OT kybernetická bezpečnost 2026: Průmyslové systémy hoří a většina firem to neví

Bylo 23. prosince 2015. V ukrajinském Ivano-Frankivsku zhasla světla pro 230 000 domácností. Nebyla to porucha — byl to hack. Skupina Sandworm poprvé v historii úspěšně napadla průmyslový řídicí systém elektrické sítě a způsobila výpadek proudu na šest hodin. O rok později to zopakovala v Kyjevě. Dnes, o dekádu později, jsou podobné útoky sofistikovanější, rychlejší a míří i na českou infrastrukturu.

OT vs. IT: Propast, která nás stojí bezpečnost

Operational Technology (OT) — tedy řídicí systémy průmyslových závodů, elektráren, vodáren nebo přenosových sítí — funguje na jiných principech než klasická IT infrastruktura. PLC automaty, SCADA systémy a průmyslové protokoly jako Modbus nebo DNP3 vznikaly v době, kdy slovo "internet" neznal skoro nikdo. Bezpečnost nebyla priorita. Dostupnost a spolehlivost ano.

Problém nastává ve chvíli, kdy tyto starší systémy připojíme — ať už záměrně nebo omylem — k podnikové síti nebo přímo k internetu. A to se děje masivně. Digitalizace energetiky, chytré sítě, vzdálená správa fotovoltaických elektráren, bateriových úložišť — to vše vytváří nové vstupní body pro útočníky.

Podle dat společnosti Claroty bylo v roce 2024 přes 35 % OT zařízení přímo dostupných z internetu. Číslo, které by mělo chladit krev každému bezpečnostnímu řediteli. Průměrná cena průmyslového kybernetického incidentu? 4,6 milionu dolarů. A to mluvíme jen o přímých nákladech — bez prostojů, reputačních škod a regulatorních pokut.

Pokud provozujete bateriové úložiště nebo FVE systém s dálkovým přístupem, doporučuji se podívat na to, jak je zabezpečen váš IoT monitoring — protože IoT monitoring od SmartEnergyShare nabízí zabezpečenou architekturu, která tato rizika bere v potaz od základů.

Dragos: Firma, která vidí to, co ostatní přehlíží

Dragos je dnes pravděpodobně nejcitovanější firmou v oblasti OT bezpečnosti. Jejich platforma není univerzální SIEM adaptovaný pro průmysl — je to nástroj postavený čistě pro OT prostředí, který rozumí protokolům jako EtherNet/IP, PROFINET nebo IEC 104.

V roce 2025 Dragos oznámil partnerství s Microsoft Defender for IoT — integraci, která umožňuje sdílení threat intelligence mezi oběma platformami. Konkrétně jde o přístup k databázi ACTIVITY GROUPS, což jsou skupiny útočníků sledované Dragosem. V jejich aktuálním přehledu figuruje 23 aktivních skupin zaměřených na průmyslové systémy, přičemž čtyři z nich mají prokázanou schopnost způsobit fyzické poškození zařízení.

Dragos WorldView — jejich threat intelligence feed — v prvním čtvrtletí 2026 zaznamenal nárůst útoků na energetický sektor o 34 % oproti stejnému období předchozího roku. Největší nárůst: ransomware skupiny, které se naučily cílit specificky na OT segmenty sítě a záměrně nešifrují IT systémy, aby zdržely forenzní analýzu.

Nedávná aktualizace Dragos Platform verze 2.7 přinesla tzv. "Neighborhood Keeper" — anonymizovaný sdílený threat feed mezi zákazníky. Pokud útočník zkusí přístup na jednu elektrárnu, ostatní zákazníci Dragos o tom vědí do 15 minut. To je přesně ten typ kolektivní obrany, který energetický sektor potřebuje.

IronWorm a Miasma: Červi mutují

Začátkem roku 2026 odhalili výzkumníci ze Sonatype a Checkmarx dvě nové hrozby v ekosystému npm balíčků: IronWorm a novou variantu Miasma Wormu. Oba malwary fungují jako supply chain útoky — infikují vývojářské prostředí přes zdánlivě legitimní npm balíčky.

