Top 5 luk w zabezpieczeniach sieci firmowej

utworzone przez | cze 14, 2025 | Cyberbezpieczeństwo

Czy Twoja firmowa sieć naprawdę jest bezpieczna? Nawet najlepiej wyglądająca infrastruktura IT może kryć poważne luki, które pozwalają cyberprzestępcom na dostęp do poufnych danych, zasobów systemowych, a nawet przejęcie kontroli nad urządzeniami. Co gorsza – wiele z tych błędów to efekt zaniedbań konfiguracyjnych, które można szybko usunąć.

1. Brak segmentacji sieci – wszyscy mają dostęp do wszystkiego

W wielu firmach cała infrastruktura IT – komputery pracowników, serwery, drukarki, urządzenia IoT – działa w jednej, wspólnej przestrzeni adresowej sieci LAN. Oznacza to, że każde urządzenie może swobodnie komunikować się z każdym innym, niezależnie od roli, poziomu zaufania czy uprawnień. Taka topologia sprzyja szybkiemu rozprzestrzenianiu się zagrożeń – wystarczy, że jedno urządzenie zostanie zainfekowane, a atak może błyskawicznie przejść dalej.

Segmentacja sieci to praktyka dzielenia jednej dużej sieci lokalnej na mniejsze, odizolowane segmenty logiczne – tzw. VLAN-y (Virtual LANs) – z ograniczonym ruchem między nimi. Dzięki temu urządzenia w różnych działach lub o różnym przeznaczeniu nie widzą się bezpośrednio i nie mogą swobodnie przesyłać danych między sobą, chyba że administrator IT świadomie na to zezwoli. Segmentacja ogranicza rozprzestrzenianie się złośliwego oprogramowania, minimalizuje powierzchnię ataku, umożliwia wdrażanie polityki najmniejszych uprawnień (least privilege), poprawia kontrolę nad ruchem sieciowym i umożliwia lepszy monitoring.

Jak wdrożyć segmentację sieci krok po kroku?

Krok 1: Identyfikacja grup logicznych w firmie

Podziel urządzenia na funkcjonalne strefy, np.:

  • VLAN 10 – Administracja
  • VLAN 20 – Pracownicy (biuro)
  • VLAN 30 – Goście / Wi-Fi
  • VLAN 40 – Drukarki i urządzenia
  • VLAN 50 – Serwery / backupy

Krok 2: Sprzęt – przełączniki zarządzalne i router z obsługą VLAN

Do wdrożenia segmentacji potrzebujesz:

  • switchy zarządzalnych (Layer 2 lub 3) – pozwalają przypisywać porty do konkretnych VLAN-ów,
  • routera/firewalla z funkcją routingu między VLAN-ami (inter-VLAN routing),
  • punktów dostępowych Wi-Fi obsługujących tagowanie VLAN (802.1Q) – jeśli chcesz segmentować także ruch bezprzewodowy.

Krok 3: Konfiguracja VLAN-ów i przypisanie urządzeń

  1. Ustal ID dla każdego VLAN (np. VLAN 10 = Administracja).
  2. W switchu przypisz porty fizyczne (np. porty 1–4 do VLAN 10, porty 5–8 do VLAN 20).
  3. Skonfiguruj router lub firewall, by ruch między VLAN-ami był możliwy tylko tam, gdzie to konieczne (np. biuro ↔ drukarki, ale nie ↔ serwery).

Krok 4: Weryfikacja i testowanie

  1. Sprawdź, czy urządzenia z różnych VLAN-ów nie mogą się wzajemnie „pingować” bez wyraźnego zezwolenia.
  2. Przeprowadź testy z użyciem np. ping, traceroute, lub narzędzi do monitoringu sieci (np. Wireshark).

Praktyczna wskazówka: Jeśli nie masz zarządzalnych switchy – rozważ ich wymianę. Urządzenia klasy biznes (np. TP-Link JetStream, Cisco SG, Ubiquiti UniFi Switch) kosztują od kilkuset złotych i pozwalają na pełną kontrolę sieci, co w dłuższej perspektywie jest inwestycją w bezpieczeństwo.

2. Domyślne loginy i hasła – otwarte drzwi dla atakującego

W wielu firmach urządzenia sieciowe takie jak routery, switche, drukarki sieciowe czy kamery działają na domyślnych danych logowania typu „admin/admin” lub „admin/1234”. Tego rodzaju hasła są powszechnie znane i bardzo łatwe do odgadnięcia, zwłaszcza przez boty automatycznie skanujące sieci w poszukiwaniu podatnych systemów. Co więcej, nawet jeśli hasło zostanie zmienione, często bywa zbyt proste lub powielane w różnych miejscach – na poczcie, w systemie CRM, na koncie administratora i w panelu CMS. To ogromne ryzyko.

