Blog
Penetrační testy a audity: Kdy je potřebujete a co od nich čekat

Penetrační testy a audity: Kdy je potřebujete a co od nich čekat

David Martínek
24. listopadu 2025
9 min čtení

„Potřebujeme penetrační test."

„Ne, potřebujeme audit."

„Počkat, není to to samé?"

Ne, není. A je důležité vědět, co je co – jinak utratíte peníze za špatnou věc.

Audit vs. penetrační test: Základní rozdíl

Audit kybernetické bezpečnosti = Kontrola, jestli máte papíry v pořádku a děláte, co slibujete.

Penetrační test = Někdo se pokusí hacknout váš systém a ukáže vám, kde to jde.

Analogie:

  • Audit = Hygienik přijde do vaší restaurace, zkontroluje certifikáty, teploty v lednicích, záznamy o úklidu. Papírově je vše OK?
  • Penetrační test = Někdo se pokusí najít díru v plotě kolem vaší restaurace a dostat se dovnitř. Kde jsou fyzické slabiny?

Obojí je důležité. Audit ověří, že máte procesy. Penetrační test ověří, že ty procesy skutečně fungují.

Co přesně dělá audit

Auditor přijde a zkoumá:

Dokumentaci – máte politiky, směrnice, záznamy o incidentech?
Procesy – jak děláte zálohy, jak řídíte přístupy, jak školíte lidi?
Soulad s požadavky – splňujete, co požaduje zákon/norma/smlouva?
Kontrolu změn – jak řídíte změny v systémech?
Řízení dodavatelů – prověřujete bezpečnost subdodavatelů?

Co auditor NEDĚLÁ:

  • Nezkouší vás hacknout
  • Netestuje, jestli váš firewall skutečně blokuje útoky
  • Nehledá konkrétní zranitelnosti v kódu

Výstup z auditu:

  • Zpráva o souladu (splňujete/nesplňujete požadavky)
  • Seznam nedostatků (co chybí nebo nefunguje)
  • Doporučení na nápravu
  • Termíny, do kdy to napravit

Proč ho potřebujete:

  • Zákon to vyžaduje (režim vyšších povinností = povinný audit 1× za 2 roky)
  • Chcete certifikaci ISO 27001
  • Zákazník/partner po vás chce důkaz, že jste v pořádku

Co přesně dělá penetrační test

Etický hacker (pentester) dostane za úkol:

🎯 Najít zranitelnosti v síti, aplikacích, systémech
🎯 Vyzkoušet je – dokáže se přes ně dostat dál?
🎯 Simulovat reálný útok – co by útočník mohl ukrást/poškodit?

Jak to probíhá:

Fáze 1: Reconnaissance (průzkum)

  • Pentester sbírá informace – jaké máte systémy, jaké verze software, kde jsou vstupy

Fáze 2: Scanning (skenování)

  • Hledá otevřené porty, služby, známé zranitelnosti
  • „Kde jsou dveře a okna, a jsou zamčené?"

Fáze 3: Exploitation (zneužití)

  • Zkouší najít způsob, jak se dostat dovnitř
  • Testuje konkrétní zranitelnosti – jdou skutečně zneužít?

Fáze 4: Post-exploitation (po průniku)

  • „Dostal jsem se dovnitř – co teď můžu udělat?"
  • Může eskalovat privilegia? Dostat se k citlivým datům?

Fáze 5: Reporting (zpráva)

  • Sepíše všechny nalezené slabiny
  • Ohodnotí jejich závažnost (kritická/vysoká/střední/nízká)
  • Doporučí, jak je opravit

Výstup z penetračního testu:

  • Seznam zranitelností (s důkazy, že fungují)
  • Hodnocení rizika pro každou z nich
  • Konkrétní doporučení na opravu
  • Často i video/screenshot důkazu

Proč ho potřebujete:

  • Zákon ho přímo nevyžaduje, ale vyžaduje "řízení zranitelností"
  • Chcete vědět, kam by se útočník dostal
  • Chcete ověřit, že vaše obrana funguje

Kdy je co povinné podle nového zákona

Audit kybernetické bezpečnosti:

  • Povinný pro režim vyšších povinností (essential)
  • Frekvence: Minimálně 1× za 2 roky
  • Alternativa: Můžete audit rozložit do částí – pak musí být vše prověřeno minimálně 1× za 5 let
  • Nepovinný pro režim nižších povinností (important)

Penetrační test:

  • ⚠️ je povinný – minimálně 1× za 2 roky (režim vyšších povinností)
  • Fakticky potřebný – bez testování nemůžete prokázat, že víte o svých slabinách
  • Doporučená frekvence: Minimálně 1× ročně + po každé větší změně infrastruktury

Prakticky:

  • Máte režim vyšších povinností → audit povinně 1× za 2 roky + penetrační test doporučen 1× ročně
  • Máte režim nižších povinností → audit nepovinný, ale penetrační test silně doporučen

Poznámka: Kromě pravidelného penetračního testování 1× za 2 roky je také povinné skenování zranitelností minimálně 1× ročně (§ 24 odst. 4)

Jak často to dělat (realisticky)

Audit:

  • Minimum (zákon): 1× za 2 roky (režim vyšších povinností)
  • Doporučení: 1× ročně (pokud chcete držet krok se změnami)
  • Když: Po velkých změnách (nový systém, fúze, změna procesů)

Penetrační test:

  • Minimum: 1× ročně
  • Doporučení: 2× ročně (jaro + podzim)
  • Navíc: Po každé velké změně
    • Nasadili jste novou aplikaci? Test.
    • Změnili jste architekturu sítě? Test.
    • Přidali jste novou pobočku? Test.