IronWorm je zákeřný tím, že se zaměřuje na vývojáře průmyslového softwaru. Hledá v lokálním prostředí konfigurační soubory pro OPC UA klienty, SCADA vývojové nástroje a připojení k průmyslovým databázím. Jakmile je najde, exfiltruje přihlašovací údaje a schémata sítě. Pak čeká. Průměrná doba od infekce k odhalení: 287 dní.

Miasma Worm (nová varianta, označovaná jako Miasma.B) se šíří odlišně. Využívá dependency confusion — publikuje balíčky se stejným jménem jako interní firemní knihovny, ale s vyšším číslem verze. npm package manager si vybere "novější" veřejný balíček a automaticky ho nainstaluje. Výsledek? Útočník získá přístup do CI/CD pipeline výrobní společnosti.

Obrana je relativně přímočará, ale vyžaduje disciplínu: npm audit v každém build pipeline, lockfile enforcement (package-lock.json nebo yarn.lock v gitu), privátní npm registry pro interní balíčky a scoping všech interních balíčků pod organizační namespace. Problém je, že mnoho průmyslových firem stále nemá formalizovaný softwarový vývoj — píší skripty pro SCADA ad hoc, bez jakéhokoli review procesu.

Více o dopadech supply chain útoků na průmyslový software najdete na electricshare.cz, kde se tématu digitalizace a bezpečnosti v energetice věnují systematicky.

Energetický sektor: Proč je to nejatraktivnější terč

Elektřina není komodita jako jiné. Přerušení dodávek elektřiny má kaskádový efekt — padají nemocnice, telekomunikace, zásobování vodou. Útočníci to vědí a kalkulují s tím.

V roce 2025 bylo dle zprávy ICS-CERT zaznamenáno 2 340 incidentů v průmyslových systémech, z toho 31 % v energetickém sektoru. Číslo zahrnuje jen reportované případy — skutečný počet je pravděpodobně dvojnásobný.

Konkrétní technika, která dominovala v roce 2025: Living-off-the-land v OT sítích. Útočníci nenosí vlastní nástroje, ale zneužívají legitimní průmyslový software — Siemens TIA Portal, Schneider EcoStruxure, ABB Ability. Proč? Protože tyto nástroje jsou na whitelistu každého průmyslového firewallu a jejich provoz nevyvolá alarm.

Skupina VOLTZITE (sledovaná Dragosem) použila přesně tuto techniku při útoku na severoamerické přenosové vedení v září 2024. Infiltrovali sít přes VPN přihlašovací údaje ukradené phishingem, pak se čtyři měsíce pohybovali laterálně v síti pomocí legitimního správcovského softwaru. Odhaleni byli až díky anomálnímu chování v čase — správcovské příkazy ve 3 ráno místního času.

Pro provozovatele decentralizovaných zdrojů — fotovoltaiky, větrné elektrárny, bateriová úložiště připojená do obchodování s flexibilitou — je situace paradoxní. Čím víc jsou tato zařízení chytrá a připojená, tím větší je attack surface. Agregátor flexibility musí mít přístup k řízení vašeho úložiště, abyste mohli nabízet služby výkonnostní rovnováhy. Ale ten samý přístupový kanál může zneužít útočník.

NUKIB a česká realita: Jsme připraveni?

Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) v roce 2025 vydal aktualizovaný bezpečnostní manuál pro kritickou infrastrukturu. Klíčové požadavky: síťová segmentace OT od IT (minimálně DMZ vrstva), detekce anomálií v průmyslových protokolech, 24/7 monitoring bezpečnostních událostí a povinné cvičení kybernetického incidentu jednou ročně.

Česká republika transponovala NIS2 direktivu — zákon č. 181/2014 Sb. byl nahrazen novým zákonem o kybernetické bezpečnosti, který vstoupil v platnost v říjnu 2024. Nově jsou povinny hlásit incidenty nejen provozovatelé kritické infrastruktury, ale i dodavatelé jim — tedy i firmy poskytující energetické služby.

Realita v terénu je ale tristní. Audit provedený ERÚ (Energetickým regulačním úřadem) v prvním čtvrtletí 2025 zjistil, že 67 % provozovatelů malých a středních výroben elektřiny (FVE do 1 MWp) nemá žádnou dokumentovanou bezpečnostní politiku. Střídače jsou přístupné přes výchozí hesla výrobce. Vzdálený přístup běží přes nešifrované protokoly. A záplatování firmwaru? Průměrný věk firmware verze byl 3,2 roku.

