Pro organizace

Jak se bránit phishingu ve firmě: vrstvená obrana krok za krokem

Phishing nezastavíte jediným opatřením, a přitom právě on bývá v Evropě nejčastější vstupní branou útočníků do firem. Skutečně účinná ochrana před phishingem ve firmě proto stojí na několika vrstvách: technické filtrování, posílení identit, pravidelné školení zaměstnanců v kyberbezpečnosti a rychlá kultura nahlašování, díky níž hrozbu zachytíte dřív, než se stihne rozšířit. Tento návod ukazuje IT a bezpečnostním manažerům, jak postavit obranu, která je praktická a zároveň měřitelná.

8 min čteníAktualizováno 2026-06-07

Proč funguje jen vrstvená ochrana před phishingem

Na phishing neexistuje zázračné tlačítko, které by problém vyřešilo jednou provždy. E-mailové filtry tu a tam propustí novou návnadu, sebelepší technické opatření nezastaví přesvědčivý telefonát a i poučený zaměstnanec občas klikne. Funguje proto jediné: obrana do hloubky. Vrstvy se musejí překrývat tak, aby ve chvíli, kdy jedna selže, škodu zachytila další. Pokud s tématem teprve začínáte, projděte si nejdřív naše články o tom, co je phishing a jak phishing poznat, protože tento návod na ně přímo navazuje.

Osvědčený model stojí na čtyřech vrstvách, které musejí spolupracovat. Nejdřív zastavíte, co zastavit jde, pomocí e-mailové autentizace a filtrování. Pak posílíte identitu, aby ukradené heslo bylo útočníkovi k ničemu. Dále připravíte lidi, aby rozpoznali to, co přesto projde, a dokázali tomu odolat. A nakonec zařídíte, abyste incident odhalili a zareagovali rychle díky zaběhnutému nahlašování. Každá vrstva snižuje riziko sama o sobě. Dohromady promění jedinou lidskou chybu z bezpečnostního incidentu v bezvýznamnou epizodu.

Technická opatření: e-mailová autentizace a filtrování

První vrstva prevence phishingu má jediný úkol: zachytit podvržené a škodlivé zprávy ještě dřív, než je vůbec uvidí člověk. Začněte e-mailovou autentizací. Ta útočníkům podstatně ztíží, aby se vydávali za vaši doménu nebo za známé značky, kterým lidé bez váhání důvěřují.

SPF, DKIM a DMARC v praxi

  • SPF určuje, které poštovní servery smějí odesílat za vaši doménu. Podvržený odesílatel tak kontrolou neprojde.
  • DKIM zprávy kryptograficky podepisuje, takže si příjemce ověří, že je po cestě nikdo nezměnil.
  • DMARC propojí SPF i DKIM s viditelnou doménou v poli Od, nastaví politiku (none, quarantine, nebo reject) a posílá vám reporty. Přechod na vynucenou politiku reject patří vůbec k nejúčinnějším opatřením proti phishingu.
  • Moderní e-mailové brány i ochrana zabudovaná do Microsoftu 365 a Google Workspace navrch přidávají přepisování odkazů, sandbox pro přílohy a detekci napodobování konkrétních osob.

Doplňte to rozumnými pravidly pro příchozí poštu: viditelně označujte externí odesílatele, ořezávejte rizikové přílohy a upozorňujte na domény, které jen na první pohled vypadají jako ty vaše. Mějte ale na paměti, že útoky typu adversary-in-the-middle nebo přes QR kódy (quishing) jsou přímo stavěné na to, aby filtry obešly. Technika tedy objem hrozeb sníží, na nulu ho ale nikdy nedostane.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Posílení identity: MFA a passkeys odolné vůči phishingu

Ukradené přihlašovací údaje patří k nejčastějším způsobům, jak se útočník dostane dovnitř. Cíl této vrstvy je proto jednoduchý: udělat z vyfišovaného hesla bezcenný kus textu. Základem je vícefaktorové ověření (MFA) a jeho ochrana má smysl jen tehdy, když ho vynutíte všude. V první řadě u e-mailu, VPN a administrátorských účtů.

Ne každá MFA je ale stejně silná. Slabší faktory umějí útočníci obejít a s těmito technikami je dobré počítat:

  • MFA fatigue (push bombing): útočník zahltí uživatele výzvami ke schválení tak dlouho, dokud jednu z otrávenosti neodklikne.
  • Adversary-in-the-middle (AiTM): proxy přeposílá přihlášení v reálném čase, takže zachytí heslo i přihlašovací relaci (session token), a obejde tím jednorázové kódy i potvrzení v aplikaci.
  • OAuth consent phishing: útočník přiměje uživatele, aby udělil škodlivé aplikaci přístup přes token, aniž by vůbec potřeboval ukrást heslo.

