Domov / Tipy a rady / Sieťová segmentácia: prípad firmy, ktorá zaplatila 180 000 € za jednu chybu
Siete a Cloud

Sieťová segmentácia: prípad firmy, ktorá zaplatila 180 000 € za jednu chybu

Sieťová segmentácia: prípad firmy, ktorá zaplatila 180 000 € za jednu chybu

V marci 2025 otvorila účtovníčka stredne veľkej distribučnej firmy z Trnavy email s faktúrou. O pätnásť minút neskôr boli zašifrované všetky firemné dáta vrátane skladu, CRM systému a zálohovania. Útočníci žiadali výkupné 180 000 eur. Firma nakoniec zaplatila 140 000 eur, no celková škoda vrátane výpadku prevádzky presiahla 320 000 eur.

Čo sa pokazilo? Ransomware sa nekontrolovateľne šíril celou sieťou, pretože firma nemala zavedené žiadne sieťové oddelenia. Jeden infikovaný počítač ohrozil všetko.

Čo je sieťová segmentácia a prečo o niej nevieme

Predstavte si vašu firemnú sieť ako open space kanceláriu bez stien. Každý počítač, telefón, tlačiareň aj server sú v jednej miestnosti a navzájom sa vidia. Keď niekto príde s chrípkou, nakazia sa všetci.

Sieťová segmentácia je rozdelenie siete na izolované časti. Účtovníctvo má svoje oddelenie, sklad svoje, vedenie má bezpečný prístup k citlivým dátam. Keď sa niečo pokazí v jednej časti, ostatné fungujú ďalej.

Problém je, že väčšina slovenských firiem má stále flat network. Všetko je prepojené so všetkým. IT technik, ktorý im pred rokmi inštaloval server a router, o segmentácii nepremýšľal. A vlastník firmy o tomto probléme ani nevie.

Reálny prípad: ako ransomware paralyzoval celú firmu

Vráťme sa k trnавskej distribučnej firme. Mala 45 zamestnancov, tri sklady a fungovala 18 rokov bez väčších IT problémov. Presne preto ju bezpečnosť netrápiла.

Ako útok začal

Účtovníčka otvorila email s prílohou, ktorá vyzerala ako faktúra od dodávateľa. V skutočnosti išlo o ransomware variant LockBit 3.0. Malware sa najprv šíril v tichosti po celej sieti a mapoval všetky dostupné disky a servery.

Po pätnástich minútach spustil útočník šifrovanie. Pretože sieť nebola segmentovaná, mal prístup všade: k účtovnému serveru, skladu, CRM systému, firemným emailom aj zdieľaným diskům.

Čo sa pokazilo

Firma nemala implementované ani základné bezpečnostné prvky modernej správy sietí. Žiadne VLAN siete, žiadne firewall pravidlá medzi oddeleniami, žiadne obmedzenie prístupu.

Keď sa PC účtovníčky infikoval, mal plný prístup k serverom. Ransomware využil SMB protokol a zdieľané priečinky na šírenie. Za 15 minút bol zašifrovaný celý biznis.

Zálohy? Tie boli pripojené ako sieťový disk. Samozrejme tiež zašifrované.

Finančný dopad

Firma musela úplne zastaviť prevádzku. Nemohli expedovať objednávky, evidovať príjem tovaru ani fakturovať. Každý deň výpadku stál firmu približne 18 000 eur na stratených obchodoch a zmluvných pokutách.

Po troch dňoch vyjednávania firma zaplatila výkupné 140 000 eur v kryptomene. Obnova dát trvala ďalších päť dní. Celková škoda:

  • Výkupné: 140 000 eur
  • Strata prevádzky 8 dní: 144 000 eur
  • IT audit a obnova systémov: 25 000 eur
  • Právne a PR náklady: 11 000 eur

Spolu 320 000 eur za jeden otvorený email. A to nerátame poškodenú reputáciu a odchod dvoch veľkých zákazníkov.

Ako by segmentácia útok zastavila

Keby mala firma správne nastavenú segmentáciu, scenár by vyzeral úplne inak. Účtovnícke PC by bolo v izolovanom VLANe s obmedzeným prístupom len k potrebným službám.

Ransomware by sa síce dostal na jeden počítač, ale nemohol by sa šíriť na servery a do iných oddelení. Škoda by bola jeden počítač, nie celá firma.

Základné princípy segmentácie

Moderná komplexná správa siete vždy zahŕňa segmentáciu. Ako by to v praxi vyzeralo?

Management sieť: Oddelený VLAN pre správu serverov a sieťových zariadení. Prístup len pre administrátorov z bezpečných zariadení.

Serverová zóna: Servery v izolovanom segmente. Každé oddelenie má prístup len k službám, ktoré potrebuje.

