Na żywo

Firmowe Wi-Fi jak otwarte drzwi? 7 błędów w zabezpieczeniach sieci, które kosztują małe firmy najwięcej

Bartosz Muras 11.07.2026 17:08 5 min czytania
Firmowe Wi-Fi jak otwarte drzwi? 7 błędów w zabezpieczeniach sieci, które kosztują małe firmy najwięcej

Hasło „Firma123” na routerze, jedna wspólna sieć dla laptopów księgowości i telefonów gości, domyślne ustawienia prosto z pudełka — tak wygląda Wi-Fi w większości małych i średnich firm w Polsce. Nikt nie robi tego ze złej woli. Po prostu sieć działa, internet jest, więc temat schodzi na dalszy plan — aż do dnia, w którym ktoś podłączy się do niej z parkingu pod biurem. Sprawdź, czy Twoja firma nie popełnia poniższych błędów, zanim zrobi to za Ciebie ktoś inny.

Dlaczego atakujący wolą Wi-Fi niż e-mail

Phishing i złośliwe załączniki to najgłośniejsze wektory ataków, ale słabo zabezpieczona sieć bezprzewodowa daje coś, czego e-mail nie da: bezpośredni dostęp do wnętrza firmowej infrastruktury, z pominięciem firewalla na styku z internetem. Jeśli ktoś złamie hasło do Wi-Fi albo skorzysta z fałszywego punktu dostępu (tzw. evil twin), znajduje się nie „na zewnątrz”, tylko od razu w tej samej sieci co Wasze serwery plików, drukarki sieciowe i komputery z dostępem do systemu księgowego. Dla małej firmy, która nie ma segmentacji sieci, to oznacza pełen dostęp za jednym razem.

7 błędów, które widzimy najczęściej

  1. Jedna sieć dla wszystkich — pracownicy, drukarki, kamery IP i goście korzystają z tego samego SSID. Zainfekowany telefon gościa może „zobaczyć” firmowy serwer plików.
  2. Domyślne dane logowania do panelu routera — hasło administratora typu admin/admin zostaje niezmienione miesiącami, czasem latami.
  3. Przestarzały standard szyfrowania — część urządzeń wciąż pracuje na WEP lub WPA2 bez aktualizacji, mimo że WPA3 jest dostępny od kilku lat i skutecznie eliminuje wiele znanych podatności.
  4. Brak aktualizacji firmware’u routera/access pointów — producenci regularnie łatają luki bezpieczeństwa, ale ktoś musi te aktualizacje faktycznie zainstalować.
  5. Włączone WPS — funkcja „szybkiego parowania” jednym przyciskiem bywa furtką, którą łatwo wykorzystać do złamania zabezpieczeń.
  6. Hasło Wi-Fi znane „każdemu” — bywa wypisane na tablicy w sali konferencyjnej, widoczne dla każdego gościa, kontrahenta, kuriera.
  7. Brak monitoringu podłączonych urządzeń — nikt nie sprawdza, ile urządzeń faktycznie korzysta z sieci, więc obce urządzenie może być podłączone tygodniami niezauważone.

Żaden z tych błędów osobno nie brzmi dramatycznie. Problem w tym, że w małych firmach zwykle występuje kilka naraz — a atakującemu wystarczy jeden.

alejander coelho ydtyt7v01o4 unsplash

Jak to naprawić: podstawowa checklista

Dobra wiadomość — większość z tych rzeczy nie wymaga wymiany sprzętu, tylko poprawnej konfiguracji tego, co już jest:

  • Rozdziel sieci — osobny SSID i VLAN dla gości, osobny dla pracowników, osobny dla urządzeń IoT (kamery, drukarki, czujniki).
  • Zmień dane logowania administratora routera na unikalne i długie hasło, najlepiej zarządzane w menedżerze haseł.
  • Wymuś WPA3 (lub minimum WPA2 z silnym szyfrowaniem), jeśli sprzęt to obsługuje.
  • Wyłącz WPS i inne „wygodne” funkcje, które ułatwiają dostęp bez pełnej autoryzacji.
  • Ustaw harmonogram aktualizacji firmware’u — ręcznie raz na kwartał albo automatycznie, jeśli sprzęt na to pozwala.
  • Rotuj hasło do sieci firmowej cyklicznie i nie udostępniaj go gościom — do tego służy osobna sieć gościnna z innym hasłem.
  • Monitoruj listę podłączonych urządzeń przynajmniej raz w miesiącu.

To jest dokładnie ten etap, na którym najwięcej małych firm się poddaje — bo teoria brzmi prosto, ale przełożenie jej na konkretny model routera, konfigurację VLAN-ów i reguły firewalla to już inna para butów. Dobrym punktem wyjścia jest jak skonfigurować bezpieczną sieć firmową — krok po kroku, zanim zaczniesz klikać w panelu administracyjnym routera.

Segmentacja sieci — najważniejsza zmiana, o której nikt nie mówi

tyler oni tnciv9u unsplash

Jeśli miałbyś wybrać tylko jedną rzecz z tej listy, wybierz segmentację. Podział sieci na VLAN-y sprawia, że nawet jeśli atakujący przejmie jedno urządzenie (np. kamerę IP z fabrycznym hasłem), nie ma automatycznego dostępu do reszty infrastruktury. To różnica między „ktoś włamał się do kamery na korytarzu” a „ktoś ma dostęp do całej firmowej sieci łącznie z serwerem plików”. W praktyce oznacza to trzy proste strefy: sieć gościnna (tylko internet, zero dostępu do zasobów firmy), sieć urządzeń IoT (drukarki, kamery, czujniki — bez dostępu do stacji roboczych) i sieć pracowników (z pełnym dostępem do zasobów, ale pod kontrolą firewalla i logów).

Co dalej?

Konfiguracja bezpiecznej sieci Wi-Fi to nie jednorazowy checklist do odhaczenia, tylko coś, co trzeba utrzymywać — aktualizacje, przeglądy haseł, monitoring nowych urządzeń. W małych firmach, gdzie nikt nie ma etatu „administratora sieci”, ten temat najczęściej ląduje na końcu listy priorytetów, aż do pierwszego incydentu. Jeśli wolisz mieć to z głowy, specjaliści ITFast zajmują się konfiguracją i utrzymaniem bezpiecznych sieci firmowych na co dzień — od audytu obecnej infrastruktury po wdrożenie segmentacji i stały monitoring.