Jak pokazuje raport Eset i Dagma Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”, codzienne nawyki pracowników przez cały czas stanowią największą lukę w systemach bezpieczeństwa biznesu. Aż 55% pracowników stosuje identyczne hasła w wielu miejscach i jest to najczęstszy błąd w zakresie cyberhigieny wśród osób zatrudnionych w polskich firmach. Eksperci ostrzegają, iż w erze powszechnych ataków phishingowych i wycieków danych takie praktyki są wyjątkowo groźne. Problem ten dotyczy zresztą nie tylko życia zawodowego, ale i prywatnego, ponieważ trudno zakładać, iż w wirtualnym świecie – poza pracą, Polacy zachowują się inaczej.
Co interesujące deklarowana świadomość cyberbezpieczeństwa wśród pracowników jest wysoka. Ponad połowa badanych twierdzi, iż zna zasady obowiązujące w ich firmie. Jednak praktyka pokazuje coś innego. Pracownicy podają współpracownikom hasła do swoich służbowych kont (przyznaje się do tego 26% badanych), klikają na sprzęcie służbowym w linki z nieznanych źródeł (23%), w trakcie pracy ignorują powiadomienia o aktualizacjach (16%), zapisują hasła w notatkach lub mailach (13%). Różnica między świadomością a rzeczywistymi zachowaniami staje się więc jednym z kluczowych wyzwań dla polskich firm.
Ponad połowa polskich pracowników stosuje te same hasła do różnych służbowych kont i urządzeń. W takiej sytuacji jeden wyciek danych dostępowych może otworzyć cyberprzestępcom drzwi do całej infrastruktury firmowej, poufnych informacji lub sparaliżować firmowe systemy. Bywa, iż atakujący zupełnie nie muszą się silić. Co dziesiąty pracownik przyznaje bowiem jednocześnie, że… Zapisuje swoje hasła w łatwo dostępnych plikach, notatkach bądź mailach.
- 55% pracowników posiada jedno hasło do różnych kont służbowych
- 26% podaje współpracownikom swoje hasła do kont
- 13% zapisuje hasła do swoich kont służbowych (np. w plikach, notatkach, mailach)
- Niemal co drugi pracownik używa firmowego sprzętu do celów prywatnych
Żeby złamać hasło wystarczy złamać człowieka
W sytuacji, w której takie samo hasło pozwala na dostęp do firmowego komputera, skrzynki mailowej i np. specjalistycznego systemu finansowego lub produkcyjnego, cyberprzestępcy mogą wykorzystać to z chirurgiczną precyzją.
Atakujący coraz częściej nie łamią zabezpieczeń, tylko ludzką czujność. Sięgają po phishing, socjotechnikę czy fałszywe wiadomości od „przełożonych” po to, by uzyskać dane logowania. Gdy użytkownik używa tego samego hasła w wielu miejscach, skala strat może być ogromna. Atakujący po jednym wycieku są w stanie przejąć dostęp nie tylko do poczty firmowej, ale też systemów finansowych, CRM-ów czy baz danych klientów.
Ryzyko nie kończy się także po godzinach pracy. Niemal co drugi pracownik używa bowiem firmowego sprzętu do celów prywatnych. W tym obszarze badani podejmują kolejne ryzykowne działania – m.in. logują się na osobiste konta w mediach społecznościowych (27%), robią zakupy online (36%) lub korzystają z bankowości internetowej (37%). A przecież cyberzagrożenia nie zatrzymują się na granicy między życiem prywatnym, a zawodowym. Te same błędy, które zagrażają też użytkownikom prywatnym – są kolejnymi, które narażają także firmowe dane.
