Než spustíte kampaň: cíle, rozsah a právní základ
Phishing je pořád nejčastější způsob, jak průnik do firmy začíná. Zpráva ENISA Threat Landscape 2025 připisuje phishingu jako počátečnímu vektoru zhruba 60 % analyzovaných průniků - s velkým odstupem před zneužíváním zranitelností. Český obrázek není o nic veselejší: podle statistik Policie ČR tvořila trestná činnost v kyberprostoru v roce 2025 už 12,4 % veškeré kriminality (21 137 skutků) a phishing patří k jejím nejčastějším technikám. Phishingová simulace je způsob, jak si bezpečně a za vlastních podmínek ověřit, co se stane, když takový e-mail dorazí k vašim lidem.
Než sáhnete po šabloně, rozhodněte, k čemu kampaň slouží. První simulace mívá jeden ze tří cílů: změřit výchozí míru prokliku, získat podklady pro audit nebo dotazník pojišťovny, anebo spustit cílené školení. Cíl si zapište - určuje, koho budete testovat, jak obtížná má být šablona a co budete následně reportovat.
Po právní stránce je evropská praxe ustálená: právním základem zpracování podle GDPR je oprávněný zájem zaměstnavatele, nikoli souhlas zaměstnanců - kdo by žádal o svolení před každou kampaní, znehodnotil by test. Zpracujte s pověřencem pro ochranu osobních údajů balanční test, v bezpečnostní směrnici uveďte, že simulované phishingové kampaně probíhají (bez konkrétních termínů), a tam, kde působí odbory či jiní zástupci zaměstnanců, je zapojte. Právní přípravu detailně rozebíráme v návodu na phishingový test zaměstnanců.
Krok 1: Stanovte výchozí úroveň - koho testovat, kdy a jak obtížně
První kampaň je měření, ne školení. Podle toho k ní přistupujte a držte proměnné pod kontrolou, aby se s ní daly všechny pozdější kampaně porovnávat.
- Vyexportujte úplný seznam příjemců z adresáře (Active Directory, Entra ID) - všechny s firemní schránkou včetně vedení, zkrácených úvazků a externistů. Ručně vybraný vzorek vyprodukuje lichotivou, ale bezcennou výchozí hodnotu.
- Zvolte běžný pracovní týden. Vyhněte se účetní závěrce, státním svátkům i týdnu celofiremní porady.
- Vyberte jednu šablonu lehké až střední obtížnosti se dvěma třemi odhalitelnými varovnými signály - dobře funguje obecné oznámení o zásilce nebo expirace hesla.
- Rozesílku rozložte do celého dopoledne, místo abyste všem poslali e-mail v 9:00 - to působí uměle a spustí jednu vlnu šeptandy.
- Vše si zaznamenejte: šablonu, obtížnost, okno rozesílky, publikum. Při příštím měření výchozí úrovně tato nastavení použijete znovu.
Nejčastější chybou první kampaně je příliš těžký start. Dokonalá kopie vašeho HR portálu oznamující úpravu mezd nachytá velkou část jakékoli firmy včetně bezpečnostního týmu. Takový výsledek dokazuje jen to, že dobře postavený spear phishing funguje - což jste věděli i předtím. Začněte snáz a těžké scénáře si nechte na další kampaně.
A nevyjímejte management. Vedení a finanční oddělení jsou přesně ti, na které skuteční útočníci míří, a jejich vynechání všem ostatním signalizuje, že program je jen divadlo.
Krok 2: Vyberte scénáře podle skutečných útoků v Česku
Realističnost scénáře porazí kreativitu. Návnady, které dominují skutečnému útočnému provozu v Česku, jsou všední: zprávy o nedoručené zásilce nebo doplatku zneužívající značky České pošty a Zásilkovny, vlny phishingových e-mailů, před nimiž varuje NÚKIB, upozornění na přihlášení do Microsoft 365, dodavatelské faktury a notifikace o sdíleném dokumentu. Simulace má vypadat jako to, čemu zaměstnanci skutečně čelí - a v jazyce, ve kterém pracují. Útočníci dnes píší plynnou češtinou, takže kostrbatá anglická šablona v české kanceláři nic neotestuje.
