám vieme: pripraviť  plán interného vzdelávania, vytvoriť sériu zrozumiteľných odporúčaní, navrhnúť a zrealizovať interné komunikačné kampane (plagáty, meme, slogan), realizovať školenia a mikroškolenia pre IT aj neIT roly, dodať manažéra kybernetickej bezpečnosti, ktorý zastreší všetky aktivity.   Chcete vedieť, ako to môže vyzerať u vás? 📩 Ozvite sa – radi vám ukážeme konkrétny príklad, ktorý funguje v praxi.

Mýty o kybernetickej bezpečnosti Mýty o kybernetickej bezpečnosti sú jednou z najčastejších prekážok, ktoré bránia organizáciám v zavedení funkčnej ochrany. Pri GAP analýzach, školeniach či konzultáciách sa pravidelne stretávame s predstavami, ktoré znejú rozumne – ale sú nepresné a nebezpečné. Tu je výber 5 najčastejších: 1.Mýtus – „Naša organizácia nie je zaujímavá pre útočníkov.“ Tento mýtus o kybernetickej bezpečnosti je extrémne rozšírený – najmä v školách, samosprávach či menších firmách. Útočníci však nehľadajú konkrétnu firmu, ale otvorené dvere. Automatizované útoky skenujú internet a využívajú každú slabinu.   2.Mýtus – „Máme antivírus, to stačí.“ Aj toto je častý mýtus. Antivírus je dôležitý, ale je len jednou časťou bezpečnostného mixu. Dnešné útoky využívajú phishing, slabé heslá, zneužitie privilégií alebo neaktuálne zariadenia. Kybernetická bezpečnosť musí byť viacvrstvová. 3.Mýtus – „Všetko je spísané v smerniciach.“ Smernice sú základ. Ale samotný dokument nevytvorí bezpečnosť. Naše GAP analýzy často ukazujú, že to, čo je napísané, sa v realite neaplikuje. Tento mýtus o kybernetickej bezpečnostije častým dôvodom falošného pocitu istoty. 4.Mýtus – „U nás sa ešte nič nestalo.“ Možno sa stalo – len ste si to nevšimli. Bez logovania a monitorovania nemáte ako vedieť, že sa niečo stalo. Napadnutý účet alebo podozrivá aktivita môžu prebiehať bez povšimnutia celé dni alebo týždne. 5.Mýtus – „Kybernetická bezpečnosť je úloha IT.“ Pravda je, že bezpečnosť sa týka celej organizácie. IT môže nastaviť firewall, ale vedenie rozhoduje o prioritách a rozpočte, HR o školeniach a nástupoch, nákup o dodávateľoch. Jeden z najškodlivejších mýtov o kybernetickej bezpečnosti je domnienka, že IT „vyrieši všetko“. Prečo je dôležité vyvracať mýty o kybernetickej bezpečnosti? Falošný pocit bezpečia je horší než vedomá nepripravenosť. Ak sa organizácia rozhoduje na základe mýtov, často ignoruje riziká, odkladá investície alebo zle nastaví zodpovednosti. Výsledkom sú incidenty, výpadky alebo strata dôvery partnerov. Ako vám s tým vieme pomôcť? V NOVOfunding vám pomáhame oddeliť mýty od reality: realizujeme GAP analýzu kybernetickej bezpečnosti, poskytujeme službu manažéra kybernetickej bezpečnosti, organizujeme školenia a workshopy pre IT aj neIT oddelenia.   💬 Ak sa chcete zorientovať v reálnom stave svojej bezpečnosti – ozvite sa. Ukážeme vám konkrétny výstup z analýzy a odporučíme ďalšie kroky.

