Firmowe Wi-Fi jak otwarte drzwi? 7 błędów w zabezpieczeniach sieci, które kosztują małe firmy najwięcej
Hasło „Firma123” na routerze, jedna wspólna sieć dla laptopów księgowości i telefonów gości, domyślne ustawienia prosto z pudełka — tak wygląda Wi-Fi w większości małych i średnich firm w Polsce. Nikt nie robi tego ze złej woli. Po prostu sieć działa, internet jest, więc temat schodzi na dalszy plan — aż do dnia, w którym ktoś podłączy się do niej z parkingu pod biurem. Sprawdź, czy Twoja firma nie popełnia poniższych błędów, zanim zrobi to za Ciebie ktoś inny.
Dlaczego atakujący wolą Wi-Fi niż e-mail
Phishing i złośliwe załączniki to najgłośniejsze wektory ataków, ale słabo zabezpieczona sieć bezprzewodowa daje coś, czego e-mail nie da: bezpośredni dostęp do wnętrza firmowej infrastruktury, z pominięciem firewalla na styku z internetem. Jeśli ktoś złamie hasło do Wi-Fi albo skorzysta z fałszywego punktu dostępu (tzw. evil twin), znajduje się nie „na zewnątrz”, tylko od razu w tej samej sieci co Wasze serwery plików, drukarki sieciowe i komputery z dostępem do systemu księgowego. Dla małej firmy, która nie ma segmentacji sieci, to oznacza pełen dostęp za jednym razem.
7 błędów, które widzimy najczęściej
- Jedna sieć dla wszystkich — pracownicy, drukarki, kamery IP i goście korzystają z tego samego SSID. Zainfekowany telefon gościa może „zobaczyć” firmowy serwer plików.
- Domyślne dane logowania do panelu routera — hasło administratora typu admin/admin zostaje niezmienione miesiącami, czasem latami.
- Przestarzały standard szyfrowania — część urządzeń wciąż pracuje na WEP lub WPA2 bez aktualizacji, mimo że WPA3 jest dostępny od kilku lat i skutecznie eliminuje wiele znanych podatności.
- Brak aktualizacji firmware’u routera/access pointów — producenci regularnie łatają luki bezpieczeństwa, ale ktoś musi te aktualizacje faktycznie zainstalować.
- Włączone WPS — funkcja „szybkiego parowania” jednym przyciskiem bywa furtką, którą łatwo wykorzystać do złamania zabezpieczeń.
- Hasło Wi-Fi znane „każdemu” — bywa wypisane na tablicy w sali konferencyjnej, widoczne dla każdego gościa, kontrahenta, kuriera.
- Brak monitoringu podłączonych urządzeń — nikt nie sprawdza, ile urządzeń faktycznie korzysta z sieci, więc obce urządzenie może być podłączone tygodniami niezauważone.
Żaden z tych błędów osobno nie brzmi dramatycznie. Problem w tym, że w małych firmach zwykle występuje kilka naraz — a atakującemu wystarczy jeden.
Jak to naprawić: podstawowa checklista
Dobra wiadomość — większość z tych rzeczy nie wymaga wymiany sprzętu, tylko poprawnej konfiguracji tego, co już jest:
- Rozdziel sieci — osobny SSID i VLAN dla gości, osobny dla pracowników, osobny dla urządzeń IoT (kamery, drukarki, czujniki).
- Zmień dane logowania administratora routera na unikalne i długie hasło, najlepiej zarządzane w menedżerze haseł.
- Wymuś WPA3 (lub minimum WPA2 z silnym szyfrowaniem), jeśli sprzęt to obsługuje.
- Wyłącz WPS i inne „wygodne” funkcje, które ułatwiają dostęp bez pełnej autoryzacji.
- Ustaw harmonogram aktualizacji firmware’u — ręcznie raz na kwartał albo automatycznie, jeśli sprzęt na to pozwala.
- Rotuj hasło do sieci firmowej cyklicznie i nie udostępniaj go gościom — do tego służy osobna sieć gościnna z innym hasłem.
- Monitoruj listę podłączonych urządzeń przynajmniej raz w miesiącu.
To jest dokładnie ten etap, na którym najwięcej małych firm się poddaje — bo teoria brzmi prosto, ale przełożenie jej na konkretny model routera, konfigurację VLAN-ów i reguły firewalla to już inna para butów. Dobrym punktem wyjścia jest jak skonfigurować bezpieczną sieć firmową — krok po kroku, zanim zaczniesz klikać w panelu administracyjnym routera.
Segmentacja sieci — najważniejsza zmiana, o której nikt nie mówi
Jeśli miałbyś wybrać tylko jedną rzecz z tej listy, wybierz segmentację. Podział sieci na VLAN-y sprawia, że nawet jeśli atakujący przejmie jedno urządzenie (np. kamerę IP z fabrycznym hasłem), nie ma automatycznego dostępu do reszty infrastruktury. To różnica między „ktoś włamał się do kamery na korytarzu” a „ktoś ma dostęp do całej firmowej sieci łącznie z serwerem plików”. W praktyce oznacza to trzy proste strefy: sieć gościnna (tylko internet, zero dostępu do zasobów firmy), sieć urządzeń IoT (drukarki, kamery, czujniki — bez dostępu do stacji roboczych) i sieć pracowników (z pełnym dostępem do zasobów, ale pod kontrolą firewalla i logów).
Co dalej?
Konfiguracja bezpiecznej sieci Wi-Fi to nie jednorazowy checklist do odhaczenia, tylko coś, co trzeba utrzymywać — aktualizacje, przeglądy haseł, monitoring nowych urządzeń. W małych firmach, gdzie nikt nie ma etatu „administratora sieci”, ten temat najczęściej ląduje na końcu listy priorytetów, aż do pierwszego incydentu. Jeśli wolisz mieć to z głowy, specjaliści ITFast zajmują się konfiguracją i utrzymaniem bezpiecznych sieci firmowych na co dzień — od audytu obecnej infrastruktury po wdrożenie segmentacji i stały monitoring.


