Čo je phishingový test zamestnancov - a čo ním nie je?
Phishingový test zamestnancov - nazývaný aj simulovaný phishingový útok alebo phishingová simulácia - je kontrolované cvičenie, pri ktorom vaša organizácia, prípadne dodávateľ konajúci v jej mene, pošle zamestnancom realistický, ale neškodný falošný phishingový e-mail a zmeria reakcie. Nič sa nekradne a nič sa neinfikuje. Výstupom sú dáta: kto správu otvoril, kto klikol, kto zadal prihlasovacie údaje a kto ju nahlásil.
Dôvod na testovanie je jednoduchý. Správa ENISA Threat Landscape 2025 označuje phishing za najčastejší vektor prvotného prieniku - figuruje približne v 60 % analyzovaných incidentov. A Slovensko nie je bokom: podľa spoločnosti Check Point čelila priemerná slovenská organizácia v druhom polroku 2025 až 1 842 útokom týždenne, medziročne o 27 % viac. E-mailové filtre väčšinu phishingu zachytia; phishingový test vám ukáže, čo sa stane, keď jedna správa prejde.
Rovnako dôležité je ujasniť si, čím phishingový test nie je:
- Nie je to pasca na jednotlivcov. Merateľnou jednotkou je organizácia, nie zamestnanec. Test bezpečnostného povedomia zamestnancov odpovedá na otázku „aké zraniteľné sme ako firma?“, nikdy nie „koho prepustíme?“.
- Nie je to skutočný útok. Dobre postavená simulácia zaznamenáva len udalosti interakcie - nikdy neukladá heslá napísané do falošnej prihlasovacej stránky a nikdy nedoručuje malvér.
- Nie je to jednorazová položka v checkliste. Jedna kampaň je len momentka. Užitočné programy sa opakujú, porovnávajú a zlepšujú.
Čo phishingový test odhalí? Miera prekliknutia, zadané údaje a nahlásenia
Phishingová kampaň vytvára lievik: doručené, otvorené, prekliknuté, zadané údaje, nahlásené. Najviac záleží na troch z týchto čísel.
Miera prekliknutia (click rate)
Podiel príjemcov, ktorí klikli na odkaz alebo otvorili prílohu. Benchmark KnowBe4 Phishing by Industry 2025, postavený na 67,7 milióna simulovaných e-mailov v 62 400 organizáciách, uvádza priemernú vstupnú hodnotu 33,1 % - a 24,6 % vo firmách do 250 zamestnancov. Ak na prvom teste klikne tretina vašich ľudí, ste v norme, nie nedbanliví.
Miera zadania prihlasovacích údajov
Podiel tých, ktorí klikli a následne napísali svoje meno a heslo do falošnej prihlasovacej stránky. Je to najbližší ukazovateľ reálnej škody: pri skutočnom útoku by tieto údaje už držal v rukách páchateľ. Spravidla je výrazne nižšia než miera prekliknutia - a práve toto číslo si vedenie zapamätá.
Miera nahlásenia (report rate)
Podiel zamestnancov, ktorí e-mail nahlásili IT oddeleniu alebo cez tlačidlo na nahlasovanie. Je to najdôležitejšia metrika a jediná, ktorá má rásť. Nahlasovatelia sú vaša ľudská sieť senzorov: dávajú bezpečnostnému tímu náskok meraný v minútach.
Práve rýchlosť je dôvodom, prečo na nahlasovaní záleží. Správa Verizon Data Breach Investigations Report namerala medián iba 21 sekúnd od otvorenia e-mailu po kliknutie na phishingový odkaz a ďalších 28 sekúnd po zadanie údajov - spolu ani nie minúta. Skôr než sa rozhodnete, ako veľmi sa znepokojovať, porovnajte svoj lievik s aktuálnymi phishingovými štatistikami.
Ako prebieha phishingový test krok za krokom?
Prvý vstupný test trvá od zadania po hotový report približne dva týždne. Takto otestujete zamestnancov bez narušenia chodu firmy:
- Definujte rozsah a zodpovednosti (deň 1). Rozhodnite, koho testujete (ideálne všetkých vrátane manažmentu), ktoré metriky budete sledovať a kto smie vidieť výsledky na úrovni jednotlivcov. Získajte písomný súhlas vedenia - simuláciu nikdy nespúšťajte bez neho.
