Dominantním tématem ledna byla masivní vlna distribuovaných útoků typu DDoS, která zasáhla české weby a online služby veřejného sektoru i soukromých subjektů. Za útoky stojí proruské hacktivistické skupiny, které dlouhodobě zneužívají DDoS jako nástroj politické pozornosti a tlaku. Souběžně s těmito útoky NÚKIB pozoroval zvýšený zájem útočníků o VNC rozhraní PLC zařízení se slabými nebo zcela chybějícími hesly. Průmyslové řídicí systémy ponechané s výchozím nebo triviálním přístupem se tak stávají snadným cílem a úřad znovu připomíná základní opatření: oddělení provozní sítě od internetu, nasazení silné autentizace a monitoring pokusů o přístup k administrativním rozhraním.

Samostatnou pozornost si zaslouží botnet REDHEBERG. V březnu 2026 došlo k výraznému nárůstu kompromitovaných zařízení a v době zpracování zprávy evidoval NÚKIB na území České republiky přes 3 200 napadených přístrojů. Jde zejména o zanedbané domácí a SOHO směrovače, IP kamery a další IoT koncová zařízení s neaktualizovaným firmwarem. Botnet slouží útočníkům jako distribuovaná infrastruktura pro další DDoS útoky a skrytou proxy síť. NÚKIB volá po urychlené výměně zastaralých zařízení a důsledném uplatňování životního cyklu zranitelnosti i u koncových přístrojů mimo klasickou IT infrastrukturu.

V mezinárodní rovině přehled upozorňuje na pokračující kyberšpionážní kampaně. Aktivita zaměřená proti evropským státům využívala spear-phishing se zneužitím zranitelností v produktech Microsoft Office, útoky přes aplikaci Signal a specializovaný nástroj Coruna cílený na zařízení iPhone. Podle NÚKIB tyto kampaně sledují klasické profily aktérů, kteří se dlouhodobě zaměřují na diplomatické mise, obranný průmysl a výzkumná pracoviště.

Zpráva přináší i povzbudivější zjištění. U subjektů s vyššími povinnostmi, tedy u organizací spadajících pod přímou působnost NÚKIB, nedošlo za první čtvrtletí k žádnému ransomwarovému incidentu. Ransomwarové případy se týkaly výhradně subjektů s nižšími povinnostmi a jejich řešení převzal národní tým CSIRT.CZ. Úřad toto číslo interpretuje jako důsledek dlouhodobé práce na segmentaci sítí, offline zálohách a detekčních schopnostech u regulovaných subjektů.

Pro provozovatele informačních systémů a správce infrastruktury zpráva implicitně formuluje tři priority pro druhé čtvrtletí. První je odolnost proti DDoS včetně ověření smluvního pokrytí u poskytovatelů konektivity a vyčlenění kapacit pro dlouhotrvající útoky v řádu dnů. Druhá je revize expozice průmyslových a OT systémů na internet, typicky kontrola, zda VNC a další vzdálená rozhraní nejsou dostupná zvenčí a zda mají silná hesla a vícefaktorovou autentizaci. Třetí je kontinuální monitoring indikátorů botnetu REDHEBERG v síti a výměna zařízení, která se k internetu připojují s neaktualizovaným firmwarem.

Čtvrtletní přehledy NÚKIB tvoří stabilní součást informačního servisu, který úřad poskytuje povinným osobám, regulátorům i veřejné správě. Report z prvního čtvrtletí 2026 ukazuje, že kyberhrozby proti České republice jsou rozloženy napříč spektrem od politicky motivovaných hacktivistů po státně sponzorované aktéry a že rozšíření regulované množiny jen zviditelňuje už probíhající realitu.

NÚKIB