Více než polovina IT projektů firem obsahuje závažné zranitelnosti, ukazuje report Citadelo

Celkem jsme identifikovali 3 293 zranitelností – o 17 % více než v roce 2024. Tato zpráva nabízí pohled na stav kybernetické bezpečnosti tak, jak ho vnímáme my – tým certifikovaných etických hackerů, jejichž cílem je odhalit zranitelnosti dříve, než je zneužijí skuteční útočníci.

             — Gabriel Lachmann, CEO, Citadelo

Obecně platí, že s klesající závažností rizika roste jeho frekvence. V průměru tvořila rizika označená jako „Note“ druhý největší podíl identifikovaných zranitelností, konkrétně 32 %. Ačkoli je jejich odstranění doporučeno, nepředstavují bezprostřední hrozbu pro provoz projektů. Podíl zranitelností s označením „Low“ dosáhl 33 % ze všech identifikovaných zranitelností.

Kritická rizika jsme meziročně zaznamenali s nárůstem o 42 % – představují 6 % všech identifikovaných zranitelností a vyžadují okamžitou nápravu. Počet zranitelností s označením "High" vzrostl o 14 %, zatímco "Medium" rizika zaznamenala nárůst o 44 % v porovnání s rokem 2024.

Klikněte ZDE a stáhněte si celý náš report.

Znepokojujícím signálem je přitom falešný pocit bezpečí v oblasti interní infrastruktury a cloudu – právě tyto kategorie vykazovaly průměrně nejvyšší počet zranitelností na jeden projekt ze všech testovaných typů.

Výrazným trendem je prudký nárůst testování řešení využívajících umělou inteligenci a velké jazykové modely (LLM). Počet takových testů se meziročně zdvojnásobil. Ačkoli AI zásadně mění způsob fungování firem, přináší také nové typy zranitelností – například manipulaci vstupů (prompt injection), únik citlivých dat či nedostatečné řízení přístupů.

Nejčastější rizika podle typu projektu

Z projektů, které jsme testovali, byly jednoznačně nejčastější webové projekty – tvořily 55 % všech projektů. Projekty zaměřené na infrastrukturu jsme zařadili na druhé místo s podílem 17 %. API projekty obsadily třetí místo s 8 %, těsně následované cloudovými projekty a mobilními aplikacemi (6 %).

Web

V současném digitálním prostředí představují webové aplikace nejčastější typ testovaných řešení, přičemž jsme zároveň zaznamenali nejvyšší počet identifikovaných zranitelností v porovnání s ostatními kategoriemi. V tomto segmentu jsme zachytili také druhý nejvyšší podíl zranitelností se střední a vysokou závažností v rámci všech typů projektů. 

Mobilní a desktopové aplikace

S rostoucím trendem mobilních aplikací jsme zaznamenali také zvýšený počet ověřených zranitelností. Vyšší výskyt zranitelností typu "Medium" souvisí zejména s tím, že při analýze mobilních aplikací zkoumáme také klientské vrstvy (APK/AAB a IPA). U desktopových aplikací jsme zaznamenali nárůst o 25 % u kritických zranitelností a až o 66 % u zranitelností s označením "High". 

Red Teaming

Red Teaming je nejkomplexnější a nejvěrnější simulace skutečného kybernetického útoku, kterou testujeme bezpečnost firmy jako celku – nejen systémy, ale také lidi, procesy a fyzické zabezpečení. V roce 2025 jsme v Red Teaming projektech zaznamenali nárůst počtu zranitelností o 33 %, přičemž u kritických zranitelností to bylo až 50 %. 

Infrastruktura

Infrastrukturní projekty představovaly 17 % všech realizovaných projektů. Identifikovali jsme zde nejvyšší počet zranitelností s kritickou a "High" závažností – dokonce více než u webových projektů. Znepokojujícím zjištěním je přitom tzv. falešný pocit bezpečí: organizace považují interní infrastrukturu za bezpečnou jen proto, že není přímo na internetu, a proto ji méně testují. Realita je jiná – až 71 % infrastrukturních projektů obsahovalo kritickou zranitelnost a 42 % cloudových projektů. Obě kategorie přitom vykazovaly průměrně nejvyšší počet zranitelností na jeden projekt.

Cloud

Podobně jako u interní infrastruktury trpí i klienti využívající cloudová prostředí falešným pocitem bezpečí. Mylné přesvědčení, že audity standardně zahrnuté v cloudových službách jsou dostatečné, vedlo v praxi k přehlížení kritických zranitelností, které jsme následně identifikovali až během našeho testování. 

Sociální inženýrství

V roce 2025 jsme testovali čtyřikrát více projektů zaměřených na sociální inženýrství než v předchozím roce – přičemž až 57 % z nich obsahovalo kritickou zranitelnost. Naše data ukazují, že u prvotně testovaných společností dochází k průniku až v 40 % případů. Pravidelné testování a cílené školení zaměstnanců však dokáže tuto míru výrazně snížit. 

             — Tomáš Horváth, Sales Director, Citadelo

Testujeme napříč všemi odvětvími. V roce 2025 patřilo 54 % projektů do finančního sektoru. Druhým největším segmentem byl vývoj softwaru s více než 11 % všech hodnocených projektů. 

Více než 3 293 zranitelností, které jsme identifikovali, odráží aktuální stav kybernetické bezpečnosti a zároveň zdůrazňuje, proč je systematické penetrační testování v roce 2026 důležitější než kdykoli předtím. Ačkoli méně závažné zranitelnosti tvořily většinu nálezů, až 187 kritických zranitelností představovalo potenciál pro závažné bezpečnostní incidenty, pokud by nebyly včas odstraněny. 

Naše data zároveň poukazují na klíčového společného jmenovatele: tam, kde je bezpečnost podceňována, nacházíme konzistentně více zranitelností. Platí to zejména pro interní infrastrukturu a cloudová řešení. Závěr je jednoznačný: bezpečnost nelze podceňovat. 

Chcete vědět, kolik zranitelností se nachází ve vašem systému?