Firemní wifi síť je dnes páteří každého podnikání – od e-mailů přes cloudové aplikace až po VoIP telefonování. Jak zabezpečit firemní wifi tak, aby vaše data zůstala v bezpečí a síť fungovala spolehlivě? V tomto praktickém návodu vás provedeme nastavením firemní wifi bezpečně, krok za krokem.

Podle studie Verizon Data Breach Investigations Report 2025 začíná přes 40 % kybernetických útoků na malé firmy právě zneužitím slabě zabezpečené sítě. Nezabezpečená wifi je jako otevřené dveře do vaší firmy.

Proč je zabezpečení firemní wifi tak důležité

Firemní wifi síť přenáší citlivá data – faktury, smlouvy, přihlašovací údaje zaměstnanců i zákaznická data. Pokud je síť špatně zabezpečená, útočník se může:

• Připojit k vaší síti a odposlouchávat veškerou komunikaci
• Získat přístup k firemním souborům a serverům
• Šířit malware do všech připojených zařízení
• Zneužít vaši IP adresu k nelegální činnosti

Pro malé firmy s 5–50 zaměstnanci je to zvlášť kritické, protože často nemají dedikované IT oddělení, které by síť průběžně monitorovalo.

Krok 1: Změňte výchozí přihlašovací údaje routeru

Většina routerů přichází s výchozím heslem typu „admin/admin” nebo „admin/password”. Tyto údaje jsou veřejně dostupné a útočníci je zkouší jako první.

Co udělat:

• Přihlaste se do administrace routeru (obvykle 192.168.1.1 nebo 192.168.0.1)
• Změňte administrátorské heslo na silné – minimálně 12 znaků, kombinace písmen, číslic a speciálních znaků
• Pokud to router umožňuje, změňte i výchozí uživatelské jméno

Krok 2: Nastavte WPA3 (nebo alespoň WPA2) šifrování

Šifrování je základ zabezpečení wifi. Protokol WPA3 je aktuálně nejbezpečnější standard, ale pokud ho vaše zařízení nepodporují, WPA2 (AES) je stále dostatečný.

Nikdy nepoužívejte:

• WEP – prolomitelný během několika minut
• WPA (TKIP) – zastaralý, známé zranitelnosti
• Otevřenou síť – bez šifrování = bez ochrany

Doporučení NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) jasně říká: minimálním standardem pro firemní sítě je WPA2-Enterprise s RADIUS serverem.

Krok 3: Vytvořte oddělené sítě (VLAN segmentace)

Jedna z nejdůležitějších bezpečnostních praktik je segmentace sítě. V praxi to znamená rozdělit wifi na několik oddělených sítí:

• Firemní síť – pro zaměstnance a firemní zařízení (notebooky, tiskárny, servery)
• Hostovská síť – pro návštěvníky a klienty (izolovaná od firemních zdrojů)
• IoT síť – pro chytré spotřebiče, kamery, senzory (oddělená kvůli bezpečnostním rizikům IoT zařízení)

Díky VLAN segmentaci i v případě, že se útočník dostane do hostovské sítě, nemá přístup k firemním datům.

Krok 4: Silné wifi heslo a pravidelná obměna

Heslo k firemní wifi by mělo splňovat tyto parametry:

• Minimálně 16 znaků
• Kombinace velkých a malých písmen, číslic a speciálních znaků
• Žádná slovníková slova ani název firmy
• Obměna každé 3 měsíce (nebo při odchodu zaměstnance)

Pro firemní prostředí ideálně zvažte WPA2/WPA3-Enterprise, kde se každý zaměstnanec přihlašuje vlastním jménem a heslem přes RADIUS server. Odcházející zaměstnanec tak ztrácí přístup okamžitě.

Krok 5: Aktualizujte firmware routeru

Zastaralý firmware routeru obsahuje známé bezpečnostní díry, které útočníci aktivně zneužívají. Podle CISA (Cybersecurity and Infrastructure Security Agency) patří síťová zařízení s neaktualizovaným firmwarem mezi nejčastější vstupní body útoků.