Nejsilnější odpovědí je ověřování, které je vůči phishingu odolné už ze své podstaty. Passkeys a standard FIDO2/WebAuthn pracují s kryptografií veřejného klíče navázanou na adresu (origin) skutečné stránky, takže přihlašovací údaje prostě nelze přehrát na podvržené stránce. Nasaďte je nejprve u rizikových rolí, omezte udělování souhlasů OAuth aplikacím a nastavte pravidla podmíněného přístupu, která povolí přihlášení jen ze spravovaných zařízení a z očekávaných míst.

Lidská vrstva: školení zaměstnanců a realistické simulace

Zaměstnanci nejsou nejslabším článkem. Naopak, jsou tou vrstvou, která zachytí, co technika přehlédla. Smyslem je dát jim znalosti i sebejistotu, aby se nad podezřelou zprávou na chvíli zastavili. Jedna prezentace jednou ročně chování nezmění. Krátké, časté a relevantní školení zaměstnanců v kyberbezpečnosti ano.

Průběžné vzdělávání spojte s realistickým simulovaným phishingem, který kopíruje návnady, jaké vaši lidé reálně dostávají do schránek: falešné přihlášení do Microsoftu 365, smishingovou SMS o doručení balíku (typicky Česká pošta nebo Zásilkovna) nebo výzvu k úhradě faktury mířenou na účtárnu. Nejúčinnější programy doručí krátké mikroškolení přesně ve chvíli, kdy někdo klikne. Z chyby tak udělají zapamatovatelnou lekci s nulovým rizikem, ne důvod k pokárání. Platformy jako PhishGun proto kombinují lokalizovaný simulovaný phishing s tímto okamžitým doškolením a budují měřitelnou odolnost v čase. Nezapomínejte ani na cílené útoky, protože spear phishing a podvody typu BEC obcházejí obranu proti hromadné poště a spoléhají výhradně na lidský úsudek.

Vybudujte rychlou kulturu nahlašování podezřelých e-mailů

O výsledku rozhoduje rychlost. Phishingový e-mail nahlášený během pár minut stáhnete ze všech schránek dřív, než klikne kdokoli další. Tentýž e-mail objevený po pár dnech už klidně může být plnohodnotným incidentem. Nejužitečnějším nástrojem je proto tlačítko pro nahlášení phishingu přímo v poštovním klientovi, které podezřelou zprávu pošle jedním kliknutím rovnou bezpečnostnímu týmu.

  • Dejte každému jednoduchou a bezbariérovou cestu, jak hrozbu nahlásit. Zabudované tlačítko funguje lépe, než si pamatovat nějakou e-mailovou adresu na přeposílání.
  • Každé nahlášení potvrďte, i ten planý poplach. Jen tak lidem zůstane chuť tlačítko používat.
  • Zautomatizujte vyhodnocování, ať jdou nahlášené zprávy rychle seskupit, analyzovat a smazat i z ostatních schránek.
  • Uzavřete kruh: dejte lidem vědět, když svým nahlášením pomohli zastavit skutečný útok.

Zdravá kultura nahlašování navíc plní vaše metriky cennými daty. Každé nahlášení je signál, že školení zabírá a že vaši lidé firmu aktivně brání, místo aby jen pasivně doufali, že filtry všechno odchytí za ně.

Měření pokroku: metriky, na kterých opravdu záleží

Prevence phishingu zlepší jen ta opatření, která skutečně měříte. Nezůstávejte u jediného čísla, jako je míra prokliků. Sledujte chování v čase, abyste vedení i auditorům doložili, že riziko opravdu klesá.

  • Míra prokliků (click rate): kolik příjemců kliklo na simulovanou návnadu, sledováno v čase a rozpadnuté podle oddělení.
  • Míra nahlášení (report rate): kolik lidí simulaci nahlásí a jak rychle. Rostoucí míra nahlášení bývá lepším důkazem vyspělosti než samotný pokles prokliků.
  • Čas do nahlášení: medián doby od doručení po první nahlášení. Právě rychlost totiž omezuje rozsah reálných škod.
  • Riziko opakovaných kliknutí: kdo klikne znovu a znovu, ať doškolení míří tam, kde nejvíc pomůže.
  • Pokrytí a dokončenost: které týmy mají aktuální školení, navázané na váš rozsah rizika a na požadavky souladu.

Soulad s regulací: NIS2, ISO 27001 a DORA

Pro řadu firem v Česku i v celé EU už školení proti phishingu dávno není dobrovolné. Hned několik regulací dnes vyžaduje prokazatelnou osvětu a řízení rizik, a to včetně odpovědnosti přímo na úrovni vedení.

