Pre organizácie

Ochrana pred phishingom vo firme: viacvrstvová obrana, ktorá funguje

Phishing nezastaví jediné opatrenie a v Európe naďalej stojí na začiatku väčšiny úspešných útokov. Spoľahlivá ochrana pred phishingom vo firme preto kombinuje viacero vrstiev: technické filtrovanie pošty, posilnenie identít, pravidelné školenia zamestnancov o kybernetickej bezpečnosti a rýchle nahlasovanie podozrivých e-mailov. Tento návod ukazuje IT manažérom aj bezpečnostným tímom, ako poskladať obranu, ktorá je praktická a zároveň merateľná a pokryje aj povinnosti podľa NIS2 a DORA.

8 min čítaniaAktualizované 2026-06-07

Prečo funguje len viacvrstvová ochrana pred phishingom

Na phishing neexistuje jedno univerzálne riešenie. Filtre prepustia novú, ešte neznámu návnadu, technika nezastaví presvedčivý telefonát a aj skúsený, dobre vyškolený človek raz za čas klikne tam, kam nemal. Práve preto sa oplatí budovať obranu do hĺbky: poskladať nezávislé vrstvy tak, aby v okamihu, keď jedna zlyhá, škodu zachytila ďalšia. Ak ste v téme noví, dobrým východiskom sú naše články o tom, čo je phishing a ako rozpoznať phishing.

Osvedčený model stojí na štyroch vrstvách, ktoré sa navzájom dopĺňajú. Najprv zachytíte čo najviac útokov technicky, pomocou e-mailovej autentifikácie a filtrovania. Potom posilníte identity tak, aby ukradnuté heslo útočníkovi nebolo nič platné. Ďalej pripravíte ľudí, aby spoznali a ustáli to, čo cez filtre predsa len prejde. A nakoniec dokážete rýchlo odhaliť hrozbu a zareagovať vďaka tomu, že zamestnanci podozrivé správy spoľahlivo nahlasujú. Každá vrstva znižuje riziko aj sama o sebe, no spolu dokážu z jednej ľudskej chyby spraviť bezvýznamnú epizódu namiesto bezpečnostného incidentu.

Technické opatrenia: autentifikácia a filtrovanie e-mailov

Prvá vrstva ochrany pred phishingom má jeden cieľ: zastaviť podvrhnutú a škodlivú správu skôr, než ju vôbec uvidí človek. Začnite e-mailovou autentifikáciou. Tá útočníkom výrazne sťaží, aby sa vydávali za vašu doménu alebo za známe značky, ktorým vaši ľudia dôverujú, napríklad za banku, Slovenskú poštu či Finančnú správu.

SPF, DKIM a DMARC v praxi

  • SPF určuje, ktoré poštové servery smú odosielať poštu za vašu doménu. Podvrhnutý odosielateľ tak touto kontrolou neprejde.
  • DKIM správy kryptograficky podpisuje, takže si príjemca overí, že obsah cestou nikto nezmenil.
  • DMARC prepája SPF a DKIM s adresou, ktorú adresát reálne vidí v poli Od, určuje politiku (none, quarantine alebo reject) a posiela vám prehľadové reporty. Prechod na vynútenú politiku reject patrí k vôbec najúčinnejším krokom proti phishingu.
  • Moderné bezpečnostné brány a filtre zabudované v Microsoft 365 či Google Workspace k tomu pridávajú prepisovanie odkazov, otváranie príloh v izolovanom prostredí (sandbox) a detekciu vydávania sa za konkrétne osoby.

Doplňte to rozumnými pravidlami pre prichádzajúcu poštu: viditeľne označujte správy od externých odosielateľov, odstraňujte rizikové prílohy a upozorňujte na domény, ktoré sa na prvý pohľad podobajú tým vašim. Majte však na pamäti, že útoky typu adversary-in-the-middle aj phishing cez QR kódy (quishing) sú priamo navrhnuté tak, aby filtre obišli. Technika preto objem hrozieb výrazne zníži, no nikdy nie na nulu.