- Pripravte technické nastavenie (dni 2–4). Zaraďte odosielaciu doménu simulácie na zoznam povolených v Microsoft 365 alebo Google Workspace, aby spamové filtre kampaň potichu nepohltili a neskreslili vám dáta.
- Vyberte scenár (dni 3–5). Zvoľte šablónu, ktorá zodpovedá tomu, čo vašim ľuďom reálne chodí - výzvu na obnovenie hesla, zdieľaný dokument, faktúru, notifikáciu o nedoručenom balíku v štýle podvodných správ zneužívajúcich značku Slovenskej pošty, pred ktorými opakovane varuje pošta aj SK-CERT, alebo falošný QR kód podľa vzoru quishingovej vlny, na ktorú v roku 2026 upozorňovala Polícia SR. Inšpirujte sa reálnymi príkladmi phishingových e-mailov a držte sa jazyka, v ktorom zamestnanci bežne pracujú.
- Spustite kampaň (začiatok 2. týždňa). Posielajte v náhodných dávkach v priebehu niekoľkých hodín či dní, nie všetkým naraz.
- Nechajte kampaň bežať (3–7 dní). Sledujte otvorenia, kliknutia, zadané údaje a nahlásenia v reálnom čase. Dobré platformy zobrazia hneď po kliknutí krátku mikrolekciu - najpoučnejšiu sekundu celého roka.
- Uzavrite a reportujte (koniec 2. týždňa). Zmrazte dáta, zostavte report a naplánujte nadväzujúcu komunikáciu.
Koľko stojí phishingový test?
Na slovenskom trhu si phishingový test kúpite tromi spôsobmi: ako jednorazovú zákazku od agentúry, ako predplatné samoobslužnej platformy alebo ako bezplatnú vstupnú kampaň. Zverejnené slovenské cenníky v roku 2026 ponúkajú jednorazové simulované phishingové testy od 199 € (časovo obmedzená akciová cena), pričom štandardné sadzby sa pohybujú od 400 do 1 000 € za test podľa počtu zamestnancov a miery prispôsobenia scenára. Väčšie či opakované zákazky agentúry naceňujú individuálne.
| Jednorazový test od agentúry | Samoobslužná platforma | Bezplatná vstupná kampaň | |
|---|---|---|---|
| Typická cena (SR) | akcie od 199 €; štandardne 400–1 000 € za test | predplatné od niekoľkých € na zamestnanca mesačne | 0 € |
| Čo dostanete | jednu kampaň, PDF report a záverečnú konzultáciu | opakované kampane, dashboardy, mikroškolenia a tlačidlo na nahlasovanie | jednu plnohodnotnú kampaň so vstupnou mierou prekliknutia, zadaní údajov a nahlásení |
| Opakované testovanie | zakaždým nová ponuka a nová faktúra | v cene - mesačná alebo štvrťročná frekvencia | upgrade, keď budete chcieť druhú kampaň |
| Najvhodnejšie pre | jednorazový údaj do auditu | priebežný program bezpečnostného povedomia | dôkaz problému ešte pred žiadosťou o rozpočet |
Pravidlo od oka: ak plánujete testovať viac než raz - a každý predpis, ktorý vás k testovaniu tlačí, s tým počíta - opakované platenie agentúrnych sadzieb prehráva s cenou za zamestnanca. Firma s 50 ľuďmi často odbehá celý rok kampaní na platforme za cenu jednej či dvoch agentúrnych zákaziek. PhishGun zverejňuje transparentný cenník za zamestnanca, takže si tento prepočet urobíte skôr, než sa s kýmkoľvek stretnete.
Ako vyzerá dobrý report z phishingového testu
Skutočným výstupom testu je report - to je dokument, ktorý ukážete vedeniu, audítorom a v súhrnnej podobe aj zamestnancom. Užitočný report obsahuje:
- Manažérske zhrnutie: jedna strana s tromi hlavnými mierami, porovnaním s benchmarkom a trendom, ak nejde o váš prvý test.
- Parametre kampane: použitý scenár, odosielacia doména, veľkosť cieľovej skupiny, dátum spustenia a uzavretia. Presne na toto sa pýtajú audítori.
- Kompletný lievik: doručené → otvorené → prekliknuté → zadané údaje → nahlásené, vždy ako počet aj percento.