  • NIS2 (směrnice (EU) 2022/2555) předepisuje základní kybernetickou hygienu a školení kybernetické bezpečnosti pro všechny zaměstnance, výslovně včetně phishingu a sociálního inženýrství. Vedení firmy navíc činí odpovědným za dohled nad opatřeními i za to, že se samo proškolí. Česko směrnici promítlo do zákona o kybernetické bezpečnosti č. 264/2025 Sb. (účinný od 1. listopadu 2025), Slovensko do zákona č. 366/2024 Z. z. (účinný od 1. ledna 2025).
  • ISO 27001 očekává zdokumentovanou bezpečnostní osvětu jako součást systému řízení informační bezpečnosti, podloženou důkazy o průběžné způsobilosti lidí.
  • DORA (nařízení (EU) 2022/2554), které platí od 17. ledna 2025 pro finanční subjekty, nařizuje programy osvěty v oblasti bezpečnosti ICT a školení odolnosti, a to i pro vrcholový management.
  • GDPR zůstává ve hře také: porušení zabezpečení osobních údajů způsobené phishingem je nutné nahlásit dozorovému úřadu (v Česku ÚOOÚ) bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvíte.

Praktické ponaučení zní: mějte stále po ruce důkazy připravené na audit. Záznamy o školeních, výsledky simulovaného phishingu a metriky nahlašování ukazují, že vaše ochrana před phishingem je řízené a měřené opatření, ne jednorázová akce. A přesně to chtějí posuzovatelé vidět.

Časté otázky

Jak vícefaktorové ověření chrání před phishingem?

MFA zablokuje spoustu útoků, ne ale všechny. Obyčejnou SMS nebo potvrzení v aplikaci umějí útočníci obejít proxy typu adversary-in-the-middle i opakovanými výzvami (MFA fatigue). Metody odolné vůči phishingu, jako jsou passkeys a FIDO2, jsou navázané na adresu skutečné stránky, takže ukradené údaje na podvržené stránce zkrátka nefungují.

Jak ochránit firmu před phishingem?

Jedno opatření nikdy nestačí. Nejúčinnější je kombinovat technická opatření (SPF, DKIM, DMARC a filtrování), posílení identity (MFA a passkeys), průběžné školení zaměstnanců s realistickými simulacemi a rychlou kulturu nahlašování. Dohromady tyto vrstvy zajistí, že jedna chyba nepřeroste v incident.

K čemu slouží simulovaný phishing ve firmě?

Realistický a lokalizovaný simulovaný phishing dá lidem možnost bezpečně si nacvičit rozpoznávání útoků a odhalí, kde je třeba doškolit. Ve spojení s mikroškolením hned po kliknutí mění chování mnohem víc než kurz jednou za rok. Výsledné metriky navíc poslouží jako důkaz pro NIS2, ISO 27001 i DORA.

Jak často školit zaměstnance proti phishingu?

Místo jednoho dlouhého školení ročně sázejte na krátké a časté dávky během celého roku, ideálně doplněné pravidelnými simulacemi. Tato průběžnost mění návyky podstatně víc a zároveň udržuje téma stále v povědomí. Mikroškolení doručené přesně ve chvíli kliknutí je vůbec nejúčinnější.

Co vyžaduje NIS2 v oblasti ochrany před phishingem?

NIS2 předepisuje základní kybernetickou hygienu a pravidelné školení kybernetické bezpečnosti pro všechny zaměstnance, výslovně včetně phishingu a sociálního inženýrství. Odpovědnost klade přímo na vedení firmy. V Česku směrnici provádí zákon o kybernetické bezpečnosti č. 264/2025 Sb., takže prokazatelné záznamy o školeních a simulacích jsou nutné kvůli auditu.

Související články

Pro zaměstnance

Jak poznat phishing: varovné signály, na které si dát pozor

Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.

8 min čteníČíst článek
Základy

Co je phishing? Definice, příklady a jak útoky probíhají

Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.

7 min čteníČíst článek
Cílené útoky

Spear phishing a BEC podvod: kompromitace firemního e-mailu

Spear phishing je cílený útok šitý na míru konkrétnímu člověku nebo roli a stojí za nejdražším druhem internetové kriminality vůbec, kterým je kompromitace firemního e-mailu (BEC). Podvodník si oběť pečlivě nastuduje, vydává se za šéfa nebo dodavatele a nakonec přiměje zaměstnance poslat peníze na cizí účet. V tomto průvodci si vysvětlíme, jak útočníci sbírají informace, jak vypadá podvod jménem ředitele i falešná faktura, proč tyto e-maily proklouznou přes filtry a jak se firma může bránit dřív, než peníze odejdou.

8 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com