Instalace internetu krok po kroku
Internet je z velké části věc důvěry — vy nám předáváte svůj provoz a my zaručujeme, že se k vám vrátí v pořádku. Tady je transparentně, co děláme pro bezpečnost vaší přípojky a co je vaše zodpovědnost.
24/7 monitoring sítě
Naše NOC (Network Operations Center) v Novém Bydžově monitoruje celou páteřní síť i zákaznické spoje:
- Polling každých 60 sekund — každý spoj, každý POP, každý uplink
- Bandwidth monitoring — anomálie v provozu (najednou 200 Mbps z domácnosti = nakažený stroj)
- Latency tracking — odhalíme degradaci dřív než ji zákazník zaznamená
- Alerty na mobil — Jiří, Bohumír i David dostávají SMS/push notifikaci při výpadku
Když na stav-site.html vidíte „Síť funguje normálně", není to placebo — kontrolujeme to právě teď.
Anti-DDoS ochrana
DDoS útoky (Distributed Denial of Service) jsou pokusy zahltit cíl tolika provozem, že přestane reagovat. Co děláme:
- Volumetrická detekce na páteři — anomálie v objemu provozu (typicky > 1 Gbps na jeden cíl) spustí filtr
- Filtrace u upstream poskytovatelů (CETIN, NIX, peering) — útoky se zachytí daleko od vás
- Rate limiting na obvyklých amplifikačních protokolech (DNS, NTP, memcached)
- Anti-spoofing — odmítáme pakety s falešnou source IP
Anti-spam (port 25 outbound)
Outbound TCP 25 (SMTP) je v naší síti blokovaný. Důvod:
- Nakažený zákaznický stroj (botnet) by jinak rozesílal spam celosvětově
- Naše IP rozsah by skončil na blacklistu, čímž bychom porušili reputaci pro všechny zákazníky
- Pro odesílání pošty používáte stejně port 587 (submission) nebo 465 (SMTPS) — port 25 je jen pro server-to-server transfer mezi mail servery
Pokud máte legitimní důvod (vlastní mail server pro firmu), kontaktujte nás — uvolníme po posouzení (vyžadujeme rDNS, SPF, DKIM, DMARC, technický kontakt).
Abuse handling — zneužitý zákaznický stroj
Občas se stane, že zákazník (typicky kvůli nezáplatovanému Windows + slabému heslu) má nakažený stroj, který:
- Skenuje internet na otevřené porty (botnet recon)
- Účastní se DDoS útoku jako bot
- Rozesílá phishing
- Účastní se SSH/RDP brute force útoků
Když dostaneme abuse zprávu z monitoringu nebo od third-party (Spamhaus, Shadowserver, AbuseIPDB):
- Zkontrolujeme zda jde o zákaznický stroj a charakter útoku
- Zavoláme zákazníkovi — vysvětlíme problém, pomůžeme s diagnostikou
- Pokud zákazník nereaguje a útok pokračuje, omezíme rychlost na 1 Mbps po dobu 24 h (notifikace, ne odpojení)
- V krajním případě dočasně odpojíme do vyřešení — vždy s telefonickou koordinací
Co můžete udělat preventivně: aktualizujte Windows / router firmware, používejte silná hesla, nepouštějte „crackovaný software" z neověřených zdrojů. Více v článku Jak zabezpečit domácí Wi-Fi.
Fyzická bezpečnost POP a páteře
Naše POPy (Points of Presence) — místa kde stojí naše routery a switche v terénu — jsou:
- Uzamčené v rackových skříních, klíče jen u 3 lidí (Jiří, Bohumír, David)
- UPS (záložní napájení) — krátkodobé výpadky elektřiny nepovažujeme za výpadek sítě
- Monitorované teplotně i přístupově (kdo a kdy otevřel skříň)
- V budovách které pronajímáme u prověřených partnerů (zemědělská družstva, obecní úřady, soukromé objekty se vstupní kontrolou)
Ze zřejmých bezpečnostních důvodů nezveřejňujeme přesné lokality POPů. Mapa pokrytí na webu ukazuje regionální dostupnost, ne sektory ani spoje.
