Podľa štúdie publikovanej v máji 2025 na portáli arXiv.org približne 32 % všetkých úspešných kybernetických útokov využíva slabiny v softvéri, ktorý nebol aktualizovaný. Výskum analyzoval reálne incidenty v rokoch 2021 – 2024 a zameral sa na to, ako často sú príčinou útokov práve nepatchované (neopravované) aplikácie alebo operačné systémy.
Tento údaj jasne ukazuje, že problém nie je len v sofistikovaných hackerských technikách, ale aj v zanedbanej údržbe softvéru. Inými slovami – najväčšou slabinou počítača býva často samotný používateľ, ktorý odkladá aktualizácie.
Prečo je neaktualizovaný softvér rizikom
Každý softvér má chyby. Niektoré z nich sú neškodné, iné predstavujú vážne bezpečnostné diery. Software niekedy nevzniká s chybami, ale útočníci vonku hľadajú diery a nedostatočne pevné steny, cez ktoré by sa prevŕtali. V takom prípade sa nájdu chyby neskôr a teda sa aj neskôr zistí, že nejaké chyby existujú. Vývojári pravidelne vydávajú záplaty (patches), ktoré tieto diery uzatvárajú. Ak používateľ neaktualizuje, necháva svoj systém otvorený.
Útočníci tieto chyby nielenže poznajú, ale aj cielene vyhľadávajú. Pre neaktuálny softvér existujú verejne dostupné databázy zraniteľností (napr. CVE – Common Vulnerabilities and Exposures), takže hackeri presne vedia, čo a kde môžu využiť. Najznámejšie databázy zraniteľností softvéru zhromažďujú a sprístupňujú chyby označené unikátnym identifikátorom CVE (Common Vulnerabilities and Exposures).
Databázy zraniteľností
Najväčšia z nich, NVD (National Vulnerability Database), ktorú prevádzkuje americký NIST, poskytuje podrobnosti o chybách aj ich hodnotenie podľa závažnosti (CVSS skóre). Organizácia MITRE spravuje samotný systém prideľovania CVE a jej register slúži ako oficiálny zdroj všetkých záznamov. Pre odborníkov aj útočníkov je populárna Exploit Database, ktorá okrem popisu chýb obsahuje aj funkčné ukážky exploitov. Tieto databázy sú verejné, a preto je neaktuálny softvér obzvlášť rizikový – útočník presne vie, kde hľadať slabinu.
Sú to napríklad: nvd.nist.gov, cve.mitre.org, exploit-db.com a iné
Najčastejšie ciele útokov
- Operačné systémy – Windows, macOS či Linux distribúcie, ktoré bežia bez bezpečnostných aktualizácií.
- Webové prehliadače – Chrome, Edge, Firefox; cez zraniteľné prehliadače sa útočníci často dostanú k heslám a dátam.
- Office balíky a PDF čítačky – staré verzie MS Office či Adobe Readeru sú častým cieľom phishingu a škodlivých makier.
- Firmvér a ovládače – sieťové karty, routery a zariadenia IoT, ktoré bežia na starom firmvéri, predstavujú bránu pre útoky. Ešte aj obyčajná neaktualizovaná tlačiareň je rizikom.
- Firemné aplikácie – najmä účtovné a CRM systémy, ktoré bývajú zanedbané z dôvodu kompatibility alebo nákladov.
Ako problém riešiť v praxi
- Automatické aktualizácie – Zapnite si automatické aktualizácie vo Windows, prehliadačoch a ďalších aplikáciách. Väčšina softvéru už dnes ponúka možnosť aktualizovať sa bez zásahu používateľa.
- Pravidelná kontrola softvéru – Minimálne raz mesačne si skontrolujte, či váš softvér má aktuálnu verziu. Pomôcť môžu nástroje ako Patch My PC alebo Ninite.
- Firemné prostredie = patch management – V podnikoch je nevyhnutné nasadiť systém správy záplat (patch management), ktorý sleduje stav aktualizácií na všetkých počítačoch.
- Zálohovanie dát – Aj pri dodržiavaní aktualizácií existuje riziko. Zálohy (externý disk, cloud) chránia pred stratou dát v prípade ransomvéru.
- Odstránenie starého softvéru – Programy, ktoré už nepoužívate, predstavujú riziko. Ak sa neaktualizujú, môžu byť vstupnou bránou pre útočníka.
- Sledovanie bezpečnostných správ – Weby ako BleepingComputer alebo oficiálne bulletiny Microsoftu a Apple pravidelne zverejňujú varovania o kritických zraniteľnostiach.
Prečo ľudia odkladajú aktualizácie
Častým dôvodom je obava, že aktualizácia niečo pokazí, spomalí systém alebo zmení nastavenia. Ak taká skúsenosť bola, je ťažké dôverovať každej neskoršej. Používatelia tiež odkladajú reštarty, ktoré sú pri aktualizáciách nutné. Paradoxne tým však riskujú omnoho väčšie problémy – od straty súkromných údajov až po zablokovanie počítača ransomvérom. Je tu aj iný problém. Aktualizácia môže vyžadovať priestor na disku, ktorý však zariadenie nemá. Najmä pri malom disku a neschopnosti používateľa problém riešiť.
Samostatná kategória sú služobné počítače. Mnohé firmy zamestnancom blokujú absolútne všetko, čo by mohlo pozmeniť konfiguráciu počítača. Zamestnanci tak dlhodobo držia aplikácie neaktualizované, pretože si to žiada prístup administrátora, aby update povolil. Nie je tak možné využívať napríklad možnosť dočasného prístupu len pre tento účel, ale je nutné privolať vzdialenú podporu, alebo žiadať osobne.