- Časové údaje: čas do prvého kliknutia a medián času do nahlásenia. Ukazujú, ako rýchlo by sa odvíjal skutočný incident.
- Rozpad podľa oddelení alebo lokalít - v súhrnnej podobe. Dobrý report nikdy nezostavuje rebríček menovaných jednotlivcov.
- Postup pri opakovaných kliknutiach: ako ľudia, ktorí klikajú opakovane, dostanú doplnkové školenie - bez menovania v dokumentoch, ktoré kolujú firmou.
- Odporúčané ďalšie kroky: scenár a náročnosť pre nasledujúcu kampaň plus témy školení, na ktoré dáta ukazujú.
Je phishingové testovanie zamestnancov legálne? Odpoveď podľa GDPR za 60 sekúnd
Áno - phishingové testovanie zamestnancov je v celej EÚ zákonné, ak sa robí správne. Právnym základom je oprávnený záujem podľa čl. 6 ods. 1 písm. f) nariadenia GDPR; recitál 49 výslovne uznáva zaistenie bezpečnosti sietí a informácií za oprávnený záujem prevádzkovateľa. Súhlas od zamestnancov nepýtate: ohlásenie každej kampane vopred by znehodnotilo meranie a v pracovnoprávnom vzťahu sa súhlas aj tak zriedka považuje za slobodne daný.
Oprávnený záujem však nie je bianko šek. Aby ste sa oň mohli oprieť, urobte päť vecí:
- Pred prvou kampaňou vykonajte a zdokumentujte posúdenie oprávneného záujmu (balančný test).
- V bezpečnostnej smernici informujte zamestnancov, že phishingové simulácie sú súčasťou programu - bez prezradenia termínov či šablón.
- Minimalizujte dáta: zaznamenávajte udalosti kliknutia a nahlásenia, nikdy nie heslá, ktoré ľudia napíšu do simulovanej stránky.
- Prístup k výsledkom na úrovni jednotlivcov obmedzte na malú, menovite určenú skupinu; všetkým ostatným reportujte len súhrnné čísla.
- Stanovte lehotu uchovávania a zapojte zodpovednú osobu (DPO) - a tam, kde pôsobia, aj zástupcov zamestnancov.
Ako komunikovať výsledky bez obviňovania zamestnancov
Phishingový test zlyhá v momente, keď sa ho zamestnanci začnú báť. Ľudia, ktorí čakajú verejné zahanbenie, skutočný phishing nenahlásia - potichu ho zmažú, alebo v horšom prípade kliknú a mlčia. Komunikácia je súčasťou návrhu testu, nie dodatkom:
- Program ohláste ešte pred prvou kampaňou, vo všeobecnej rovine, a vysvetlite prečo: útočníci vás testujú tak či tak - a na povolenie sa nepýtajú.
- Súhrnné výsledky zverejnite celej firme do niekoľkých dní. Transparentnosť buduje dôveru rýchlejšie než utajovanie.
- Oceňte nahlasovateľov. Poďakujte prvým, ktorí e-mail nahlásili, a urobte z nahlásenia viditeľné víťazstvo.
- Kliknutia rámcujte ako medzeru v kontrolách, nie ako nedbanlivosť. „Kliklo 31 %“ znamená, že filtrovanie, školenia a proces nahlasovania potrebujú zabrať.
- Školte v momente kliknutia. Tridsaťsekundová mikrolekcia hneď po chybe má väčší účinok než štvrťročná prezentácia.
- Dajte ľuďom nástroj, nie prednášku: zdieľajte praktický návod, ako rozpoznať phishing, a možnosť nahlásiť podozrivú správu jedným kliknutím.
Od prvého vstupného testu k priebežnému programu
Jeden test je momentka; správanie sa mení až opakovaním. Benchmark KnowBe4 z roku 2025 ukazuje pokles priemernej miery prekliknutia z 33,1 % na vstupe na 4,1 % po dvanástich mesiacoch pravidelných simulácií a školení - zníženie o 86 %. Štvrťročné kampane sú realistické minimum, mesačné bežný štandard, pričom scenáre rotujú v type aj náročnosti.