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Posilnenie identity: dvojfaktorová autentifikácia a passkeys odolné voči phishingu

Ukradnuté prihlasovacie údaje sú jedným z najčastejších spôsobov, akými sa útočník dostane dovnútra. Cieľ tejto vrstvy je preto jednoduchý: spraviť z vyphishovaného hesla bezcennú informáciu. Základom je viacfaktorové overovanie, teda MFA, ktoré by malo byť povinné všade, no v prvom rade pri e-maile, VPN a administrátorských účtoch. Dvojfaktorová autentifikácia vo firme dnes nie je nadštandard, ale minimum.

Nie každá MFA je však rovnako odolná. Slabšie faktory dokážu útočníci obísť postupmi, s ktorými treba vopred počítať:

  • MFA fatigue (push bombing): útočník zahltí používateľa výzvami na schválenie tak dlho, kým z únavy alebo otrávenosti niektorú jednoducho potvrdí.
  • Adversary-in-the-middle (AiTM): proxy server prihlásenie v reálnom čase preposiela ďalej a zachytí pritom heslo aj prihlásenú reláciu (session token). Tým obíde jednorazové kódy aj potvrdzovanie cez aplikáciu.
  • OAuth consent phishing: používateľa naláka, aby škodlivej aplikácii udelil prístup cez token, takže útočník nepotrebuje ukradnúť ani heslo.

Najsilnejšou odpoveďou je autentifikácia odolná voči phishingu. Passkeys a štandard FIDO2/WebAuthn stoja na kryptografii verejného kľúča, ktorá je naviazaná priamo na adresu legitímnej stránky. Prihlasovacie údaje sa tak na podvrhnutej stránke jednoducho nedajú zneužiť. Nasaďte ich najprv pre najrizikovejšie roly, obmedzte udeľovanie súhlasu OAuth aplikáciám a nastavte pravidlá podmieneného prístupu, ktoré povolia prihlásenie len zo spravovaných zariadení a očakávaných lokalít.

Ľudská vrstva: školenia zamestnancov a realistické simulácie phishingu

Zamestnanci nie sú najslabší článok. Naopak, sú vrstvou, ktorá zachytí to, čo technika prehliadla. Cieľom je dať im vedomosti aj istotu, aby sa pri podozrivej správe dokázali zastaviť a zamyslieť. Jedna prezentácia raz za rok správanie nezmení, krátke, časté a praxi blízke školenie áno.

Priebežné školenia zamestnancov o kybernetickej bezpečnosti spojte s realistickými simuláciami phishingu zasadenými do slovenských reálií, ktoré napodobnia návnady, s akými sa vaši ľudia naozaj stretávajú: falošné prihlásenie do Microsoft 365, smishingovú SMS o doručení balíka v mene Slovenskej pošty alebo kuriéra, prípadne žiadosť o úhradu faktúry mierenú na účtovníčky. Najúčinnejšie programy podajú krátke mikroškolenie hneď v okamihu, keď niekto klikne, a tým z chyby spravia zapamätateľnú lekciu bez následkov namiesto pokarhania. Platformy ako PhishGun takéto lokalizované simulácie spájajú so školením v správnej chvíli a postupne budujú merateľnú odolnosť firmy. Nezabudnite ani na cielené hrozby, pretože spear phishing a podvody typu BEC obídu obranu proti hromadnej pošte a spoliehajú sa výhradne na ľudský úsudok.

Vybudujte kultúru rýchleho nahlasovania phishingu

O výsledku rozhoduje rýchlosť, akou hrozbu odhalíte. Phishingový e-mail nahlásený v priebehu pár minút stihnete stiahnuť zo všetkých schránok skôr, než naň klikne viac ľudí. Ten istý e-mail zachytený o niekoľko dní už môže byť plnohodnotným incidentom. Najužitočnejším nástrojom je preto tlačidlo na nahlásenie jedným klikom priamo v poštovom klientovi, ktoré podozrivú správu pošle rovno bezpečnostnému tímu.

