Publiczne Wi-Fi w placówce – wygoda czy zagrożenie? O czym musi wiedzieć właściciel firmy

Ochrona danych osobowych, Poradniki

Darmowy dostęp do internetu w salonie, klinice, gabinecie czy placówce medycznej to dziś częsty standard. Klienci oczekują, że będą mogli sprawdzić pocztę, umilić sobie czas oczekiwania lub odebrać pilną wiadomość. Właściciele firm chętnie wychodzą tym oczekiwaniom naprzeciw – przecież „to tylko Wi-Fi”. Ale z perspektywy cyberbezpieczeństwa i przepisów o ochronie danych osobowych – to dużo więcej niż wygodny dodatek.

Niezabezpieczone lub źle skonfigurowane Wi-Fi może nie tylko wystawić Twoją firmę na atak hakerski, ale również narazić Cię na poważne konsekwencje prawne, w tym odpowiedzialność za „wyciek danych” osobowych klientów i pracowników. A to już podlega ocenie m.in. przez Prezesa UODO.

Poniżej znajdziesz kompleksowe omówienie najczęstszych błędów, ryzyk i obowiązków związanych z udostępnianiem sieci Wi-Fi w firmie oraz praktyczne wskazówki, jak wdrożyć to rozwiązanie bezpiecznie i zgodnie z RODO.

1. Dlaczego Wi-Fi to nie tylko „internet”?

Z punktu widzenia klienta sieć Wi-Fi to zwykłe połączenie z internetem. Z punktu widzenia firmy to brama do infrastruktury IT, przez którą może przejść wiele ryzyk:

  • ataki z zewnątrz (np. skanowanie portów, sniffing, spoofing),
  • dostęp do wewnętrznych zasobów (komputery pracowników, serwery z danymi, urządzenia z IoT),
  • podszywanie się pod firmę (np. fałszywe SSID),
  • rejestrowanie lub kradzież danych osobowych klientów (np. podczas logowania do poczty, banku, mediów społecznościowych).

Jeśli w tej samej sieci znajduje się komputer z danymi osobowymi lub dokumentacją medyczną, prawną czy finansową mówimy już o poważnym zagrożeniu dla integralności i poufności danych.

2. Sieć dla gości = oddzielna sieć. Bez wyjątków.

Podstawową zasadą bezpiecznego udostępniania internetu klientom jest fizyczne i logiczne oddzielenie sieci gościnnej od sieci produkcyjnej firmy. To znaczy, że Wi-Fi dostępne dla klientów nie może być tą samą siecią, z której łączą się:

  • komputery pracowników,
  • serwery lokalne,
  • urządzenia z systemami do zarządzania danymi (np. programy księgowe, medyczne, CRM),
  • drukarki i skanery.

W przeciwnym razie klient – nawet nieświadomie – może uzyskać dostęp do tych zasobów. Taka sytuacja to już naruszenie ochrony danych osobowych w rozumieniu RODO.

Jak to wdrożyć w praktyce?

  • Skonfiguruj dwa oddzielne SSID (nazwy sieci): np. „Gabinet_GOŚCIE” i „Gabinet_PRACOWNICY”.
  • Zastosuj VLANy (wydzielenie wirtualnych sieci lokalnych) – każda z nich ma osobny zakres adresów IP i inne reguły dostępu.
  • Na sieci gościnnej zablokuj dostęp do wewnętrznych adresów IP, drukarek i lokalnych urządzeń.
3. Hasło to za mało – autoryzacja i regulamin

Wielu przedsiębiorców sądzi, że wystarczy zabezpieczyć sieć Wi-Fi hasłem. Niestety – to już dziś za mało.

Minimalne środki zabezpieczeń:

  • WPA2 lub WPA3 – tylko te standardy zapewniają szyfrowanie na poziomie akceptowalnym z punktu widzenia cyberbezpieczeństwa.
  • Captive Portal – czyli strona logowania, która pojawia się po połączeniu z siecią. Umożliwia:
    • zaakceptowanie regulaminu korzystania z Wi-Fi,
    • podanie e-maila lub numeru telefonu (może służyć do późniejszej identyfikacji),
    • wprowadzenie ograniczeń czasowych, limitów przesyłu itp.

Regulamin powinien zawierać m.in.:

  • zasady korzystania z sieci,
  • zakaz działań niezgodnych z prawem (np. udostępniania treści pirackich),
  • informację, że firma nie odpowiada za szkody wynikłe z niewłaściwego korzystania z sieci,
  • informację o przetwarzaniu danych osobowych (jeśli takie występuje – np. logi, identyfikator urządzenia, adres IP).
4. Czy dane z sieci Wi-Fi są danymi osobowymi?

