Ahojte. Som systémový admin. Ten človek, ktorému voláte, keď vám nejde tlačiareň, zabudnete si heslo od Windowsu alebo si omylom zmažete tabuľku v Exceli. A viete čo? Dnes budem k vám absolútne, až brutálne úprimný.
Chápem, že všetky tie bezpečnostné pravidlá, MFA, zákazy a „otravné“ hlášky z IT ti často len berú čas a nervy. Z tvojho pohľadu to vyzerá tak, že IT ti stále hádže polená pod nohy, zatiaľ čo ty sa len snažíš robiť svoju prácu, stíhať maily a deadliny. Nechcem z teba robiť experta na kyberbezpečnosť ani ti nadávať. Chcem ti len úprimne ukázať, prečo si pre útočníkov oveľa zaujímavejší, než sa ti na prvý pohľad zdá – a ako ti vieme my v IT pomôcť, aby to bolo pre teba znesiteľné aj v bežnom pracovnom chaose. Pretože bezpečnosť vo firme je priorita ako aj bežných užívateľov tak aj zamestnancov IT.
Keď po desiatom bezpečnostnom incidente v tomto roku opäť počujem na helpdesku tú otrepanú vetu: „Ale veď ja som len obyčajný používateľ, ja firmu nezavírim, nemám na to ani práva,“ mám sto chutí ísť do serverovne a začať si z celej sily udierať hlavu o plechový rack. Táto veta je totiž najväčší blud moderného firemného IT a téma zamestnanec a kyberútoky je dnes na helpdesku doslova denným chlebom.
Pravda je neskutočne krutá: práve z týchto „obyčajných“, podceňovaných účtov dnes útočníci robia tie najväčšie a najdrahšie miliónové škody. Celá bezpečnosť vo firme padá na predstave, že radový zamestnanec je pre hackerov nezaujímavý. Poďme si teda túto nebezpečnú lož rozbiť na drobné.
1. Mýtus: „Nemám admin práva, som neškodný“
Bežný zamestnanec – dajme tomu Fero z logistiky alebo Katka z marketingu – si myslí, že keď na svojom notebooku nemá oprávnenia lokálneho administrátora a systém mu zablokuje inštaláciu aj obyčajného Spotify, je z hry vonku. „Keď nič nemôžem inštalovať, nemôžem stiahnuť vírus, nie?“
Bolo by to krásne, keby sme žili v roku 2010. Ak sa pýtaš na to, ako zamestnanci zavíria firmu bez toho, aby čokoľvek reálne inštalovali, odpoveď je desivo jednoduchá. Moderným útokom totiž úplne a bohato stačí, že:
- v piatok poobede v rýchlosti otvoríš excelovskú prílohu z e-mailu, ktorý sa tvári ako „Nevyplatená faktúra“,
- do úplne identickej (ale falošnej) prihlasovacej stránky Microsoft 365 alebo Google Workspace zadáš svoje heslo,
- z nervozity a únavy odsúhlasíš push notifikáciu na prihlásenie (MFA), ktorá ti „už po piatykrát len tak otravne vyskakuje na mobile“.
Útočníkom v dnešnej dobe úplne stačí takýto nízko privilegovaný účet ako ich prvý oporný bod v sieti (takzvaný initial foothold). Nepotrebujú tvoj počítač zničiť. Potrebujú sa z neho odraziť. Bezpečnostné firmy to dnes popisujú úplne rovnako: začiatočný prístup vedie cez bežný, podceňovaný účet, po ktorom nasleduje potichu vykonávaný laterálny pohyb po sieti, kradnutie ďalších hesiel z pamäte a postupné hľadanie cesty k hlavným serverom a databázam.
2. Mýtus: „Ja chodím len na legit weby a neklikám na blbosti“
Toto je moja najobľúbenejšia rozprávka, ktorú počúvam pri každom audite. Čo presne znamená výraz „len legitímne weby“ v roku 2026? A prečo bezpečnosť vo firme zlyháva aj vtedy, keď zamestnanec nerobí nič zakázané?
Znamená to veľké spravodajské portály, ktoré však majú vo svojom kóde nasadené kompromitované externé reklamné bannery (takzvaný malvertising). Znamená to preklepové domény (typosquatting) a IDN triky, kde doména vyzerá presne ako stránka vašej banky, no namiesto latinského písmena „a“ používa na nerozoznanie rovnaký znak z azbuky. Sú to stránky, ktoré vyzerajú ako legitímny portál známeho kuriéra, ktorý od vás pýta len „doplatok 1 euro za clo“.