| Návnada | Záminka | Obtížnost |
|---|---|---|
| Doručení zásilky | Nedoručená zásilka nebo drobný celní doplatek jménem České pošty či Zásilkovny s odkazem na falešnou stránku pro sledování zásilky | Lehká–střední |
| Přihlášení do Microsoft 365 / Google | Expirace hesla, upozornění na neobvyklé přihlášení nebo plná schránka s odkazem na zkopírovanou přihlašovací stránku | Střední |
| Faktura / dodavatel | Neuhrazená faktura nebo oznámení o změně bankovního účtu od známého dodavatele | Střední–těžká |
| Interní IT nebo HR | Aktualizace VPN, změna ve mzdové agendě nebo zápis benefitů jménem vlastních oddělení | Těžká |
Jak vybrat šablony phishingových e-mailů pro simulaci
Dobré šablony phishingových e-mailů pro simulaci mají tři společné rysy: odesílatele věrohodného pro vaše prostředí, právě jednu výzvu k akci a varovné signály, které pozorný zaměstnanec reálně dokáže najít - doménu napodobující tu pravou, obecné oslovení, odkaz mířící jinam, než tvrdí text. Pro kalibraci si projděte naši galerii příkladů phishingových e-mailů. Vyhněte se citově vyděračským záminkám typu falešné výpovědi nebo falešné odměny: vyvolají eskalace na HR a zatrpklost, ne ostražitost.
Krok 3: Allowlisting v Microsoft 365 a Google Workspace
Allowlisting - povolení výjimek pro domény simulace - je krok, který se nejčastěji přeskakuje, a právě proto tolik prvních kampaní vyprodukuje nepoužitelná data. Měříte lidi, ne spamový filtr. Bez výjimky Microsoft Defender nebo Gmail část zpráv zadrží v karanténě, část odkazů přepíše a zbytek doručí - a z vaší míry prokliku se stane hod mincí.
Allowlisting phishingové simulace v Microsoft 365
Microsoft pro tento účel nabízí vyhrazený mechanismus, zásadu rozšířeného doručování (advanced delivery policy), která Defenderu for Office 365 řekne, že jde o schválenou simulaci:
- Na portálu Microsoft Defender otevřete Email & collaboration → Policies & rules → Threat policies → Advanced delivery.
- Přepněte na kartu Phishing simulation a zvolte Edit.
- Přidejte odesílací domény vaší platformy, odesílací IP adresy a URL simulace použité v e-mailech a na cílových stránkách.
- Uložte a pošlete kontrolní e-mail do testovací schránky, abyste ověřili, že nic neskončilo v karanténě a Safe Links nechává odkazy na pokoji.
Zásada rozšířeného doručování zároveň u těchto zpráv potlačí výstrahy i automatizované vyšetřování, takže vám bezpečnostní nástroje kampaň v půlce samy nesmažou.
Allowlisting v Google Workspace
- V administrátorské konzoli Google přejděte na Aplikace → Google Workspace → Gmail → Spam, phishing a malware.
- Přidejte odesílací IP adresy platformy na seznam povolených adres (Email allowlist).
- V nastavení Spam vytvořte seznam schválených odesílatelů s doménami simulace a zapněte pro něj obcházení spamových filtrů.
- Počítejte s tím, že propagace změn může trvat až 24 hodin - uvádí to sama dokumentace Googlu - a před spuštěním proveďte kontrolní test.
Krok 4: Spuštění, monitoring a první nahlášení od zaměstnanců
Než platformu opustí první e-mail, informujte tři skupiny: helpdesk, IT či bezpečnostní administrátory a sponzora z vedení. Helpdesk dostane okno kampaně, odesílací doménu a připravenou odpověď - poděkovat za nahlášení, potvrdit, že není potřeba nic dělat, a založit tiket. Nikdo další detaily nedostane, včetně vedoucích oddělení, kteří mají dobře zdokumentovaný zvyk varovat své týmy.
První hodinu sledujte pozorně. Nejdřív ověřte doručení - pokud část zpráv skončila v karanténě, kampaň pozastavte, opravte výjimky a spusťte ji později znovu, místo abyste vyvozovali závěry z částečného doručení. Pak sledujte prokliky a nahlášení tak, jak přicházejí.
S prvními ohlašovateli zacházejte dobře; jsou vaší skutečnou sítí včasného varování a workflow nahlášení jedním kliknutím, jaké nabízí PhishGun, udělá z tohoto chování měřitelnou metriku místo anekdoty. Počítejte se stádním efektem - jeden člověk napíše varování do týmového chatu a prokliky se zastaví. I to je cenná informace o reálném bezpečnostním chování, ale pokud chcete čistá data za jednotlivce, rozložte rozesílku mezi týmy, aby jedno varování nesterilizovalo celou kampaň. Cílové stránky nechte běžet tři až pět pracovních dnů.