To zależy. Sama obecność urządzenia w sieci (np. adres MAC czy IP) może być uznana za daną osobową, jeśli można ją przypisać do konkretnej osoby (np. klienta, który podał e-mail podczas logowania). A to oznacza, że:

  • stajesz się administratorem tych danych,
  • musisz wdrożyć odpowiednią politykę prywatności,
  • obowiązują Cię przepisy RODO (obowiązek informacyjny, celowość, ograniczenie przechowywania, bezpieczeństwo).

Jeśli korzystasz z systemów rejestrujących logi użytkowników sieci  musisz poinformować o tym użytkowników i wykazać, że masz prawnie uzasadniony interes lub zgodę.

5. „Wyciek danych” z Wi-Fi = incydent RODO

Brak zabezpieczeń sieci Wi-Fi może prowadzić do:

  • przejęcia danych logowania klientów (np. do skrzynki e-mail, bankowości),
  • złośliwego oprogramowania instalowanego przez niezaufanych użytkowników,
  • dostępu do systemów wewnętrznych firmy – a przez to do danych osobowych klientów, pracowników lub kontrahentów.

Taka sytuacja będzie stanowić naruszenie ochrony danych osobowych, które podlega:

  • zgłoszeniu do Prezesa UODO (w ciągu 72 godzin),
  • możliwym konsekwencjom prawnym (kary, skargi klientów, odpowiedzialność cywilna),
  • obowiązkowi powiadomienia osób, których dane wyciekły.
6. Firma jako dostawca usług dostępu do internetu – obowiązki i ryzyka

Udostępniając Wi-Fi, firma działa jako dostawca usługi dostępu do sieci (w rozumieniu ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego).

To wiąże się z dodatkowymi obowiązkami:

  • przeciwdziałanie wykorzystywaniu sieci do działań bezprawnych (np. rozpowszechniania treści nielegalnych),
  • możliwość wezwania do ujawnienia danych użytkowników (np. przez organy ścigania),
  • odpowiedzialność cywilna lub karna w przypadku zaniedbań (np. brak reakcji na zgłoszenie nadużycia).

Z tego powodu warto:

  • ustawić ograniczenia w dostępnie do danych (np. zablokować dostęp do stron typu torrent),
  • logować aktywność urządzeń (w zgodzie z RODO),
  • wdrożyć prosty formularz rejestracji użytkownika (np. poprzez numer telefonu).
7. Dobre praktyki i standardy cyberbezpieczeństwa

Zgodnie z normami ISO/IEC 27001 i wytycznymi Agencji UE ds. Cyberbezpieczeństwa (ENISA), bezpieczna sieć Wi-Fi powinna:

  • być regularnie aktualizowana (firmware routera, konfiguracja),
  • umożliwiać segmentację ruchu sieciowego (VLANy),
  • ograniczać dostęp do konkretnych usług i urządzeń (firewalle, reguły ACL),
  • monitorować aktywność (logi, alerty),
  • umożliwiać szyfrowanie transmisji.

W małych i średnich firmach można to osiągnąć już przy pomocy dostępnych na rynku rozwiązań klasy „SMB” (np. Ubiquiti, MikroTik, Fortinet) bez konieczności wielkich inwestycji.

8. Krok po kroku: jak bezpiecznie udostępnić Wi-Fi w firmie
  1. Oddziel sieć gości od sieci produkcyjnej – najlepiej za pomocą VLANów lub osobnego routera.
  2. Zastosuj WPA3 (lub przynajmniej WPA2) – z mocnym hasłem, regularnie zmienianym.
  3. Ustaw Captive Portal z regulaminem – prosty komunikat wystarczy.
  4. Monitoruj logi ruchu w sieci gości – w granicach zgodnych z RODO.
  5. Ogranicz dostęp klientów do zasobów lokalnych firmy – np. blokując wewnętrzne adresy IP.
  6. Przeprowadź test penetracyjny lub audyt IT – zwłaszcza jeśli masz systemy z danymi osobowymi.
  7. Poinformuj użytkowników o przetwarzaniu danych – np. poprzez banner lub politykę prywatności.

Wi-Fi to przywilej, nie obowiązek

Darmowy dostęp do internetu to miły gest wobec klientów – ale nie może być wdrażany bez refleksji. To nie tylko kwestia techniczna, ale też prawna i organizacyjna. Udostępniając Wi-Fi, wchodzisz na teren, gdzie przecinają się:

  • oczekiwania klientów,
  • bezpieczeństwo systemów informatycznych,
  • obowiązki administratora danych osobowych,
  • potencjalna odpowiedzialność za działania użytkowników.

Dlatego – zanim udostępnisz sieć – zadbaj o zgodność z przepisami, bezpieczeństwo techniczne i jasne zasady. Tylko wtedy będzie to naprawdę wartość dodana dla Twojej firmy.