← Zpět na blog
13. května 2026·5 min čtení·Tým TopSMS

Jak chránit zaměstnance před phishingem ve firmě

Phishing je nejčastější příčinou bezpečnostních incidentů v českých firmách. Konkrétní opatření, simulace, vzdělávání a technické nastroje — co funguje a co je jen marketing.

Podle reportu NÚKIB 2024 bylo 84 % bezpečnostních incidentů v českých firmách způsobeno lidským faktorem — z toho velká většina phishingem. Útočník nepotřebuje hackovat firewall, stačí jeden email a jeden klik zaměstnance. Tento článek je praktický průvodce pro majitele firem a IT manažery — co reálně funguje, co je placebo.

Proč zaměstnanci propadnou phishingu

Není to o inteligenci. Phishing funguje na emoce a kontext:

  • Urgence — "Účet bude do 24h zablokován"
  • Autorita — "Šéf vám posílá tuto fakturu k okamžitému uhrazení"
  • Lidskost — "Pomozte mi, jsem v krizi" (CEO fraud)
  • Rutina — vypadá to jako každý jiný interní email, klik je reflex

Studie Stanford 2024: po 8 hodin práce pravděpodobnost spadnutí do phishingu stoupá o 35 %. Únava + spěch = útočníkovi nejlepší kamarádi.

Tři kanály phishingu

1. Email (klasický)

Nejčastější. Útočník napodobuje:

  • Banku ("ČSOB ověření")
  • Faktura od dodavatele ("Faktura 2024-587 splatnost zítra")
  • IT helpdesk ("Reset hesla — kliknete pro nové")
  • CEO fraud ("Potřebuji rychle převést 80 000 Kč na nového dodavatele")

2. SMS (smishing)

Rostoucí kanál. SMS má otevíranost 98 % = útočník ví, že se přečte:

  • "ČP: Vaše zásilka má neuhrazené clo. Zaplatit: https://..."
  • "Detekováno přihlášení z neznámého zařízení..."
  • "Vaše banka: ověřte transakci..."

Smishing v ČR vzrostl v 2024 o 180 % (data NÚKIB). Telefony jsou hůř chráněné než počítače — žádné corporate antivirusy.

3. Voice (vishing)

Útočník volá zaměstnance a vydává se za:

  • IT support ("Potřebuji vaše heslo pro update")
  • Bank fraud team ("Detekovali jsme podezřelou transakci, řekněte mi OTP")
  • Šéf firmy ("Rychle převeďte peníze, vysvětlím později")

Vishing je drahý pro útočníka (čas), ale succes rate vyšší než email — emoce hrají větší roli.

Co reálně funguje (a co ne)

NEFUNGUJE samostatně:

  • "Roční 30-min phishing školení" — zaměstnanci za 3 měsíce zapomenou
  • Drahá technologie bez procesu — nejlepší antispam neuchrání před spear-phishing
  • "Zakázat e-maily zvenku" — práce vyžaduje komunikaci
  • Vyhrožování — "kdo klikne, dostane výpověď" odrazuje od nahlášení incidentu

FUNGUJE kombinace:

Technická vrstva:

  1. MFA všude — 2FA na e-mail, banking, CRM, ERP. SMS OTP nebo TOTP aplikace.
  2. Password manager — Bitwarden / 1Password pro celou firmu. Phishing stránka má jinou URL = password manager nenavrhne autofill.
  3. Email filtering — Proofpoint, Microsoft Defender, Mimecast. Catch většinu před doručením.
  4. DMARC / SPF / DKIM na vaší doméně — útočník nemůže poslat email s "from: vasajmeno@firma.cz".
  5. DNS filtering — Cloudflare for Teams, Cisco Umbrella. Blokuje přístup k známým phishing doménám.

Procesní vrstva:

  1. Žádné finanční operace bez verbálního ověření. Email od šéfa "převeďte 200k" = zavolej a ověř.
  2. Nikdy nevyžadujte heslo přes email/SMS/telefon. Pokud někdo žádá heslo, je to phishing.
  3. Single point of contact pro fraud. Zaměstnanec ví: "v případě podezření kontaktuju Marii v IT, ne firmu zvenku".
  4. Hotline pro incident — anonymní, bez sankcí. Zaměstnanec radši nahlásí (i falešný poplach) než zatají.

