Týdenní novinky 7/2026
Aktuální školení
Sedm varování z praxe: proč se kyberbezpečnost obcí nejčastěji rozpadá tam, kde ji nikdo nehledá
Ing. Jan Mareš, MPA, LL.M.
Rok 2025 nebyl v oblasti kybernetické bezpečnosti nijak výjimečný množstvím útoků. Výjimečný byl spíš tím, jak obyčejné byly jejich příčiny. Většina incidentů nevznikla kvůli převratným technologiím nebo sofistikovaným metodám útočníků, ale kvůli drobným přehlédnutím, provozní rutině a rozhodnutím, která se dlouhodobě odkládala. Právě proto by měl být tento rok nepříjemným, ale užitečným zrcadlem i pro města a obce.
Ve veřejné správě se totiž kyberbezpečnost málokdy projeví dramaticky. Nepřijde filmový hacker ani blikající varování. Místo toho se zastaví služba, zhroutí agenda, nejde se přihlásit do systému nebo unikne informace, která se už nedá vzít zpět. A vysvětlování pak nebývá technické, ale politické, reputační a manažerské.
Jedním z opakujících se motivů roku 2025 byla paradoxní kombinace drahých řešení a primitivních chyb. I velmi robustní zabezpečení se totiž dá znehodnotit ve chvíli, kdy je klíčový přístup chráněn způsobem, který odpovídá spíš pohodlí než riziku. Hesla, která se nemění roky, sdílené přístupy nebo zapomenuté účty u systémů, které „prostě běží“, patří k nejčastějším slabinám. Ve městech se to netýká jen serverů, ale i kamerových systémů, technologií v budovách nebo specializovaných aplikací, které nikdo pravidelně nekontroluje, protože zatím nezpůsobily problém. Typickým příkladem jsou starší kamerové systémy nebo řídicí jednotky technologií budov, kde se přístupové údaje dědí s každou změnou zaměstnanců. Připomeňme si i mediálně známý případ Louvru, kde vyšetřování krádeže odhalilo, že bezpečnostní systém byl chráněn heslem odpovídajícím názvu instituce. Přesně tak vypadá kombinace technického dluhu a falešného pocitu jistoty.
Další lekcí je připomínka, že technologie samy o sobě chybu neudělají. Rozhodující roli hraje člověk, a často ne kvůli neznalosti, ale kvůli únavě, tlaku a nejasným pravidlům. Rok 2025 opakovaně ukázal, že stačí dobře zvolený okamžik, autorita v komunikaci a pocit naléhavosti. V prostředí obcí, kde jsou týmy malé a vztahy osobní, je tento scénář obzvlášť nebezpečný. Typickým příkladem je situace, kdy pracovník ekonomického odboru obdrží e-mail nebo telefonát, který se tváří jako urgentní žádost vedení o kontrolu přístupu či potvrzení údajů. Bez jasného postupu, jak takový požadavek ověřit, se zodpovědnost rozplyne a chyba se stane systémovou, nikoliv osobní.
Výrazně se také potvrdilo, že hranice organizace dávno nekončí u jejích zaměstnanců. Externí partneři, účetní firmy, IT správci nebo dodavatelé systémů jsou fakticky součástí provozu obce, a zároveň jejím slabým místem. Pokud má někdo trvalý nebo rozsáhlý přístup k vašim systémům, není rozdíl mezi „u něj“ a „u vás“. Přesto se bezpečnost dodavatelů často řeší pouze formálně, jednorázově a bez skutečné kontroly v čase. V praxi to znamená, že dodavatel má přístup do ekonomického systému nebo spisové služby dlouho po skončení zakázky, případně jej sdílí více osob bez evidence. Rok 2025 ukázal, že právě tato slepá místa bývají vstupní branou k největším škodám, aniž by si toho zadavatel vůbec všiml.
Zajímavým posunem je i to, že útočníci už nepotřebují technicky náročné triky. Místo komplikovaných deepfake videí často stačí přesvědčivý hlas, znalost prostředí a dobře připravený scénář. Umělá inteligence dnes výrazně zvyšuje kvalitu sociálního inženýrství a útoky se tak přesouvají z technické roviny do roviny důvěry. Příkladem mohou být telefonáty, které imitují styl komunikace nadřízeného, včetně správné terminologie a znalosti interních procesů. V prostředí samospráv, kde se rozhoduje rychle a často neformálně, je tento typ útoku obzvlášť účinný.
Rok 2025 také definitivně pohřbil představu, že kybernetický incident je „jen problém IT“. Jakmile digitální systémy přestanou fungovat, zastaví se i fyzický provoz. Ve výrobě to znamená odstavené linky, v obcích nefunkční služby, výpadky agend, chaos v krizovém řízení nebo návrat k improvizovaným postupům. Stačí výpadek centrálního informačního systému a obec není schopna vyřizovat základní úkony, komunikovat s občany ani plnit zákonné povinnosti. Přesto na tento scénář často neexistuje realistický plán, kdo co dělá, pokud technologie selžou současně.
Velmi nepříjemným zjištěním je i to, že největší problémy často vznikají v systémech, které nejsou považovány za klíčové. Náborové aplikace, formuláře, chatboty nebo externí platformy pracující s daty zaměstnanců a uchazečů bývají mimo hlavní pozornost, přestože zpracovávají obrovské množství citlivých informací. Typickým příkladem jsou online formuláře pro nábor, dotazníky nebo rezervační systémy provozované externím dodavatelem. Stačí jedna chyba v jejich zabezpečení a dopad je okamžitý, masový a obtížně napravitelný. Rozdělování systémů na „důležité“ a „vedlejší“ se tak ukazuje jako velmi nebezpečná iluze.
A konečně se znovu potvrdilo, že velikost organizace nehraje v očích útočníků žádnou roli. Nezáleží na tom, zda jde o nadnárodní firmu nebo menší obec. Rozhodující je pouze existence slabého místa. Menší obce bývají atraktivní právě tím, že mají omezené kapacity, kombinují role a spoléhají na to, že nejsou zajímavým cílem. Útočníci ale nehledají prestiž. Hledají otevřené dveře.
Všechny tyto případy mají společného jmenovatele. Neselhala technologie. Selhalo řízení. Bezpečnost byla vnímána jako náklad, odpovědnosti byly rozptýlené a rizika odsouvaná. Kyberbezpečnost se tak znovu ukazuje nikoliv jako technické téma, ale jako manažerská disciplína, úzce spojená s kontinuitou služeb, důvěrou veřejnosti a schopností obce fungovat i ve chvíli, kdy se něco pokazí.
Závěrem je proto dobré si připustit nepříjemnou, ale realistickou skutečnost. Otázka dnes nestojí, zda se kybernetický incident stane. Otázka zní, kdy k němu dojde a jak na něj bude obec připravena. Protože v okamžiku, kdy systém spadne, už nejde o IT. Jde o zvládnutí situace pod drobnohledem občanů, médií i kontrolních orgánů zároveň.
Whistleblowing ve veřejné správě – ohlédnutí po roce a půl platnosti
Ing. Jan Mareš, MPA, LL.M.
Zákon o ochraně oznamovatelů je v českém právním prostředí účinný již více než rok a půl. Přestože byl při svém přijetí často vnímán jako další administrativní povinnost vyvolaná evropskou legislativou, praxe postupně ukazuje, že jeho skutečný význam spočívá jinde. Ve veřejné správě a územní samosprávě se z něj stává nástroj včasné prevence, který může zásadně ovlivnit způsob, jakým úřady pracují s riziky, odpovědností a důvěrou.
Specifikum veřejné správy spočívá v tom, že zde nejde pouze o vnitřní vztahy zaměstnavatele a zaměstnance. Každé pochybení má potenciální dopad na hospodaření s veřejnými prostředky, na důvěru občanů i na politickou odpovědnost vedení obce či města. Právě proto je otázka včasného odhalení nezákonného nebo neetického jednání ve veřejné sféře mimořádně citlivá. Zákon o whistleblowingu do tohoto prostředí vnáší jasný signál, že upozornění na problém není neloajalitou, ale legitimní součástí ochrany veřejného zájmu.
V praxi úřadů se přitom často nejedná o okázalé případy korupce, ale o zdánlivě drobné situace, které se opakují a postupně normalizují. Neformální obcházení vnitřních směrnic, zakázky „z důvodu časové tísně“ zadávané stále stejným dodavatelům, nejasné pokyny bez písemného záznamu či tlak na úředníky, aby postupovali způsobem, který sice „vyhoví“, ale není zcela v souladu s právními předpisy. Právě v těchto případech bývá hranice mezi běžnou praxí a porušením pravidel velmi tenká a bez bezpečného oznamovacího mechanismu často zůstává nepřekročena jen zdánlivě.
Zavedení vnitřního oznamovacího systému proto nelze chápat jako pouhou formální povinnost. Jde o nástroj, který umožňuje zachytit varovné signály v okamžiku, kdy je ještě možné situaci interně řešit. Dobře nastavený systém chrání nejen oznamovatele, ale i samotnou obec či organizaci. Umožňuje vedení reagovat dříve, než se problém stane předmětem kontroly, auditu nebo mediálního zájmu, a zároveň vytváří důkazní stopu o tom, že samospráva konala s náležitou péčí.
