Najbardziej ryzykowne urządzenia podłączone do sieci w 2026 roku: IT, IoT, OT i IoMT pod presją

Wprowadzenie do problemu / definicja

Bezpieczeństwo urządzeń podłączonych do sieci stało się jednym z najważniejszych wyzwań dla współczesnych organizacji. Problem nie dotyczy już wyłącznie klasycznych zasobów IT, takich jak stacje robocze, serwery czy urządzenia perymetryczne, ale obejmuje także rozległy ekosystem IoT, systemów OT oraz aparatury medycznej klasy IoMT.

Wraz ze wzrostem liczby aktywów rośnie powierzchnia ataku. Wiele urządzeń pozostaje słabo zinwentaryzowanych, rzadko aktualizowanych i trudnych do objęcia jednolitą polityką bezpieczeństwa. To właśnie te luki organizacyjne i techniczne sprawiają, że urządzenia wspierające codzienne operacje coraz częściej stają się realnym punktem wejścia dla atakujących.

W skrócie

W 2026 roku do najbardziej ryzykownych urządzeń sieciowych zaliczają się m.in. routery, konwertery serial-to-IP, stacje robocze, firewalle i kontrolery domeny. W środowiskach IoT wysokie ryzyko obejmuje systemy VoIP, drukarki, rejestratory NVR oraz czytniki RFID.

W obszarze OT szczególnie problematyczne są PDU, systemy kontroli dostępu fizycznego, UPS-y i routery BACnet. Z kolei w IoMT wyróżniają się systemy wydawania leków, drukarki obrazów medycznych, bramy DICOM i skanery MRI. Najwyższe średnie ryzyko sektorowe odnotowano w usługach finansowych, administracji publicznej i ochronie zdrowia.

• Najbardziej narażone są urządzenia o wysokiej ekspozycji sieciowej i dużym znaczeniu operacyjnym.
• Ryzyko rośnie tam, gdzie występują zaległości aktualizacyjne i niski poziom widoczności aktywów.
• Największym wyzwaniem jest dziś przenikanie zagrożeń między środowiskami IT, IoT, OT i IoMT.

Kontekst / historia

Przez lata bezpieczeństwo infrastruktury analizowano głównie przez pryzmat serwerów, komputerów użytkowników i klasycznych urządzeń sieciowych. Ten model był wystarczający, dopóki większość krytycznych procesów biznesowych działała w stosunkowo przewidywalnym środowisku IT.

Obecnie organizacje funkcjonują jednak w architekturach hybrydowych, w których obok tradycyjnych systemów działają urządzenia przemysłowe, automatyka budynkowa, terminale specjalizowane, infrastruktura komunikacyjna i sprzęt medyczny. W efekcie ryzyko przesuwa się w stronę zasobów trudniejszych do utrzymania operacyjnego i słabiej uwzględnianych w standardowych programach cyberbezpieczeństwa.

Coraz częściej najwyższe miejsca w zestawieniach ryzyka zajmują nie tylko klasyczne punkty końcowe, ale także urządzenia pośredniczące w komunikacji, zasilaniu, sterowaniu procesami i obsłudze środowisk krytycznych. To sygnał, że nowoczesna powierzchnia ataku stała się bardziej rozproszona i wielowarstwowa niż jeszcze kilka lat temu.

Analiza techniczna

Z technicznego punktu widzenia ryzyko urządzeń podłączonych do sieci wynika z kilku nakładających się czynników: liczby podatności, ekspozycji usług, znaczenia biznesowego, ograniczonej widoczności oraz trudności w aktualizowaniu firmware i systemów operacyjnych.

W segmencie IT nadal szczególnie wysokie ryzyko przypisywane jest routerom. To urządzenia strategiczne dla trasowania ruchu, segmentacji sieci i komunikacji między strefami zaufania. Ich kompromitacja może umożliwić przechwytywanie ruchu, zmianę tras, utrzymanie trwałego dostępu lub pivoting do kolejnych segmentów środowiska. Wysoka liczba znanych podatności w tej klasie urządzeń dodatkowo zwiększa ryzyko skutecznego ataku.

Na znaczeniu zyskują również konwertery serial-to-IP. Choć często pozostają poza głównym nurtem zarządzania bezpieczeństwem, pełnią ważną funkcję pomostu między starszymi interfejsami szeregowymi a nowoczesną infrastrukturą IP. Ich kompromitacja może otworzyć drogę do systemów przemysłowych, automatyki budynkowej i innych wyspecjalizowanych środowisk, które wcześniej były częściowo odseparowane od sieci korporacyjnej.

W środowiskach IoT szczególnie ryzykowne pozostają systemy VoIP, drukarki, rejestratory NVR i czytniki RFID. Są one powszechne, długo eksploatowane i często konfigurowane przede wszystkim pod kątem dostępności. Typowe problemy obejmują domyślne poświadczenia, przestarzały firmware, otwarte porty administracyjne, niewystarczające logowanie zdarzeń oraz brak spójnej kontroli dostępu.

W OT kluczowe zagrożenia dotyczą urządzeń zasilania oraz infrastruktury budynkowej, takich jak PDU, UPS-y i routery BACnet. Atak na te systemy może wpływać nie tylko na poufność czy integralność danych, ale również bezpośrednio na dostępność procesów fizycznych. W praktyce może to oznaczać zakłócenia operacyjne, utratę kontroli nad elementami automatyki lub problemy środowiskowe w obiektach.

W sektorze medycznym szczególnie istotne są urządzenia IoMT związane z obrazowaniem, dystrybucją leków i komunikacją DICOM. Działają one zwykle przy ograniczonych oknach serwisowych, wysokiej krytyczności klinicznej i ścisłych zależnościach z systemami szpitalnymi. To utrudnia wdrażanie klasycznego patch managementu i powoduje, że zaległości aktualizacyjne utrzymują się przez długi czas.