Doporučení:

• Kontrolujte aktualizace alespoň jednou měsíčně
• Zapněte automatické aktualizace, pokud je router podporuje
• Pokud je router starší než 5 let a výrobce už nevydává aktualizace – vyměňte ho

Krok 6: Vypněte WPS a skryjte SSID (volitelně)

WPS (Wi-Fi Protected Setup) je funkce pro snadné připojení zařízení jedním tlačítkem. Bohužel obsahuje známé zranitelnosti a měla by být ve firemním prostředí vždy vypnutá.

Skrytí SSID (názvu sítě) není plnohodnotná bezpečnostní opatření – zkušený útočník síť odhalí i tak. Nicméně jako doplňkový krok snižuje šanci na náhodné pokusy o připojení.

Krok 7: Nastavte monitoring a logování

Zabezpečení wifi není jednorázová akce, ale průběžný proces. Pro firemní prostředí doporučujeme:

• Monitoring připojených zařízení – okamžité upozornění na neznámé zařízení
• Logování přístupů – kdo se kdy a odkud připojil
• Pravidelné bezpečnostní audity – kontrola konfigurace a test zranitelností
• IDS/IPS systém – detekce a prevence průniků na síťové úrovni

Profesionální síťová řešení (např. UniFi od Ubiquiti) tyto funkce nabízejí v rámci jedné platformy a umožňují centrální správu i pro více poboček.

Krok 8: Fyzické zabezpečení

Nezapomínejte ani na fyzickou bezpečnost síťových prvků:

• Router a access pointy umístěte mimo dosah veřejnosti
• Síťový rozvaděč by měl být uzamčený
• Omezte dosah wifi signálu – nepotřebujete pokrývat parkoviště před budovou

Nejčastější chyby při zabezpečení firemní wifi

• ❌ Použití stejného hesla pro zaměstnance i hosty
• ❌ Výchozí heslo k administraci routeru
• ❌ Žádná segmentace sítě
• ❌ Ignorování aktualizací firmware
• ❌ Zapnuté WPS
• ❌ Žádný monitoring – „funguje to, tak to neřeším”

Checklist: Zabezpečení firemní wifi v 8 krocích

1. ✅ Změnit výchozí přihlašovací údaje routeru
2. ✅ Nastavit WPA3 nebo WPA2 (AES) šifrování
3. ✅ Vytvořit oddělené sítě (firemní, hostovská, IoT)
4. ✅ Nastavit silné wifi heslo (16+ znaků) a pravidelně ho měnit
5. ✅ Aktualizovat firmware routeru
6. ✅ Vypnout WPS
7. ✅ Nastavit monitoring a logování
8. ✅ Zajistit fyzické zabezpečení síťových prvků

Kdy zavolat profesionála

Pokud vaše firma má více než 5 zařízení připojených k wifi, spravuje citlivá data (GDPR, NIS2) nebo potřebuje spolehlivou síť pro denní provoz, vyplatí se svěřit nastavení profesionálům.

V IT Doma nastavujeme firemní sítě na míru – od návrhu topologie přes konfiguraci VLAN segmentace až po průběžný monitoring. Používáme profesionální řešení UniFi a máme zkušenosti s nastavením sítí a wifi pro desítky firem v Praze.

Závěr

Zabezpečení firemní wifi sítě není složité, ale vyžaduje systematický přístup. Dodržením těchto 8 kroků výrazně snížíte riziko kybernetického útoku přes vaši síť. Pamatujte – většina útoků cílí na nejslabší článek, a tím bývá právě špatně zabezpečená wifi.

Potřebujete pomoc se zabezpečením firemní sítě? Objednejte si bezplatný IT audit – zkontrolujeme vaši síť a navrhneme konkrétní vylepšení. Volejte 228 222 752.