Zkušenosti z prvních měsíců fungování zákona ukazují, že klíčovým faktorem není technické řešení, ale důvěra. Zaměstnanci musí mít jistotu, že oznámení nebude zneužito proti nim a že jejich podnět bude posouzen nestranně a profesionálně. Zde se výrazně proměňuje role personálních oddělení, tajemníků a pověřených osob. Nejde již pouze o administrativní zajištění procesu, ale o práci s organizační kulturou, komunikací a prevencí konfliktů. Whistleblowing ve veřejné správě tak klade nové nároky na manažerské i lidské kompetence těch, kteří systém spravují.
Pro vedení obcí a měst představuje zákon o ochraně oznamovatelů rovněž určitý test. Schopnost přijmout oznámení bez osobního rozměru a bez defenzivních reakcí je znakem profesionálního řízení. Oznámení samo o sobě neznamená selhání vedení, ale informaci o tom, že v systému vzniká riziko. Skutečným selháním by bylo tuto informaci ignorovat. V tomto kontextu whistleblowing nepůsobí jako hrozba, ale jako nástroj řízení kvality a odpovědnosti.
Nelze opominout ani ekonomický rozměr. Sankce za porušení zákona o ochraně oznamovatelů mohou dosahovat až desítek milionů korun, což je pro většinu samospráv částka s reálným dopadem na rozpočet. Ještě závažnější však bývá reputační škoda, která se s medializovanými kauzami pojí a kterou nelze snadno napravit ani finančně kompenzovat. V tomto světle je funkční whistleblowing levnou a účinnou formou prevence.
Po více než roce a půl lze konstatovat, že zákon o whistleblowingu ve veřejné správě postupně mění způsob uvažování o odpovědnosti a kontrole. Neřeší všechny problémy a nenahrazuje systém vnitřních kontrol, auditů ani politickou odpovědnost. Doplňuje je však o důležitý prvek lidského faktoru. O možnost upozornit na problém v okamžiku, kdy je ještě řešitelný.
Veřejná správa, která se nebojí otevřeně pracovat s podněty svých zaměstnanců, vysílá jasný signál směrem k veřejnosti. Že transparentnost není jen proklamací, ale každodenní praxí. A právě v tom spočívá skutečný přínos whistleblowingu pro moderní a odpovědně řízenou samosprávu.
Co whistleblowing je – a co není
Whistleblowing je zákonem chráněné oznámení možného nezákonného nebo neetického jednání, ke kterému dochází v rámci činnosti úřadu, obce, města nebo jimi zřízené organizace. Směřuje k ochraně veřejného zájmu, veřejných prostředků a zákonného fungování instituce. Je založen na dobré víře oznamovatele, že upozorňuje na skutečnost, která může představovat porušení právních předpisů nebo závažné pochybení vnitřních pravidel.
Whistleblowing není osobní spor mezi zaměstnanci, řešení pracovněprávních neshod ani prostředek k vyřizování osobních účtů. Nejde o anonymní stížnost na kolegu kvůli mezilidským konfliktům, pracovnímu tempu nebo odlišným názorům na řízení odboru. Stejně tak nejde o náhradu běžných řídicích a kontrolních mechanismů, jako jsou porady, interní kontroly či audity.
Whistleblowing je nástroj prevence, který umožňuje zachytit problém včas, ještě před tím, než dojde k porušení zákona s vážnými dopady nebo k poškození dobrého jména samosprávy. Dává vedení obce či úřadu možnost reagovat dříve, než se situace dostane do roviny správního řízení, trestního oznámení nebo mediální kauzy.
Whistleblowing není automatickým obviněním ani potvrzením pochybení. Oznámení je podnětem k prověření, nikoli rozsudkem. Povinností pověřené osoby a vedení je nestranně posoudit obsah oznámení a přijmout odpovídající opatření, nikoli hledat viníka za každou cenu.
Whistleblowing je projev profesionální odpovědnosti zaměstnance veřejné správy, který se rozhodne upozornit na riziko, jež by mohlo poškodit obec, město nebo jejich občany.
Whistleblowing není udávání. Je to způsob, jak chránit instituci zevnitř.
Více informací a článků naleznete v E-úřadu a jednotlivých linkách. Jako vždy nám můžete psát vaše nápady či dotazy na nedved@catania.cz. Přeji vám krásný den!