"Jednou za rok" je nejčastější odpověď na otázku, jak často provádět penetrační testy. Tato odpověď může být správná — ale může být také naprosto nedostatečná, v závislosti na vaší organizaci, tempu vývoje a regulatorním prostředí. Pojďme se na problém podívat systematicky.
Penetrační test vs. vulnerability scan: Zásadní rozdíl
Nejdříve si ujasněme terminologii, protože záměna těchto pojmů je velmi rozšířená a vede ke špatným rozhodnutím o frekvenci testování:
Vulnerability scan (automatizovaný sken zranitelností)
Vulnerability scan je automatizovaný nástroj (Nessus, OpenVAS, Qualys...), který porovnává vaši infrastrukturu s databází known vulnerabilities (CVE). Výsledkem je seznam zranitelností s jejich závažností (CVSS skóre).
- Rychlý a levný — desítky minut až hodiny.
- Pokrývá only known vulnerabilities — nevyhodnocuje logické chyby, chyby v konfiguraci ani business logiku.
- Žádná exploatace — pouze identifikace, nikoli ověření, zda je zranitelnost skutečně zneužitelná.
- Ideální frekvence: týdně až měsíčně jako kontinuální hygienická aktivita.
Penetrační test (manuální etický hacking)
Penetrační test je manuální simulace útoku prováděná zkušeným penetračním testerem. Tester aktivně exploatuje zranitelnosti, řetězí nálezy a snaží se dosáhnout definovaného cíle (získat přístup k databázi, kompromitovat doménový řadič, exfiltrovat citlivá data).
- Časově náročnější a dražší — dny až týdny.
- Odhaluje zranitelnosti, které automatické nástroje nevidí: logické chyby, chyby autorizace, kombinace slabin.
- Poskytuje realistický pohled na skutečné riziko — ne jen seznam CVE čísel.
- Doporučená frekvence: 1–4× ročně v závislosti na kontextu.
Vulnerability scan nenahrazuje penetrační test a naopak. Jsou komplementární nástroje.
Doporučené frekvence pro různé typy organizací
Malé firmy (do 50 zaměstnanců, bez regulatorních požadavků)
Minimální doporučení: 1× ročně komplexní pentest infrastruktury a webových aplikací. Doplněno o čtvrtletní vulnerability sken.
Zaměřte se na: externí perimetr (veřejně přístupné systémy), webové aplikace, email security (phishing simulace), zálohy a obnova.
Střední firmy (50–500 zaměstnanců) a NIS2 povinné subjekty
Doporučení: 2× ročně penetrační test (jeden na externí infrastrukturu, jeden na interní/aplikace), měsíční vulnerability scanning, čtvrtletní phishing simulace.
NIS2 povinné subjekty by měly dokumentovat výsledky testování jako součást systému řízení bezpečnosti a být připraveny výsledky předložit NÚKIB při dohledové činnosti.
Finanční sektor, zdravotnictví a kritická infrastruktura
Doporučení: čtvrtletní penetrační testy, kontinuální vulnerability management, red team cvičení minimálně 1× ročně. Regulatorní požadavky (ČNB, NIS2, DORA) mohou stanovovat přesné požadavky.
Finanční instituce pod DORA (Digital Operational Resilience Act) mají povinnost provádět TLPT (Threat-Led Penetration Testing) v cyklech stanovených regulátorem.
Softwarové firmy a SaaS poskytovatelé
Doporučení: pentest každého majoritního releasu nebo čtvrtletně (co nastane dříve), kontinuální SAST/DAST v CI/CD pipeline, bug bounty program jako doplněk.
Kdy provést ad-hoc penetrační test mimo plánovaný cyklus
Pravidelný plán je základ, ale existují situace, kdy je nutné provést mimořádný test bez čekání na naplánovaný termín:
- Nasazení nové aplikace nebo služby: každá nová produkční aplikace s přístupem k internetu nebo citlivým datům by měla projít bezpečnostním testem před spuštěním nebo bezprostředně po něm.
