Nejmasivnější DDoS útoky v historii i rekordní počet incidentů. Bezpečnostní dohledové centrum T-Mobile shrnuje rok 2025

Praha 12. února 2026

Růst počtu kybernetických hrozeb, rekordní DDoS útoky, ale zároveň rychlejší reakce – takový byl rok 2025 pro Bezpečnostní dohledové centrum společnosti T-Mobile tzv. SOC. Napříč svými firemními zákazníky zpracovalo centrum 38 164 bezpečnostních událostí, což znamená průměrně 104 incidentů denně a meziroční nárůst o 29 %.

Přes nárůst celkového počtu incidentů, které centrum v loňském roce řešilo, klesla průměrná reakční doba napříč všemi událostmi ze 14 na 13 minut a 25 sekund. Nejvýraznější pokrok pak eviduje právě u kritických incidentů typu Distributed Denial of Service (DDoS). „V roce 2025 jsme čelili výraznému nárůstu objemu i komplexity DDoS útoků. Přes rekordní zátěž se nám ale dařilo dále zrychlovat naše reakční časy a díky skvělé práci celého týmu jsme u DDoS útoků reagovali v průměru za 5 minut a 2 vteřiny oproti 6,5 minutám v roce 2024,“ uvedl Zdeněk Grmela, ředitel pro oblast kyberbezpečnosti divize pro firemní zákazníky společnosti T-Mobile.

Aktivitu kybernetických útočníků ukazují také pravidelné měsíční a čtvrtletní přehledy Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ty v některých obdobích loňského roku uváděly nárůst incidentů v různých kategoriích, zejména v oblasti ransomwarových a DDoS útoků.

Masivní DDoS útoky: historické maximum překonáno třikrát

Přestože evidence NÚKIB meziročně zaznamenala pokles počtu DDoS útoků, statistiky SOCu společnosti T-Mobile ukazují, že se stále zvyšuje jejich intenzita. Rok 2025 tak v rámci SOCu přinesl její enormní nárůst. Zatímco v předchozím roce zaznamenalo centrum největší DDoS útok o intenzitě 360 Gbps, v roce 2025 byla tato hranice překonána hned ve třech případech.

„V polovině roku jsme zachytili dosud nejmasivnější DDoS útoky, které cílily na našeho zákazníka z finančního sektoru. Ty se opakovaly ve vlnách o intenzitě 550, 625 a až rekordních 700 Gbps. V tomto případě se tak jednalo o volumetrický útok, tzv. UDP flood. Během něj útočník zahlcuje server nebo síť tisíci až miliony zpráv (tzv. UDP paketů) za sekundu. To způsobí celkové přetížení sítě nebo i koncových systémů – služby zpomalí nebo se zcela zastaví a uživatelé k nim nemohou přistupovat. Kvůli velikosti těchto útoků naši analytici použili na obranu mimo jiné speciální protiopatření pomocí technologie flowspec,“ popisuje Martin Štalmach, vedoucí Bezpečnostního dohledového centra společnosti T-Mobile. To mimo jiné potvrzuje i globální trend, kdy útočníci častěji sahají po masivnějších a technicky komplexnějších metodách než v minulosti.

Prostřednictvím ochrany koncových zařízení a uživatelů XDR chrání SOC desítky tisíc koncových zařízení a uživatelů a v roce 2025 detekovalo více jak 60 % případů s pokusy o zneužití zranitelností v dohlížených systémech. „V tomto ohledu pro nás má velký význam tzv. Threat Intelligence, neboli znalosti taktik útočníků, která je postavena na detekčních scénářích a umožňuje nám incidenty zachycovat dřív, než způsobí vážnější škody. Jedná se o znalost technik a procedur, které jsou útočníky využívány. Přes 20 % útoků bylo zachyceno díky strojovému učení a AI. Jde o meziroční pokles, což může naznačovat změnu v nejpoužívanějších typech útoků, zároveň to však dále potvrzuje význam Threat Intelligence,“ vysvětluje Štalmach.

SIEM: rychlejší prvotní analýza při rostoucí zátěži

Bezpečnostní dohledové centrum T-Mobile se zaměřuje na tři klíčové oblasti: ochranu sítí a infrastruktury (včetně DDoS), ochranu koncových zařízení a uživatelů (XDR) a komplexní monitoring IT prostředí (SIEM). U monitoringu IT prostředí (SIEM) provedli experti SOC úvodní analýzu a informovali zákazníky v průměru za 28 minut a 58 sekund, což udržuje rychlou schopnost SOC reagovat i při rostoucí zátěži. Jedná se mimo jiné o jeden z požadavků platné legislativy NIS2 na rychlé hlášení incidentů a řízení rizik v dodavatelských řetězcích.