Polak wie, jak się nie dać hakerom w pracy. Ale podkłada się jak dziecko
Błędy pracowników są największą bolączką pracodawców. Ponad połowa Polaków deklaruje, że zna zasady cyberbezpieczeństwa obowiązujące w firmie, ale w pracy używa tego samego hasła, co w domu.
Jak pokazuje raport ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”, codzienne nawyki pracowników nadal stanowią największą lukę w systemach bezpieczeństwa biznesu. Aż 55 proc. pracowników stosuje identyczne hasła w wielu miejscach i jest to najczęstszy błąd w zakresie cyber higieny wśród osób zatrudnionych w polskich firmach.
Eksperci ostrzegają, że w erze powszechnych ataków phishingowych i wycieków danych takie praktyki są wyjątkowo groźne. Problem ten dotyczy zresztą nie tylko życia zawodowego, ale i prywatnego, ponieważ trudno zakładać, że w wirtualnym świecie poza pracą, Polacy zachowują się inaczej.
W sytuacji, w której takie samo hasło pozwala na dostęp do firmowego komputera, skrzynki mailowej i na przykład specjalistycznego oprogramowania finansowego lub produkcyjnego, cyberprzestępcy mogą wykorzystać to z chirurgiczną precyzją - wyjaśniają eksperci.
Paradoksalnie w epoce zaawansowanych technologii to nie systemy, lecz ludzie są najczęstszym celem ataków. Atakujący coraz częściej nie łamią zabezpieczeń, tylko ludzką czujność. Sięgają po phishing, socjotechnikę czy fałszywe wiadomości od przełożonych po to, by uzyskać dane logowania. Gdy użytkownik używa tego samego hasła w wielu miejscach, skala strat może być ogromna.
Atakujący po jednym wycieku są w stanie przejąć dostęp nie tylko do poczty firmowej, ale też systemów finansowych, CRM-ów czy baz danych klientów.
Jak codzienne błędy pracowników prowadzą do utraty danych
Co ciekawe deklarowana świadomość cyberbezpieczeństwa wśród pracowników jest wysoka. Ponad połowa badanych twierdzi, że zna zasady obowiązujące w ich firmie. Jednak praktyka pokazuje, że:
- pracownicy podają współpracownikom hasła do swoich służbowych kont (przyznaje się do tego 26 proc. badanych),
- klikają na sprzęcie służbowym w linki z nieznanych źródeł (23 proc.),
- w trakcie pracy ignorują powiadomienia o aktualizacjach (16 proc.),
- zapisują hasła w notatkach lub mailach (13 proc.).
Różnica między świadomością a rzeczywistymi zachowaniami staje się więc jednym z kluczowych wyzwań dla polskich firm.
Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia – mówi Kamil Sadkowski, analityk cyberzagrożeń, ESET.
Jego zdaniem jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie.
Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury - zaznacza Kamil Sadkowski.
Ryzyko nie kończy się także po godzinach pracy. Niemal co drugi pracownik używa bowiem firmowego sprzętu do celów prywatnych. W tym obszarze badani podejmują kolejne ryzykowne działania m.in.:
- logują się na osobiste konta w mediach społecznościowych (27 proc.),
- robią zakupy online (36 proc.),
- korzystają z bankowości internetowej (37 proc.).
A przecież cyberzagrożenia nie zatrzymują się na granicy między życiem prywatnym a zawodowym. Te same błędy, które zagrażają też użytkownikom prywatnym są kolejnymi, które narażają także firmowe dane.
Więcej wiadomości na temat cyberbezpieczeństwa można przeczytać poniżej:
Polska na pierwszym miejscu w atakach ransomware
Zatrudnieni w firmach eksperci ds. cyberbezpieczeństwa coraz częściej dostrzegają problem. Aż o dziesięć punktów procentowych rok do roku (2024 w stosunku do 2025) wzrosła liczba specjalistów, którzy wskazują, że zarządzanie tożsamością, hasłami i dostępem osób uprzywilejowanych oraz wieloskładnikowe uwierzytelnianie, jest obszarem wymagającym wyjątkowo pilnych inwestycji i rozwoju.
Dane dotyczące bezpieczeństwa polskiego biznesu pokazują przede wszystkim potrzebę pilnego przejścia do czynów. Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware, wyprzedzając nawet Stany Zjednoczone.
Jednocześnie 55 proc. pracowników nie brało udziału w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat. To niepokojący sygnał, bo brak wiedzy nie tylko zwiększa podatność na ataki, ale też pogłębia fałszywe przekonanie, że mnie to nie dotyczy.
Aby skutecznie ograniczyć ryzyko, firmy powinny wdrażać rozwiązania, które wspierają dobre praktyki: menedżery haseł wraz z systemowym wymuszaniem silnych haseł, uwierzytelnianie dwuskładnikowe (2FA), centralne zarządzanie automatycznymi aktualizacjami czy ograniczanie uprawnień tam, gdzie to możliwe – podkreśla Kamil Sadkowski.
I dodaje, że tylko połączenie edukacji z praktycznym wsparciem pozwala przekuć wiedzę w realne działania i zmniejszyć podatność organizacji.
„Cyberportret polskiego biznesu 2025”, przygotowany przez ESET i DAGMA Bezpieczeństwo IT, to kontynuacja badania zapoczątkowanego w 2024 roku, które ma na celu uchwycenie zmian w podejściu polskich przedsiębiorstw do zagrożeń cyfrowych, a także oceny ich gotowości na coraz bardziej złożone wyzwania technologiczne i geopolityczne. Raport zestawia ze sobą perspektywy pracowników i osób odpowiedzialnych za cyberbezpieczeństwo firm.
Z danych wynika, że przedsiębiorstwa mierzą się z coraz bardziej złożonymi zagrożeniami, a luka między deklarowaną wiedzą a realnymi działaniami wciąż jest niepokojąco szeroka. Autorzy raportu analizują nie tylko skalę ataków i poziom zabezpieczeń, ale także świadomość pracowników, skuteczność szkoleń i gotowość organizacji do wdrażania nowych standardów w dynamicznie zmieniającej się rzeczywistości.
