Wi-Fi, přes kterou se k vašim datům nikdo nedostane z parkoviště
Oddělíme hostovskou síť od firemní, nasadíme silné šifrování a řízený přístup a zkrotíme zařízení, která vám nikdo neeviduje — telefony návštěv, soukromé notebooky, kamery a IoT. Výsledkem je Wi-Fi, kterou máte pod kontrolou, ne otevřené dveře do firmy.
V čem je problém
Ve většině firem běží jedno Wi-Fi heslo na všechno — nalepené na recepci, sdílené s návštěvami, dodavateli i brigádníky, a nezměněné roky. Přes stejnou síť, kde má účetní přístup k systému a sdíleným diskům, se připojuje telefon kurýra, soukromý notebook obchodníka i bezpečnostní kamera s tovární heslem. Útočníkovi pak stačí dostat se na jedno slabé zařízení v hostovské části a je ve vnitřní síti, jako by seděl u vás v kanceláři. K tomu se připojí kdokoliv v dosahu signálu — z chodby, parkoviště nebo od souseda — a vy nevíte, kdo na síti zrovna je ani co dělá. BYOD a IoT zařízení (chytré TV, tiskárny, čidla, kamery) ten problém jen násobí: připojují se sama, nikdo je neeviduje a často je nelze záplatovat. Když pak po vás odběratel nebo pojišťovna chce doklad, že firemní síť je oddělená a zabezpečená, nemáte co ukázat.
Co konkrétně uděláme
- Oddělíme provoz do logických sítí (VLAN): zvlášť firemní zařízení, zvlášť hosté, zvlášť IoT a kamery — aby se z jedné části nedalo dostat do druhé
- Nasadíme silné šifrování (WPA2/WPA3-Enterprise) a zrušíme sdílená hesla nalepená na recepci
- Zavedeme řízený přístup: zaměstnanci přes podnikové ověření (RADIUS / účty v doméně), hosté přes captive portál s vlastním přihlášením a časově omezeným přístupem
- Zkrotíme BYOD a IoT — soukromá a nespravovaná zařízení dostanou jen internet, ne přístup do firemní sítě a k datům
- Nastavíme izolaci klientů v hostovské síti, aby na sebe návštěvy navzájem neviděly, a omezíme šířku pásma, aby hosté nezahltili provoz
- Provedeme měření pokrytí a doladíme rozmístění a výkon AP, aby signál nešel zbytečně za zeď budovy na parkoviště
- Zdokumentujeme topologii, SSID, segmentaci a pravidla přístupu do podoby, kterou předložíte odběrateli nebo pojišťovně
Jak to probíhá
- 1
Audit a měření
Projdeme stávající Wi-Fi: jaké sítě a hesla běží, kdo má přístup, kde je signál slabý a kde naopak leze za hranice budovy. Změříme pokrytí a najdeme rizikové body — sdílená hesla, neevidovaná zařízení, propojení hostů s firemní sítí.
- 2
Návrh segmentace
Navrhneme oddělené sítě pro zaměstnance, hosty a IoT, způsob ověřování a pravidla, kdo se kam dostane. Dostanete srozumitelný plán, ne hromadu pojmů — víte, co se bude dít a proč.
- 3
Nasazení
Nakonfigurujeme přístupové body, VLAN, šifrování, captive portál pro hosty a řízený přístup pro zaměstnance. Vše bez výpadku provozu, po dohodě i mimo pracovní dobu.
- 4
Ověření a předání
Otestujeme, že segmentace skutečně drží a hosté se k firemní síti nedostanou. Předáme dokumentaci a zaškolíme, jak vystavovat přístupy návštěvám.
- 5
Dohled a správa
Volitelně síť napojíme na vzdálený dohled — sledujeme dostupnost AP, připojená zařízení a anomálie, řešíme aktualizace a změny přístupů průběžně, ne až když něco spadne.
Spravujeme a dohlížíme i vzdáleně
Wi-Fi napojíme na vzdálený dohled: průběžně sledujeme dostupnost přístupových bodů, počet a typ připojených zařízení a neobvyklé chování (nárazové připojování neznámých zařízení, pokusy o průnik mezi sítěmi). Aktualizace firmwaru AP, změny přístupů a vystavení nových hostovských účtů řešíme vzdáleně — bez čekání na výjezd technika. Vidíte tak, že síť skutečně běží tak, jak má, a o problému víme dřív než vaši zaměstnanci.
Co dostanete
- Oddělené Wi-Fi sítě (firemní / hostovská / IoT) s funkční segmentací
- Silné šifrování a konec sdílených hesel — řízený přístup přes podnikové ověření
- Captive portál pro hosty s časově omezeným a kontrolovaným přístupem
- Pravidla pro BYOD a IoT, která brání nespravovaným zařízením v přístupu k datům
- Měření a optimalizace pokrytí signálu uvnitř budovy
- Dokumentace topologie, sítí, segmentace a přístupových pravidel pro odběratele i pojišťovnu
- Zaškolení obsluhy, jak vystavovat přístupy návštěvám a co dělat při změnách
Pro koho je služba
Časté dotazy
Proč nestačí jen oddělit hostovskou síť heslem navíc?
Druhé heslo bez skutečné segmentace neřeší podstatu. Pokud hostovská a firemní síť běží na stejné vrstvě, útočník z hostovské části stále vidí na firemní zařízení a data. Klíčové je oddělení provozu (VLAN) a pravidla, která zabrání průchodu z jedné sítě do druhé — to je rozdíl mezi zdánlivým a reálným zabezpečením.
Máme spoustu IoT a kamer s továrními hesly. Co s tím?
Nespravovaná a nezáplatovatelná zařízení nikdy nepatří do stejné sítě jako firemní data. Zařadíme je do vlastní izolované sítě, kde mají jen to, co skutečně potřebují, a nevidí na zbytek firmy. I když má kamera tovární heslo a útočník ji ovládne, do firemní sítě se přes ni nedostane.
Musíme kvůli Wi-Fi vyměnit všechny přístupové body?
Ne nutně. Při auditu posoudíme stávající hardware — část zařízení často podporuje VLAN i WPA2/WPA3-Enterprise a stačí je správně nakonfigurovat. Výměnu doporučíme jen tam, kde to dává smysl (zastaralé AP bez podpory šifrování nebo slabé pokrytí), a vždy vám řekneme proč.
Spadáme pod nový zákon o kybernetické bezpečnosti (NIS2)?
Většina malých a středních firem pod regulaci přímo nespadá — týká se zhruba 6000 organizací ve vyjmenovaných odvětvích. Oddělená a zabezpečená Wi-Fi ale řeší reálné věci bez ohledu na zákon: požadavky odběratelů, podmínky kybernetického pojištění a riziko, že vám útočník vejde do firmy přes otevřenou síť.
Poznají naši zaměstnanci a hosté rozdíl v používání?
Pro hosty bude připojení jednodušší a bezpečnější — přihlásí se přes přihlašovací stránku, ne přes heslo nalepené na zdi. Zaměstnanci se připojují přes své podnikové účty, takže odpadá ruční přepisování hesel při změnách v týmu. Běžný provoz nijak nezpomalíme.
Zabezpečení firemní a hostovské Wi-Fi
Změříme pokrytí a ukážeme, kudy vede cesta do vaší sítě. Bez paušálu naslepo — začínáme jasným vstupním auditem s pevnou cenou.