Hybridní války: Propojení dronů, kyberútoků a dezinformací

Hybridní hrozby už nejsou vzdálenou budoucností, ale realitou postihující české firmy i státní instituce. Kombinují drony, kybernetické útoky a dezinformace do ekosystému, který cílí na zranitelná místa vaší infrastruktury. Pokud čelíte poklesu důvěry, incidentům nebo útokům na Vaše systémy, musíte znát právní kroky k minimalizaci rizik a vyhnutí se vysokým sankcím.

Rychlé shrnutí

• Hybridní hrozby kombinují vojenské i nevojenské prostředky od dronů a kyberútoků přes dezinformační kampaně až po ekonomický tlak.
• Česká legislativa se přizpůsobuje prostřednictvím novely zákona o kybernetické bezpečnosti a zákona o ochraně kritické infrastruktury.
• Právníci ARROWS advokátní kancelář mají zkušenosti s řešením bezpečnostních incidentů, compliance dle norem ISO a NIS2 a nastavením obranných strategií.

Co jsou hybridní hrozby a proč ohrožují Váš podnik

Hybridní hrozby nejsou ničím novým, jejich kořeny sahají daleko do minulosti. V dnešní digitální a propojené době však nabývají nových rozměrů a devastující síly. Definujme si jasně, že hybridní hrozba je výsledkem propojení a konvergence různých prvků, které samostatně nemusí představovat bezprostřední ohrožení, ale jejich souhra vytváří komplexnější situaci.

Co to v praxi znamená pro vaši firmu? Není to jen jeden útok, jeden incident nebo jeden problém. Je to koordinovaná operace, kterou mohou provádět státní aktéři či jimi podporované skupiny, a která cíleně využívá slabá místa vaší společnosti. Typicky se jedná o kombinaci několika nástrojů, od fyzických akcí přes digitální infiltraci až po psychologickou manipulaci veřejnosti.

Úkolem hybridní kampaně je využít vaše slabiny, maskovat se sledováním zdánlivě legitimních cílů, znemožnit jasnou identifikaci původce a destabilizovat vaše rozhodovací procesy. Útočník se bude snažit udržovat své aktivity pod prahem otevřeného ozbrojeného konfliktu, ale přitom způsobit vám skutečnou a hmatatelnou škodu.

MicroFAQ: Základy hybridních hrozeb

1. Kdo jsou původci hybridních hrozeb?
Státní aktéři (často spojováni s Ruskem, Čínou či Íránem), nestátní skupiny, polovojenské organizace a v některých případech i kriminální sítě spolupracující se státní mocí. Právníci z ARROWS advokátní kanceláře mají zkušenosti s řešením dopadů těchto útoků a právním zajištěním důkazů.

2. Jak se hybridní hrozby liší od tradičních útoků?
Hybridní hrozby jsou komplexní, protože propojují více domén najednou (informační, fyzickou, kybernetickou, ekonomickou), což znesnadňuje jejich identifikaci a právní postihy. Právníci ARROWS se těmito komplexními případy zabývají a umí analyzovat právní odpovědnost jednotlivých aktérů.

3. Jaké jsou hlavní cíle hybridních hrozeb?
Destabilizovat státní instituce, oslabit ekonomiku, polarizovat společnost, ovlivnit volby a získat kontrolu nad kritickou infrastrukturou. Váš podnik může být cílem, pokud má strategický význam, pracuje s citlivými daty nebo je dodavatelem státu.

Drony jako součást hybridního arzenálu

Bezpilotní letecké prostředky, neboli drony, se staly klíčovou součástí moderního hybridního arzenálu. Nejde jen o vojenské drony, ale o spektrum zařízení od malých informačních sběrných platforem až po systémy schopné nést náklad. Mohou být využity k přenosu dat, sledování infrastruktury, fotografování citlivých objektů nebo k narušení provozu.