Krok 5: Vyhodnocení - míra prokliku, míra nahlášení a čas do nahlášení
Odolejte pokušení zredukovat kampaň na jediné číslo prokliku. Vaši skutečnou expozici popisují čtyři metriky čtené dohromady:
| Metrika | Co vám říká | Zdravý trend |
|---|---|---|
| Míra prokliku | Podíl příjemců, kteří klikli na odkaz | Klesá kampaň od kampaně při srovnatelné obtížnosti |
| Míra selhání | Podíl těch, kdo zadali přihlašovací údaje nebo otevřeli přílohu | U lehkých a středních šablon se blíží nule |
| Míra nahlášení | Podíl těch, kdo zprávu nahlásili tlačítkem nebo přes helpdesk | Roste, dokud nepřekoná míru prokliku |
| Čas do nahlášení | Minuty od prvního doručení do prvního nahlášení zaměstnancem | Zkracuje se; první nahlášení přijde dřív než první proklik |
Čas do nahlášení je metrika, kterou většina týmů ignoruje, a přitom se přímo promítá do skutečných incidentů. Verizon ve zprávě Data Breach Investigations Report 2024 naměřil medián pouhých 21 sekund od otevření e-mailu ke kliknutí na phishingový odkaz a dalších 28 sekund do zadání údajů. Při skutečném útoku je vaším oknem pro reakci mezera mezi prvním nahlášením a prvním proklikem.
Samotná míra prokliku je marnivostní metrika: hýbe s ní obtížnost šablony víc než povědomí zaměstnanců. Porovnávejte jen kampaně srovnatelné obtížnosti, výsledky segmentujte po odděleních a odfiltrujte prokliky bezpečnostních skenerů, které URL otevírají dřív, než zprávu vůbec uvidí člověk. Pro představu o typických hodnotách se podívejte na naše phishingové statistiky a benchmarky.
Jak často spouštět phishingové simulace a školit zaměstnance?
Pro většinu organizací je čtvrtletní frekvence minimum a měsíční je lepší. Jediný test ročně je momentka, ne program - chování se mění jen pravidelnou a pestrou expozicí a rok stará míra prokliku nepřesvědčí auditora ani pojišťovnu. Otázka, jak často školit zaměstnance, má proto stejnou odpověď jako otázka frekvence simulací: pravidelně a s obměnou.
| Organizace | Doporučená frekvence | Hlavní důvod |
|---|---|---|
| Menší a střední firma bez sektorové regulace | Čtvrtletně, plus výchozí test při nástupu | Změna chování; dotazníky kybernetického pojištění |
| Povinné osoby podle nZKB (zákon č. 264/2025 Sb.) | Měsíčně až čtvrtletně, s dokumentací | Plán rozvoje bezpečnostního povědomí dle vyhlášek č. 409/2025 a 410/2025 Sb. |
| Finanční subjekty podle DORA | Měsíčně až čtvrtletně, podle rolí | Povinná školení bezpečnosti ICT a digitální provozní odolnosti dle čl. 13 odst. 6 |
| Firmy s certifikací ISO 27001 | Minimálně čtvrtletně, se záznamy | Důkaz účinnosti pro kapitolu 7.3 a opatření A.6.3 při auditech |
Rytmus stále častěji určuje regulace. Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb., účinný od 1. listopadu 2025, dopadá na tisíce českých organizací: regulovanou službu je nutné do 60 dnů ohlásit přes Portál NÚKIB a bezpečnostní opatření zavést do jednoho roku od registrace. Prováděcí vyhláška č. 409/2025 Sb. pro režim vyšších povinností výslovně vyžaduje plán rozvoje bezpečnostního povědomí s tématy podle přílohy č. 6, dokumentovaná školení a vyhodnocování jejich účinnosti - a metriky ze simulací jsou nejčistší důkaz, jaký můžete doložit; vyhláška č. 410/2025 Sb. ukládá pravidla bezpečnostního povědomí včetně vrcholného vedení i v režimu nižších povinností. Při pokutách až 250 mil. Kč nebo 2 % obratu se dokumentace vyplatí. Podrobnosti rozebíráme v článku o školení zaměstnanců podle NIS2.