Silne hasło powinno mieć co najmniej 12 znaków, zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Powinno być unikalne dla każdego systemu i nie może zawierać oczywistych informacji, takich jak imię użytkownika, nazwa firmy czy proste schematy typu „Firma2024” lub „Qwerty123”. Przykładami dobrze skonstruowanych haseł mogą być zarówno losowe ciągi znaków (np. gT#5mL8qV!9rXp2z), jak i zapamiętywalne hasła frazowe oparte na zdaniach lub skojarzeniach, np. MójPiesLub!SkakaćPoSofie2024.

W firmach warto korzystać z menedżerów haseł, takich jak Bitwarden, 1Password czy KeePassXC. Dzięki temu użytkownicy nie muszą zapamiętywać wszystkich danych dostępowych, a firma ma kontrolę nad tym, kto i kiedy ma dostęp do jakich zasobów. Wdrażanie polityki haseł w Active Directory, Microsoft 365 czy innych systemach zarządzania użytkownikami pozwala ustalić wymagania co do długości, złożoności i historii używanych haseł. Warto również włączyć dwuskładnikowe uwierzytelnianie (2FA), zwłaszcza dla kont uprzywilejowanych oraz dostępu zdalnego. Dodatkowe bezpieczeństwo zapewni blokowanie konta po kilku nieudanych próbach logowania, alerty o próbach logowania z nietypowych lokalizacji oraz możliwość ograniczenia dostępu tylko do zaufanych adresów IP – na przykład z biura lub przez VPN.

3. Brak aktualizacji firmware’u i oprogramowania – ukryte zagrożenie w codziennej pracy

Jednym z najczęstszych, a zarazem najbardziej niedocenianych zagrożeń w firmowej sieci jest przestarzałe oprogramowanie – zarówno na komputerach użytkowników, jak i w urządzeniach sieciowych. Routery, switche, access pointy, drukarki, serwery NAS czy kamery monitoringu działają na tzw. firmware’ach – czyli wbudowanym oprogramowaniu, które steruje ich funkcjonowaniem. Wiele z tych urządzeń po wdrożeniu w firmie przez lata pracuje w niezmienionej konfiguracji, a aktualizacje nigdy nie są przeprowadzane.

To ogromne ryzyko. Producenci sprzętu regularnie publikują poprawki bezpieczeństwa, które eliminują znane podatności – wiele z nich ma status krytyczny. Publicznie dostępne bazy danych (takie jak CVE – Common Vulnerabilities and Exposures) zawierają szczegółowe opisy luk w konkretnych wersjach firmware’u. Cyberprzestępcy codziennie skanują Internet w poszukiwaniu urządzeń z niezałatanymi podatnościami, by je wykorzystać do ataków, przejęć zdalnych, instalacji złośliwego oprogramowania czy tworzenia tzw. botnetów.

Problem nie dotyczy tylko sprzętu. Oprogramowanie serwerowe, systemy operacyjne, przeglądarki, klienty poczty, aplikacje webowe czy wtyczki do CMS-ów również wymagają regularnych aktualizacji. Przestarzała wersja WordPressa lub niezaktualizowana wtyczka do sklepu internetowego może stać się bramą do całej firmowej bazy danych. Dlatego podstawowym działaniem, które powinno być wdrożone w każdej organizacji, jest pełna inwentaryzacja środowiska IT. Firma powinna dokładnie wiedzieć, jakie urządzenia i aplikacje są obecnie wykorzystywane, jakie mają wersje oprogramowania i kiedy były ostatnio aktualizowane. Tylko wtedy możliwe jest świadome zarządzanie podatnościami. Proces aktualizacji warto zautomatyzować tam, gdzie to możliwe – np. w systemach Windows czy Microsoft 365. W przypadku sprzętu sieciowego – jak routery, access pointy czy rejestratory CCTV – należy regularnie logować się do panelu administracyjnego i sprawdzać dostępność nowych wersji firmware’u na stronie producenta.

Warto także wdrożyć centralne systemy monitorowania i alertów, które poinformują administratora o urządzeniach działających na przestarzałym oprogramowaniu. Dobrym rozwiązaniem jest również zastosowanie narzędzi typu vulnerability scanner (np. Nessus, OpenVAS), które automatycznie wykrywają znane luki bezpieczeństwa i przypisują im priorytety.

Brak aktualizacji to jak pozostawienie otwartego okna na tyłach biura – długo może nikt tego nie zauważyć, aż w końcu ktoś wejdzie. Jako Kompania Informatyczna oferujemy audyty aktualności systemów i urządzeń, a także wdraża polityki zarządzania aktualizacjami – tak, by bezpieczeństwo nie zależało od przypadku, lecz od procesu.

