Ještě nedávno to vypadalo jako nevinný kompromis. Menší provoz, pár počítačů, tiskárna, účetní systém, e-mail a k tomu „nějaký router“, který je levný, rychle dostupný a na první pohled funguje. Jenže právě tato logika dnes firmám přestává stačit.
Aktuální bezpečnostní incident, na který upozornily české i zahraniční autority, znovu ukázal, že útočníci nemusí jít přímo po serverech, firemním cloudu nebo notebooku zaměstnance. Stačí jim slabě zabezpečené síťové zařízení na okraji infrastruktury. V případě nedávno zveřejněné kampaně šlo podle NÚKIB, FBI a dalších partnerů o zneužívání routerů pro malé a domácí kanceláře, které byly použity jako infrastruktura pro kyberšpionáž a přesměrování provozu přes útočníkem řízené DNS servery.
Právě tady se ukazuje zásadní problém. Domácí nebo SOHO zařízení mohou být pro rodinu nebo velmi malou kancelář „dost dobrá“, ale ve firmě často představují zbytečné riziko. Ne proto, že by každé takové zařízení bylo automaticky špatné, ale proto, že podnikové prostředí má jiné nároky: vyšší dostupnost, auditovatelnost, centralizovanou správu, delší životní cyklus, řízené aktualizace, monitoring a rychlou reakci na zranitelnosti. To je přesně oblast, kde se levné spotřební zařízení často láme. Tohle poslední tvrzení je částečně expertní inference z kombinace oficiálních varování a lifecycle doporučení: bezpečnostní autority opakovaně zdůrazňují, že nepodporovaná nebo špatně spravovaná edge zařízení zvyšují pravděpodobnost kompromitace a mají být nahrazována podporovanými produkty.
Router dnes není „krabička na internet“
Mnoho firem stále vnímá router nebo přístupový bod jako pasivní síťový prvek. Jenže moderní router rozhoduje o tom, kam putují DNS dotazy, kdo se dostane do administrace, jak funguje vzdálený přístup, jak jsou oddělené firemní a hostovské sítě a jak rychle lze reagovat na bezpečnostní incident.
FBI popsala, že ruští aktéři měnili DHCP/DNS nastavení kompromitovaných routerů tak, aby připojená zařízení používala jejich DNS resolvery. To znamená, že notebooky a telefony za takovým routerem přebíraly podvržené síťové nastavení automaticky. Následně bylo možné zachytávat přihlašovací údaje, tokeny a další citlivé informace, včetně obsahu, který by uživatel normálně považoval za chráněný šifrováním. Microsoft doplnil, že právě kompromitace okrajových zařízení před větší organizací je pro útočníky atraktivní i proto, že tato zařízení bývají méně sledovaná a méně řízená než samotné firemní systémy.
Laicky řečeno: firma může mít relativně dobře zabezpečené počítače i cloud, ale pokud stojí před nimi levný a dlouho neaktualizovaný router, útočník získá velmi zajímavý bod, odkud může provoz pozorovat, přesměrovávat nebo zneužívat.
Kde je hlavní rozdíl mezi domácím a firemním zařízením
Rozdíl není jen v ceně nebo výkonu. Zásadní je provozní model.
U spotřebních zařízení firmy často vůbec neví, jak dlouho bude výrobce vydávat bezpečnostní aktualizace, jak bude oznamovat konec podpory, jestli existuje rozumný proces pro správu verzí firmware, jestli lze zařízení centrálně monitorovat a zda je možné na něm dlouhodobě stavět firemní provoz. Bez těchto informací se z nákupu stává loterie.
Naopak u profesionálnějších produktových řad bývá mnohem častěji k dispozici jasná lifecycle politika, oznámení end-of-sale/end-of-life, servisní model a návaznost na podporované verze software. Cisco například veřejně popisuje svou end-of-life politiku včetně milníků okolo ukončení prodeje a podpory. Fortinet u vybraných větví firmware uvádí i režim dlouhodobě podporovaných verzí, který může prodloužit podporu na roky dopředu. To neznamená, že enterprise zařízení jsou automaticky „neprůstřelná“, ale znamená to, že firma aspoň ví, v jakém stavu podpory zařízení je a jak dlouho pro něj může plánovat bezpečný provoz.
A právě to je pro firemní IT kritické. Bez garantovaných aktualizací a bez předvídatelného konce podpory není možné dělat smysluplné řízení rizik.
Největší problém není útok. Největší problém je slepota
V praxi bývá nejhorší situace ta, kdy je ve firmě nasazené zařízení „mimo standard“. Třeba levný router z e-shopu, který byl původně koupen jako nouzové řešení, ale zůstal v produkci tři nebo pět let. Nikdo přesně neví, kdo ho nastavoval, kdy naposledy dostal firmware, jestli má vypnutou vzdálenou správu, jestli používá silné heslo a zda už výrobce zařízení vůbec ještě podporuje.
Britské NCSC dlouhodobě upozorňuje, že zastaralé nebo nepodporované produkty přestávají dostávat bezpečnostní aktualizace a zároveň jim chybí moderní bezpečnostní mitigace. Výsledkem je vyšší pravděpodobnost úspěšného útoku a horší schopnost detekce. NCSC jde ještě dál: výslovně uvádí, že jediný plně účinný způsob, jak toto riziko odstranit, je přestat obsolete produkt používat. Stejně tak doporučuje při výběru nové techniky vždy zohlednit délku podpory produktu.
To je mimochodem velmi důležitá zpráva i pro menší firmy. Kybernetická bezpečnost dnes není jen o antiviru a zálohách. Je i o tom, jestli víte, jak dlouho váš router, firewall nebo access point vůbec ještě dostává bezpečnostní opravy.
„Vždyť je to jen malá firma“ už neplatí
Nedávné případy znovu ukazují, že útočníci běžně začínají širokým zásahem a teprve následně filtrují zajímavější cíle. NCSC popisuje tyto operace jako oportunistické: nejdřív široká skupina obětí, pak výběr těch, které mají zpravodajskou nebo provozní hodnotu. Microsoft uvedl, že identifikoval více než 200 zasažených organizací a 5 000 spotřebitelských zařízení. FBI a americké ministerstvo spravedlnosti zároveň popsaly, že zpočátku šlo o plošné kompromitace tisíců routerů, z nichž si útočníci následně vybírali relevantní provoz.
To znamená jediné: malá firma není chráněná tím, že je malá. Často je naopak výhodný mezikrok. Má méně řízenou infrastrukturu, horší dohled, nižší rozpočet na bezpečnost a přitom může být zajímavým dodavatelem, partnerem nebo přístupovou cestou dál.
Co by měla firma při výběru síťového zařízení řešit
První otázka by neměla znít „kolik to stojí“, ale „jak dlouho to bude bezpečně provozovatelné“.
Firma by měla znát: jak dlouho výrobce garantuje bezpečnostní aktualizace, jak oznamuje konec podpory, zda existují dlouhodobě podporované verze firmware, jestli zařízení umí centralizovanou správu, logování a monitoring, zda lze oddělit sítě pro zaměstnance, hosty, IoT a správu, a jak rychle umí organizace reagovat, pokud se objeví kritická zranitelnost.
NCSC výslovně doporučuje držet zařízení a software aktuální, protože právě aktualizace zavírají známé bezpečnostní díry. CISA letos federálním institucím v USA nařídila odstraňovat edge zařízení po konci podpory a nahrazovat je vendor-supported zařízeními schopnými dostávat aktuální bezpečnostní opravy. I když jde o americký federální kontext, princip je obecně přenositelný i do firemního prostředí: internetově dostupné síťové prvky po konci podpory představují neúměrné riziko.
Kdy má SOHO zařízení ještě smysl
Pro férovost je dobré říct, že ne každé menší zařízení je automaticky špatná volba. Pro velmi malou kancelář, dočasné nasazení nebo nenáročný provoz může být některá SMB řada rozumná. Rozhodující ale je, aby šlo o vědomé rozhodnutí, ne o improvizaci. Jakmile přes zařízení běží firemní e-mail, vzdálený přístup, účetní agenda, kamerový systém, VoIP nebo přístup do cloudu, už nejde o „domácí internet“. Jde o kritický bod firemního provozu.
A kritický bod firemního provozu by měl stát na zařízení, u kterého je jasné, kdo ho spravuje, jak se aktualizuje, jak dlouho bude podporované a čím se nahradí, až podpora skončí.
Levnější nákup neznamená levnější provoz
Domácí router je levný jen na faktuře. Ve skutečnosti může být drahý v provozu: kvůli výpadkům, absenci dohledu, složitějším zásahům, horší diagnostice i bezpečnostnímu riziku. Pokud se stane vstupním bodem útoku, je rozdíl několika tisíc korun při nákupu zanedbatelný oproti škodám, reputačnímu dopadu a času strávenému řešením incidentu.
Poslední kauza kolem zneužívání SOHO routerů je dobré varování. Ne proto, že by každá firma musela okamžitě kupovat nejdražší enterprise řešení na trhu, ale proto, že by měla přestat brát síťové prvky jako spotřební zboží. Router, firewall nebo access point už dávno nejsou jen „krabičky, aby šel internet“. Jsou to bezpečnostní brány firmy. A podle toho je potřeba je vybírat.
Krátké shrnutí do jedné věty
Ve firmách by se neměla preferovat nejlevnější domácí síťová zařízení, ale taková řešení, u nichž je jasně daná podpora, bezpečnostní aktualizace, lifecycle a možnost profesionální správy — protože právě nepodporovaný nebo špatně spravovaný edge prvek je dnes velmi často nejsnazší cestou dovnitř.
Zdroje:
NÚKIB – Routery TP-Link kompromitovány ruským státním aktérem APT28 — https://nukib.gov.cz/cs/infoservis/aktuality/2394-routery-tp-link-kompromitovany-ruskym-statnim-akterem-apt28/
Microsoft Security Blog – SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks — https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/
FBI IC3 – PSA: Threat Actors Compromise SOHO Routers in Cyber Operations — https://www.ic3.gov/PSA/2026/PSA260407
Cisco – End-of-Life and End-of-Sale Notices Policy — https://www.cisco.com/c/en/us/products/eos-eol-policy.html
NCSC – Obsolete products — https://www.ncsc.gov.uk/collection/device-security-guidance/managing-deployed-devices/obsolete-products
NCSC – Keeping devices and software up to date — https://www.ncsc.gov.uk/collection/device-security-guidance/managing-deployed-devices/keeping-devices-and-software-up-to-date
