Návody a postupy

Phishingový test zaměstnanců krok za krokem: průběh, cena a ukázkový report

Phishingový test zaměstnanců je řízené cvičení: rozešlete kolegům realistický, ale neškodný falešný phishingový e-mail a měříte, kdo klikne, kdo vyplní přihlašovací údaje a kdo zprávu nahlásí. První základní (baseline) test trvá od nastavení k výsledkům zhruba dva týdny. V Česku agentury za jednorázový test obvykle účtují řádově od pár tisíc do desítek tisíc korun, samoobslužné platformy jednotky eur za zaměstnance měsíčně.

Marek Mlynček · Etický hacker, OSCP10 min čtení

Co je phishingový test zaměstnanců a co naopak není?

Phishingový test zaměstnanců, kterému se říká také simulovaný phishingový útok nebo phishingová simulace, je řízené cvičení, při kterém vaše organizace (nebo dodavatel jednající jejím jménem) rozešle zaměstnancům realistický, ale zcela neškodný falešný phishingový e-mail a změří jejich reakci. Nic se neukradne a nic se nenakazí. Výstupem jsou data: kdo zprávu otevřel, kdo klikl, kdo zadal přihlašovací údaje a kdo ji nahlásil.

Důvod, proč testovat, je jednoduchý. ENISA Threat Landscape 2025 označuje phishing za nejčastější způsob prvotního průniku do organizace, který se objevil přibližně v 60 % analyzovaných případů (z 4 875 incidentů za období červenec 2024 až červen 2025). Většinu škodlivých zpráv zachytí poštovní filtry. Phishingový test vám ukáže, co se stane, když jedna projde.

Stejně důležité je jasně říct, co phishingový test není:

  • Není to past na jednotlivce. Měrnou jednotkou je organizace, ne konkrétní zaměstnanec. Test bezpečnostního povědomí zaměstnanců odpovídá na otázku „jak jsme zranitelní?“, nikdy ne „koho propustíme?“.
  • Není to skutečný útok. Dobře postavená simulace zaznamenává pouze interakce, nikdy neukládá hesla zadaná na falešné přihlašovací stránce a nikdy nedoručuje malware.
  • Není to jednorázové odškrtnutí kolonky. Jedna kampaň je momentka. Smysl mají programy, které se opakují, porovnávají a zlepšují.

Co phishingový test odhalí? Míra prokliků, zadaná hesla a míra nahlášení

Phishingová kampaň vytváří trychtýř: doručeno, otevřeno, prokliknuto, zadáno, nahlášeno. Tři z těchto čísel jsou nejdůležitější.

Míra prokliků (click rate)

Podíl příjemců, kteří klikli na odkaz nebo otevřeli přílohu. Benchmark KnowBe4 Phishing by Industry 2025, postavený na 67,7 milionu simulovaných e-mailů napříč 62 400 organizacemi, uvádí průměrnou výchozí hodnotu 33,1 %. Pokud u prvního testu klikne třetina lidí, jste normou, ne nedbalostí.

Míra zadání přihlašovacích údajů

Podíl těch, kdo klikli a poté na falešné přihlašovací stránce zadali své jméno a heslo. Tohle číslo je nejblíž skutečné škodě: při reálném útoku by ty údaje teď byly v rukou útočníka. Bývá výrazně nižší než míra prokliků a právě tohle číslo si vaše vedení zapamatuje.

Míra nahlášení (report rate)

Podíl těch, kdo zprávu nahlásili IT oddělení nebo přes tlačítko „Nahlásit phishing“. Tohle je nejdůležitější metrika a jediná, kterou chcete vidět růst. Lidé, kteří hlásí, jsou vaše lidská senzorová síť: dávají bezpečnostnímu týmu náskok měřený v minutách.

Proč na hlášení záleží? Kvůli rychlosti. Verizon Data Breach Investigations Report 2025 naměřil medián pouhých 21 sekund od otevření phishingové zprávy ke kliknutí na odkaz a zadání údajů zvládne oběť celkově pod jednu minutu. Než se rozhodnete, jak moc se znepokojovat, porovnejte svůj trychtýř se zveřejněnými phishingovými statistikami.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Jak phishingový test probíhá, krok za krokem?