  • Dajte každému jednoduchý a bezproblémový spôsob nahlasovania, ideálne zabudované tlačidlo namiesto adresy, na ktorú treba správu preposielať.
  • Potvrďte každé nahlásenie vrátane planých poplachov, aby ľudia mali motiváciu nástroj naozaj používať.
  • Automatizujte triedenie, aby sa nahlásené správy dali zoskupiť, analyzovať a rýchlo odstrániť aj z ostatných schránok.
  • Uzavrite kruh: nahlasovateľovi dajte vedieť, keď jeho upozornenie pomohlo zastaviť reálny útok.

Zdravá kultúra nahlasovania zároveň živí vaše metriky. Každé hlásenie je dôkazom, že školenia fungujú a že vaši ľudia firmu aktívne bránia, nielen pasívne dúfajú, že filtre všetko podchytia.

Meranie pokroku: metriky, na ktorých naozaj záleží

Prevencia phishingu vo firme zlepší len to, čo skutočne meriate. Posuňte sa za jediný údaj o miere kliknutí a sledujte správanie ľudí v čase. Len tak vedeniu aj audítorom doložíte, že riziko reálne klesá.

  • Miera kliknutí (click rate): podiel príjemcov, ktorí klikli na simulovanú návnadu, sledovaný v čase a rozdelený podľa oddelení.
  • Miera nahlásení (report rate): koľko ľudí simuláciu nahlásilo a ako rýchlo. Rastúca miera nahlásení býva lepším znakom vyspelosti než samotný pokles kliknutí.
  • Čas do nahlásenia: medián času od doručenia po prvé hlásenie. Práve rýchlosť totiž najviac obmedzuje reálnu škodu.
  • Riziko opakovane klikajúcich: kto klikne znova a znova, aby sa doškolenie zameralo tam, kde pomôže najviac.
  • Pokrytie a dokončenie školení: ktoré tímy majú školenie aktuálne, namapované na váš rozsah rizika a regulačných povinností.

Súlad s reguláciou: NIS2, ISO 27001 a DORA

Pre mnohé firmy v EÚ už školenie proti phishingu nie je dobrovoľné. Viaceré rámce dnes vyžadujú preukázateľnú osvetu a riadenie rizík vrátane jasnej zodpovednosti na úrovni vedenia.

  • NIS2 (smernica (EÚ) 2022/2555) vyžaduje základnú kybernetickú hygienu a školenia kybernetickej bezpečnosti pre všetkých zamestnancov vrátane phishingu a sociálneho inžinierstva. Zodpovednosť za dohľad nad opatreniami kladie na riadiace orgány, ktoré sa musia školiť aj samy. Slovensko smernicu prebralo zákonom č. 366/2024 Z. z. (účinný od 1. januára 2025), Česko zákonom č. 264/2025 Sb. (účinný od 1. novembra 2025).
  • ISO 27001 očakáva zdokumentovanú bezpečnostnú osvetu ako súčasť systému riadenia informačnej bezpečnosti, a to spolu s dôkazmi o priebežnej spôsobilosti zamestnancov.
  • DORA (nariadenie (EÚ) 2022/2554) sa od 17. januára 2025 vzťahuje na finančné subjekty a nariaďuje im programy osvety v oblasti bezpečnosti IKT aj školenia digitálnej odolnosti, ktoré sa týkajú aj vrcholového manažmentu.
  • GDPR zostáva v hre stále: porušenie ochrany osobných údajov spôsobené phishingom treba dozornému orgánu nahlásiť bez zbytočného odkladu, a ak je to možné, do 72 hodín od zistenia.

Praktický záver znie jednoducho: udržujte si dôkazy pripravené na audit. Záznamy o školeniach, výsledky simulácií a metriky nahlasovania ukážu, že vaša ochrana pred phishingom je riadené a merané opatrenie, nie jednorazová akcia, a presne to chcú posudzovatelia vidieť.

Časté otázky

Ako ochrániť firmu pred phishingom?

