Nový zákon o kyberbezpečnosti (264/2025 Sb.) platí od 11/2025 — zjistěte, zda se týká vaší firmy →
Segmentace firemní sítě

Jedna nakažená stanice nesmí položit celou firmu

Rozdělíme vaši síť na oddělené zóny — kancelář, výroba, kamery, hosté, servery — aby se útok nebo virus nepřelil z jednoho počítače na všechno ostatní. Provoz dál běží, problém zůstane uzavřený v jedné zóně.

Chci nezávaznou konzultaci k segmentaci Ceník

V čem je problém

Většina firemních sítí je jedna velká plochá síť: notebook v účtárně, výrobní stroj, IP kamera, tiskárna, server i Wi-Fi pro návštěvy sedí na stejné síti a vidí na sebe. Stačí jeden zaměstnanec, který otevře přílohu s ransomwarem, jedna kompromitovaná kamera nebo notebook dodavatele připojený do zásuvky — a infekce se během minut rozšíří na všechno. Výsledek: zašifrované servery, stojící výroba, nepřístupné zálohy a firma mimo provoz na dny. K tomu se přidává, že kdokoli na Wi-Fi pro hosty se dostane k internímu systému a stroje s deset let starým firmwarem visí přímo vedle vašich dat. Plochá síť znamená, že jeden problém je rovnou problém celé firmy.

Co konkrétně uděláme

  • Zmapujeme, co všechno na síti reálně je — počítače, servery, výrobní a měřicí stroje, kamery, tiskárny, čtečky, IoT — a kdo s kým musí a nesmí komunikovat
  • Rozdělíme síť na logické zóny (VLAN): kancelář, výroba/technologie, servery, kamerový a docházkový systém, Wi-Fi pro hosty, správa zařízení
  • Nastavíme pravidla mezi zónami tak, aby procházel jen nutný provoz — výroba nevidí na účetnictví, kamery nemají přístup na internet ani k serverům, hosté jen ven
  • Izolujeme zranitelná a neaktualizovatelná zařízení (staré stroje, IoT, kamery), aby nebyla bránou do zbytku sítě
  • Oddělíme Wi-Fi pro návštěvy a pro vlastní zaměstnance — host se nikdy nedostane do interní sítě
  • Zavedeme oddělený, chráněný přístup ke správě prvků (firewall, switche, AP), aby se k nim nedostal běžný uživatel ani útočník z kanceláře
  • Vše zdokumentujeme — schéma sítě, seznam zón a pravidla — abyste věděli, jak je síť postavená, a doložili to dodavateli nebo pojišťovně

Jak to probíhá

  1. 1

    Audit a mapování provozu

    Zjistíme, jaká zařízení v síti jsou a jak spolu komunikují. Z toho vznikne návrh zón na míru vašemu provozu, ne podle šablony.

  2. 2

    Návrh segmentace a pravidel

    Navrhneme rozdělení do VLAN a pravidla mezi zónami. Projdeme je s vámi srozumitelně — uvidíte, co se kam pustí a proč, ještě před zásahem do sítě.

  3. 3

    Postupné nasazení bez výpadku

    Segmentaci zavádíme po etapách a v dohodnutých oknech, aby výroba ani kancelář nestály. Po každém kroku ověříme, že vše potřebné funguje.

  4. 4

    Ověření a doladění

    Otestujeme, že povolený provoz prochází a zakázaný ne. Doladíme pravidla podle reality prvních dní provozu.

  5. 5

    Předání a dohled

    Předáme dokumentaci a schéma. Volitelně síť napojíme na náš vzdálený dohled, který hlídá, že segmentace drží a nikdo si pravidla potichu neobchází.

Spravujeme a dohlížíme i vzdáleně

Segmentace není jednorázový úkon — pravidla se časem rozvolňují, přibývají zařízení a výjimky. V rámci vzdáleného dohledu sledujeme, že rozdělení zón drží, hlídáme nový nebo neočekávaný provoz mezi zónami a upozorníme, když se někde objeví zařízení, které tam nepatří. Změny pravidel řešíme na dálku, bez nutnosti výjezdu.

Co dostanete

  • Aktuální schéma sítě s vyznačenými zónami a tím, co kde běží
  • Nakonfigurované VLAN a pravidla mezi zónami na vašich prvcích (firewall, switche, AP)
  • Oddělená Wi-Fi pro hosty a pro zaměstnance
  • Izolované rizikové zóny — kamery, IoT, staré výrobní stroje
  • Chráněný oddělený přístup ke správě síťových prvků
  • Srozumitelná dokumentace pravidel a zón — použitelná pro dodavatele i pojišťovnu
  • Protokol o ověření, že segmentace funguje podle návrhu

Pro koho je služba

Výrobní firmy a sklady, kde výrobní stroje a technologie visí na stejné síti jako kancelářeE-shopy a firmy s vlastními servery, které si nemohou dovolit, aby útok položil celý provozFirmy s kamerovým, docházkovým nebo přístupovým systémem od externího dodavateleDodavatelé regulovaných (NIS2) odběratelů, po kterých zákazník vyžaduje doložené zabezpečení sítěFirmy řešící kybernetické pojištění, které segmentaci vyžaduje jako podmínkuObce, školy a zdravotnická zařízení, kde se míchá provoz veřejnosti, zaměstnanců a citlivých dat

Časté dotazy

Zastaví nám segmentace výrobu nebo běžnou práci?

Ne. Nasazujeme po etapách a v dohodnutých oknech a po každém kroku ověřujeme, že vše potřebné komunikuje. Cílem je, aby povolený provoz fungoval dál — jen zakázaný (a zbytečný) se zastaví.

Musíme kvůli tomu kupovat nové vybavení?

Většinou ne. Segmentaci v řadě případů postavíme na stávajících spravovatelných prvcích. Pokud máte úplně neřízené prvky (levné neřízené switche, jedno ploché Wi-Fi), řekneme předem, co je potřeba doplnit a proč — bez zbytečného nakupování.

Jaký je reálný přínos, když nás zatím nikdo nenapadl?

Segmentace mění dopad incidentu. Když se něco stane — ransomware, nakažený notebook dodavatele, zranitelná kamera — problém zůstane uzavřený v jedné zóně místo toho, aby položil celou firmu. Rozdíl je mezi výpadkem jednoho úseku na hodiny a stojící firmou na dny.

Jak segmentace souvisí s pojištěním a požadavky odběratelů?

Oddělení sítě je jedna z věcí, kterou kybernetické pojišťovny i regulovaní odběratelé běžně vyžadují a chtějí doložit. Dostanete dokumentaci a schéma, kterými to prokážete — nemusíte nic dohledávat ani vymýšlet.

Jak poznáme, že segmentace po čase pořád funguje?

Pravidla se časem obcházejí — přidá se výjimka, připojí se nové zařízení. Proto nabízíme vzdálený dohled, který hlídá, že zóny drží a že mezi nimi neteče provoz, který tam nemá co dělat. Bez dohledu je riziko, že se síť po roce zase scvrkne do jedné ploché.

Segmentace firemní sítě

Začneme vstupním auditem sítě s jasným výstupem — uvidíte, kde je riziko a co dává smysl oddělit. Žádný paušál naslepo.

Chci nezávaznou konzultaci k segmentaci