Pro váš podnik to znamená několik praktických rizik. Zaprvé, drony mohou monitorovat vaše objekty, sklady nebo továrny bez vašeho vědomí a sbírat informace zneužitelné konkurencí. Zadruhé, drony mohou být nasazeny k narušení kritické infrastruktury nebo logistických procesů.

Kybernetické útoky na drony a jejich zneužití jsou realita. Existují případy, kdy útočníci prostřednictvím manipulace signálu nebo rušení narušují provoz dronů. Dron, který operuje v blízkosti vaší infrastruktury, tak může představovat bezpečnostní i právní riziko.

Jak drony ohrožují vaši bezpečnost

Drony vybavené moderními senzory mohou mapovat areály průmyslových objektů, energetických uzlů nebo datových center. To není teoretické riziko, monitorování strategických cílů pomocí dronů je běžnou praxí v rámci přípravy na komplexnější útoky.

Pro podnikatele to znamená, že pokud provozujete kritickou infrastrukturu, je riziko značné. Informace získané dronem mohou sloužit k přesnému zacílení kybernetického útoku nebo fyzické sabotáže.

Právní odpovědnost za provoz a incidenty s drony

Pokud váš podnik operuje s drony, podléháte přísné regulaci ze strany Úřadu pro civilní letectví (ÚCL) a evropské legislativy. Pokud jste navíc subjektem spadajícím pod regulaci kybernetické bezpečnosti, vztahují se na vás i povinnosti v oblasti zabezpečení informačních systémů spojených s provozem těchto prostředků.

V případě, že je váš dron hacknut a způsobí škodu třetí straně, můžete čelit odpovědnosti za škodu z provozu dopravních prostředků podle § 2927 občanského zákoníku. V takové situaci je klíčové prokázat, že jste nezanedbali žádnou z preventivních povinností a že škoda vznikla zásahem vyšší moci nebo třetí osoby, kterému nešlo zabránit.

V případě subjektů kritické infrastruktury může nedostatečné zabezpečení systémů vést k sankcím ze strany NÚKIB. Tyto sankce se mohou pohybovat v řádech milionů korun a vést k odpovědnosti statutárních orgánů za porušení péče řádného hospodáře dle § 159 občanského zákoníku.

MicroFAQ: Drony a právní povinnosti

1. Co musím udělat pro legální provoz firemních dronů?
Registrovat se jako provozovatel u ÚCL, zajistit, aby piloti měli příslušné kompetence (zkoušky), a dodržovat pravidla pro konkrétní kategorii provozu (Open, Specific). Pokud jste regulovaný subjekt dle ZKB, musíte zabezpečit i IT infrastrukturu ovládající drony.

2. Kdo odpovídá za škodu, kterou způsobí dron?
Primárně provozovatel dronu na principu objektivní odpovědnosti. To znamená, že odpovídáte i bez zavinění (s určitými výjimkami). ARROWS advokátní kancelář vám poskytne právní analýzu a zastoupení v případě sporu.

3. Jaké sankce hrozí za porušení pravidel?
ÚCL může udělit pokuty v řádech desítek až stovek tisíc korun za porušení leteckých předpisů. Pokud jde o kybernetický incident u regulovaného subjektu, sankce dle zákona o kybernetické bezpečnosti mohou být výrazně vyšší.

Kybernetické útoky – cílená infiltrace a sabotáž

Kybernetické útoky jsou mozkem hybridních hrozeb. Zatímco drony mohou sbírat fyzické informace a dezinformace ovlivňují vnímání, kybernetické útoky infiltrují vaše systémy, kradou data a paralyzují provoz.

Spektrum kybernetických útoků v kontextu hybridních hrozeb je velmi obsáhlé. Zahrnuje ransomware šifrující data, spear-phishing cílený na klíčové zaměstnance i sofistikované APT útoky přetrvávající v systémech dlouhodobě.

Státní aktéři často využívají kybernetické operace k průmyslové špionáži a destabilizaci. Nejde jen o krádež peněz, cílem může být získání duševního vlastnictví, osobních údajů klientů nebo příprava na sabotáž v případě eskalace konfliktu.

Jak probíhá typický kybernetický útok

V praxi útočníci nejprve provádějí průzkum, kdy mapují vaši síť a zaměstnance. Následuje průnik, často přes phishingový e-mail nebo zranitelnost v softwaru. Jakmile jsou uvnitř, snaží se získat vyšší oprávnění a pohybovat se sítí, aby dosáhli cenných dat nebo kontrolních systémů.

V kontextu hybridní války může dojít k úniku citlivých dat, která jsou následně v upravené formě použita v dezinformační kampani. Cílem takové operace je poškodit reputaci firmy nebo jejích manažerů.

Propojení kybernetických útoků s fyzickými dopady

Zvláště nebezpečné je propojení kybernetických útoků na provozní technologie s fyzickým světem. Útok na řídicí systémy výroby, energetiky nebo logistiky může způsobit zastavení produkce, poškození strojů nebo výpadky dodávek.

Pro váš podnik to znamená, že kybernetická bezpečnost není jen otázkou IT oddělení, ale otázkou přežití firmy a právní odpovědnosti vedení. Pokud jste součástí dodavatelského řetězce pro kritickou infrastrukturu, jste potenciálním terčem i vy.

MicroFAQ: Kybernetické útoky a ochrana

1. Jak vím, že jsem pod útokem?
Indikátory mohou být různé: neobvyklá síťová aktivita, nemožnost přístupu k datům, zpomalení systémů, podezřelé přihlášení. Regulované subjekty mají povinnost hlásit incidenty NÚKIB. Právníci ARROWS vám pomohou s vyhodnocením, zda máte ohlašovací povinnost dle § 8 ZKB.

2. Jaké právní povinnosti mám po kybernetickém incidentu?
Musíte aktivovat incident response plán, minimalizovat škody, zajistit důkazy a splnit ohlašovací povinnosti vůči NÚKIB (pokud spadáte pod zákon) a ÚOOÚ (pokud unikla osobní data - GDPR). ARROWS advokátní kancelář zajistí právní podporu v krizové situaci.

3. Co hrozí, pokud incident nenahlásím?
Pokud podléháte regulaci (např. NIS2/ZKB) a incident nenahlásíte, hrozí vysoké správní pokuty. Statutární orgány navíc riskují odpovědnost za škodu způsobenou společnosti porušením právních povinností.

Dezinformace a mediální manipulace

Třetí pilíř hybridních hrozeb jsou dezinformace a mediální manipulace. Zatímco kyberútoky cílí na stroje a data, dezinformace útočí na důvěru klientů, partnerů a zaměstnanců.

Co je dezinformace? Je to vědomě šířená nepravdivá informace s cílem klamat. V obchodním styku může jít o falešné zprávy o krachu firmy, o kvalitě výrobků, nebo o politických postojích vedení.

Jak funguje dezinformační kampaň proti firmě

Útočník může vytvořit falešné webové stránky napodobující vaši firmu, šířit manipulovaná videa s vaším CEO, nebo zaplavit sociální sítě negativními recenzemi od falešných profilů. Cílem je poškodit dobré jméno, srazit hodnotu akcií nebo odradit zákazníky.

V hybridním konfliktu se dezinformace používají k vyvolání chaosu a nedůvěry v instituce. Pokud vaše firma spolupracuje se státem na strategických projektech, můžete se stát cílem kampaně, která má tento projekt zdiskreditovat.

Technologie jako zbraň v dezinformační válce

Umělá inteligence a deepfakes výrazně zvyšují nebezpečí. Pomocí AI lze vytvořit věrohodnou audio nahrávku, kde váš finanční ředitel "autorizuje" podvodnou platbu, nebo video, kde statutární orgán pronáší kontroverzní výroky.

