IoT w firmie – jak inteligentne urządzenia otwierają drzwi hakerom

IoT w biurze – już nie tylko inteligentny dom

Kiedy mówi się o Internecie Rzeczy (IoT), większość osób myśli o inteligentnych głośnikach albo lodówkach z ekranem dotykowym. Tymczasem przeciętne biuro małej lub średniej firmy jest dzisiaj pełne urządzeń podłączonych do sieci – i nie zawsze zdajemy sobie z tego sprawę.

Do typowych urządzeń IoT w środowisku firmowym należą:

• drukarki sieciowe i urządzenia wielofunkcyjne (skaner, faks, kopiarka),
• kamery IP systemu monitoringu CCTV,
• inteligentne termostaty i systemy klimatyzacji (HVAC),
• kontrolery dostępu – czytniki kart, domofony IP, elektrozamki,
• ekrany konferencyjne i systemy do prezentacji,
• smart TV w salach konferencyjnych i poczekalni,
• skanery kodów kreskowych i terminale magazynowe.

Według danych firmy Forescout, przeciętna organizacja zatrudniająca 50–200 osób ma podłączonych do sieci ponad 60 urządzeń IoT – z czego ponad połowa nie jest objęta żadnym programem zarządzania bezpieczeństwem. To ogromna i często zupełnie niewidoczna powierzchnia ataku.

Dlaczego urządzenia IoT są łatwym celem hakerów

Urządzenia IoT stały się ulubionym celem cyberprzestępców, i nie jest to przypadek – mają kilka cech, które sprawiają, że są wyjątkowo łatwe do skompromitowania:

• Domyślne hasła: większość urządzeń wychodzi z fabryki z identycznymi danymi logowania (admin/admin, root/1234). Zmiana ich jest rzadkością, szczególnie w mniejszych firmach.
• Brak aktualizacji: producenci często zaprzestają wydawania poprawek bezpieczeństwa po kilku latach, a użytkownicy rzadko instalują dostępne łatki.
• Ograniczone zasoby sprzętowe: małe procesory i pamięć uniemożliwiają instalację pełnoprawnego oprogramowania ochronnego.
• Długi cykl życia: kamera kupiona 5–7 lat temu często działa bez żadnych zmian konfiguracyjnych – i bez żadnych łatek bezpieczeństwa.
• Niewidoczność w sieci: urządzenia IoT są często pomijane podczas audytów IT i nie pojawiają się w firmowych inwentarzach sprzętu.

Efekt? Według raportu Bitdefender z 2025 roku liczba ataków na urządzenia IoT wzrosła o ponad 400% w ciągu ostatnich trzech lat. W Polsce problem ten szczególnie dotyka MŚP, które rzadko dysponują dedykowanym działem bezpieczeństwa.

Najniebezpieczniejsze urządzenia IoT w firmowym biurze

Nie wszystkie urządzenia IoT stwarzają jednakowe ryzyko. Oto te, którym w środowisku biurowym należy poświęcić szczególną uwagę:

• Drukarki sieciowe – zawierają dyski twarde przechowujące kopie drukowanych dokumentów, skanowanych maili i faktur. Skompromitowana drukarka to nie tylko ryzyko wycieku danych, ale też gotowy punkt wejścia do całej sieci firmowej.
• Kamery IP – starsze modele często mają znane, publicznie udokumentowane luki pozwalające uzyskać zdalny dostęp do obrazu i do sieci. Wyszukiwarki takie jak Shodan indeksują tysiące kamer dostępnych bez żadnego hasła.
• Systemy kontroli dostępu – kompromitacja czytnika kart to nie tylko ryzyko fizycznego wtargnięcia do biura, ale też potencjalny dostęp do segmentu sieci firmowej.
• Smart TV i ekrany konferencyjne – urządzenia z Androidem lub własnym systemem operacyjnym, podłączone do internetu, aktualizowane rzadko lub wcale.
• Systemy HVAC i BMS – systemy zarządzania budynkiem podłączone do internetu dla zdalnego monitoringu stały się celem poważnych ataków. Słynny włam do sieci handlowej Target w USA zaczął się właśnie od przejęcia systemu klimatyzacji zewnętrznego dostawcy.

