Celkovo sme identifikovali 3 293 zraniteľností – o 17 % viac ako v roku 2024. Tento report ponúka pohľad na stav kybernetickej bezpečnosti tak, ako ho vnímame my – tím certifikovaných etických hackerov, ktorých cieľom je odhaliť zraniteľnosti skôr, než ich zneužijú skutoční útočníci.

             — Gabriel Lachmann, CEO, Citadelo

Vo všeobecnosti platí, že s klesajúcou kritickosťou rizika rastie jeho frekvencia. V priemere tvorili riziká označené ako „Note“ druhý najväčší podiel identifikovaných zraniteľností, konkrétne 32 %. Hoci je ich odstránenie odporúčané, nepredstavujú bezprostrednú hrozbu pre prevádzku projektov. Podiel zraniteľností s označením „Low“ dosiahol 33 % zo všetkých identifikovaných zraniteľností.

Kritické riziká sme medziročne zaznamenali s nárastom o 42 % – predstavujú 6 % všetkých identifikovaných zraniteľností a vyžadujú okamžitú nápravu. Počet zraniteľností s označením "High" vzrástol o 14 %, zatiaľ čo "Medium" riziká zaznamenali nárast o 44 % v porovnaní s rokom 2024.

Najčastejšie riziká podľa typu projektu

Z projektov, ktoré sme testovali, boli jednoznačne najčastejšie webové projekty – tvorili 55 % všetkých projektov. Projekty zamerané na infraštruktúru sme zaradili na druhé miesto s podielom 17 %. API projekty obsadili tretie miesto s 8 %, tesne nasledované cloudovými projektmi a mobilnými aplikáciami (6 %).

Web

V súčasnom digitálnom prostredí predstavujú webové aplikácie najčastejší typ testovaných riešení, pričom sme zároveň zaznamenali najvyšší počet identifikovaných zraniteľností v porovnaní s ostatnými kategóriami. V tomto segmente sme zachytili aj druhý najvyšší podiel zraniteľností so strednou a vysokou závažnosťou v rámci všetkých typov projektov.

Mobilné a desktopové aplikácie

S rastúcim trendom mobilných aplikácií sme zaznamenali aj zvýšený počet overených zraniteľností. Vyšší výskyt zraniteľností typu "Medium" súvisí najmä s tým, že pri analýze mobilných aplikácií skúmame aj klientské vrstvy (APK/AAB a IPA). Pri desktopových aplikáciách sme zaznamenali nárast o 25 % pri kritických zraniteľnostiach a až o 66 % pri zraniteľnostiach s označením "High".

Red Teaming

Red Teaming je najkomplexnejšia a najvernejšia simulácia skutočného kybernetického útoku, ktorou testujeme bezpečnosť firmy ako celku – nielen systémy, ale aj ľudí, procesy a fyzické zabezpečenie. V roku 2025 sme v Red Teaming projektoch zaznamenali nárast počtu zraniteľností o 33 %, pričom pri kritických zraniteľnostiach to bolo až 50 %.

Infraštruktúra

Infraštruktúrne projekty predstavovali 17 % všetkých realizovaných projektov. Identifikovali sme tu najvyšší počet zraniteľností s kritickou a "High" závažnosťou – dokonca viac ako pri webových projektoch. Znepokojujúcim zistením je pritom tzv. falošný pocit bezpečia: organizácie považujú internú infraštruktúru za bezpečnú len preto, že nie je priamo na internete, a preto ju menej testujú. Realita je iná – až 71 % infraštruktúrnych projektov obsahovalo kritickú zraniteľnosť a 42 % cloudových projektov. Obe kategórie zároveň vykazovali v priemere najvyšší počet zraniteľností na jeden projekt.

Cloud

Podobne ako pri internej infraštruktúre, aj klienti využívajúci cloudové prostredia trpia falošným pocitom bezpečia. Mylné presvedčenie, že audity štandardne zahrnuté v cloudových službách sú postačujúce, viedlo v praxi k prehliadaniu kritických zraniteľností, ktoré sme následne identifikovali až počas nášho testovania.

Sociálne inžinierstvo

V roku 2025 sme testovali štvornásobne viac projektov zameraných na sociálne inžinierstvo ako v predchádzajúcom roku – pričom až 57 % z nich obsahovalo kritickú zraniteľnosť. Naše dáta ukazujú, že pri prvotne testovaných spoločnostiach dochádza k prieniku až v 40 % prípadov. Pravidelné testovanie a cielené školenie zamestnancov však dokáže túto mieru výrazne znížiť.

             — Tomáš Horváth, Sales Director, Citadelo

Testujeme naprieč všetkými odvetviami. V roku 2025 patrilo 54 % projektov do finančného sektora. Druhým najväčším segmentom bol vývoj softvéru s viac ako 11 % všetkých hodnotených projektov.

Viac ako 3 293 zraniteľností, ktoré sme identifikovali, odráža aktuálny stav kybernetickej bezpečnosti a zároveň zdôrazňuje, prečo je systematické penetračné testovanie v roku 2026 dôležitejšie než kedykoľvek predtým. Hoci menej závažné zraniteľnosti tvorili väčšinu nálezov, až 187 kritických zraniteľností predstavovalo potenciál pre závažné bezpečnostné incidenty, ak by neboli včas odstránené.

Naše dáta zároveň poukazujú na kľúčový spoločný menovateľ: tam, kde je bezpečnosť podceňovaná, nachádzame konzistentne viac zraniteľností. Platí to najmä pre internú infraštruktúru a cloudové riešenia. Záver je jednoznačný: bezpečnosť nemožno podceňovať.

Chcete vedieť, koľko zraniteľností sa nachádza vo vašom systéme?