Vzdělávací vrstva:

  1. Mikro-tréninky 5 min/měsíc > 1× ročně dlouhé školení
  2. Simulace phishingu — periodicky pošlete vlastní phishing email, kdo klikne = další školení (BEZ sankcí poprvé)
  3. Konkrétní příklady — ne "phishing je zlý", ale "tady je email který přišel kolegovi minulý týden, co je špatně"

Phishing simulace — co měřit

Nejlepší způsob jak sledovat fitness organizace proti phishingu jsou simulované kampaně. Posíláte falešný phishing svým zaměstnancům, měříte:

MetrikaCo znamenáBenchmark CZ 2024
Click rateKolik kliklo na link15-25 % výchozí, < 5 % po 12 měsících tréninku
Credential entry rateKolik zadalo heslo5-10 % výchozí, < 2 % vytrénovaní
Report rateKolik nahlásilo phishing IT< 5 % výchozí, > 40 % vytrénovaní
Time to reportJak rychle reagovali> 24 h → < 30 min ideál

Nástroje pro simulace (low budget): Gophish (open-source), KnowBe4 (placené, učí), Microsoft Attack Simulator (součást M365 E5).

Konkrétní pravidla pro vaši firmu

Zveřejněte interně:

  1. "Naše IT nikdy nebude žádat vaše heslo přes telefon/email/SMS."
  2. "Účty s přístupem k financím nesmí komunikovat s veřejností přes osobní email."
  3. "Veškeré platby > 50 000 Kč vyžadují 2 podpisy a verbální ověření."
  4. "Při jakémkoli podezření zavolej Marii (IT) na 777-XXX. Nehlasí se přes email."
  5. "Pokud klikneš a uvědomíš si chybu, okamžitě hlas — nečekej."

SMS notifikace jako součást strategie

SMS hraje dvě role v phishing ochraně:

Pozitivní použití (vy chráníte své zákazníky)

  • 2FA OTP pro přihlášení do aplikace
  • Transakční potvrzení ("Z účtu odešla platba 1 500 Kč. Pokud jste to nebyli vy, zavolejte 800-XXX.")
  • Bezpečnostní upozornění ("Nový přístup z IP 1.2.3.4. Pokud jste to nebyli vy, změňte heslo.")

V TopSMS doporučujeme standardní disclaimer na všechny security SMS:

Banka X: Detekce nového přihlášení. Pokud to nejste vy, 
zavolejte 800-XXX. Nikdy vás nepožádáme o heslo/PIN.

Posledni věta je důležitá — eduakuje zákazníka v každé SMS. Po 3 měsících má vyšší fraud-detection rate.

Negativní použití (útočníci to zneužijí)

Pokud váš sender ID není schválen, útočníci mohou poslat SMS s podobným pool číslem. Schválený alfanumerický sender (např. "VaseFirma") drasticky snižuje úspěšnost smishing — uživatel vidí, že "skutečná" SMS je s textovým senderem, falešná z čísla.

Compliance — to co nesmíte zapomenout

Pokud spadáte pod NIS2 (téměř každá firma > 50 zaměstnanců nebo poskytovatel digitálních služeb), musíte mít:

  • Bezpečnostní školení povinné pro všechny zaměstnance
  • Incident response plán se 24h reportingem
  • Auditovatelný log všech bezpečnostních událostí
  • Penetration testing alespoň 1× ročně

Pokuty NIS2 v ČR jsou v rozsahu 2-10 mil. Kč, plus osobní odpovědnost statutárního orgánu.

Závěr

Phishing není problém, který se "vyřeší" jedním školením nebo jednou licencí. Je to kontinuální disciplína:

  • Týden 1: Audit současného stavu (klikněte na simulaci, podívejte se kdo klikne)
  • Měsíc 1-3: Zavedení MFA všude + password manager
  • Měsíc 3-6: Pravidelné simulace + krátká školení
  • Trvale: Žádné finanční operace bez verbálního ověření, hotline pro incidenty

Investice 2-5 tis. Kč měsíčně na nástroje + 1-2 hodiny IT týdně se vrátí v prvním incidentu, který tím zachytíte.

Pokud chcete pomoc s nasazením SMS 2FA nebo notifikací jako součásti vaší bezpečnostní strategie, napište nám — máme s tím zkušenosti napříč CZ klienty.

bezpečnostphishingfirmycompliance
Otestujte TopSMS zdarma

10 SMS na start, bez závazku, registrace minuta.

Registrovat zdarma →