przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Urządzenia IoT w organizacji - na co zwrócić uwagę?

Urządzenia IoT w organizacji - na co zwrócić uwagę?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Wraz z rosnącą cyfryzacją przedsiębiorstw urządzenia IoT stają się nieodłącznym elementem funkcjonowania wielu firm. Wiele z nich działa jako sprzęt sieciowy, co oznacza bezwzględną konieczność stosowania odpowiednich zabezpieczeń dopasowanych do zidentyfikowanego przez administratora ryzyka. Właściwe zarządzanie i ochrona infrastruktury to fundament stabilności każdego biznesu. Jak w praktyce dbać o bezpieczeństwo i skutecznie chronić urządzenia IoT przed cyberatakami?

Zgodnie z definicją Głównego Urzędu Statystycznego IoT oznacza urządzenia zbierające i wymieniające ze sobą dane, które mogą być sterowane z poziomu Internetu. Mowa tutaj o sprzęcie powszechnie wykorzystywanym przez jednostki samorządu terytorialnego czy sektor małych i średnich przedsiębiorstw, takim jak m.in.:

  • kamery IP (np. służące do monitoringu);
  • sterowanie oświetleniem;
  • zarządzanie dostępem do pomieszczeń (np. na podstawie identyfikatorów);
  • drukarki;
  • termostaty;
  • klimatyzatory;
  • czujniki;
  • smart TV.

Realne zagrożenie

W październiku 2016 roku amerykańskie władze wydały ostrzeżenie przed atakami DDoS powiązanymi z botnetem Mirai, który wykorzystywał przejęte urządzenia IoT do masowego wysyłania zapytań do określonego celu w Internecie, co powodowało problemy w działaniu niektórych witryn. 

Na witrynach CISA (amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) wskazano kilka prostych rozwiązań pozwalających znacznie zminimalizować ryzyko przejmowania urządzeń IoT. Podstawowymi rekomendacjami było odcięcie urządzeń od Internetu oraz zmiana domyślnych haseł. Pomimo upływu niecałych 10 lat zalecenia wciąż pozostają aktualne i warto je stosować w praktyce.

ezpieczeństwo kamer monitoringu jako popularne urządzenia IoT 

W lutym 2026 roku Naukowa i Akademicka Sieć Komputerowa (NASK) opisała ataki na kamery Dahua. W komunikacie „Podglądani we własnych domach – czy twoja kamera jest bezpieczna?” podkreślono, że cyberprzestępcy uzyskują nieuprawniony dostęp do monitoringu m.in. w placówkach medycznych.

NASK stwierdziła, że najczęstszym wektorem ataku pozostaje wykorzystanie domyślnych loginów i haseł. Wśród zaleceń NASK można wymienić m.in.:

  • nieudostępnianie kamery w Internecie;
  • wykorzystanie dedykowanego VPN-a w przypadku konieczności dostępu zdalnego;
  • zmiana domyślnego loginu i hasła już na etapie konfiguracji;
  • regularne aktualizowanie oprogramowania;
  • wybór zaufanych dostawców sprzętu.

Urządzenia IoT a ochrona danych osobowych i analiza ryzyka

Urządzenia działające w ramach Internetu rzeczy mogą zbierać i przetwarzać dane osobowe, co nakłada na administratora obowiązki związane z unijnym Ogólnym Rozporządzeniem o Ochronie Danych (dalej: RODO). Przykładami takich urządzeń są: wideodomofony, biometryczne terminale dostępu (wykorzystujące odciski palców lub rozpoznawanie twarzy) czy GPS-y w samochodach służbowych.

Artykuł 24 RODO zobowiązuje administratora do zapewnienia ochrony danych, przy czym zastosowane środki mają bezpośrednio zależeć od ryzyka. Dodatkowym obowiązkiem jest możliwość wykazania podjęcia działań przed organem nadzorczym (tzw. rozliczalność).

Warto przy tym podkreślić, że w przypadku przetwarzania danych mogącego powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych konieczne jest sporządzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, co wykazano w art. 35 RODO.

Przykład 1.

Firma postanawia wdrożyć monitoring magazynu. W tym celu powinna m.in. przeanalizować możliwość wykorzystania mniej inwazyjnych środków, wykazać podstawę do takiego działania (art. 6 RODO), dopełnić obowiązku informacyjnego (art. 13 RODO), jasno ustalić czas przechowywania nagrań (niedłuższy niż trzy miesiące, zgodnie z art. 22² Ustawy z 26 czerwca 1974 roku – Kodeks pracy) i ocenić skutki dla ochrony danych (art. 35 RODO). Pod kątem cyberbezpieczeństwa konieczne jest określenie tego, czy urządzenia są widoczne z poziomu sieci (uwzględniając wyłączenie protokołu UPnP), regularne aktualizowanie oprogramowania oraz zmiana domyślnych danych logowania.

Segmentacja sieci

W przypadku urządzeń IoT ważną rolę odgrywa segmentacja sieci. Zazwyczaj dokonuje się jej na poziomie logicznym, czyli poprzez VLAN-y (wirtualne sieci lokalne) na przełączniku sieciowym (tzw. switchu).

Mówiąc wprost – nasza drukarka, telewizor czy kamery nie muszą „rozmawiać” ze środowiskiem IT zawierającym dane produkcyjne (w tym często dane osobowe). NASK w dokumencie z 10 października 2024 roku rekomendowała utworzenie „osobnej sieci na urządzenia IoT”. W opracowaniu przywołano również analizę FortiGuard Labs, gdzie stwierdzono, że w 2022 roku systemy firmy zarejestrowały 20 milionów udanych ataków brute-force na urządzenia IoT. Wśród najpopularniejszych celów cyberprzestępców znalazły się m.in. routery Huawei HG532 (30% prób, CVE-2017-17215).