GDPR a logy
Co o vás víme a kdy to mažeme:
| Co | Proč | Doba uchování |
|---|---|---|
| Smluvní údaje (jméno, adresa, RČ/IČ) | Smlouva, fakturace | 10 let po ukončení (zákon o účetnictví) |
| Provozní logy (kdo si půjčil jakou IP, kdy) | Zákonná povinnost (§ 97 ZEK), policejní žádosti | 6 měsíců |
| Kontaktní údaje (telefon, e-mail) | Komunikace, podpora | Po dobu trvání smlouvy + 1 rok |
| Webový analytics (Clarity, GA4 anonymized) | Optimalizace webu | 14 měsíců |
| Cookie souhlasy | Cookie consent log | 3 roky |
Co o vás NEVÍME: nic z následujícího si nezaznamenáváme. Ne proto že nemůžeme, ale proto že je to nelegální nebo zbytečné:
- Obsah komunikace (e-maily, web, video)
- Které konkrétní stránky navštěvujete
- Kdo s kým komunikuje (kromě DNS dotazů na náš resolver, anonymizovaně)
- Vaše hesla (k Wi-Fi, k mailu, k jakémukoliv účtu)
Plný GDPR text najdete v Ochrana osobních údajů.
Anonymizace v public datech
Veřejně dostupná stránka stav-site ukazuje stav sítě, ale anonymizovaně:
- Lokality jen na úrovni obce („Nový Bydžov", ne „Masarykovo náměstí 508")
- Bez konkrétních AP nebo sektorů (tj. neukazujeme, kde stojí konkrétní vysílač)
- Bez konkrétních dodavatelů HW (tj. neříkáme, jestli je to Mikrotik nebo Ubiquiti)
- Bez počtu zákazníků v lokalitě (mohlo by určit cíl pro útočníka)
Důvod: OSINT prevence. Detailní informace by byly užitečné pro útočníka, který by chtěl plánovat fyzický ani síťový útok. Pro firmy s SLA poskytujeme detailní reporty v rámci klientské sekce.
Co je VAŠE zodpovědnost
Naše bezpečnost končí na demarkačním bodu (RJ-45 port předávacího zařízení). Od něj dál:
- Aktualizace operačního systému a aplikací
- Silná hesla — k Wi-Fi, k routeru, k e-mailu, k bance
- Antivirová ochrana (Windows Defender stačí pro běžné použití)
- Zálohy — externí disk, cloud, NAS… podle důležitosti dat
- Pozornost při klikání — phishing v e-mailu / SMS / na webu
- Hostovská Wi-Fi oddělená od hlavní sítě (pro IoT, kamery, návštěvy)
Více v článku Jak zabezpečit domácí Wi-Fi.
Jak nahlásit bezpečnostní problém
Pokud objevíte:
- Podivný provoz na svém připojení (anomálie v rychlosti, neznámá zařízení v Wi-Fi)
- Zranitelnost v naší infrastruktuře (responsible disclosure)
- Phishing e-mail vydávající se za VHV SPEED
- Spam přicházející z naší sítě (vašeho zákazníka neumíme identifikovat sami)
Kontaktujte nás:
- Telefon (24/7): 734 489 324
- E-mail: podpora@vhvspeed.cz (preferováno pro neakutní)
- Klientská sekce: klient.vhvspeed.cz — formální ticket
Pro responsible disclosure (security výzkumník našel zranitelnost) preferujeme e-mail na podpora@vhvspeed.cz s předmětem „SECURITY". Po ověření odpovídáme do 48 h, fix do 14 dnů (kritické do 24 h).
Co NIKDY neposílat e-mailem
E-mail je užitečný, ale nešifrovaný kanál. Servery, které ho přepravují, mají k jeho obsahu přístup. Některé věci proto patří jinam:
- Přihlašovací jméno + heslo ve stejné zprávě
- Číslo platební karty + CVC + expirace dohromady
- Rodné číslo + plné jméno + adresu (krádež identity)
- Naskenovaný občanský průkaz / pas bez PDF hesla
- API klíče, tokeny, SSH soukromé klíče
- Přístupy do produkčních systémů (databáze, hosting)
- Lékařské záznamy bez souhlasu pacienta
- Hesla: Bitwarden / 1Password / KeePass — sdílení přes „Send" s expirací
- Citlivé soubory: ZIP s heslem, heslo poslat jiným kanálem (SMS, Signal)
- Karty: přes 3D Secure tokenizaci, neukládat ručně
- Občanky / pasy: Czech POINT, datová schránka
- API klíče / SSH: HashiCorp Vault, AWS Secrets Manager
- Přístupy: SSO + 2FA, ne sdílené účty
Pro firmy: nastavte DLP (Data Loss Prevention) v Google Workspace / Microsoft 365 — automaticky detekuje a blokuje odesílání citlivých dat.
Tip pro Helpdesk: nikdy se zákazníka neptejte na heslo. VHV SPEED nikdy nevyžaduje vaše heslo telefonicky ani e-mailem.