MicroFAQ: Dezinformace a právní ochrana

1. Jak se právně bránit dezinformacím?
Lze využít institut ochrany pověsti právnické osoby dle § 135 občanského zákoníku, předběžná opatření soudu, žaloby na zdržení se jednání a náhradu škody. V závažných případech může jít o trestný čin pomluvy (§ 184 TZ) nebo šíření poplašné zprávy (§ 357 TZ). ARROWS advokátní kancelář umí efektivně uplatňovat tyto nástroje.

2. Kdo odpovídá za dezinformace na sociálních sítích?
Odpovědnost nese primárně autor příspěvku. Platformy mají povinnosti dané např. nařízením o digitálních službách (DSA), pokud jde o nelegální obsah. Právníci ARROWS vám pomohou s nahlášením a vymáháním odstranění obsahu.

3. Jaké sankce hrozí pachatelům?
Kromě povinnosti nahradit škodu a nemajetkovou újmu v penězích hrozí v trestněprávní rovině i odnětí svobody (např. u pomluvy či vydírání).

Právní rámec a vaše povinnosti

Česká republika reaguje na hybridní hrozby legislativou, která je z velké části harmonizována s předpisy EU. Pochopení těchto norem je klíčové pro compliance a předcházení sankcím.

Nový zákon o kybernetické bezpečnosti

Česká republika připravuje nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2. Tento zákon výrazně rozšiřuje okruh povinných subjektů, takže pokud spadáte do regulovaných odvětví, budete muset plnit přísné požadavky.

To zahrnuje povinnost zavést bezpečnostní opatření, provádět analýzu rizik, hlásit incidenty a zejména řídit bezpečnost ve svém dodavatelském řetězci. Sankce za nedodržení se u nejdůležitějších subjektů mohou vyšplhat do vysokých částek z celkového obratu.

Zákon o odolnosti kritických subjektů

Souběžně se připravuje legislativa implementující směrnici CER. Ta se zaměřuje na fyzickou odolnost kritické infrastruktury vůči hrozbám, jako jsou přírodní katastrofy nebo teroristické útoky, přičemž subjekty budou muset provádět hodnocení rizik a přijímat opatření.

Trestní odpovědnost a vlivové působení

Ačkoliv český trestní zákoník nezná trestný čin "hybridní útok", jednání s ním spojená jsou postižitelná skrze skutkové podstaty jako vyzvědačství (§ 316 TZ), ohrožení utajované informace (§ 317 TZ) či sabotáž (§ 314 TZ).

Povinnost hlášení incidentů

Klíčovou povinností regulovaných subjektů je hlášení kybernetických bezpečnostních incidentů NÚKIB. Podle režimu NIS2 budou existovat přísné lhůty, například takzvané včasné varování do 24 hodin od zjištění významného incidentu.

Rizika a sankce	Jak pomáhá ARROWS (office@arws.cz)
Absence bezpečnostních opatření (NIS2): Pokuta v řádech milionů eur nebo procent z obratu, plus osobní odpovědnost statutárního orgánu.	Právní audit a compliance : Právníci z ARROWS provedou audit vaší připravenosti na novou legislativu, určí, zda spadáte pod regulaci, a připraví compliance dokumentaci.
Nenahlášení incidentu : Vysoké správní pokuty a riziko porušení péče řádného hospodáře v případě vzniku škody.	Zastoupení při hlášení incidentu : ARROWS advokátní kancelář vás provede procesem hlášení incidentu NÚKIB a bude vás zastupovat v případném správním řízení.
Rizikový dodavatelský řetězec : Odpovědnost za výběr dodavatele, který nezajistí bezpečnost dat, může vést k sankcím i náhradě škody.	Smluvní ošetření dodavatelů : ARROWS vám pomůže nastavit smlouvy s IT dodavateli tak, aby reflektovaly požadavky na kybernetickou bezpečnost a SLA.
Poškození dobrého jména dezinformací : Ztráta tržeb a důvěry klientů.	Obrana pověsti : Právníci ARROWS umí uplatnit nároky na odstranění obsahu, omluvu a přiměřené zadostiučinění soudní cestou.

Jak se bránit a co podnikat

Vědomí rizik je první krok, ale následovat musí konkrétní opatření. Zde je právní a manažerské minimum, které by měla každá společnost zvážit.

1. Fáze: Zmapování a hodnocení rizik

Musíte vědět, jaká data a systémy jsou pro vás klíčová a jaké právní povinnosti na vás dopadají. Spadáte pod NIS2, zpracováváte citlivá osobní data nebo jste součástí kritické infrastruktury?

Právníci z ARROWS advokátní kanceláře vám pomohou s GAP analýzou, tedy porovnáním současného stavu s požadavky legislativy.

2. Fáze: Interní předpisy a smluvní dokumentace

Bezpečnost musí být zakotvena v interních směrnicích, které jsou pro zaměstnance závazné. Důležité je také revidovat smlouvy s dodavateli a zahrnout do nich bezpečnostní doložky, právo na audit a odpovědnost za únik dat.

3. Fáze: Školení zaměstnanců

Lidský faktor je nejčastějším vektorem útoků, zejména prostřednictvím phishingu. Zaměstnanci musí být prokazatelně proškoleni o bezpečnosti a o tom, jak rozpoznat dezinformace nebo pokusy o sociální inženýrství.

Právníci ARROWS advokátní kanceláře připravují školení zaměřená na právní aspekty bezpečnosti a odpovědnost zaměstnanců.

4. Fáze: Incident response plán

Mějte připravený scénář pro případ útoku, který jasně stanoví, kdo rozhoduje a kdy se hlásí incident úřadům. Plán musí být funkční a otestovaný, protože časová tíseň při reálném útoku neumožňuje improvizaci.

5. Fáze: Řízení dodavatelů

Nový zákon o kybernetické bezpečnosti klade důraz na bezpečnost dodavatelského řetězce. Prověřujte své dodavatele, žádejte certifikace a smluvně si zajistěte garance bezpečnosti.

MicroFAQ: Řízení bezpečnosti dodavatelů

1. Jak ošetřit bezpečnost ve smlouvě?
Zakotvěte povinnost dodržovat bezpečnostní standardy, hlásit vám incidenty bezodkladně a umožnit vám provést audit jejich bezpečnosti. ARROWS vám připraví vzorové doložky.

2. Jak často dodavatele kontrolovat?
Doporučuje se pravidelná revize (např. ročně) nebo při změně služeb. U kritických dodavatelů je dohled nutný kontinuálně.

Příklady z praxe v České republice

Pro ilustraci závažnosti situace uvádíme typové příklady, které vycházejí z reálných hrozeb v evropském kontextu.

Případ 1: Útok na zdravotnické zařízení

Nemocnice čelí kybernetickému útoku, který zašifruje data pacientů, a útočníci požadují výkupné, což vede k omezení péče. Právní dopad zahrnuje povinnost hlásit incident NÚKIB a ÚOOÚ, riziko pokut za nezabezpečení dat a žaloby pacientů na náhradu škody. ARROWS v takových případech pomáhá s krizovou komunikací a minimalizací právních škod.

Případ 2: Deepfake CEO a finanční podvod

Zaměstnanec účtárny obdrží videohovor od "generálního ředitele" (deepfake), který nařídí okamžitý převod peněz na zahraniční účet. Právní dopad zahrnuje snahu o reklamaci platby u banky, trestní oznámení pro podvod a řešení pracovněprávní odpovědnosti zaměstnance versus nedostatečné proškolení ze strany firmy.

Případ 3: Dezinformace během volebního období

V období voleb se šíří dezinformace o tom, že určitá technologická firma manipuluje s daty ve prospěch jedné strany, což vede k poklesu akcií. Právní dopad vyžaduje rychlou reakci, předžalobní výzvy vydavatelům dezinformací a komunikaci s platformami pro odstranění obsahu.

