Vaša bezpečnosť je len taká silná ako váš najslabší dodávateľ.
Útočníci dnes čoraz menej útočia priamo na organizácie. Namiesto toho kompromitujú dodávateľov, SaaS služby alebo softvér, ktorému už dôverujete, a cez túto dôveru sa dostanú k svojim skutočným cieľom.
Je dôležité rozlišovať dva pojmy, ktoré sa často zamieňajú.
Prelomenie tretej strany hovorí o tom, kto bol kompromitovaný – napríklad váš dodávateľ.
Útok na dodávateľský reťazec opisuje spôsob útoku – teda situáciu, keď útočník využije kompromitovaného dodávateľa na prístup k ďalším organizáciám.
Nie každé prelomenie dodávateľa automaticky znamená problém pre vás. Riziko vzniká až vtedy, keď útočník cez neho získa prístup do vašich systémov, aplikácií alebo k vašim dátam.
A nejde o výnimočné prípady. Podľa Group-IB sa útoky na dodávateľský reťazec stali v roku 2026 najvýznamnejšou globálnou kybernetickou hrozbou. Kybernetická kriminalita sa posunula od jednotlivých prienikov ku kompromitácii celých ekosystémov. Aj preto sa bezpečnosť dodávateľského reťazca stáva pod NIS2 (čl. 21) auditovanou povinnosťou.
1️⃣ Keď sa útočník stane vaším používateľom
Skupina ShinyHunters koncom mája 2026 zverejnila dáta spoločnosti Charter Communications s dopadom na približne päť miliónov zákazníkov. Medzi ďalšie obete patria Európska komisia, 7-Eleven, Carnival či SoundCloud.
Útočníci pritom takmer nevyužívajú technické zraniteľnosti. Ich hlavnou zbraňou je sociálne inžinierstvo, najmä telefonický phishing (vishing), pomocou ktorého získavajú prihlasovacie údaje a prístup do služieb ako Salesforce, Okta alebo Microsoft 365.
Kompromitovaná identita predstavuje rovnaké riziko ako kompromitovaný dodávateľ. Útočník nemusí nič hackovať. Stačí, že sa úspešne vydáva za oprávneného používateľa.
Ďalším problémom sú aplikácie tretích strán napojené na firemné prostredie. Útočníci zneužívali OAuth oprávnenia a obnovovacie tokeny integrácií ako Drift, Gainsight alebo Anodot. Práve cez odcudzené tokeny služby Anodot kompromitovali počas apríla a mája 2026 databázy trinástich veľkých zákazníkov vrátane Snowflake a Rockstar.
2️⃣ Dôverujete aj kódu, ktorý ste nikdy nevideli
V máji 2026 priznal bezpečnostný dodávateľ Trellix kompromitáciu svojho zdrojového kódu v rámci kampane TeamPCP, ktorá zasiahla GitHub prostredia a dotkla sa aj open source nástrojov Trivy a Checkmarx KICS.
Najvýznamnejší softvérový incident roka sa týkal populárnych balíkov TanStack, ktoré používajú tisíce vývojárskych tímov po celom svete.
Pravdou je, že kódu, ktorý ste sami nenapísali, často dôverujete viac, než si uvedomujete. Každá knižnica, balík alebo krok vo vývojovej pipeline môže predstavovať vstupný bod pre útočníka. Stačí jediná kompromitovaná závislosť a škodlivý kód sa môže dostať do tisícok organizácií naraz.
3️⃣ Keď problém dodávateľa zasiahne celý sektor
Holandský dodávateľ nemocničného softvéru ChipSoft musel po zistení neoprávneného prístupu odstaviť pacientske portály aj mobilné aplikácie. Incident potvrdil národný zdravotnícky CERT tím Z-CERT.
Keďže systémy ChipSoft využíva približne 70 až 80 % holandských nemocníc, dôsledky zasiahli celý sektor. Viaceré zdravotnícke zariadenia preventívne odpojili svoje systémy.
Ak jeden dodávateľ zabezpečuje služby pre väčšinu trhu, jeho výpadok sa prestáva týkať len jeho samotného. Stáva sa systémovým rizikom.
Presne takto chápe NIS2 pojem kritická závislosť. V zdravotníctve pritom nejde len o ochranu údajov, ale aj o dostupnosť zdravotnej starostlivosti.
4️⃣ Nemusíte byť cieľom, aby ste boli zasiahnutí
Aktívne zneužívaná zraniteľnosť SharePointu (CVE-2026-32201) umožňuje vzdialené spustenie kódu. Organizáciám sa odporúča bezodkladne nasadiť opravy a obmedziť vystavenie systému internetu.
Nemusíte byť priamym cieľom útoku. Stačí, že používate produkt, ktorý sa stal cieľom útočníkov.
Čím rozšírenejšie je riešenie, tým atraktívnejší cieľ predstavuje. Jediný úspešný exploit môže zasiahnuť tisíce organizácií súčasne.
Práve preto je dôležité sledovať bezpečnostné upozornenia výrobcov a mať pripravený proces na rýchlu reakciu.
Všetky štyri prípady spája jedna vec: útok neprišiel priamo cez organizáciu, ale cez niekoho alebo niečo, komu dôverovala.
Obrana preto nespočíva len v nákupe ďalšieho bezpečnostného nástroja. Vyžaduje si zmenu prístupu – od jednorazového posúdenia dodávateľa k jeho priebežnému monitorovaniu.
Základom by malo byť:
✅ viesť aktuálny zoznam dodávateľov a používaných služieb,
✅ vedieť rýchlo identifikovať, ktorých dodávateľov sa týka nová zraniteľnosť alebo incident,
✅ zakotviť do zmlúv bezpečnostné požiadavky, právo na audit a povinnosť hlásenia incidentov,
✅ priebežne sledovať bezpečnostné upozornenia výrobcov a poskytovateľov,
✅ používať viacfaktorové overovanie a dôsledne spravovať oprávnenia aplikácií tretích strán,
✅ pravidelne školiť zamestnancov proti phishingu a telefonickým podvodom,
✅ mať pripravené plány kontinuity prevádzky pre kritických dodávateľov.
Podľa NIS2 už nejde o dobrovoľné odporúčania. Ide o súčasť riadenia kybernetických rizík, ktoré budú predmetom kontrol aj auditov. V mnohých sektoroch totiž nejde len o ochranu dát, ale aj o to, či organizácia dokáže poskytovať svoje služby aj v čase krízy.
Tento prehľad pripravil tím Cyllium na základe bezpečnostného spravodajstva a analytických správ — Group-IB (High-Tech Crime Trends 2026), Security Affairs, Huntress, eSecurity Planet, Cyber Management Alliance a BlackFog — a vlastných skúseností z praxe v kybernetickej bezpečnosti. Legislatívny rámec vychádza zo zákona č. 69/2018 Z. z., smernice NIS2 a normy ISO/IEC 27001:2022. Informácie sú aktuálne k 9. júnu 2026.