Najčastejšie zistenia z GAP analýzy kybernetickej bezpečnosti odhaľujú slabé miesta, ktoré môžu vážne ohroziť chod organizácie. GAP analýza porovnáva teoretické nastavenie bezpečnosti s jej reálnym fungovaním. Vďaka nej zistíte, čo máte len „na papieri“ a čo skutočne funguje. Na základe desiatok analýz naprieč firmami, školami, mestami či nemocnicami sme vytvorili prehľad 10 problémov, ktoré sa objavujú opakovane. Tento zoznam vám môže poslúžiť ako kontrolný zoznam a zároveň ako inšpirácia na zlepšenie. 10 najčastejších zistení z GAP analýzy 1. Slabé alebo zdieľané heslá Zamestnanci často používajú jednoduché alebo opakovane recyklované heslá. V mnohých prípadoch sa o jeden účet delí viac osôb, čo výrazne znižuje bezpečnosť aj zodpovednosť. 2. Neexistuje plán reakcie na incidenty Pri vzniku incidentu nie je jasné, kto má konať, čo treba urobiť ani koho kontaktovať. Tým pádom organizácia reaguje oneskorene alebo chaoticky. 3. Zodpovednosti nie sú jasne rozdelené IT oddelenie často rieši aj oblasti, ktoré by mali patriť do zodpovednosti manažmentu alebo bezpečnostného tímu. V dôsledku toho vzniká neprehľadnosť a riziko zlyhania v krízovej situácii. 4. Chýba klasifikácia údajov Organizácia nemá rozdelené dáta podľa úrovne citlivosti. To znamená, že nevie, ktoré údaje sú kritické a ktoré menej dôležité – a teda ich nedokáže primerane chrániť. 5. Technické opatrenia nikto neoveruje Firewall, antivírus, šifrovanie či zálohovanie bývajú zavedené, ale chýba ich pravidelné testovanie. Často sa zistí ich nefunkčnosť až po útoku. 6. Zdieľané používateľské účty Viacero zamestnancov sa prihlasuje pod jedným menom. Organizácia tak stráca prehľad o tom, kto konkrétne čo robil, a nedokáže spätne analyzovať incident. 7. Zálohovanie bez testovania Aj keď firma pravidelne zálohuje, často netestuje obnovu. V prípade útoku alebo výpadku tak nemusí vedieť, či dáta dokáže obnoviť – a ako rýchlo. 8. Nedostatočná bezpečnostná gramotnosť Zamestnanci nemajú absolvované školenia. Nevedia rozpoznať phishing, incident nevedia nahlásiť a netušia, ako reagovať na podozrivé situácie. 9. Chýba plán kontinuity činností Organizácia nepozná kľúčové procesy, ktoré musí obnoviť ako prvé. Nemá pripravený plán na udržanie chodu služieb počas výpadku alebo kybernetického útoku. 10. Nadmerné oprávnenia Mnohé účty majú väčšie prístupové práva, než potrebujú. Neexistuje revízia práv a nikto nezodpovedá za ich pravidelné prehodnocovanie. Prečo sú tieto zistenia z GAP analýzy dôležité? Tieto najčastejšie zistenia z GAP analýzy ukazujú, že medzi teóriou a realitou býva veľký rozdiel. Práve preto má GAP analýza zmysel – odhaľuje skryté riziká, ktoré by bežný audit nemusel zachytiť. Organizácia vďaka nej: získa objektívny pohľad na svoje slabé miesta, dostane konkrétne odporúčania zoradené podľa priority, môže efektívne plánovať zmeny, investície aj komunikáciu s vedením. GAP analýza navyše nehodnotí, ale pomáha. Ide o praktický nástroj, ktorý slúži na to, aby ste sa mohli posunúť vpred – bez hľadania vinníkov, ale s jasným plánom.   Ako vám vieme pomôcť? V rámci našich služieb: realizujeme Gap analýzy podľa zákona č. 69/2018 Z. z. aj podľa ISO/IEC 27001, pripravujeme zrozumiteľné správy vhodné pre IT aj manažment, poskytujeme súčinnosť pri zavádzaní odporúčaní (formou konzultácií alebo služby manažér kybernetickej bezpečnosti), a vieme zabezpečiť aj následné školenia a testovanie odolnosti.   Ak si nie ste istí, kde sa nachádza vaša organizácia z pohľadu kybernetickej bezpečnosti, GAP analýza je ideálny štart. Pomáha pomenovať reálne problémy, ktoré možno vyriešiť skôr, než prerastú do incidentu. 📩 Kontaktujte nás – radi vám ukážeme konkrétny výstup, vysvetlíme proces a nastavíme ďalšie kroky.