Dodatkowym problemem są systemy operacyjne specjalnego przeznaczenia oraz firmware wbudowany. Ich wersjonowanie bywa niejednoznaczne, automatyzacja aktualizacji ograniczona, a część instalacji działa na platformach przestarzałych lub niewspieranych. W wielu branżach nadal obecne są również starsze wersje systemów Windows, co zwiększa ryzyko wykorzystania znanych od lat luk bezpieczeństwa.

Niepokoi także ekspozycja usług zdalnych. SSH pozostaje szeroko wykorzystywany i wymaga ścisłej kontroli kluczy, twardej konfiguracji oraz segmentacji dostępu. Jeszcze większym problemem pozostaje obecność Telnetu, który jako protokół nieszyfrowany nie spełnia współczesnych wymagań bezpieczeństwa.

Konsekwencje / ryzyko

Ryzyko związane z urządzeniami podłączonymi do sieci ma charakter wielowarstwowy. Obejmuje możliwość nieautoryzowanego dostępu do infrastruktury, eskalacji uprawnień, lateral movement i przenikania pomiędzy domenami IT, IoT, OT oraz IoMT.

W praktyce atakujący nie muszą szukać wyłącznie luki w serwerze czy stacji roboczej. Wystarczającym punktem wejścia może być źle zabezpieczona drukarka, urządzenie VoIP, system kontroli dostępu albo komponent infrastruktury przemysłowej. Tego typu kompromitacja może prowadzić do zakłóceń pracy sieci, utraty widoczności nad aktywami, manipulacji ruchem, przestojów operacyjnych oraz naruszenia danych wrażliwych.

W sektorach takich jak administracja publiczna, finanse i ochrona zdrowia skutki incydentu wykraczają poza sam obszar techniczny. Mogą obejmować konsekwencje regulacyjne, straty reputacyjne, problemy z ciągłością działania, a w przypadku placówek medycznych nawet ryzyko wpływu na bezpieczeństwo pacjentów.

Szczególnie groźny jest scenariusz, w którym organizacja chroni tylko jeden obszar, na przykład tradycyjne IT, zaniedbując IoT lub OT. W takim układzie napastnik może wykorzystać słabszy segment jako przyczółek i stopniowo przejść do systemów bardziej krytycznych.

Rekomendacje

Podstawą skutecznej obrony powinna być pełna i ciągła inwentaryzacja aktywów. Organizacja musi wiedzieć, jakie urządzenia są podłączone do sieci, jakie wersje firmware i systemów operacyjnych uruchamiają, jakie usługi eksponują oraz kto odpowiada za ich utrzymanie.

Kolejnym krokiem jest segmentacja sieci oparta na ryzyku. Urządzenia IoT, OT i IoMT nie powinny działać w tych samych strefach co standardowe systemy użytkowników. Dostęp administracyjny należy ograniczać do ściśle kontrolowanych kanałów, z wykorzystaniem silnego uwierzytelniania, zasady najmniejszych uprawnień i pełnego rejestrowania sesji.

• Wdrożyć centralną inwentaryzację wszystkich klas urządzeń.
• Segmentować sieć z rozdzieleniem środowisk IT, IoT, OT i IoMT.
• Ograniczyć porty administracyjne i wyłączyć zbędne usługi.
• Eliminować Telnet oraz minimalizować ekspozycję SSH.
• Stosować mechanizmy kompensacyjne tam, gdzie pełne łatanie nie jest możliwe.
• Rozszerzyć monitoring o ruch wschód-zachód i komunikację między urządzeniami bezagentowymi.

W środowiskach krytycznych samo wdrożenie EDR na stacjach roboczych nie zapewni wystarczającej widoczności. Konieczne jest monitorowanie komunikacji pomiędzy urządzeniami specjalizowanymi, analiza anomalii oraz uwzględnienie sprzętu przemysłowego i medycznego w jednym modelu zarządzania ryzykiem.

Równie ważna jest współpraca między zespołami bezpieczeństwa, administratorami sieci, utrzymaniem ruchu, inżynierami OT, personelem biomedycznym i właścicielami procesów biznesowych. Bez takiego podejścia trudno skutecznie zarządzać ekspozycją w złożonym, wielodomenowym środowisku.

Podsumowanie

Rok 2026 potwierdza, że największe zagrożenia cybernetyczne nie ograniczają się już do tradycyjnych punktów końcowych. Wysokie ryzyko obejmuje zarówno routery i firewalle, jak i konwertery serial-to-IP, systemy VoIP, urządzenia zasilania, elementy automatyki budynkowej oraz aparaturę medyczną.

Wspólnym mianownikiem pozostają słaba widoczność, ograniczone możliwości aktualizacji, wysoka krytyczność operacyjna i możliwość wykorzystania tych aktywów jako pomostu do kolejnych segmentów środowiska. Dla zespołów cyberbezpieczeństwa oznacza to konieczność odejścia od podejścia skoncentrowanego wyłącznie na IT i przejścia do całościowego zarządzania ekspozycją wszystkich urządzeń podłączonych do sieci.

Źródła

1. Help Net Security — https://www.helpnetsecurity.com/2026/03/23/connected-devices-security-risk-2026-research/
2. Forescout — The Riskiest Devices of 2025 — https://www.forescout.com/research-labs/the-riskiest-devices-of-2025/
3. Forescout — Riskiest Connected Devices 2024 — https://www.forescout.com/research-labs/riskiest-devices/
4. SecurityWeek — Study Identifies 20 Most Vulnerable Connected Devices of 2025 — https://www.securityweek.com/study-identifies-20-most-vulnerable-connected-devices-of-2025/