NUKIB pro tyto provozovatele vydal zjednodušenou příručku — dostupnou na nukib.gov.cz — ale uptake je pomalý. Problém není vědomí rizika, ale kapacita. Malý provozovatel FVE na střeše rodinného domu nemá IT oddělení.

Více o bezpečnostních aspektech komunitní energetiky a sdílení elektřiny se dočtete také na sdilenienergie.info, kde se věnují praktickým aspektům energetických komunit.

Jak chránit průmyslové systémy v praxi

Teorie bezpečnosti je jedna věc. Co skutečně funguje v průmyslovém prostředí? Tady jsou přístupy, které mají reálný dopad.

Pasivní monitoring průmyslových protokolů je základní kámen. Nástroje jako Dragos Platform, Claroty nebo Nozomi Networks pasivně odposlouchávají komunikaci v OT síti a vytváří inventář všech zařízení — i těch, o kterých IT oddělení nevědělo. Průměrný podnik při prvním nasazení objeví 23 % zařízení, která nebyla v žádné dokumentaci. Tato "stínem OT" zařízení jsou nejzranitelnější.

Zero-trust pro vzdálený přístup do OT je druhý klíčový prvek. Klasické VPN sítě pro vzdálený přístup servisních techniků jsou noční můra — jakmile útočník získá VPN přihlašovací údaje, má neomezený přístup do celé sítě. Moderní přístup: každý vzdálený přístup přes vyhrazený privileged access management (PAM) systém, s nahrávkou session, just-in-time access (přístup platí jen na dobu trvání zásahu) a MFA vždy.

Segmentace pomocí průmyslových firewalů — ne klasických IT firewalů, ale zařízení, která rozumí Modbus, DNP3 nebo IEC 61850 a umí filtrovat na úrovni funkčních kódů průmyslových protokolů. Klasický firewall vidí jen IP adresy a porty. Průmyslový firewall vidí, že někdo posílá Modbus příkaz "Write Multiple Registers" na PLC, které by mělo dostávat jen "Read" příkazy — a zahodí ho.

Incident response plán specifický pro OT je odlišný od IT incidentu. V IT při ransomwaru odpojíte server. V OT odpojení řídicího systému může znamenat fyzické poškození zařízení nebo ohrožení bezpečnosti obsluhy. Plán musí obsahovat rozhodovací stromy: co odpojit ihned, co nechat běžet i za cenu bezpečnostního rizika, a jak komunikovat s regulátorem.

Pro firmy využívající energetické platformy doporučuji prověřit bezpečnostní certifikace poskytovatele — například jak SmartEnergyShare přistupuje k bezpečnosti svých API rozhraní pro průmyslové odběratele.

Předpověď: Co přijde v příštích dvou letech

Generativní AI vstupuje do kybernetické bezpečnosti OT z obou stran barikády. Útočníci používají LLM modely k automatizaci reconnaissance — generování cílených phishingových e-mailů pro servisní techniky, automatická analýza uniklých OT schémat. Obránci nasazují AI pro detekci anomálií v průmyslových protokolech — v prostředí, kde "normální" chování je vysoce prediktabilní, AI exceluje.

Druhý trend: konvergence IT a OT bude pokračovat a s ní i tlak regulátorů. Evropská NIS2 je jen začátek — Cyber Resilience Act, který vstoupí v plnou platnost v roce 2027, bude vyžadovat bezpečnostní certifikaci hardwaru od výrobců průmyslových zařízení. To fundamentálně změní trh.

A třetí trend, který nikdo nechce slyšet: insider threats v energetice. Studie IBM z roku 2025 ukázala, že 19 % bezpečnostních incidentů v průmyslových systémech bylo způsobeno vlastními zaměstnanci — ne vždy se zlým úmyslem, ale z nedbalosti nebo nedostatečného školení. Nejnebezpečnější hrozba nesedí v Moskvě ani Pekingu. Sedí v servisní firmě, která nemá aktuální bezpečnostní polícy.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: BESS Global - bateriová úložiště a trading SdíleniElektřiny.com - sdílení elektřiny