Žiadne jediné opatrenie nestačí. Najúčinnejšia je viacvrstvová obrana: technické opatrenia (SPF, DKIM, DMARC a filtrovanie pošty), posilnenie identít (MFA a passkeys), pravidelné školenia s realistickými simuláciami phishingu a rýchle nahlasovanie podozrivých správ. Spolu zariadia, že sa z jednej ľudskej chyby nestane incident.

Prečo je dôležitá dvojfaktorová autentifikácia (MFA)?

MFA spraví z ukradnutého hesla bezcennú vec, lebo na prihlásenie už nestačí. Zablokuje veľkú časť útokov, no základnú SMS alebo potvrdzovanie cez aplikáciu dokážu obísť proxy typu adversary-in-the-middle a útoky MFA fatigue. Pri kľúčových účtoch preto smerujte k metódam odolným voči phishingu, ako sú passkeys a FIDO2.

Ako často školiť zamestnancov o phishingu?

Jedno školenie ročne správanie nezmení. Oveľa lepšie fungujú krátke a časté lekcie počas celého roka doplnené o pravidelné simulácie phishingu, ideálne každý mesiac alebo dva. Najsilnejší efekt má mikroškolenie podané hneď v okamihu, keď niekto na návnadu klikne.

Čo vyžaduje smernica NIS2 v oblasti phishingu?

NIS2 vyžaduje základnú kybernetickú hygienu a školenia kybernetickej bezpečnosti pre všetkých zamestnancov vrátane phishingu a sociálneho inžinierstva. Zodpovednosť za dohľad nad opatreniami nesie vedenie, ktoré sa musí školiť aj samo. Na Slovensku smernicu prebral zákon č. 366/2024 Z. z. účinný od 1. januára 2025.

Ako zamestnanci nahlásia podozrivý e-mail?

Najjednoduchšie cez tlačidlo na nahlásenie jedným klikom priamo v poštovom klientovi, ktoré správu pošle rovno bezpečnostnému tímu. Je to lepšie než preposielanie na zdieľanú adresu. Dôležité je, aby firma každé hlásenie potvrdila a ľudí za nahlasovanie nikdy neobviňovala, inak prestanú nahlasovať.

Súvisiace články

Pre zamestnancov

Ako rozpoznať phishing: varovné signály a znaky podvodu

Vedieť, ako rozpoznať phishing, patrí dnes medzi najužitočnejšie zručnosti v práci aj v súkromí. Podvodné emaily a SMS zostávajú najčastejšou bránou, cez ktorú sa útočníci dostanú do firmy. V tomto návode si ukážeme konkrétne varovné signály phishingu, naučíte sa bezpečne overiť odkaz aj odosielateľa a budete presne vedieť, čo robiť, keď vám niečo nesedí.

8 min čítaniaČítať článok
Základy

Čo je phishing? Definícia, príklady a ako tieto útoky fungujú

Phishing je podvod založený na sociálnom inžinierstve – útočník sa vydáva za dôveryhodnú osobu, firmu alebo úrad a snaží sa z vás vylákať prihlasovacie údaje, schválenie platby alebo inštaláciu škodlivého softvéru. Z európskych prehľadov o kybernetických incidentoch pritom dlhodobo vyplýva, že práve phishing býva najčastejšou bránou, cez ktorú sa útočníci dostanú do organizácie. V tomto sprievodcovi vám zrozumiteľne vysvetlíme, čo je phishing, ako prebieha phishingový útok, aké kanály a návnady využíva a čo robiť, aby ste mu nenaleteli.

7 min čítaniaČítať článok
Cielené útoky

Spear phishing a BEC podvod (kompromitácia firemného emailu)

Spear phishing je cielený a dôkladne pripravený útok mierený na konkrétneho človeka alebo pozíciu a práve on poháňa BEC podvod, teda kompromitáciu firemného emailu, ktorá patrí k finančne najničivejším formám kybernetickej kriminality. V tomto návode si vysvetlíme, ako si útočníci zisťujú informácie o obetiach, čo presne znamená CEO fraud podvod a podvod s falošnou faktúrou, prečo tieto správy emailové filtre tak často prepustia a ktoré vrstvy obrany naozaj fungujú, keď sa chcete brániť BEC útoku.

8 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com