Keď platforma nezlyhá, ale dáta aj tak unikajú
Keď si vedľa seba poukladáme cloudové incidenty z ostatných týždňov, vyplynie z nich jeden a ten istý vzorec. Samotná platforma — AWS, Azure či Google Cloud — zlyhá len málokedy. Riziko rastie vo vnútri cloudového prostredia: rozširujú sa prístupy, klesá prehľad a tímy prestanú dôsledne kontrolovať bezpečnostné nastavenia. Problém je takmer vždy na strane zákazníka — v uniknutých prístupových kľúčoch, napadnutom dodávateľskom reťazci, zle nastavených úložiskách a v identitách s priveľkými oprávneniami.
Pre prevádzkovateľov základných a digitálnych služieb z toho plynie jeden dôležitý záver. Presun systému ku cloudovému poskytovateľovi neznamená, že naňho prejdú aj vaše povinnosti podľa zákona č. 69/2018 Z. z. a smernice NIS2. Poskytovateľ sa stará o infraštruktúru pod pomyselnou čiarou, no všetko nad ňou — konfigurácia, riadenie identít, správa prístupových kľúčov aj kontinuita prevádzky — zostáva na vás. A práve táto čiara je miestom, kde dnes vznikajú skutočné škody a kde audit najčastejšie naráža na nedostatky.
Dobrá správa je, že tie najúčinnejšie opatrenia sú zároveň lacné. Stačí vedieť, kto a čo má v cloude administrátorské práva, kde máte uložené API kľúče, či zaznamenávate a sledujete podozrivé použitie identít a či sú vaše úložiská štandardne neprístupné zvonku.
Ako veľmi na tom záleží, ukazujú štyri nedávne prípady.
1️⃣Prelomenie Európskej komisie
CERT-EU pripísal rozsiahly únik dát skupine TeamPCP, ktorá sa cez napadnutý dodávateľský reťazec open-source nástroja Trivy dostala k dátam v AWS infraštruktúre Komisie. Postup bol učebnicový: útočníci využili napadnutý AWS kľúč so správcovskými právami nad ďalšími účtami, nástrojom TruffleHog dohľadali ďalšie prístupové údaje a k existujúcemu používateľovi pripojili nový kľúč, aby ostali nepovšimnutí. Dosah bol enormný — únik sa potenciálne dotkol 42 interných klientov Komisie a najmenej 29 ďalších subjektov EÚ na hostingu europa.eu. Jediný nadmerne oprávnený kľúč spolu s dôverou v dodávateľský nástroj tak nakoniec zasiahol desiatky organizácií.
2️⃣Kľúče „vonku“ aj u americkej CISA
Že sa to nevyhýba ani dohliadacím orgánom, ukázal ďalší prípad. Americká agentúra CISA sa väčšej kompromitácii vyhla zrejme len vďaka výskumníkovi, ktorý 19. mája upozornil na verejne odhalené prihlasovacie údaje s prístupom k vládnym cloudovým aj interným systémom. Ak sa to stane práve regulátorovi, je to jasný signál, že dôsledná správa prístupových kľúčov a pravidelná kontrola repozitárov nie sú nadštandard, ale úplný základ.
3️⃣Úložisko dokorán
Tretí prípad je klasická chyba konfigurácie. V prehľade únikov za 15. až 21. mája figuruje firma spravujúca hotelový check-in systém, ktorá nastavila cloudové úložisko ako verejné — k údajom zákazníkov sa tak dalo dostať bez akéhokoľvek hesla. Verejne prístupné úložisko zostáva jedným z najčastejších zdrojov úniku a zodpovednosť zaň nenesie len dodávateľ systému, ale aj objednávateľ.
4️⃣Zraniteľnosti zneužité v priebehu hodín
Posledný prípad pripomína, ako málo času dnes na reakciu zostáva. Kritickú zraniteľnosť typu SQL injection v balíku LiteLLM (CVE-2026-42208, CVSS 9.3) začali útočníci zneužívať do 36 hodín od zverejnenia. Súbežne aktívne zneužívaná chyba v cPanel/WHM (CVE-2026-41940) umožňuje obísť overenie totožnosti a v niektorých prípadoch viedla až k úplnému zmazaniu webov aj ich záloh. Záplaty preto treba v cloudových a AI systémoch nasadzovať v rytme hodín, nie týždňov — a zálohy držať mimo dosahu prípadne napadnutého účtu.
Spoločným menovateľom všetkých štyroch prípadov nie je „zlý cloud“, ale prístupy, konfigurácia, kľúče a rýchlosť reakcie. Ak presúvate služby do cloudu, zaraďte tieto štyri oblasti do analýzy rizík aj plánu kontinuity. Sú to presne tie body, na ktoré sa audit podľa 69/2018 aj NIS2 pozerá ako prvé. Práve tu sa rozhoduje, či model spoločnej zodpovednosti reálne funguje, alebo len existuje na papieri. Najúčinnejšie opatrenia pritom nie sú drahé: vedieť, kto má administrátorské práva, kde sú uložené kľúče, či sledujete zneužitie identít a či sú úložiská štandardne neprístupné zvonku.
Tento prehľad pripravil tím Cyllium na základe oficiálnych stanovísk (CERT-EU), bezpečnostného spravodajstva (The Hacker News, BleepingComputer, TechCrunch) a vlastnej praxe v kybernetickej bezpečnosti. Legislatívny rámec vychádza zo zákona č. 69/2018 Z. z., smernice NIS2 a normy ISO/IEC 27001:2022. Informácie sú aktuálne k 25. máju 2026.