Aj to najserióznejšie médium alebo eshop ti dokáže do prehliadača natlačiť škodlivý skript cez tretie strany bez toho, aby o tom majitelia webu tušili. Súčasné phishingové kampane poháňané umelou inteligenciou sú často na absolútne nerozoznanie od legitímnych portálov. To, že niečo na monitore „vyzerá normálne“, ešte v žiadnom prípade neznamená, že to normálne naozaj je.
3. Mýtus: „Keď som low user, ransomware cez mňa neprejde“
Ako si vlastne predstavujete to, ako zamestnanci zavíria firmu? Že si stiahnu súbor VÍRUS.EXE a vedome naň dvakrát kliknú? Ransomware gangy (skupiny vydieračov šifrujúcich dáta) z posledných rokov nám ukazujú úplne iný príbeh.
Na položenie celej firmy na kolená stačí infikovať jedno jediné bežné pracovisko. Notebook na recepcii. Ten potichu nasadený malvér nepotrebuje admin práva na to, aby si cez internú sieť začal mapovať okolie. Začne si hľadať ďalšie viditeľné zariadenia, skenuje zdieľané sieťové adresáre, kde má recepcia prístup na zápis, hľadá slabé heslá v sieti a skenuje otvorené porty.
Začne z pamäte prehliadača zbierať vaše uložené heslá, kradne relačné tokeny a postupne sa šplhá vyššie a vyššie. Všetky relevantné správy o ransomvéri z rokov 2025 a 2026 sa zhodujú v jednej veci: kľúčovou fázou útoku nie je úvodný prienik, ale spomínaný lateral movement (pohyb do strán). Z jedného „nedôležitého“ používateľa sa útočník rozlezie po celej sieti ako rakovina. To znamená, že tvoj „nevinne“ a omylom zavírený notebook môže byť presne a výlučne ten bod, odkiaľ sa o tretej ráno začne šifrovať firemný fileserver, zákaznícke CRM a kompletné účtovníctvo.
3.1. Mýtus: „Ja mám silné heslo, mne to stačí“
Keby som dostal jedno euro zakaždým, keď mi niekto v kuchynke povie: „Ja mám strašne silné heslo, mňa určite nikto nehackne,“ už dávno by som tu nepracoval a mal by som kúpený vlastný rack v špičkovom datacentre.
Realita je totiž oveľa menej romantická a oveľa viac desivá:
- Aj to tvoje super silné, 16-miestne heslo so špeciálnymi znakmi zadávaš na prihlasovaciu stránku. A ak je táto stránka falošná (cez phishing alebo AiTM proxy), útočník nepotrebuje tvoje heslo zložito lúštiť. Ty sám mu ho práve dobrovoľne odovzdávaš na striebornom podnose.
- Heslá úplne bežne a pravidelne končia v obrovských únikoch dát zo služieb tretích strán. Tieto obrovské databázy účtov sa potom na dark webe predávajú vo veľkom. Útočníci ich okamžite nasadia do automatizovaných skriptov na credential stuffing – čiže stroje za nich skúšajú to tvoje uniknuté heslo plošne aplikovať na Microsoft, Google, PayPal a sociálne siete.
- Buďme k sebe úprimní – väčšina ľudí, aj napriek zákazom, svoje „silné heslo“ recykluje. Mierne obmeny toho istého hesla naprieč súkromným e-mailom, sociálnymi sieťami, prácou a eshopmi sú úplne bežným štandardom. Ak ti ukradnú heslo z e-shopu na topánky, padne aj tvoj firemný účet.
Silné heslo je v roku 2026 už len povinná vstupenka do hry, nie automatická výhra. Ak je tvoje dlhé heslo skutočne tá jediná vec, na ktorú sa v digitálnom priestore spoliehaš, hráš momentálne ruskú ruletu s ohromným rizikom.
4. Čo všetko útočník získa, keď „len“ ukradne účet obyčajného užívateľa
Keď ti niekto cez internet vezme kontrolu nad účtom, nestaneš sa hrdinom a obeťou, ktorú budeme ľutovať. Staneš sa najsilnejším nástrojom útočníka proti vlastnej firme. Ak sa bavíme o tom, ako zamestnanci zavíria firmu, odpoveďou je často práve tento ukradnutý, „nedôležitý“ účet. Z kompromitovaného, bežného účtu vie hacker vyťažiť maximum:
- Začne si v tichosti čítať firemné e-maily, sťahuje interné dokumenty, prehľadáva faktúry a analyzuje kontakty na obchodných partnerov.
