Ponad połowa polskich pracowników stosuje te same hasła do różnych służbowych kont i urządzeń. W takiej sytuacji jeden wyciek danych dostępowych może otworzyć cyberprzestępcom drzwi do całej infrastruktury firmowej, poufnych informacji lub sparaliżować firmowe systemy. Bywa, że atakujący zupełnie nie muszą się silić. Co dziesiąty pracownik przyznaje bowiem jednocześnie, że … zapisuje swoje hasła w łatwo dostępnych plikach, notatkach bądź mailach.
Najważniejsze liczby:
• 55% pracowników posiada jedno hasło do różnych kont służbowych
• 26% podaje współpracownikom swoje hasła do kont
• 13% zapisuje hasła do swoich kont służbowych (np. w plikach, notatkach, mailach)
• Niemal co drugi pracownik używa firmowego sprzętu do celów prywatnych
Żeby złamać hasło wystarczy złamać człowieka
Jak pokazuje raport ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”, codzienne nawyki pracowników nadal stanowią największą lukę w systemach bezpieczeństwa biznesu. Aż 55% pracowników stosuje identyczne hasła w wielu miejscach i jest to najczęstszy błąd w zakresie cyberhigieny wśród osób zatrudnionych w polskich firmach. Eksperci ostrzegają, że w erze powszechnych ataków phishingowych i wycieków danych takie praktyki są wyjątkowo groźne. Problem ten dotyczy zresztą nie tylko życia zawodowego, ale i prywatnego ponieważ trudno zakładać, że w wirtualnym świecie – poza pracą, Polacy zachowują się inaczej.
W sytuacji, w której takie samo hasło pozwala na dostęp do firmowego komputera, skrzynki mailowej i np. specjalistycznego oprogramowania finansowego lub produkcyjnego, cyberprzestępcy mogą wykorzystać to z chirurgiczną precyzją. Paradoksalnie – w epoce zaawansowanych technologii to nie systemy, lecz ludzie są najczęstszym celem ataków. Atakujący coraz częściej nie łamią zabezpieczeń, tylko ludzką czujność. Sięgają po phishing, socjotechnikę czy fałszywe wiadomości od „przełożonych” po to, by uzyskać dane logowania. Gdy użytkownik używa tego samego hasła w wielu miejscach, skala strat może być ogromna. Atakujący po jednym wycieku są w stanie przejąć dostęp nie tylko do poczty firmowej, ale też systemów finansowych, CRM-ów czy baz danych klientów.
Deklaracje a rzeczywistość
Co ciekawe deklarowana świadomość cyberbezpieczeństwa wśród pracowników jest wysoka. Ponad połowa badanych twierdzi, że zna zasady obowiązujące w ich firmie. Jednak praktyka pokazuje coś innego. Pracownicy podają współpracownikom hasła do swoich służbowych kont (przyznaje się do tego 26% badanych), klikają na sprzęcie służbowym w linki z nieznanych źródeł (23%), w trakcie pracy ignorują powiadomienia o aktualizacjach (16%), zapisują hasła w notatkach lub mailach (13%). Różnica między świadomością a rzeczywistymi zachowaniami staje się więc jednym z kluczowych wyzwań dla polskich firm.
– Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – mówi Kamil Sadkowski, analityk cyberzagrożeń, ESET.
Ryzyko nie kończy się także po godzinach pracy. Niemal co drugi pracownik używa bowiem firmowego sprzętu do celów prywatnych. W tym obszarze badani podejmują kolejne ryzykowne działania – m.in. logują się na osobiste konta w mediach społecznościowych (27%), robią zakupy online (36%) lub korzystają z bankowości internetowej (37%). A przecież cyberzagrożenia nie zatrzymują się na granicy między życiem prywatnym, a zawodowym. Te same błędy, które zagrażają też użytkownikom prywatnym – są kolejnymi, które narażają także firmowe dane.
Od słów do czynów
Zatrudnieni w firmach eksperci ds. cyberbezpieczeństwa coraz częściej dostrzegają problem. Aż o dziesięć punktów procentowych rok do roku (2024 vs. 2025) wzrosła liczba specjalistów, którzy wskazują, że zarządzanie tożsamością, hasłami i dostępem osób uprzywilejowanych oraz wieloskładnikowe uwierzytelnianie, jest obszarem wymagającym wyjątkowo pilnych inwestycji i rozwoju.
Świadomość problemu to oczywiście podstawa, ale dane dotyczące bezpieczeństwa polskiego biznesu pokazują przede wszystkim potrzebę pilnego przejścia do czynów. Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware, wyprzedzając nawet Stany Zjednoczone. Jednocześnie 55% pracowników nie brało udziału w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat. To niepokojący sygnał – bo im bardziej cyfrowa staje się gospodarka, tym większe znaczenie ma edukacja w tym obszarze. Brak wiedzy nie tylko zwiększa podatność na ataki, ale też pogłębia fałszywe przekonanie, że „mnie to nie dotyczy”.
– Aby skutecznie ograniczyć ryzyko, firmy powinny wdrażać rozwiązania, które wspierają dobre praktyki: menedżery haseł wraz z systemowym wymuszaniem silnych haseł, uwierzytelnianie dwuskładnikowe (2FA), centralne zarządzanie automatycznymi aktualizacjami czy ograniczanie uprawnień tam, gdzie to możliwe. Tylko połączenie edukacji z praktycznym wsparciem pozwala przekuć wiedzę w realne działania i zmniejszyć podatność organizacji – podkreśla Kamil Sadkowski.