S rovnakým predpokladom dnes pracuje aj regulácia. Novela č. 366/2024 Z. z. zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorou Slovensko transponovalo smernicu NIS2, je účinná od 1. januára 2025 - a vyhláška NBÚ č. 227/2025 Z. z. ukladá regulovaným subjektom viesť plán rozvoja bezpečnostného povedomia, vyhodnocovať jeho účinnosť a uchovávať záznamy vrátane výsledkov testov. Subjekty zapísané podľa starších pravidiel môžu na základe prechodných ustanovení postupovať po starom už len do 31. decembra 2026 a kybernetický audit podľa § 29 zákona sa opakuje každé dva roky. Ak sa vás NIS2 týka, pozrite si náš rozbor požiadaviek NIS2 na školenia zamestnancov.
V praxi vyzerá cesta takto:
- Spustite bezplatnú vstupnú kampaň a zachyťte mieru prekliknutia, zadaní údajov a nahlásení.
- Zdieľajte súhrnné čísla a ohláste priebežný program.
- Nastavte frekvenciu - minimálne štvrťročnú - a postupne zvyšujte náročnosť.
- Sledujte mieru nahlásenia medzi štvrťrokmi; to je vaše skutočné KPI.
- Každý report archivujte ako dôkaz pre audit podľa NIS2, ISO 27001 alebo nariadenia DORA.
PhishGun vytvorila spoločnosť Haxoris, európska firma zameraná na ofenzívnu bezpečnosť, presne pre túto slučku: realistické kampane s lokalizovanými slovenskými, českými a anglickými šablónami, mikroškolenie v momente kliknutia a reporty pripravené na audit. Spustite prvú phishingovú kampaň zadarmo - bez platobnej karty, s reálnymi vstupnými číslami približne do dvoch týždňov.
Časté otázky
Ako často robiť phishingový test zamestnancov?
Realistickým minimom je štvrťročný test, mnohé organizácie testujú mesačne. Jeden test meria, no správanie mení až opakovanie - benchmark KnowBe4 z roku 2025 ukazuje pokles priemernej miery prekliknutia z 33,1 % na 4,1 % po dvanástich mesiacoch kombinácie simulácií a školení. V každom kole obmieňajte scenáre a náročnosť a každú kampaň zdokumentujte, aby výsledky poslúžili aj ako podklad pre audit.
Musíte zamestnancov pred phishingovým testom vopred varovať?
Vo všeobecnej rovine áno, pri konkrétnych kampaniach nie. Transparentnosť podľa GDPR vyžaduje, aby zamestnanci vedeli, že simulovaný phishing je súčasťou bezpečnostného programu - typicky cez bezpečnostnú alebo internú smernicu. Jednotlivé kampane vopred neohlasujete, znehodnotilo by to meranie. Pred prvým testom zdokumentujte oprávnený záujem a zapojte zodpovednú osobu (DPO).
Aká je dobrá miera prekliknutia pri phishingovom teste?
Pri prvom vstupnom teste klikne vo väčšine organizácií 20 až 35 % zamestnancov; benchmark KnowBe4 z roku 2025 uvádza globálny priemer 33,1 % a 24,6 % vo firmách do 250 zamestnancov. Zrelé programy sa dostávajú pod 5 %. Sledujte však aj mieru nahlásenia - rastúci podiel ľudí, ktorí simuláciu nahlásia, je najsilnejším signálom, že program bezpečnostného povedomia funguje.
Môžu byť zamestnanci za zlyhanie v phishingovom teste potrestaní?
Nie - a ani by ste to nemali chcieť. Trestanie za kliknutia naučí ľudí chyby skrývať a prestať nahlasovať skutočné incidenty, čím sa stratí hlavná hodnota testovania. Oslabuje aj rovnováhu oprávneného záujmu podľa GDPR, o ktorú sa zákonnosť testu opiera. Opakované kliknutia riešte cieleným doškolením a individuálne výsledky sprístupnite len malej, menovite určenej skupine.
Je bezplatný phishingový test naozaj zadarmo?
Často áno, s obmedzeniami. Agentúry používajú bezplatnú phishingovú diagnostiku na získavanie zákazníkov, zvyčajne s limitom rozsahu alebo počtu zamestnancov. Samoobslužné platformy vrátane PhishGunu vám umožnia spustiť celú prvú kampaň zadarmo a bez platobnej karty. Bezplatné vstupné meranie je skutočne užitočné: získate mieru prekliknutia a nahlásení, ktorou zdôvodníte ďalší rozpočet.