První základní test trvá od zahájení k hotovému reportu zhruba dva týdny. Takhle otestujete zaměstnance na phishing, aniž byste narušili chod firmy:

  1. Vymezte rozsah a odpovědnost (1. den). Rozhodněte, kdo se testuje (ideálně všichni, včetně vedení), které metriky budete sledovat a kdo smí vidět výsledky na úrovni jednotlivců. Získejte písemný souhlas vedení. Simulaci nikdy nespouštějte bez něj.
  2. Připravte technické nastavení (2.–4. den). Přidejte odesílací doménu simulace na seznam povolených (allowlist) v Microsoftu 365 nebo Google Workspace, aby spamové filtry kampaň tiše nepohltily a nezkreslily vaše data.
  3. Zvolte scénář (3.–5. den). Vyberte šablonu, která odpovídá tomu, co vaši lidé reálně dostávají: výzva k obnově hesla, sdílený dokument, faktura nebo třeba falešné oznámení o nedoručené zásilce. Pro inspiraci si projděte reálné příklady phishingových e-mailů a držte se jazyka, ve kterém zaměstnanci pracují.
  4. Spuštění (začátek 2. týdne). Rozesílejte v náhodných dávkách během několika hodin nebo dnů, ne všechno najednou.
  5. Průběh kampaně (3–7 dní). Sledujte otevření, prokliky, zadání údajů a nahlášení v reálném čase. Dobré platformy zobrazí ve chvíli kliknutí krátkou mikroškolicí stránku, což je nejlépe naučitelná vteřina celého roku.
  6. Uzavření a report (konec 2. týdne). Uzavřete sběr dat, sestavte report a naplánujte navazující komunikaci.

Kolik phishingový test stojí?

Na českém trhu si phishingový test pořídíte třemi způsoby: jako jednorázovou zakázku od agentury, jako předplatné samoobslužné platformy nebo jako bezplatnou základní kampaň. Čeští poskytovatelé většinou cenu nabízejí individuálně podle počtu zaměstnanců a míry úprav scénáře. Jednorázové penetrační testy a simulace hrozeb startují řádově od desítek tisíc korun (například od 25 000 Kč), zatímco kreditové a předplatné modely začínají na jednotkách až desítkách eur za sadu testovacích zpráv.

Jednorázový test od agenturySamoobslužná platformaBezplatná základní kampaň
Typická cena (ČR)individuální nabídka, řádově tisíce až desítky tisíc Kč za testpředplatné za zaměstnance, od jednotek € za zaměstnance měsíčně0 Kč
Co dostanetejedna kampaň, PDF report, debriefingový hovoropakované kampaně, dashboardy, mikroškolení, tlačítko pro nahlašováníjedna reálná kampaň s výchozí mírou prokliků, zadání údajů a nahlášení
Opakované testovánínová nabídka a nová faktura pokaždév ceně, v měsíčním nebo čtvrtletním rytmurozšíříte, až budete chtít druhou kampaň
Vhodné projednorázový auditní údajprůběžný program rozvoje povědomídoložení problému dříve, než požádáte o rozpočet

Pravidlo palce: pokud plánujete testovat víckrát než jednou (a každá regulace, která vás k testování tlačí, s tím počítá), opakované předplatné za zaměstnance se vyplatí víc než platit agenturní sazby znovu a znovu. Padesátičlenná firma dokáže na platformě často odjet celý rok kampaní za cenu jedné až dvou agenturních zakázek. PhishGun zveřejňuje transparentní ceník za zaměstnance, takže si tohle můžete spočítat ještě dřív, než s kýmkoli začnete jednat.

Jak vypadá dobrý report z phishingového testu

Report je skutečný výstup, to, co ukazujete vedení, auditorům a v souhrnné podobě i zaměstnancům. Užitečný report obsahuje:

  • Manažerské shrnutí: jedna strana se třemi klíčovými mírami, porovnáním s benchmarkem a trendem, pokud nejde o váš první test.
  • Parametry kampaně: použitý scénář, odesílací doména, velikost publika, data spuštění a uzavření. Auditoři si vyžádají přesně tohle.
  • Celý trychtýř: doručeno → otevřeno → prokliknuto → zadáno → nahlášeno, vždy jako počet i procento.
  • Časová data: doba do prvního prokliku a medián doby do nahlášení. Ukazují, jak rychle by se reálný incident odvíjel.
  • Rozpad podle oddělení nebo lokality, ale souhrnně. Dobrý report nikdy nesestavuje žebříček jmenovaných jednotlivců.
  • Zacházení s opakovanými prokliky: jak lidé, kteří klikají opakovaně, dostávají doplňkové školení, aniž by byli ve sdílených dokumentech jmenováni.
  • Doporučené další kroky: scénář a obtížnost pro příští kampaň plus témata školení, na která data ukazují.

Je legální testovat zaměstnance phishingem? Odpověď z pohledu GDPR za 60 sekund

Ano, phishingové testování zaměstnanců je v celé EU zákonné, pokud se provádí správně. Právním základem je oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR; recitál 49 výslovně uznává zajištění bezpečnosti sítí a informací za oprávněný zájem správce. Zaměstnanců se neptáte na souhlas: ohlášení každé kampaně předem by měření znehodnotilo a v pracovněprávním vztahu se navíc souhlas jen zřídka považuje za svobodně udělený.