- Začne posielať phishing ďalej, priamo z tvojej e-mailovej adresy, zvnútra firmy. A hádaj čo? Tvoji kolegovia na ten link kliknú oveľa ochotnejšie, lebo si povedia: „Veď je to mail priamo od Fera, to musí byť bezpečné.“
- Získa prístup k ďalším prepojeným firemným systémom cez SSO (Single Sign-On). Keď má tvoj e-mail, má možnosť spustiť toky „Zabudnuté heslo“ pre desiatky iných platforiem.
Analýzy útokov (account takeover) ukazujú, že hackeri po ovládnutí účtu často týždne len tíško napodobňujú legitímnych používateľov. Odpovedajú vo vašom mene v existujúcich e-mailových vláknach, nenápadne menia čísla bankových účtov na priložených PDF faktúrach, žiadajú kolegov o udelenie prístupu k dokumentom. Takže nie, tvoj účet skutočne nie je nezaujímavý. Pre nich je úplne ideálny.
5. Mýtus vs. realita – v skratke
| Čo si myslí a hovorí bežný user | Ako vyzerá drsná realita kybernetických útokov |
|---|---|
| „Nemám admin práva, som v pohode.“ | Útočníci začínajú výlučne na low účtoch a robia z nich laterálny (bočný) pohyb po sieti. |
| „Ja chodím len na normálne weby.“ | „Normálne“ weby môžu byť kompromitované alebo hackerom perfektne napodobnené. |
| „Ja do PC nič neinštalujem.“ | Na infekciu stačí otvorený dokument, link alebo login do fake portálu (phish cez SSO). |
| „Ja firmu nezavírim, nemám nič dôležité.“ | Máš e-mail, firemné kontakty a základné prístupy – z toho sa stáva most k dôležitým systémom. |
| „Mám silné heslo, mne zbytočné MFA netreba.“ | Phishing, úniky databáz a credential stuffing obchádzajú aj silné heslá. Bez MFA je účet terč. |
6. Spoveď admina: Prečo som na vás naozaj nahnevaný
Som nahnevaný. Ale nie preto, že občas v rýchlosti urobíte chybu a kliknete na zlý odkaz. Úprimne, chyby robíme všetci, aj my v IT. Sme len ľudia. A viem presne, ako zamestnanci zavíria firmu len pre jedno jediné zlé kliknutie v strese.
Som na vás nahnevaný preto, že:
- Beriete všetky naše bezpečnostné odporúčania a varovania len ako otravné byrokratické obmedzenia, ktoré vás zdržujú od práce.
- Otvorene ignorujete školenia, sťažujete sa na to, že si musíte klikať MFA, a potom, keď je problém na svete, len myknete plecom a poviete: „No a čo, ja som len user.“
- Tvárite sa, že bezpečnosť vo firme je výhradne náš problém (problém IT oddelenia), až dovtedy, kým sa zrazu nezašifrujú vaše vlastné pracovné dáta, kým sa nezablokuje vaša výplata a neparalyzuje sa celá vaša práca na týždeň.
Z reportov presne vieme, že kategória zamestnanec a kyberútoky je stále najkritickejšia. Ľudský faktor je naďalej jednou z hlavných príčin incidentov. Vôbec nie preto, že ste hlúpi. Ale preto, že dnešné útoky sú robené brutálne psychologicky, presne cielene a prichádzajú v ten najsprávnejší čas, keď ste v strese. Ja ako admin potom vidím logy, vidím neúprosné časové línie a vidím presne tú jednu malú, sekundovú chybu v úsudku, z ktorej sa rozvinula obrovská firemná katastrofa. Vy vidíte len modrú obrazovku a hovoríte: „Ono to zrazu nejde.“
6.1. Čo robíme my v IT pre teba (Aby to nevyzeralo, že len zvaľujeme vinu)
Aby som bol ale úplne fér – ani my v IT nesedíme celý deň s vyloženými nohami a nečakáme, kým urobíš chybu, aby sme ti to mohli zrátať. Kyberbezpečnosť je obojsmerka a uvedomujeme si, že to v žiadnom prípade nie je len tvoja chyba, keď nejaký útok prejde. Chápeme, že rovnica zamestnanec a kyberútoky má dve premenné. Zatiaľ čo ty robíš svoj biznis, my na pozadí neustále makáme, aby sme znížili riziko toho, ako zamestnanci zavíria firmu:
- Patchujeme ako o život: Po nociach a víkendoch inštalujeme aktualizácie na servery, firewally aj tvoj notebook, aby sme zaplátali kritické diery ešte predtým, ako ich niekto zneužije.
- Monitorujeme (SOC/EDR): Sledujeme logy a anomálie 24/7. Ak náhodou predsa len stiahneš ten ransomvér, naše systémy sa ho snažia automaticky izolovať a „zabiť“ v milisekundách predtým, než zašifruje celú sieť.
- Segmentujeme sieť: Staviame vo firme digitálne protipožiarne steny. Ak ti niekto hackne účet, naším cieľom je, aby sa ten útočník nedostal hneď od tvojho e-mailu k finančným uzávierkam alebo k produkčným databázam.
- Pripravujeme školenia: Áno, tie občas otravné simulácie a phishingové testy robíme preto, aby si tú „facku“ dostal nanečisto od nás v bezpečnom prostredí, a nie naostro od hackerského gangu z druhej strany sveta.
My staviame hradby, nasadzujeme alarmy a chystáme záchranné člny. Ale ty si ten, kto drží kľúče od hlavnej brány.
7. Krutá pravda: Bezpečnosť firmy stojí a padá aj na „obyčajnom užívateľovi“
Bez ohľadu na to, koľko stoviek tisíc eur ročne firma investuje. Bez ohľadu na to, aké drahé máme nastavené firewally, EDR systémy, sieťovú segmentáciu a prísne politiky… ty osobne si stále kľúčovou súčasťou obrany.
Ty sám s myšou v ruke rozhoduješ, či klikneš na odkaz v e-maile, ktorý sa ti od začiatku vôbec nezdal. Ty rozhoduješ, či proaktívne nahlásiš podozrivú správu adminovi, namiesto toho, aby si nad ňou len mávol rukou v štýle „radšej to neriešim, nie je to moja vec“. Ty si ten, kto rozhoduje, či bude používať unikátne a silné heslo v kombinácii s MFA, a ty musíš dávať pozor, či ten login do Office 365 naozaj patrí našej firme, alebo ide o preklepovú doménu v Rusku.
Princíp najmenších privilégií (least privilege) je v IT super vec. Skutočne to obmedzí a lokalizuje škody, keď sa niečo stane. Ale nikdy to nezruší samotné riziko kompromitácie, ak sa predstavenstvo aj zamestnanci budú tváriť, že „obyčajný user“ je z hľadiska hrozieb mimo hry.
8. Čo od teba ako IT admin naozaj chcem
Vôbec nechcem, aby si bol vyštudovaný expert na kyberbezpečnosť. Na to si firma platí mňa. Od teba ako bežného zamestnanca chcem len a výlučne toto:
- Ak si pri akomkoľvek e-maile, súbore alebo požiadavke niečím čo i len trochu nie si istý – zastav sa, spýtaj sa ma, nahlás to. Radšej mi pošli desať planých poplachov denne, ako jeden neodhalený prienik.
- Nepodceňuj a nenadávaj na MFA. Zmier sa s tým, že je to nutnosť, rovnako ako unikátne heslá. Vždy poctivo kontroluj odosielateľa a overuj domény v paneli prehliadača.
- A preboha ťa prosím… prestaň už konečne používať tú alibistickú frázu „Ja firmu nezavírim“. V roku 2026 už skutočne z praxe vieme, že to nie je pravda.
Tvoj bežný, obyčajný účet je vstupná brána. Otázka už neznie, či sa k nej niekto pokúsi dostať. Otázka znie len to, či to bude vstupná brána pre tvoju každodennú prácu – alebo to bude vstupná brána pre útočníka, ktorý nás všetkých pripraví o zamestnanie.
🔥 A teraz úprimne vy do komentárov! (Áno, pozerám sa hlavne na vás, kolegovia admini!) 🔥 Koľkokrát za mesiac počujete z úst zamestnancov nejakú variáciu na vetu „mne sa to stať nemôže“? Máte vo firme kolegov, ktorí si heslá stále lepia na žltých papierikoch pod klávesnicu, lebo „veď si ich nikto nevšimne“? A bežní používatelia – stúplo vám pri čítaní trochu svedomie, alebo si stále myslíte, že IT oddelenie len zbytočne stresuje a vymýšľa si pravidlá, aby vám sťažilo život? Vyjadrite sa dole v komentároch! 👇
Zdroje :
moje skúsenosti , wikipedia , fortinet , vipre