Užívateľské siete: Oddelené VLANy pre jednotlivé oddelenia. Účtovníctvo nemá prístup k skladu, sklad nemá prístup k vedeniu.

Hosťovská sieť: Úplne oddelená sieť pre návštevy a dodávateľov bez prístupu k firemným zdrojom.

Podobne ako moderné riešenia typu SD-WAN dokážu bezpečne prepojiť pobočky, správna segmentácia vie bezpečne oddeliť jednotlivé časti jednej siete.

Čo odporúča SK-CERT

Slovenský národný CERT, ktorý pod Národným bezpečnostným úradom monitoruje kybernetické hrozby, dlhodobo upozorňuje na rastúci počet ransomware útokov na slovenské firmy.

V roku 2025 zaznamenali 237 percent nárast útokov oproti roku 2023. Väčšina úspešných útokov mala spoločné: nedostatočná segmentácia siete a chýbajúce základné bezpečnostné opatrenia.

SK-CERT odporúča implementáciu segmentácie ako základné bezpečnostné opatrenie, ktoré dokáže dramaticky znížiť riziko a dopad kybernetických útokov.

Čo môžete urobiť teraz

Ak si nie ste istí, ako je na tom vaša firemná sieť, najvyšší čas to zistiť. Najmä ak ste váš IT systém stavali postupne a nikdy neriešili komplexnú bezpečnosť.

Prvý krok je audit súčasného stavu. Ako je sieť nastavená, čo má prístup kam, kde sú slabé miesta. IT monitoring 24/7 vie odhaliť podezrivé aktivity skôr, než spôsobia škodu.

Potom navrhnúť správnu segmentáciu podľa veľkosti firmy a typu dát, ktoré chránite. Niektoré firmy potrebujú aj pokročilejšie riešenia ako mikrosegmentáciu či zero trust architektúru.

Implementácia segmentácie neznamená vymeniť celú sieť. Väčšinou stačí prekonfigurovať existujúce zariadenia a pridať firewall pravidlá. Dôležité je mať človeka, ktorý to vie správne nastaviť a udržiavať.

Rovnako ako môžu byť nebezpečné kritické zraniteľnosti v sieťových zariadeniach, aj nedostatočná segmentácia je otvorená brána pre útočníkov.

Ako vám vieme pomôcť

Robíme komplexné audity firemných sietí a navrhujeme segmentáciu šitú na mieru. Neponúkame univerzálne riešenia, pretože každá firma má iné potreby a infraštruktúru.

Naša IT podpora zahŕňa aj pravidelnú kontrolu bezpečnosti a aktualizáciu pravidiel podľa vývoja firmy. Keď rozširujete pobočky alebo pridávate nové systémy, segmentácia sa musí prispôsobiť.

Máte otázky k bezpečnosti vašej siete? Kontaktujte nás a urobíme vám nezáväzné posúdenie aktuálneho stavu. Lepšie investovať do prevencie teraz, než platiť stotisíce eur v budúcnosti.

Čo by vás ešte mohlo zaujímať

Koľko stojí implementácia sieťovej segmentácie?

Náklady závisia od veľkosti siete a komplexnosti infraštruktúry. Záleží aj na tom, či máte moderné zariadenia podporujúce VLANy alebo je potrebná výmena hardvéru. Investícia do segmentácie je však zlomkom potenciálnej škody pri úspešnom kyberútoку. Pre väčšinu firiem sa návratnosť pohybuje v rádoch mesiacov.

Musím pre segmentáciu vymeniť všetky zariadenia?

Nie. Väčšina moderných switchov a routerov podporuje VLANy a základnú segmentáciu. Často stačí rekonfigurácia existujúcich zariadení. Výmena je potrebná len pri veľmi starých zariadeniach, ktoré už nepodporujú základné bezpečnostné funkcie. Audit ukáže presne, čo je potrebné.

Ako segmentácia ovplyvní každodennú prácu zamestnancov?

Pri správnom nastavení vôbec. Zamestnanci budú mať prístup ku všetkému, čo na prácu potrebujú. Rozdiel pocítia len pri pokuse o prístup tam, kam nemajú mať povolenie. Dobrá segmentácia je neviditeľná pre legitímnych používateľov, ale účinná proti hrozbám.

Pomôže segmentácia aj pri GDPR a iných normách?

Áno. Sieťová segmentácia je často požiadavka pri plnení bezpečnostných noriem vrátane GDPR. Umožňuje preukázať, že osobné údaje sú technicky oddelené a chránené proti neoprávnenému prístupu. Pri auditoch je segmentovaná sieť veľká výhoda.

Potrebujete pomôcť s IT vo vašej firme?

Kontaktujte nás pre nezáväznú konzultáciu.

+421 948 07 97 07 linka@itpomoc.sk
Zdieľaj:
8. Máj 2026 Autor: Peter Šrůtek
📞 Zavolať nám