Oprávněný zájem ale není bianko šek. Abyste se o něj mohli opřít, udělejte pět věcí:

  1. Před první kampaní proveďte a zdokumentujte test proporcionality (balanční test oprávněného zájmu).
  2. V bezpečnostní politice zaměstnancům sdělte, že phishingové simulace jsou součástí programu, ale bez prozrazení časování či šablon.
  3. Minimalizujte data: zaznamenávejte události prokliku a nahlášení, nikdy ne hesla, která lidé zadají do simulované stránky.
  4. Přístup k výsledkům na úrovni jednotlivců omezte na malou, jmenovitě určenou skupinu; všem ostatním reportujte souhrnně.
  5. Stanovte dobu uchování a zapojte svého pověřence pro ochranu osobních údajů (DPO), případně i zástupce zaměstnanců, kde existují.

Jak komunikovat výsledky, aniž byste obviňovali zaměstnance

Phishingový test selhává ve chvíli, kdy z něj zaměstnanci dostanou strach. Lidé, kteří čekají zostuzení, reálný phishing nenahlásí, potichu ho smažou, nebo hůř, kliknou a nikomu nic neřeknou. Komunikace je součást návrhu testu, ne dodatečná myšlenka:

  • Program oznamte před první kampaní, obecně, a vysvětlete proč: útočníci vás testují tak jako tak, bez dovolení.
  • Souhrnné výsledky zveřejněte celé firmě během několika dní. Transparentnost buduje důvěru rychleji než tajnůstkářství.
  • Oceňte ty, kdo hlásí. Poděkujte prvním lidem, kteří zprávu nahlásili, a udělejte z nahlášení viditelné vítězství.
  • Prokliky pojmenujte jako mezeru v ochraně, ne jako neopatrnost. „Kliklo 33 %“ znamená, že je potřeba zapracovat na filtrování, školení i procesu nahlašování.
  • Školte ve chvíli prokliku. Třicetisekundová mikrolekce hned po chybě překoná čtvrtletní prezentaci.
  • Dejte lidem nástroj, ne přednášku: sdílejte praktický návod, jak rozpoznat phishing a jednoklikový způsob, jak nahlásit podezřelou zprávu.

Od prvního základního testu k průběžnému programu

Jeden test je momentka; chování se mění jen opakováním. Benchmark KnowBe4 2025 ukazuje, že průměrná míra prokliků klesá z 33,1 % na startu na 4,1 % po dvanácti měsících pravidelných simulací a školení, tedy o 86 %. Čtvrtletní kampaně jsou realistické minimum, měsíční bývají běžným standardem, přičemž scénáře se obměňují v typu i obtížnosti.

Stejné dnes předpokládá i regulace. V Česku zavedl nový zákon o kybernetické bezpečnosti č. 264/2025 Sb. (účinný od 1. 11. 2025) dva režimy povinností. Pro subjekty ve vyšším režimu vyhláška č. 409/2025 Sb. vyžaduje plán rozvoje bezpečnostního povědomí, jehož součástí jsou podle přílohy č. 6 teoretická i praktická školení uživatelů, doložení provedených školení a vyhodnocení jejich účinnosti; pro nižší režim platí obdobné požadavky podle vyhlášky č. 410/2025 Sb. Regulované subjekty se ohlašují přes Portál NÚKIB do 60 dnů a bezpečnostní opatření zavádějí do jednoho roku od registrace. Pokud na vás NIS2 dopadá, projděte si náš rozbor požadavků NIS2 na školení zaměstnanců.

Praktická cesta vypadá takto:

  1. Spusťte bezplatnou základní kampaň a zachyťte si výchozí míru prokliků, zadání údajů a nahlášení.
  2. Sdílejte souhrnná čísla a oznamte průběžný program.
  3. Nastavte rytmus, čtvrtletní jako minimum, a obtížnost zvyšujte postupně.
  4. Sledujte míru nahlášení čtvrtletí po čtvrtletí; to je vaše skutečné KPI.
  5. Každý report zakládejte jako důkaz pro audit podle zákona o kybernetické bezpečnosti (NIS2), ISO 27001 nebo DORA.

PhishGun vyvinula společnost Haxoris, evropská firma zaměřená na ofenzivní bezpečnost, právě pro tuto smyčku: realistické kampaně s lokalizovanými českými, slovenskými i anglickými šablonami, mikroškolení ve chvíli prokliku a reporting připravený pro audit. Spusťte první phishingovou kampaň zdarma, bez platební karty, reálná výchozí čísla zhruba do dvou týdnů. Pokud chcete nejdřív vidět, jak platforma funguje, podívejte se na přehled produktu PhishGun.