Frekvence neznamená posílat všem každý měsíc stejnou šablonu. Střídejte scénáře, měňte časy rozesílky i publikum a vyhněte se předvídatelnému vzorci „první pondělí v měsíci“, který se zaměstnanci naučí očekávat.
Po simulaci: zpětná vazba, mikroškolení a další kampaň
Uzavřete smyčku do několika dnů, ne týdnů. Sdílejte s celou firmou souhrnné výsledky: použitou návnadu, míru prokliku a nahlášení a varovné signály, které ji prozradily. O kampani se stejně mluví - transparentní čísla promění šeptandu v lekci.
U těch, kdo klikli, trvá poučitelný moment jen pár sekund. Krátké okamžité vysvětlení konkrétních signálů, které přehlédli, porazí 45minutový e-learning přidělený o tři týdny později. Zpětnou vazbu v okamžiku kliknutí doplňte naším přehledem, jak rozpoznat phishing, aby lekce vydržela déle než jedna šablona.
Další kampaň naplánujte, dokud jsou data čerstvá: týmům, které obstály, zvyšte obtížnost, tam, kde byla míra selhání vysoká, podobné návnady zopakujte a scénáře postupně rozšiřujte. Tyto osvědčené postupy phishingových simulací - informované IT, realistické české šablony, žádné obviňování, stálý rytmus - se sčítají a program získává na hodnotě s každým cyklem.
Pokud si nástroje nechcete skládat sami, PhishGun - postavený ofenzivním bezpečnostním týmem Haxoris - pokrývá celou smyčku: lokalizované české, slovenské a anglické šablony, mikroškolení v okamžiku kliknutí, workflow pro nahlašování zaměstnanci a reporty připravené pro audity podle nZKB, ISO 27001 i DORA. První phishingovou kampaň spustíte zdarma, bez platební karty.
Časté otázky
Je phishingová simulace zaměstnanců legální podle GDPR?
Ano, pokud ji nastavíte správně. Obvyklým právním základem je oprávněný zájem zaměstnavatele podle čl. 6 odst. 1 písm. f) GDPR, nikoli souhlas - žádost o svolení před každým testem by ho znehodnotila. Zpracujte s pověřencem balanční test, uveďte v bezpečnostní směrnici, že simulace probíhají, zapojte zástupce zaměstnanců, kde to vyžaduje zákoník práce, a výsledky reportujte souhrnně, ne po jménech.
Musím phishingovou simulaci povolit (allowlisting) v Microsoft 365?
Ano. Bez výjimky Microsoft Defender část zpráv zadrží v karanténě a část doručí, takže výsledky měří filtr, a ne vaše lidi. Použijte zásadu rozšířeného doručování na portálu Defender v části Email & collaboration → Policies & rules → Advanced delivery, zaregistrujte odesílací domény, IP adresy a URL simulace a před spuštěním ověřte doručení do testovací schránky.
Jaká je dobrá míra prokliku ve phishingové simulaci?
Jediné správné číslo neexistuje - míra prokliku závisí především na obtížnosti šablony a cílení. Netrénované organizace vidí při prvním měření typicky dvouciferné hodnoty, vyzrálé programy dostanou lehké a střední šablony pod deset procent. Užitečnějšími signály jsou trend napříč kampaněmi a to, zda míra nahlášení časem překoná míru prokliku.
Mají být zaměstnanci za kliknutí na simulovaný phishing potrestáni?
Ne. Trestání klikačů je nejrychlejší cesta, jak zničit kulturu hlášení: lidé přestanou hlásit simulace i skutečné incidenty, aby se vyhnuli postihu. Berte kliknutí jako podnět ke školení a doručte krátké okamžité mikroškolení o přehlédnutých varovných signálech. Eskalaci si nechte pro opakované případy v rizikových rolích - a i tam upřednostněte další trénink před postihem.
Jak dlouho má simulovaná phishingová kampaň běžet?
Pro většinu kampaní je rozumné okno tři až pět pracovních dnů. Většina prokliků a nahlášení dorazí během prvních hodin po doručení, ale vícedenní okno zachytí zkrácené úvazky i lidi vracející se z dovolené. Cílové stránky nechte aktivní po celé okno, pak kampaň uzavřete, vylučte automatizované prokliky skenerů a vyhodnoťte výsledky.