Vaša bezpečnosť je len taká silná ako váš najslabší dodávateľ.
Útočníci dnes čoraz menej lámu váš perimeter. Namiesto toho kompromitujú dodávateľa, SaaS platformu alebo softvér, ktorému už dôverujete – a po tej dôvere jednoducho vojdú dnu.
Kľúčové je pochopiť rozdiel medzi dvomi pojmami, ktoré sa často zamieňajú. Prelomenie tretej strany hovorí, kto bol kompromitovaný – váš dodávateľ. Útok na dodávateľský reťazec opisuje, ako útočníci ten prelom využili na to, aby sa dostali až k vám. Dodávateľ môže byť prelomený bez toho, aby to malo na vás dopad, problémom sa to stáva až vtedy, keď cez neho útočník získa prístup do vašich systémov alebo k vašim dátam.
A to už nie je okrajový scenár. Podľa Group-IB sa útoky na dodávateľský reťazec stali v roku 2026 najvýznamnejšou globálnou kybernetickou hrozbou – kybernetická kriminalita sa posunula od izolovaných prienikov ku kompromitácii celých ekosystémov. Práve preto bezpečnosť dodávateľského reťazca prestáva byť „nice to have“ a pod NIS2 (čl. 21) sa stáva auditovanou povinnosťou.
1️⃣ Identita ako dodávateľský reťazec – ShinyHunters (Salesforce / Okta / Entra)
Skupina ShinyHunters koncom mája 2026 zverejnila dáta spoločnosti Charter Communications s dopadom na približne 5 miliónov zákazníkov. Medzi jej obeťami sú aj Európska komisia, 7-Eleven, Carnival či SoundCloud. Skupina pritom takmer vôbec nevyužíva technické zraniteľnosti – primárnou zbraňou je sociálne inžinierstvo, najmä voice phishing (vishing), ktorým si vyláka prihlasovacie údaje a získa prístup k SaaS platformám ako Salesforce, Okta a Microsoft 365.
Prelomená dôveryhodná identita alebo SSO je rovnaký vstupný bod ako prelomený dodávateľ. Útočník nemusí nič hacknúť – stačí, že sa stane vami.
Druhá vrstva sú napojené aplikácie tretích strán. Útočníci zneužívali OAuth a refresh tokeny integrácií ako Drift, Gainsight či Anodot na prístup do prostredí, ktoré boli na ne napojené. Cez ukradnuté Anodot tokeny tak počas apríla a mája 2026 kompromitovali databázy 13 veľkých zákazníkov vrátane Snowflake či Rockstar.
2️⃣ Softvér a open-source závislosti – Trellix / TanStack / Grafana
V máji 2026 priznal bezpečnostný dodávateľ Trellix kompromitáciu svojho zdrojového kódu v rámci kampane TeamPCP, ktorá cielila na GitHub prostredia a zasiahla aj open-source nástroje ako Trivy a Checkmarx KICS. Vôbec najvýznamnejší softvérový incident roka pritom zahŕňal kompromitáciu populárnych balíkov TanStack, ktoré sa používajú naprieč modernými vývojovými prostrediami.
Aj kódu, ktorý ste nenapísali, dôverujete viac, než si uvedomujete. Každá knižnica, balík a krok v build pipeline je súčasťou vektoru útoku – a stačí jedna kompromitovaná závislosť, aby sa škodlivý kód dostal do tisícok systémov.
3️⃣ Koncentrácia v sektore = jeden bod zlyhania (priamy zásah do zdravotníctva)
Holandský dodávateľ nemocničného softvéru ChipSoft musel po zistení neoprávneného prístupu – potvrdenom národným zdravotníckym CERT-om Z-CERT – odstaviť pacientske portály a mobilné aplikácie. Keďže jeho systémy používa 70 – 80 % holandských nemocníc, incident mal plošný dopad a viaceré zdravotnícke zariadenia preventívne odpojili svoje systémy.
Keď jeden dodávateľ obsluhuje väčšinu sektora, jeho výpadok prestáva byť jeho problémom a stáva sa systémovým rizikom. Presne toto má NIS2 na mysli pod pojmom „kritická závislosť“ – a pre zdravotníctvo to nie je len otázka dát, ale dostupnosti starostlivosti o pacienta.
4️⃣ Zraniteľnosť v rozšírenom produkte sa stáva problémom všetkých – SharePoint zero-day
Aktívne zneužívaná zero-day zraniteľnosť v SharePointe (CVE-2026-32201) umožňuje vzdialené spustenie kódu. Organizáciám sa odporúča prioritne nasadiť opravu a obmedziť vystavenie systému do internetu.
Nemusíte byť priamym cieľom útoku na dodávateľa — stačí, že doplatíte na jeho zraniteľnosti. Čím rozšírenejší produkt, tým je hodnotnejším cieľom pre útočníka, lebo jedným exploitom zasiahne tisícky organizácií naraz.
Práve tu sa teória láme do praxe: kľúčom je sledovať reputáciu dodávateľov a mať proces na rýchlu reakciu.
Všetky štyri prípady spája jedno: útok neprišiel cez vás, ale cez niekoho, komu ste dôverovali. Obrana preto nespočíva v ďalšom nástroji, ale v zmene prístupu – od jednorazovej previerky dodávateľa k jeho priebežnému sledovaniu. Veďte si aktuálny zoznam dodávateľov, z ktorého na počkanie zistíte, koho sa nová zraniteľnosť týka, a bezpečnostné požiadavky, právo na audit aj povinnosť hlásiť incidenty si zakotvite priamo v zmluve – podľa NIS2 (čl. 21) to už nie je dobrovoľné. Namiesto dotazníka raz za rok priebežne sledujte bezpečnostné upozornenia výrobcov a na identitu sa pozerajte ako na súčasť reťazca: povinné dvojfaktorové overenie, dôsledná správa prístupových tokenov tretích strán a školenie ľudí proti hlasovému phishingu. A pri dodávateľoch, na ktorých stojí vaša prevádzka, myslite dopredu a majte pripravený plán kontinuity – v mnohých sektoroch totiž nejde len o dáta, ale aj o to, či služba vôbec beží.
Tento prehľad pripravil tím Cyllium na základe bezpečnostného spravodajstva a analytických správ — Group-IB (High-Tech Crime Trends 2026), Security Affairs, Huntress, eSecurity Planet, Cyber Management Alliance a BlackFog — a vlastných skúseností z praxe v kybernetickej bezpečnosti. Legislatívny rámec vychádza zo zákona č. 69/2018 Z. z., smernice NIS2 a normy ISO/IEC 27001:2022. Informácie sú aktuálne k 9. júnu 2026.