4. Otwarte porty i usługi – niepotrzebny dostęp z zewnątrz

Otwarte porty to jeden z najłatwiejszych i najczęściej pomijanych wektorów ataku – właśnie dlatego cyberprzestępcy tak chętnie je wykorzystują. Każde urządzenie w sieci, które nasłuchuje na określonym porcie, potencjalnie udostępnia pewną usługę. Przykładami takich usług mogą być zdalny pulpit (RDP – port 3389), serwer FTP (port 21), poczta SMTP (port 25), serwer WWW (port 80/443), czy SMB do udostępniania plików (porty 139, 445). Problem zaczyna się wtedy, gdy porty te są otwarte i dostępne z Internetu, a administratorzy nie są tego świadomi. To jedna z najczęstszych dróg ataku wykorzystywana przez cyberprzestępców – szczególnie do skanowania masowego i ataków brute-force.

Zdarza się, że usługa była tymczasowo wystawiona do testów, ale nikt jej później nie wyłączył. Często też dostęp zdalny do serwera, rejestratora monitoringu czy systemu ERP jest wystawiany bez VPN i bez dodatkowego uwierzytelniania. To zaproszenie do ataku. W takich przypadkach wystarczy, że złośliwy bot przeskanuje zakres adresów IP i wykryje otwarty port – reszta to kwestia kilku prób logowania lub wykorzystania gotowej podatności.

Dlatego pierwszym krokiem powinno być skanowanie sieci lokalnej i publicznej w poszukiwaniu otwartych portów. Można to zrobić za pomocą popularnych narzędzi jak Nmap, Nessus, Shodan lub Zenmap. Warto skanować nie tylko z wnętrza sieci, ale także z zewnątrz (np. z sieci domowej lub za pomocą narzędzi online), by sprawdzić, które usługi są naprawdę widoczne z Internetu.

Po identyfikacji portów trzeba zdecydować, które z nich są faktycznie potrzebne. Zdecydowana większość powinna zostać zamknięta. W wyjątkowych przypadkach, gdy dana usługa musi być dostępna z zewnątrz – jak np. zdalne biuro czy praca zdalna – należy wdrożyć bezpieczne połączenie VPN z silnym uwierzytelnianiem, najlepiej 2FA, oraz ograniczyć dostęp tylko do zaufanych adresów IP. Należy też nałożyć reguły na firewallu, by filtrować nieautoryzowany ruch przychodzący, blokować nieużywane porty, a także logować każdą próbę połączenia.

Dobrym rozwiązaniem jest zastosowanie tzw. polityki „deny all, allow selected” – czyli domyślnie blokować cały ruch i ręcznie wskazywać wyjątki. Taka konfiguracja może być realizowana zarówno na firewallu sprzętowym, jak i programowym (np. UFW, pfSense, Sophos, FortiGate). W firmach z dostępem zdalnym warto dodatkowo rozważyć tzw. bastion host (punkt pośredni do logowania) oraz ograniczenia czasowe dostępu.

5. Brak rejestrów zdarzeń i monitorowania – czyli niewidzialne zagrożenie

Jednym z najpoważniejszych, a jednocześnie najczęściej pomijanych błędów w organizacjach jest brak jakiejkolwiek formy monitoringu zdarzeń sieciowych i systemowych. Nawet najlepiej zabezpieczona infrastruktura IT nie daje pełnej ochrony, jeśli nikt nie monitoruje, co się w niej dzieje. Co z tego, że firewall odrzuca nieautoryzowane połączenia, skoro nikt nie widzi, że ktoś próbuje się włamać?

Brak rejestrów zdarzeń (logów) oznacza, że firma nie ma żadnej widoczności tego, kto, kiedy i skąd próbował zalogować się do systemu, uzyskać dostęp do plików, zmienić konfigurację urządzeń lub przesłać dane poza sieć. W przypadku incydentu bezpieczeństwa nie da się zrekonstruować przebiegu zdarzeń, ustalić odpowiedzialnych ani szybko zareagować. To tak, jakby prowadzić firmę bez kamer, alarmu i drzwi zamykanych na klucz.

