Blog

Segmentace sítě: Proč váš antivirus útok nezastaví (a jak se nepotopit jako Titanic)

11. listopadu 2025

Představte si vaši firemní síť jako luxusní zaoceánský parník. Máte silný trup (Firewall), na palubě hlídá ochranka (Antivirus) a pasažéři (zaměstnanci) se baví.

Většina firem ale dělá jednu zásadní chybu: Vnitřek lodi je jeden obrovský otevřený prostor. Pokud do trupu narazí ledovec a udělá díru v podpalubí, voda se okamžitě rozlije úplně všude. Loď jde ke dnu.

V IT se tomu říká „Plochá síť“. A je to důvod, proč ransomware dokáže během hodiny položit celou firmu.

Proč Antivirus nestačí?

Antivirus je jako dveřník. Zkontroluje, jestli ten, kdo vchází, nemá na seznamu hledaných osob fotku (známý virus). Moderní hackeři ale nepoužívají staré viry. Používají ukradené přihlašovací údaje nebo legitimní nástroje správců. Pro antivir vypadají jako běžní zaměstnanci.

Jakmile „dveřník“ (AV) selže a pustí útočníka dovnitř, v ploché síti už ho nic nezastaví. Může jít od počítače recepční k tiskárně, od tiskárny na server a ze serveru do účetnictví. Tomuto pohybu se říká Lateral Movement (Pohyb do stran) a je to hlavní taktika útočníků.

Řešení: Vodotěsné komory (Segmentace)

Profesionální síť se musí chovat jako ponorka. Je rozdělena na oddělené, vodotěsné sekce (VLANy).

Sekce A: Počítače zaměstnanců
Sekce B: Tiskárny a kamery (IoT)
Sekce C: Servery a data
Sekce D: Wi-Fi pro hosty

Mezi těmito sekcemi jsou zamčené dveře.

Jak to vypadá v praxi při útoku?

Scénář 1: Plochá síť (Bez segmentace) Recepční klikne na zavirovanou přílohu. Hacker ovládne její počítač. Protože „vidí“ na celou síť, okamžitě napadne server s daty. Zašifruje vše. Výsledek: Firma stojí.

Scénář 2: Segmentovaná síť Recepční klikne na zavirovanou přílohu. Hacker ovládne její počítač. Rozhlédne se a... vidí jen další dva počítače na recepci a tiskárnu. Cesta k serverům je zamčená. Firewall mezi sekcemi hlásí: "Počítač recepce se snaží spojit s databází mezd. ZAMÍTNUTO." Výsledek: Recepční má zavirovaný počítač. Zbytek firmy normálně pracuje.

Co segmentovat jako první? (Zlaté pravidlo)

Nemusíte hned budovat Fort Knox. Začněte tím nejdůležitějším:

Hosté vs. Firma: Wi-Fi pro návštěvy musí být úplně oddělená. Nechcete, aby zavirovaný notebook obchodního partnera nakazil vaši síť.
IoT do karantény: Tiskárny, chytré žárovky a kamery mají mizerné zabezpečení. Oddělte je od počítačů s citlivými daty.
Servery za zdí: Běžné stanice uživatelů by neměly mít přímý přístup na servery, pokud to není nezbytně nutné (přístup jen na konkrétní porty služby).

Závěr

Segmentace sítě je jako požární úseky v budově. Možná nezabráníte tomu, aby v jedné kanceláři (počítači) začalo hořet. Ale díky zavřeným dveřím zajistíte, že nevyhoří celý mrakodrap. Nespoléhejte jen na antivirus. Rozdělte svou loď dřív, než trefíte ledovec.

Další články

18. února 2026

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

Každé IT oddělení má stejný cíl: zajistit, aby firma fungovala hladce a data byla v bezpečí. Realita všedního dne je ale často jiná. Místo řešení kybernetické bezpečnosti nebo rozvoje infrastruktury tráví technici hodiny řešením problémů, které by uživatelé zvládli odstranit sami.

3. února 2026

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

Znáte ten scénář? Kolega odejde z firmy, IT mu zruší účet a najednou celému týmu zmizí důležitá složka s projekty. Nebo kliknete na odkaz a vyskočí na vás „Přístup odepřen“. Proč se to děje? Protože většina firem si plete osobní prostor s tím firemním.

26. ledna 2026

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

V IT existuje staré pořekadlo: „Lidé se dělí na dva typy: na ty, kteří o data přišli, a na ty, které to teprve čeká.“ Pevný disk se může rozbít, notebook vám ukradnou, nebo (což je dnes nejčastější) vám data zašifruje ransomware. Pokud máte všechna data jen na jednom místě, hrajete ruskou ruletu.

Máte zájem o naše služby? Kontaktujte nás ještě dnes.