Jak hakerzy atakują przez urządzenia IoT

Wiedząc, które urządzenia są podatne, warto zrozumieć, w jaki sposób cyberprzestępcy je wykorzystują. Oto najczęstsze scenariusze:

• Botnety IoT – zainfekowane urządzenia (kamery, routery) są włączane do sieci botnet i używane do ataków DDoS na inne cele. Twoja kamera może atakować bank w innym kraju, a Ty o tym nie wiesz.
• Lateral movement (ruch boczny) – po przejęciu urządzenia IoT hakerzy próbują przemieszczać się po sieci, docierając do serwerów, komputerów z danymi czy systemów finansowych. To jeden z głównych wektorów ataków ransomware.
• Szpiegostwo i podsłuch – przejęcie kamery lub mikrofonu w sali konferencyjnej może oznaczać ciche nagrywanie poufnych rozmów biznesowych przez wiele tygodni.
• Wyciek danych – pamięć podręczna drukarki, logi kamery, dane z systemu dostępu – wszystko to może trafić w niepowołane ręce bez żadnego alarmu.
• Cryptomining – zainfekowane urządzenia IoT są wykorzystywane do kopania kryptowalut, co obciąża sieć i sprzęt, a rachunki za energię rosną z niejasnych przyczyn.

Co istotne: wiele z tych ataków jest całkowicie cichych. Ofiara nie zauważa żadnych niepokojących objawów przez miesiące, a nawet lata – aż do momentu, gdy incydent przerodzi się w poważne straty.

Pięć kroków do bezpiecznego IoT w firmie

Zabezpieczenie urządzeń IoT w małej firmie nie wymaga astronomicznego budżetu. Kluczowe jest działanie metodyczne. Oto pięć kroków, od których warto zacząć:

1. Zinwentaryzuj wszystkie urządzenia – skanowanie sieci narzędziami takimi jak Nmap czy wbudowane funkcje routera pozwoli odkryć, ile urządzeń faktycznie jest podłączonych. Wyniki często zaskakują nawet doświadczonych administratorów.
2. Zmień domyślne hasła – dla każdego urządzenia ustaw unikalne, silne hasło i zapisz je w firmowym menedżerze haseł. To najprostszy krok o największym wpływie na poziom bezpieczeństwa.
3. Segmentuj sieć – umieść urządzenia IoT w osobnej sieci VLAN, odizolowanej od sieci z komputerami i danymi firmowymi. Nawet jeśli kamera zostanie przejęta, atakujący nie dotrze bezpośrednio do reszty infrastruktury.
4. Aktualizuj firmware regularnie – sprawdzaj dostępność aktualizacji dla wszystkich urządzeń sieciowych co najmniej raz na kwartał. Jeśli producent zakończył wsparcie dla danego modelu, rozważ jego wymianę.
5. Monitoruj ruch sieciowy – anomalie w ruchu (np. kamera wysyłająca duże ilości danych w środku nocy) mogą wskazywać na infekcję. Prosta analiza logów routera lub systemy klasy NDR pozwalają wykryć takie zachowania odpowiednio wcześnie.

Polityka IoT – jak ją wdrożyć w małej firmie

Jednorazowe działania techniczne to za mało – potrzebujesz polityki IoT, czyli zestawu zasad określających, jak urządzenia są kupowane, konfigurowane, używane i wycofywane z eksploatacji.

Dobra polityka IoT dla MŚP powinna obejmować:

• Zatwierdzoną listę urządzeń – tylko sprzęt z listy zaaprobowanych modeli może być podłączany do firmowej sieci.
• Procedurę wdrożenia – każde nowe urządzenie przechodzi przez checklistę bezpieczeństwa: zmiana hasła, aktualizacja firmware, przydział do właściwego segmentu sieci VLAN.
• Zarządzanie cyklem życia – urządzenia, dla których producent zakończył wsparcie, są wymieniane w określonym terminie, a nie dopiero po awarii lub incydencie bezpieczeństwa.
• Wyraźną odpowiedzialność – wskazana osoba lub zewnętrzna firma IT odpowiada za bieżący stan bezpieczeństwa urządzeń IoT w całej organizacji.

Nie wiesz, od czego zacząć? Audyt bezpieczeństwa IT to pierwszy krok, który pozwoli ocenić aktualny stan zabezpieczeń i wskazać priorytety bez zbędnych wydatków. Sprawdź, jak przeprowadzamy audyty IT – pomagamy firmom z Wrocławia i okolic działać bezpieczniej już od pierwszego spotkania.