Rejestry zdarzeń (logi) powinny być generowane przez wszystkie kluczowe elementy środowiska IT – serwery, komputery użytkowników, routery, switche, punkty dostępowe, firewalle, systemy pocztowe i aplikacje webowe. Te dane muszą być nie tylko zapisywane, ale przede wszystkim centralnie zbierane i analizowane. Do tego służą tzw. systemy SIEM (Security Information and Event Management), które umożliwiają zbieranie logów z różnych źródeł, korelowanie ich w czasie i wykrywanie nietypowych zdarzeń, takich jak próby włamań, nadużycia uprawnień czy podejrzane połączenia wychodzące.

system Siem

W mniejszych firmach nie trzeba od razu inwestować w zaawansowane i kosztowne rozwiązania klasy enterprise. Istnieją narzędzia open-source i komercyjne w przystępnej cenie – jak Wazuh, Graylog, Zabbix czy ELK Stack – które pozwalają skutecznie gromadzić i analizować logi. W przypadku Windowsa warto aktywować i regularnie przeglądać Dziennik zdarzeń (Event Viewer), zwłaszcza kategorie dotyczące logowania i błędów systemowych. W środowiskach linuksowych logi znajdują się najczęściej w katalogu /var/log.

Najważniejsze zdarzenia, które warto monitorować, to m.in.:

  • nieudane próby logowania,
  • logowania z nietypowych lokalizacji/IP,
  • zmiany konfiguracji systemu lub uprawnień użytkowników,
  • próby wyłączenia ochrony antywirusowej,
  • uruchamianie podejrzanych procesów.

Sam zapis logów to dopiero początek. Równie ważne jest ustawienie alertów i automatycznych powiadomień – np. e-mail lub SMS – w sytuacjach krytycznych. Tylko wtedy administrator IT może zareagować na incydent, zanim spowoduje on poważne straty.

Kompania Informatyczna pomaga firmom wdrożyć monitoring dostosowany do ich wielkości i potrzeb – od prostego rejestrowania logów po zaawansowane systemy SIEM. Dzięki temu każda próba włamania, sabotażu czy błędu ludzkiego zostaje natychmiast wykryta i udokumentowana. A to oznacza nie tylko lepsze bezpieczeństwo, ale też większą zgodność z przepisami (RODO, ISO 27001, KSC).

Sprawdź ofertę >>>

Najczęściej zadawane pytania (Q&A)

Jakie są najczęstsze luki w zabezpieczeniach sieci firmowej?

Do najczęstszych luk należą: brak segmentacji sieci, domyślne loginy i hasła, przestarzałe oprogramowanie, otwarte porty dostępne z Internetu oraz brak monitorowania zdarzeń. Każda z tych luk może prowadzić do realnego ataku i wycieku danych.

Dlaczego otwarte porty są niebezpieczne?

Otwarte porty mogą umożliwić zdalny dostęp do usług takich jak RDP, FTP czy SMB. Jeśli nie są zabezpieczone, hakerzy mogą wykorzystać je do ataku – zwłaszcza jeśli porty są dostępne z Internetu.

Co to jest segmentacja sieci i po co ją wdrażać?

Segmentacja sieci polega na podzieleniu sieci lokalnej na mniejsze, odizolowane części (np. VLAN-y), dzięki czemu zainfekowane urządzenie nie ma bezpośredniego dostępu do całej infrastruktury. To jedna z podstawowych metod ograniczania ryzyka.

Jak tworzyć silne hasła w firmie?

Silne hasło powinno mieć minimum 12 znaków i zawierać wielkie i małe litery, cyfry oraz znaki specjalne. Hasła powinny być unikalne dla każdego systemu i najlepiej zarządzane przez menager haseł.

Co to jest SIEM i czy moja firma go potrzebuje?

SIEM (Security Information and Event Management) to system do zbierania, analizy i korelacji logów z różnych urządzeń i systemów IT. Dzięki SIEM możesz szybko wykrywać i reagować na incydenty bezpieczeństwa. Jest polecany szczególnie w firmach z więcej niż kilkoma urządzeniami i dostępem zdalnym.

Bibliografia:

  1. Górski, J., Mazur, Z. Bezpieczeństwo systemów informatycznych. Wydawnictwa Naukowo-Techniczne, Warszawa, 2021.
  2. Białas, A. Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie. PWN, Warszawa, 2018.
  3. Kociatkiewicz, J. Audyt bezpieczeństwa systemów informatycznych. Helion, Gliwice, 2017.
  4. Węgrzyn, S. Sieci komputerowe. Praktyczny kurs. Helion, Gliwice, 2022.
  5. Sacha, K. Zarządzanie bezpieczeństwem informacji w praktyce. Wydawnictwo Poltext, Warszawa, 2019.
  6. Andress, J. The Basics of Information Security. Syngress, 2019.
  7. Stallings, W. Network Security Essentials: Applications and Standards. Pearson, 2020.
  8. Whitman, M. E., Mattord, H. J. Principles of Information Security. Cengage Learning, 2021.
  9. Cole, E. et al. Network Security Bible. Wiley, 2005.
  10. Harris, S. CISSP All-in-One Exam Guide. McGraw-Hill Education, 2021.
  11. Schneier, B. Secrets and Lies: Digital Security in a Networked World. Wiley, 2004.