Časté otázky

Jak často by se měl phishingový test zaměstnanců opakovat?

Realistické minimum je čtvrtletně, mnoho organizací testuje měsíčně. Jeden test měří, ale chování mění až opakování: benchmark KnowBe4 2025 ukazuje pokles průměrné míry prokliků z 33,1 % na 4,1 % po dvanácti měsících kombinovaných simulací a školení. V každém kole obměňujte scénáře i obtížnost a každou kampaň dokumentujte, aby výsledky zároveň sloužily jako důkaz pro compliance.

Musíme zaměstnance před phishingovým testem varovat?

Obecně ano, u konkrétní kampaně ne. Transparentnost podle GDPR vyžaduje, aby zaměstnanci věděli, že simulovaný phishing je součástí bezpečnostního programu, typicky skrze bezpečnostní politiku nebo pravidla přijatelného užívání. Jednotlivé kampaně předem neoznamujete, to by měření znehodnotilo. Před prvním testem zdokumentujte základ oprávněného zájmu a zapojte svého pověřence pro ochranu osobních údajů (DPO).

Jaká míra prokliků je u phishingového testu dobrá?

Většina organizací u prvního základního testu vidí 20–35 % prokliků; benchmark KnowBe4 2025 uvádí globální průměr 33,1 %. Vyzrálé programy se dostávají pod 5 %. Sledujte ale i míru nahlášení: rostoucí podíl zaměstnanců, kteří simulaci nahlásí, je nejsilnějším signálem, že váš program rozvoje povědomí funguje.

Lze zaměstnance za neúspěch v phishingovém testu trestat?

Ne, a ani byste neměli chtít. Trestání prokliků učí lidi chyby skrývat a přestat hlásit reálné incidenty, čímž ničíte hlavní přínos testování. Zároveň to oslabuje rovnováhu oprávněného zájmu podle GDPR, díky níž je testování zákonné. Opakované prokliky řešte doplňkovým cíleným školením a individuální výsledky držte přístupné jen malé, jmenovitě určené skupině.

Je bezplatný phishingový test opravdu zdarma?

Často ano, s limity. Agentury používají bezplatnou phishingovou diagnostiku jako nástroj k získání zákazníků, obvykle omezenou rozsahem nebo počtem zaměstnanců. Samoobslužné platformy, PhishGun včetně, vám umožní odjet plnou první kampaň zdarma a bez platební karty. Bezplatný základní test je skutečně užitečný: dá vám míru prokliků a nahlášení, kterou potřebujete k obhájení dalšího rozpočtu.

Související články

Návody a postupy

Jak vytvořit phishingovou simulaci: krok za krokem od scénáře po report

Phishingová simulace má jasný postup: definujte cíl a právní základ, vyberte realistický scénář, povolte domény simulace v Microsoft 365 nebo Google Workspace, spusťte kampaň na reprezentativní skupinu a měřte míru prokliku, míru nahlášení a čas do nahlášení. Tento návod popisuje jednotlivé kroky tak, jak je při placených testech provádí ofenzivní bezpečnostní tým - včetně chyb, které zkazí většinu prvních kampaní.

10 min čteníČíst článek
Hrozby

Phishing statistiky: míra prokliku podle odvětví a co je dobrý výsledek

Nejcitovanější phishing statistiky pocházejí z benchmarkové zprávy KnowBe4 za rok 2025: 33,1 % neproškolených zaměstnanců selže v úvodním phishingovém testu, po roce školení klesá míra prokliku pod 5 %. Evropské organizace startují na 32,5 %. Tento přehled shrnuje ověřené benchmarky podle odvětví, velikosti firmy i regionu, včetně cílů pro míru nahlášení, které odlišují vyspělý program od školení jen na papíře.

10 min čteníČíst článek
Regulace a soulad

NIS2 školení zaměstnanců: co vyžaduje zákon 264/2025 Sb. a vyhlášky 409 a 410/2025

NIS2 školení zaměstnanců má v České republice jasný právní základ: směrnice NIS2 ukládá členům statutárních orgánů absolvovat školení v kybernetické bezpečnosti a z kybernetické hygieny a školení dělá povinné opatření řízení rizik. Nový zákon č. 264/2025 Sb. a vyhlášky č. 409/2025 a 410/2025 Sb. z toho dělají konkrétní povinnosti: doložitelný plán rozvoje bezpečnostního povědomí, vstupní i pravidelná školení a doklady, které NÚKIB může zkontrolovat.

9 min čteníČíst článek

Z Phishingové encyklopedie

Pro zaměstnance

Jak poznat phishing: varovné signály, na které si dát pozor

Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.

8 min čteníČíst článek
Základy

Co je phishing? Definice, příklady a jak útoky probíhají

Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.

7 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com