Proč častěji než je nutné minimum:

  • Vaše prostředí se mění (nové systémy, updaty, zaměstnanci)
  • Objevují se nové zranitelnosti (CVE)
  • Útočníci se učí novým trikům

Typy penetračních testů

Ne každý penetrační test je stejný. Můžete si vybrat podle toho, co chcete otestovat:

1. Black Box (útočník neví NIC)

Co to je: Pentester dostane jen veřejné info (např. URL webu). Nic víc.

Výhody:

  • Simuluje reálného útočníka
  • Ukáže, co vidí „zlouni" zvenčí

Nevýhody:

  • Pomalejší
  • Možná nenajde všechny slabiny (nedostane se všude)

Kdy použít: Chcete vědět, jak by dopadl reálný útok zvenčí.

2. Grey Box (útočník ví NĚCO)

Co to je: Pentester dostane základní info – např. přístupy běžného uživatele, dokumentaci architektury.

Výhody:

  • Rychlejší než black box
  • Hlubší než black box (dostane se dál)
  • Dobrý kompromis

Nevýhody:

  • Není plně realistický (útočník by tyhle info neměl)

Kdy použít: Nejčastější volba – dobrý poměr cena/výkon.

3. White Box (útočník ví VŠECHNO)

Co to je: Pentester dostane vše – kód, schémata sítě, přístupy admina, dokumentaci.

Výhody:

  • Nejrychlejší
  • Najde nejvíc zranitelností
  • Důkladné (projde všechno)

Nevýhody:

  • Nerealistický (útočník tohle nemá)
  • Dražší (více práce)

Kdy použít: Chcete maximálně důkladný test, třeba před spuštěním nové aplikace.

4. Red Team / Blue Team

Co to je: Červený tým (útočníci) vs. modrý tým (obrana). Simuluje reálný útok – jak rychle ho zachytíte a zastavíte?

Výhody:

  • Testuje celou obranu (technologie + lidi + procesy)
  • Ukáže, jak rychle reagujete na incident

Nevýhody:

  • Drahé
  • Náročné (potřebujete dobrý tým)

Kdy použít: Pokud už máte bezpečnost na slušné úrovni a chcete otestovat reakci na incident.

Co čekat od auditu (krok za krokem)

Týden 1: Příprava

  • Auditor si vyžádá dokumenty (politiky, záznamy, seznamy aktiv)
  • Domluvíte si termíny schůzek
  • Připravíte přístupy (pokud bude chtít nahlédnout do systémů)

Týden 2-3: Audit na místě (nebo remote)

  • Auditor prochází dokumentaci
  • Dělá rozhovory s lidmi (IT, vedení, uživatelé)
  • Kontroluje nastavení systémů (často jen vzorky)
  • Ověřuje, že procesy odpovídají dokumentaci

Týden 4: Zpracování zprávy

  • Auditor zpracuje zjištění
  • Sepíše nedostatky a doporučení

Týden 5: Předání zprávy

  • Dostanete dokument s výsledky
  • Auditor vám je vysvětlí
  • Dohodnete termíny nápravy

Co bude ve zprávě:

  • ✅ Co je v pořádku
  • ❌ Co chybí nebo nefunguje
  • ⚠️ Co je sporné/rizikové
  • 📋 Doporučení, jak to opravit
  • 📅 Doporučené termíny

Časová náročnost: 5-10 pracovních dní (záleží na velikosti firmy)

Cena: 100 000 – 500 000 Kč (dle rozsahu)

Co čekat od penetračního testu (krok za krokem)

Týden 1: Scoping (vymezení)

  • Dohodnete, co se bude testovat (web? síť? aplikace?)
  • Určíte typ testu (black/grey/white box)
  • Naplánujete termín
  • Důležité: Informujte IT tým (aby nevolali policii, když uvidí podezřelou aktivitu)

Týden 2-3: Testování

  • Pentester pracuje (vy většinou nic nevidíte)
  • Zkouší najít zranitelnosti a proniknout
  • Dokumentuje, co našel

Týden 4: Reporting

  • Pentester sepíše zprávu
  • Seřadí zranitelnosti podle závažnosti

Týden 5: Předání a vysvětlení

  • Dostanete zprávu
  • Pentester vám ukáže, co našel (často živá ukázka)
  • Proberete, co opravit jako první

Co bude ve zprávě:

  • 🔴 Kritické zranitelnosti (opravte HNED)
  • 🟠 Vysoké (opravte do měsíce)
  • 🟡 Střední (opravte do čtvrtletí)
  • 🟢 Nízké (nice to have)
  • Pro každou: popis, důkaz, dopad, jak opravit

Časová náročnost: 10-20 pracovních dnů (dle rozsahu)

Cena: 150 000 – 800 000 Kč (dle složitosti a rozsahu)

Jak vybrat dodavatele

Pro audit hledejte: 

Certifikace – např. CISA, ISO 27001 Lead Auditor
Zkušenosti s vaším odvětvím – audit ve zdravotnictví je jiný než v e-commerce
Reference – mluvte s jejich klienty
Metodiku – podle čeho budou auditovat? (ISO 27001, NIS2, interní standard?)
Nezávislost – auditor nesmí auditovat systémy, které sám navrhl

Pro penetrační test hledejte: 

Certifikace – např. OSCP, CEH, GPEN
Portfolio – jaké útoky umí simulovat?
Metodiku – podle čeho pracují? (OWASP, PTES, OSSTMM?)
Etiku – musí podepsat NDA, nenechat si zadní vrátka
Kvalitu reportu – ukažte si vzorek zprávy z minulých testů

Červené vlajky (NEOBJEDNÁVEJTE): 

🚩 „Děláme audit i penetrační test za 50 000 Kč" – je to podezřele levné
🚩 Nemají reference
🚩 Slibují „žádné zranitelnosti nenajdeme" – to není jejich cíl
🚩 Nechtějí podepsat NDA

Časté chyby a jak se jim vyhnout

Chyba 1: Objednáte audit, ale potřebujete penetrační test (a naopak) 

Problém: Utratíte peníze za špatnou věc

Řešení: Zodpovězte si: „Chci vědět, jestli mám papíry v pořádku (audit), nebo jestli mě jde hacknout (pentest)?"

Chyba 2: Uděláte test, ale neopravíte zranitelnosti 

Problém: Našli vám 20 děr v obraně a vy to ignorujete

Řešení: Plánujte čas i rozpočet na opravu. Není důvod dělat test, pokud pak nic neopravíte.

Chyba 3: Neinformujete IT tým o testu 

Problém: IT tým vidí podezřelou aktivitu a blokuje ji (nebo volá policii)

Řešení: Informujte všechny, kdo o tom potřebují vědět. Ale ne celou firmu (mohli by útok napovědět testerovi).

Chyba 4: Penetrační test v produkci bez zálohy 

Problém: Test omylem shodí produkční systém

Řešení: Buď testujte na testovacím prostředí, nebo mějte čerstvou zálohu. A jasně definujte, co tester NESMÍ udělat.

Chyba 5: Audit jen kvůli papíru 

Problém: Zaplatíte audit, dostanete razítko, nedostatky ignorujete

Řešení: Audit má smysl, jen když jeho výstupy použijete k nápravě. Jinak jsou to vyhozené peníze.

Chyba 6: Jeden test ročně a pak klid 

Problém: Za rok se toho hodně změní – nové systémy, updaty, zaměstnanci

Řešení: Test = snapshot momentu. Velká změna = nový test.

Jak s tím může pomoct Kraita

V Kraita Cyber One najdete:

  • Checklist přípravy na audit – co si nachystat, aby audit proběhl hladce
  • Harmonogram testů – kdy máte naplánovaný audit/pentest
  • Evidence zranitelností – kde máte zaznamenané výsledky testů a co už je opravené
  • Tracking náprav – sledování, které nedostatky z auditu/testu už jsou vyřešené

Kraita vám hlídá termíny, abyste nezapomněli na pravidelné testy. Ale samotný audit/pentest musíte stále objednat u externího dodavatele.

Shrnutí

Audit a penetrační test nejsou to samé. Oba jsou důležité, ale dělají jinou věc.

Klíčové rozdíly:

Audit Penetrační test
Co testuje Procesy, dokumentaci, soulad Technické zranitelnosti
Jak Kontrola papírů, rozhovory Simulovaný útok
Výstup Soulad/nesoulad s požadavky Seznam zranitelností
Povinnost Ano (vyšší režim, 1× za 2 roky) Ne přímo (ale fakticky nutný)
Frekvence 1× za 2 roky (min.) 1× ročně (doporučeno)
Cena 100–500k Kč 150–800k Kč

Kdy co potřebujete: 

✅ Audit = chcete certifikaci, zákon to vyžaduje, zákazník chce důkaz
✅ Penetrační test = chcete vědět, kde jsou technické slabiny

Nejčastější chyby: 

❌ Objednáte špatnou věc
❌ Uděláte test, ale neopravíte zranitelnosti
❌ Neinformujete IT tým o testu
❌ Jeden test a pak klid (místo pravidelného opakování)

Pokud nevíte, co potřebujete: začněte auditem (zjistíte, co vám chybí v procesech), pak udělejte penetrační test (zjistíte, kde jsou technické díry).

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies