Proč jsou chytré spotřebiče lákavým cílem
Chytrá domácnost už dávno neznamená jen žárovky na mobil. V praxi jde o desítky zařízení připojených k internetu: kamery, robotické vysavače, lednice, zámky, zásuvky, televize nebo hlasoví asistenti. Každé z nich je potenciální vstupní bod. Útočníci obvykle necílí na „nejdražší“ zařízení, ale na to nejslabší, tedy na špatně nastavený router, výchozí heslo nebo starý firmware bez aktualizací.
Podle bezpečnostních zpráv výrobců i firem zabývajících se kyberbezpečností dlouhodobě patří mezi nejčastější problémy u IoT zařízení výchozí přihlašovací údaje, otevřené porty a slabé zabezpečení cloudových účtů. V domácnosti to může znamenat od sledování kamer přes zneužití mikrofonu až po napadení celé sítě, přes kterou se útočník dostane k notebooku, telefonu nebo pracovnímu PC.
První pravidlo je jednoduché: každé zařízení je třeba považovat za počítač. Jen s tím rozdílem, že u mnoha spotřebičů bývá bezpečnost nastavená spíš „na provoz“ než „na ochranu“. Proto je nutné udělat několik kroků hned po koupi, nikoli až ve chvíli, kdy se něco podezřelého objeví.
Základ je síť: oddělte chytrou domácnost od počítačů a mobilů
Největší chybou bývá připojit všechno do jedné domácí Wi-Fi. Pokud se útočník dostane do jedné chytré zásuvky nebo levné kamery, může se pak pokusit hledat další zařízení ve stejné síti. Bezpečnější je oddělení provozu.
Prakticky to znamená vytvořit samostatnou Wi-Fi síť pro IoT zařízení, případně použít síť pro hosty, pokud router neumí pokročilejší segmentaci. Ideální je, když chytrá domácnost běží na odděleném VLANu nebo alespoň na jiné SSID s omezeným přístupem do lokální sítě. Kamery, vysavače a zásuvky nepotřebují vidět vaše pracovní notebooky ani NAS úložiště.
- Hlavní síť: telefony, počítače, pracovní zařízení, úložiště dat.
- IoT síť: kamery, žárovky, zásuvky, vysavače, TV, reproduktory.
- Host síť: návštěvy a dočasná zařízení.
U routeru zkontrolujte, zda podporuje WPA3; pokud ne, minimem je WPA2-AES. Staré režimy typu WEP nebo WPA by dnes neměly být zapnuté vůbec. Důležité je také vypnout WPS, tedy snadné párování tlačítkem, které je pohodlné, ale bezpečnostně slabší.
Pokud používáte vlastní router od operátora, ověřte si, zda má pravidelné aktualizace firmwaru. U některých modelů se bezpečnostní záplaty vydávají jen omezenou dobu, pak je vhodné zařízení vyměnit.
Hesla, účty a aplikace: nejčastější slabina celé domácnosti
Útok na chytrou domácnost často neprobíhá přes technickou chybu, ale přes účet uživatele. Když má kamera stejné heslo jako e-mail nebo když je přihlašování do aplikace založené na jednoduchém kódu, je problém na světě. V praxi platí, že heslo k routeru, cloudu i samotnému zařízení musí být unikátní.
Používejte správce hesel, například Bitwarden, 1Password nebo KeePass. Všude, kde to jde, zapněte dvoufaktorové ověření. U účtů výrobců kamer, vysavačů nebo domácích alarmů je to zásadní, protože právě přes cloudový účet bývá možné zařízení na dálku ovládat nebo sledovat živý obraz.
Vyplatí se také projít nastavení aplikací a vypnout funkce, které nepotřebujete:
- vzdálený přístup mimo domácí síť, pokud není nutný,
- sdílení přístupu s dalšími uživateli bez kontroly oprávnění,
- automatické publikování statistik, polohy nebo zvukových záznamů,
- párování přes veřejný Bluetooth režim, pokud zařízení umožňuje lepší variantu.
U kamer a zámků je vhodné pravidelně kontrolovat seznam připojených účtů. Často se stává, že bývalý partner, servisní technik nebo člen domácnosti má stále aktivní přístup, i když už ho nepotřebuje.
Aktualizace firmwaru a životní cyklus zařízení
Chytrá lednice nebo vysavač nejsou „hotové“ produkty. Jsou to zařízení, která dostávají opravy chyb, bezpečnostní záplaty a někdy i nové funkce. Pokud výrobce přestane aktualizace vydávat, zařízení postupně stárne i bezpečnostně. To je důležité zejména u levnější elektroniky bez dlouhodobé podpory.
Po koupi zařízení udělejte tři kroky: zkontrolujte verzi firmwaru, ručně spusťte aktualizaci a ověřte, zda lze zapnout automatické aktualizace. U některých značek je firmware schovaný v aplikaci, jinde na webu výrobce. Pokud aktualizace vyžaduje několik restartů nebo přerušení provozu, je lepší to udělat hned po instalaci než později v běžném provozu.
U zařízení, která už výrobce nepodporuje, je třeba zvážit výměnu. To platí hlavně pro:
- staré IP kamery s veřejně známými zranitelnostmi,
- routery bez bezpečnostních aktualizací,
- chytré zásuvky a žárovky od neznámých značek,
- spotřebiče závislé na cloudové službě, která končí provoz.
Jestliže zařízení přestane komunikovat po uzavření služby výrobce, nejde jen o nepohodlí. Může zůstat v síti jako neaktualizovaný a potenciálně zranitelný prvek. V takovém případě je lepší jej odpojit od internetu a používat jen lokálně, pokud to technicky dovoluje.
Kamery, mikrofony a senzory: co nastavit, aby nesbírali víc, než mají
U bezpečnostních kamer, videovrátníků a hlasových asistentů je vedle technického zabezpečení důležitá i kontrola dat. Z pohledu soukromí i bezpečnosti platí, že zařízení by mělo mít jen oprávnění, která skutečně potřebuje. U kamery to znamená obraz a případně zvuk, ne přístup ke kontaktům, poloze nebo celé domácí síti.
Podívejte se do aplikace a zkontrolujte, zda lze vypnout cloudové nahrávání, pokud preferujete lokální ukládání na SD kartu nebo NAS. Lokální řešení bývá bezpečnější v tom smyslu, že data neputují přes cizí server, ale vyžaduje dobrou správu přístupů a záloh. U citlivějších prostor, jako je dětský pokoj nebo vstupní hala, je vhodné nastavit notifikace pouze na skutečné události, ne na každý pohyb stromu za oknem.
Praktický příklad: kamera u dveří má snímat prostor před bytem, ale neměla by být dostupná z veřejného internetu bez šifrovaného přístupu. Pokud výrobce nabízí pouze veřejný port a jednoduché přihlášení, je to slabé řešení. Bezpečnější je přístup přes VPN do domácí sítě nebo přes kvalitně zabezpečenou cloudovou službu s dvoufaktorem.
U hlasových asistentů je vhodné pravidelně mazat historii příkazů a zkontrolovat, zda nejsou zapnuté funkce, které nahrávají delší úseky zvuku „pro zlepšení služby“. Čím méně dat se ukládá, tím menší je dopad případného úniku.
Co sledovat průběžně: router, logy i neobvyklé chování zařízení
Bezpečnost chytré domácnosti není jednorázové nastavení. Je to provozní disciplína. Jednou za čas zkontrolujte seznam zařízení v routeru, protože v mnoha domácnostech se časem objeví desítky položek a část z nich už nikdo nezná. Pokud se v síti objeví neznámá IP adresa nebo zařízení s podivným názvem, je dobré ji prověřit.
Pokud router podporuje logy, podívejte se, zda zařízení nekomunikuje neobvykle často s neznámými servery v zahraničí. Není nutné rozumět každému technickému detailu, stačí sledovat odchylky: vysavač, který se připojuje v noci na adresy, kam obvykle nechodí, nebo kamera, která posílá výrazně více dat než dříve, může signalizovat problém.
Pomoci mohou i běžné nástroje:
- router s přehledem zařízení a možností blokace,
- správce hesel pro unikátní přihlašování,
- VPN pro bezpečný vzdálený přístup do domácí sítě,
- monitoring provozu v pokročilejších routerech nebo firewallu.
Pokud se objeví podezření na kompromitaci, postup je jasný: odpojit zařízení od sítě, změnit hesla, aktualizovat firmware a zkontrolovat účty v aplikaci. U zařízení s kamerou nebo zámkem je vhodné ověřit i historii přístupů. V případě vážnějšího incidentu má smysl obnovit router do továrního nastavení a síť znovu postavit od začátku.
Chytrá domácnost může fungovat pohodlně i bezpečně, ale jen tehdy, když se k ní přistupuje stejně pečlivě jako k notebooku nebo firemnímu systému. Rozhodují detaily: oddělená síť, silná hesla, aktualizace, omezení přístupů a pravidelná kontrola toho, co je skutečně připojeno. Právě tím se snižuje riziko, že lednice, vysavač nebo kamera začnou místo vám sloužit někomu cizímu.