- Zásadní architektonická změna: migrace do cloudu, přechod na mikroslužby, nový VPN endpoint, nová integrace se třetí stranou — každá taková změna mění bezpečnostní profil a vyžaduje přehodnocení.
- Fúze a akvizice (M&A): před uzavřením transakce proveďte bezpečnostní due diligence (technical security assessment) cílové firmy. Kupujete jejich zranitelnosti i jejich aktiva.
- Po kybernetickém incidentu: po zvládnutí ransomware útoku, úniku dat nebo jiného incidentu proveďte pentest, abyste zjistili, zda útočník nezanechal backdoory nebo zda obdobná zranitelnost neexistuje jinde.
- Před audicí nebo certifikací: před ISO 27001 certifikací, SOC 2 auditem nebo zákaznickým bezpečnostním auditem.
- Zveřejnění kritické zranitelnosti: pokud je zveřejněna kritická CVE v technologiích, které používáte (Log4Shell byl dobrý příklad), proveďte cílený test nad rámec plánu.
NIS2 a požadavky na bezpečnostní testování
NIS2 směrnice (zákon o kybernetické bezpečnosti v České republice) nestanovuje explicitně frekvenci penetračních testů číslem, ale vyžaduje v článku 21 implementaci "politiky testování a hodnocení bezpečnosti" a "opatření k hodnocení účinnosti opatření pro řízení kybernetických bezpečnostních rizik".
V praxi to znamená:
- Musíte mít zdokumentovaný postup pro bezpečnostní testování.
- Testování musí být přiměřené rizikovému profilu vaší organizace a aktivit.
- Výsledky testování musí být dokumentovány a sloužit jako vstup pro zlepšování bezpečnostních opatření.
- Na výzvu NÚKIB musíte být schopni prokázat, že testování probíhá a že nálezy jsou řešeny.
Doporučujeme minimálně roční penetrační test pro NIS2 povinné subjekty, doplněný o pravidelný vulnerability scanning a dokumentaci výsledků. Závisí také na kategorii subjektu — "wichtige" (důležité) vs. "wesentliche" (základní/kritické) subjekty mají různé požadavky.
Jak plánovat bezpečnostní testování v ročním cyklu
Namísto ad-hoc přístupu doporučujeme sestavit bezpečnostní testovací plán na celý rok. Typický roční cyklus pro střední organizaci:
- Q1 (leden–březen): Komplexní external penetrační test (perimetr, webové aplikace, email gateway). Výsledky slouží jako vstup pro prioritizaci bezpečnostních investic na daný rok.
- Q2 (duben–červen): Interní penetrační test (Active Directory, laterální pohyb, eskalace oprávnění). Phishing simulační kampaň.
- Q3 (červenec–září): Testování konkrétních aplikací nebo systémů dle priorit (nové aplikace, systémy s historickými nálezy). Wi-Fi audit.
- Q4 (říjen–prosinec): Red team cvičení nebo social engineering test pro vyspělejší organizace. Příprava na následující rok — přehodnocení plánu testování.
- Průběžně: Týdenní nebo měsíční automated vulnerability scanning, měsíční phishing simulace.
SecureOn.cz nabízí sestavení ročního bezpečnostního testovacího plánu na míru vaší organizaci, včetně analýzy rizik, návrhu rozsahu testů a jejich průběžného provádění. Výsledkem jsou nejen reporty s nálezy, ale i retestování po nápravě a průběžná podpora při implementaci doporučení.
Závěr: Testování jako součást bezpečnostního programu
Neexistuje jednoduchá odpověď na otázku "jak často". Správná frekvence závisí na vašem rizikovém profilu, tempu změn v infrastruktuře, regulatorních požadavcích a rozpočtových možnostech. Klíčové je, aby testování bylo pravidelné, výsledky byly sledovány a nálezy skutečně opravovány.
Nejhůře je na tom organizace, která pentest udělá jednou za tři roky a nálezy pak ignoruje kvůli nedostatku kapacit na nápravu. Lepší je méně ambiciózní, ale pravidelný a sledovaný program, než velký test bez follow-upu.