Supply chain attack (útok na dodavatelský řetězec) je kybernetický útok, při kterém útočník necílí přímo na vaši firmu, ale na důvěryhodného dodavatele nebo nástroj, který používáte. Cíl je prostý: využít existující důvěru. Aktualizace nebo plugin z ověřeného zdroje nainstalujete bez podezření - a právě to útočníci využívají.
Analogie: místo vloupání do domu útočník napadne firmu, která dodává vaše alarmy. Vy pak sami nainstalujete kompromitované zařízení.
Jak útok probíhá
Útočník nejprve kompromituje důvěryhodný bod v dodavatelském řetězci - open-source knihovnu, WordPress plugin, aktualizační server nebo vývojářský účet. Škodlivý kód vloží do legitimního softwaru tak, aby vypadal jako běžná součást. Software je podepsán legitimním certifikátem a distribuován standardními kanály. Cíle ho samy nainstalují.
Po aktivaci malware sbírá hesla a API klíče, otevírá vzdálený přístup nebo čte platební data zákazníků v reálném čase - web skimming.
Reálné příklady
SolarWinds (2020) - útočníci injektovali backdoor do legitimních aktualizací správy sítí. Zasaženo bylo 18 000 organizací včetně amerických vládních agentur. Škody v miliardách dolarů.
XZ Utils (2024) - útočník dvě léta budoval důvěru jako přispěvatel open-source projektu, získal práva správce a vložil backdoor s nejvyšším možným rizikovým skóre. Odhalen náhodou: inženýr si všiml zpomalení SSH přihlášení o 500 milisekund.
WordPress pluginy (průběžně) - v roce 2024 bylo kompromitováno pět legitimních pluginů přímo na wordpress.org. V roce 2025 vzrostl počet zranitelností v WordPress ekosystému o 42 % meziročně.
Proč jsou ohroženy i malé české firmy
Malé firmy nejsou primárním cílem - jsou kolaterální škodou. Útočníci cílí na populární software a zasahují všechny jeho uživatele najednou. Průměrný WordPress web používá desítky pluginů, z nichž každý je potenciálním vektorem.
91 % všech WordPress zranitelností pochází z pluginů a šablon, nikoli z jádra systému. Okno mezi zveřejněním zranitelnosti a masovým zneužitím trvá hodiny.
Jak se chránit
Základní opatření: pravidelné aktualizace jádra systému, pluginů a šablon. Mazání nepoužívaných pluginů - i deaktivované jsou riziko. Zálohy uložené mimo server. Monitoring neočekávaného chování webu.
Pro firmy v regulovaných odvětvích platí od listopadu 2025 zákon o kybernetické bezpečnosti (transpoziice NIS2), který ukládá povinný management rizik v dodavatelském řetězci.
Správně nastavená bezpečnostní architektura webu - výběr pluginů, správa závislostí, monitoring - vyžaduje odborné posouzení. Bezpečnostní audit závislostí před spuštěním nebo přebráním projektu je standardní součástí profesionálního vývoje.
Pavel Szabo
Programátor webů, eshopů a informačních systémů s více než 23 lety praxe. Pomáhám firmám i jednotlivcům s online podnikáním, automatizacemi a využitím AI v praxi.