V týždni od 16. do 22. júna 2025 sa objavilo viacero významných bezpečnostných incidentov a nových kritických zraniteľností. Vývojári, bezpečnostné firmy aj vládne inštitúcie zaznamenali problémy naprieč open-source systémami, populárnymi CMS platformami, priemyselnými aplikáciami aj zariadeniami pre domácnosti. Prinášame súhrn najzávažnejších hrozieb. 1. Útočníci zneužívajú zraniteľnosti v Linuxe na získanie root prístupu Bezpečnostní analytici odhalili dve nové zraniteľnosti v distribúciách Linuxu – CVE‑2025‑6018 a CVE‑2025‑6019. Útočníci môžu zneužiť chyby v komponentoch PAM a libblockdev na získanie administrátorských práv z bežného účtu. Problém sa týka distribúcií Ubuntu, Debian, Fedora a ďalších. Staršia zraniteľnosť CVE‑2023‑0386 v OverlayFS stále patrí medzi aktívne zneužívané. Užívatelia, ktorí používajú kernel verzie nižšej ako 6.2‑rc6, by mali systém bezodkladne aktualizovať. 2. Zraniteľnosti v Langflow, Sitecore a WordPress umožňujú vzdialené útoky Botnet Flodrix využíva chybu v Langflow (CVE‑2025‑3248) a vzdialene spúšťa škodlivý kód bez autentifikácie. Rovnako útočníci cielia na CMS platformu Sitecore XP, kde tri zraniteľnosti (CVE‑2025‑34509 až ‑34511) umožňujú nahrávať webshell a spúšťať neautorizovaný kód vo verziách 10.1 až 10.4. Vo WordPresse útočníci masovo zneužívajú chybu v téme Motors (CVE‑2025‑4322). Bez nutnosti prihlásenia dokážu meniť heslá administrátorov. Bezpečnostná firma Wordfence zaznamenala viac než 23 000 pokusov o zneužitie tejto chyby. 3. Používateľské zariadenia čelia novým rizikám Staršie modely routerov TP‑Link (WR940N, WR841N, WR740N) obsahujú zraniteľnosť CVE‑2023‑33538, ktorú možno využiť na vzdialené spustenie príkazov. Keďže výrobca už zariadenia nepodporuje, používatelia by mali zvážiť ich výmenu. Android malware Godfather využíva virtualizáciu na napadnutie bankových a kryptomenových aplikácií. Používateľ počas útoku nezaznamená žiadne podozrivé správanie, no útočník získava citlivé údaje z viac ako 500 aplikácií. 4. Kyberzločinci útočia aj cez Gmail a masívne DDoS Skupina UNC6293, napojená na APT29, obchádza viacfaktorové overenie Gmail účtov. Obeť presvedčí, aby si vytvorila tzv. app‑specific password, ktorým si útočník otvorí prístup do schránky. Cloudflare musel čeliť rekordnému DDoS útoku s výkonom 7,3 Tb/s. Počas 45 sekúnd útočníci doručili viac než 37 TB dát z viac ako 122 000 IP adries zo 161 krajín. Odporúčanie: Organizácie by mali pravidelne aktualizovať svoje systémy, sledovať zraniteľnosti a školením posilniť pripravenosť zamestnancov.

Kybernetickí útočníci neustále hľadajú nové spôsoby, ako oklamať používateľov. Najnovším trendom v oblasti phishingu je zneužívanie odkazov, ktoré sa tvária ako bežná možnosť zrušenia odberu e-mailových správ. Odkazy na „odhlásenie sa z odberu“, ktoré sa často nachádzajú v pätičkách marketingových e-mailov, sú vo väčšine legitímnych prípadov určené na ukončenie zasielania správ. V poslednom období sa však objavujú prípady, keď takéto odkazy slúžia na úplne iný účel. Čo sa skrýva za nevinným odkazom? Zneužité odkazy môžu namiesto odhlásenia vykonávať niektoré z nasledujúcich činností: slúžiť ako potvrdenie, že vaša e-mailová adresa je aktívna a používaná, presmerovať používateľa na podvodnú webovú stránku, ktorá zbiera ďalšie údaje alebo inštaluje škodlivý softvér, aktivovať skript, ktorý môže infikovať zariadenie používateľa alebo sledovať jeho aktivitu. Ide o taktiku, ktorá je na prvý pohľad nenápadná, no jej cieľom je získať prístup k ďalším informáciám alebo pripraviť pôdu pre budúce útoky. Ako sa chrániť? Bezpečnostní experti odporúčajú niekoľko základných pravidiel: Neklikajte na odkazy v nevyžiadaných e-mailoch, aj keď pôsobia dôveryhodne. Podozrivé správy označujte ako spam, nesnažte sa ich odhlasovať manuálne. V rámci organizácie využívajte moderné technické riešenia ako ochranu e-mailovej domény (napr. DMARC, SPF, DKIM), antispamové filtre a pravidelné školenia zamestnancov v oblasti kybernetickej bezpečnosti. Reakcia odborníkov Bezpečnostní špecialisti upozorňujú, že phishingové kampane sú dnes čoraz sofistikovanejšie a cielenejšie. Už nejde len o hromadné rozosielanie falošných e-mailov, ale o premyslené a nenápadné metódy, ktoré sa snažia získať dôveru používateľa. „Útočníci už nemusia stáť pred bránami systému. Mnohokrát sú priamo v e-mailovej schránke a čakajú na chybu používateľa,“ upozorňuje bezpečnostný konzultant z našej spoločnosti.