Závěrem

Hybridní hrozby již nejsou teorií – jsou realitou, která postihuje českou ekonomiku i veřejnou sféru. Kombinace technických útoků a manipulace s informacemi vytváří toxické prostředí, ve kterém přežijí jen připravení.

Pokud jste statutární orgán, manažer nebo vlastník firmy, musíte si uvědomit, že kybernetická bezpečnost je vaší zákonnou povinností. Zanedbání těchto povinností může vést nejen k finančním ztrátám, ale i k likvidačním pokutám a osobní odpovědnosti vedení.

Nová legislativa NIS2 a CER přináší přísnější pravidla a implementace bezpečnostních opatření trvá měsíce. Nečekejte, až vejdou v plnou účinnost, ale začněte jednat hned.

Právníci z ARROWS advokátní kanceláře mají zkušenosti s řešením krizových situací, compliance i zastupováním před úřady. Spravujeme právní agendu pro stovky společností a disponujeme pojištěním odpovědnosti v řádech stovek milionů korun.

Chcete-li připravit svou firmu na hybridní hrozby a splnit legislativní požadavky, kontaktujte nás. Napište na office@arws.cz a domluvte si konzultaci. Prevence je vždy levnější než řešení následků útoku.

FAQ – Nejčastější právní dotazy

1. Vztahuje se na mě nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti?
Záleží na velikosti vašeho podniku a odvětví. Pokud poskytujete tzv. regulovanou službu (energetika, doprava, zdravotnictví, voda, digitální služby, odpadové hospodářství, výroba, aj.) a jste střední nebo velký podnik (nad 50 zaměstnanců nebo obrat nad 10 mil. EUR), pravděpodobně ano. V určitých případech spadají pod regulaci i menší subjekty. Pro přesné posouzení nás kontaktujte na office@arws.cz.

2. Jaký je rozdíl mezi misinformací a dezinformací z právního hlediska?
Misinformace je nepravdivá informace šířená bez úmyslu škodit (omyl). Dezinformace je prokazatelně nepravdivá informace šířená s úmyslem klamat nebo škodit. Právo postihuje primárně úmyslné jednání, které zasahuje do práv druhých (pomluva, nekalá soutěž) nebo veřejného zájmu.

3. Jaké kroky mám podniknout, když zjistím kybernetický útok?
Izolujte zasažené systémy, ale nevypínejte je, pokud to není nutné (kvůli důkazům). Kontaktujte IT specialisty a právníka. Posuďte, zda máte povinnost hlásit incident NÚKIB (do 24h u včasného varování) nebo ÚOOÚ (do 72h). ARROWS advokátní kancelář vám pomůže s krizovým řízením.

4. Odpovídám jako jednatel za kybernetický útok na mou firmu?
Neodpovídáte za útok samotný (pokud jste ho nezpůsobil), ale odpovídáte za to, zda jste zajistil adekvátní preventivní opatření a zda jste na útok správně reagoval. Pokud jste bezpečnost zanedbal (porušení péče řádného hospodáře), můžete odpovídat za vzniklou škodu celým svým majetkem.

5. Jak se mohu bránit dezinformacím o mé firmě?
Monitoring médií je základ. Právní kroky zahrnují žádost o odstranění obsahu, uplatnění práva na odpověď, předžalobní výzvy, a žaloby na ochranu pověsti či náhradu škody. Vhodná je kombinace právních kroků a PR krizové komunikace.

6. Je pojištění kybernetických rizik povinné?
Ze zákona povinné není, ale je vysoce doporučené jako součást risk managementu. Kryje náklady na obnovu dat, právní zastoupení, forenzní experty i škody způsobené třetím stranám. Právníci ARROWS vám pomohou zkontrolovat pojistné podmínky, aby kryly reálná rizika.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.