Wsparcie producenta i zbierane dane

Zapewnienie odpowiedniego poziomu bezpieczeństwa urządzeń często wiąże się z koniecznością instalowania aktualizacji, ponieważ wciąż odkrywane są nowe podatności w oprogramowaniu. Moment zaprzestania wydawania aktualizacji przez producenta nazywany jest EOL (ang. end of life) i często wiąże się z koniecznością wymiany sprzętu na nowszy, ponieważ z upływem czasu mogą zostać wykryte nowe luki w zabezpieczeniach, które nie zostaną załatane przez producenta.

W Biuletynie Urzędu Ochrony Danych Osobowych (UODO) nr 4/06/23 opisano zalecenia dla urządzeń IoT. Jednym z zagadnień było upewnienie się, że producent urządzenia wydaje stosowne poprawki bezpieczeństwa.

Kolejny aspekt dotyczy tego, aby upewnić się, jaki zakres danych jest zbierany przez urządzenie. W przypadku wykorzystywania sprzętu z wieloma wbudowanymi funkcjami powinniśmy ograniczyć ich stosowanie do tych, które są nadzorowane przez administratora danych i wymagane do osiągnięcia danego celu (np. monitorowania obiektu).

Przykład 2.

Urząd postanowił wdrożyć monitoring wizyjny nad wejściem do budynku. Jeżeli w kamery wbudowany jest mikrofon, powinien zostać wyłączony, ponieważ takie dane będą nadmiarowe.

W Biuletynie UODO nr 7-8/07-08/2023 zalecono administratorom danych zapoznanie się z polityką prywatności producenta urządzeń IoT, aby móc spełnić obowiązek informacyjny wobec osób, których dane przetwarza.

Realne ataki

Urządzenia IoT były wykorzystywane przez cyberprzestępców w realnych atakach. Jeden z takich incydentów miał miejsce 10 lat temu w Finlandii. Jak podaje Ashrae, udany atak DDoS spowodował problemy w zdalnym zarządzaniu ogrzewaniem budynków, co odcięło mieszkańców dwóch budynków od ciepła. Zdarzenie pokazuje, że warto rozważyć korzystanie z urządzeń, które niekoniecznie muszą wymagać dostępu do Internetu do poprawnego działania.

W 2023 roku wykryto podatność (CVE-2023-23451) w sterownikach firmy SICK, umożliwiającą zdalne przejęcie urządzeń z wykorzystaniem protokołu Telnet (powszechnie uznawanego za przestarzały m.in. z racji na brak szyfrowania). W przypadku części urządzeń komunikacja na podstawie tego protokołu była domyślnie (fabrycznie) włączona, co pokazuje konieczność weryfikacji ustawień urządzeń IoT przed ich wdrożeniem. Incydent podkreśla również konieczność zmiany domyślnych poświadczeń logowania, ponieważ luka w zabezpieczeniach nie dotyczyła urządzeń, które posiadały ręcznie zmienione hasło (domyślnie nie było ustawione).

W ubiegłym roku amerykańska CISA opisała podatność (CVE-2025-6260) w sieciowych termostatach (działających na podstawie Wi-Fi), która umożliwiała atakującym pełne przejęcie kontroli nad urządzeniami. Agencja zaapelowała m.in. o ograniczenie widoczności termostatów z poziomu Internetu, umieszczanie urządzeń za zaporą ogniową (tzw. firewallem) i wykorzystanie VPN w przypadku konieczności zdalnego zarządzania.

Przykład 3.

Firma wdraża termostaty zarządzane za pomocą sieci Wi-Fi. W przypadku korzystania z urządzeń jedynie w sieci lokalnej (np. kiedy termostatów używa się wyłącznie w momencie przebywania pracowników w biurze) zazwyczaj niepotrzebne jest zapewnienie stałego połączenia urządzeń z Internetem. Jeżeli istnieje konieczność zdalnego zarządzania temperaturą w budynku, konieczne jest użycie VPN. W obu sytuacjach warto wydzielić VLAN (wirtualną sieć lokalną), aby odseparować termostaty od głównej sieci organizacji.

Urządzenia IoT - podsumowanie

IoT niewątpliwie pomaga w codziennym zarządzaniu obiektami, lecz wymaga przy tym zastosowania odpowiednich zabezpieczeń. W przypadku małych i średnich przedsiębiorstw i jednostek samorządu terytorialnego do głównych rekomendacji należy zaliczyć:

  • rozważne i świadome kontrolowanie dostępu do urządzeń z poziomu Internetu;
  • stosowanie sieci VLAN;
  • nadzór nad zbieranymi danymi. 

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Atak SIM swap: Jak chronić firmę przed przejęciem ...
Kwiecień 2026
10
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Księgowi na celowniku cyberoszustów – najczęstsze metody ataku
  2. NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega ustawom
  3. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  4. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  5. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Atak SIM swap: Jak chronić firmę przed przejęciem numeru telefonu?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

CTRL+GROW wraca do Warszawy – 9 kwietnia odbędzie się 7. edycja eventu z branży SEO × AI × Biznes
Jubileuszowa Konferencja WallStreet 30 już w maju. Największe spotkanie inwestorów indywidualnych w Polsce wraca do Karpacza
Nowoczesne trendy kształtujące widoczność i prawa osób z niepełnosprawnościami - Konferencja Fundacji Avalon
Spotkanie Liderów Finansów: dwa dni rozmów o przyszłości bankowości, ubezpieczeń i fintech
Energetyka – Społeczeństwo – Gospodarka. Przed nami 43. Konferencja Energetyczna EuroPOWER & OZE POWER Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów