Pracownicy na bakier z hasłami: jedno hasło do wielu kont i notatki na wyciągnięcie ręki

Przeczytaj także: Hasło uwierzytelniające trudno zastąpić. Jakie są alternatywy?

Żeby złamać hasło wystarczy złamać człowieka

Jak pokazuje raport ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”, codzienne nawyki pracowników nadal stanowią największą lukę w systemach bezpieczeństwa biznesu. Aż 55% pracowników stosuje identyczne hasła w wielu miejscach i jest to najczęstszy błąd w zakresie cyberhigieny wśród osób zatrudnionych w polskich firmach.

Eksperci ostrzegają, że w erze powszechnych ataków phishingowych i wycieków danych takie praktyki są wyjątkowo groźne. Problem ten dotyczy zresztą nie tylko życia zawodowego, ale i prywatnego ponieważ trudno zakładać, że w wirtualnym świecie - poza pracą, Polacy zachowują się inaczej.

W sytuacji, w której takie samo hasło pozwala na dostęp do firmowego komputera, skrzynki mailowej i np. specjalistycznego oprogramowania finansowego lub produkcyjnego, cyberprzestępcy mogą wykorzystać to z chirurgiczną precyzją. Paradoksalnie – w epoce zaawansowanych technologii to nie systemy, lecz ludzie są najczęstszym celem ataków. Atakujący coraz częściej nie łamią zabezpieczeń, tylko ludzką czujność. Sięgają po phishing, socjotechnikę czy fałszywe wiadomości od „przełożonych” po to, by uzyskać dane logowania.

Gdy użytkownik używa tego samego hasła w wielu miejscach, skala strat może być ogromna. Atakujący po jednym wycieku są w stanie przejąć dostęp nie tylko do poczty firmowej, ale też systemów finansowych, CRM-ów czy baz danych klientów.

Deklaracje a rzeczywistość

Co ciekawe deklarowana świadomość cyberbezpieczeństwa wśród pracowników jest wysoka. Ponad połowa badanych twierdzi, że zna zasady obowiązujące w ich firmie. Jednak praktyka pokazuje coś innego. Pracownicy podają współpracownikom hasła do swoich służbowych kont (przyznaje się do tego 26% badanych), klikają na sprzęcie służbowym w linki z nieznanych źródeł (23%), w trakcie pracy ignorują powiadomienia o aktualizacjach (16%), zapisują hasła w notatkach lub mailach (13%). Różnica między świadomością a rzeczywistymi zachowaniami staje się więc jednym z kluczowych wyzwań dla polskich firm.

Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia.

Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – mówi Kamil Sadkowski, analityk cyberzagrożeń, ESET.

Ryzyko nie kończy się także po godzinach pracy. Niemal co drugi pracownik używa bowiem firmowego sprzętu do celów prywatnych. W tym obszarze badani podejmują kolejne ryzykowne działania – m.in. logują się na osobiste konta w mediach społecznościowych (27%), robią zakupy online (36%) lub korzystają z bankowości internetowej (37%). A przecież cyberzagrożenia nie zatrzymują się na granicy między życiem prywatnym, a zawodowym. Te same błędy, które zagrażają też użytkownikom prywatnym – są kolejnymi, które narażają także firmowe dane.

Od słów do czynów

Zatrudnieni w firmach eksperci ds. cyberbezpieczeństwa coraz częściej dostrzegają problem. Aż o dziesięć punktów procentowych rok do roku (2024 vs. 2025) wzrosła liczba specjalistów, którzy wskazują, że zarządzanie tożsamością, hasłami i dostępem osób uprzywilejowanych oraz wieloskładnikowe uwierzytelnianie, jest obszarem wymagającym wyjątkowo pilnych inwestycji i rozwoju.

Świadomość problemu to oczywiście podstawa, ale dane dotyczące bezpieczeństwa polskiego biznesu pokazują przede wszystkim potrzebę pilnego przejścia do czynów. Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware, wyprzedzając nawet Stany Zjednoczone. Jednocześnie 55% pracowników nie brało udziału w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat. To niepokojący sygnał – bo im bardziej cyfrowa staje się gospodarka, tym większe znaczenie ma edukacja w tym obszarze. Brak wiedzy nie tylko zwiększa podatność na ataki, ale też pogłębia fałszywe przekonanie, że „mnie to nie dotyczy”.

Aby skutecznie ograniczyć ryzyko, firmy powinny wdrażać rozwiązania, które wspierają dobre praktyki: menedżery haseł wraz z systemowym wymuszaniem silnych haseł, uwierzytelnianie dwuskładnikowe (2FA), centralne zarządzanie automatycznymi aktualizacjami czy ograniczanie uprawnień tam, gdzie to możliwe. Tylko połączenie edukacji z praktycznym wsparciem pozwala przekuć wiedzę w realne działania i zmniejszyć podatność organizacji – podkreśla Kamil Sadkowski.

O raporcie
Raport , przygotowany przez ESET i DAGMA Bezpieczeństwo IT, przedstawia aktualny obraz cyberbezpieczeństwa w polskich firmach. To kontynuacja badania zapoczątkowanego w 2024 roku, które ma na celu uchwycenie zmian w podejściu polskich przedsiębiorstw do zagrożeń cyfrowych, a także oceny ich gotowości na coraz bardziej złożone wyzwania technologiczne i geopolityczne. Raport zestawia ze sobą perspektywy pracowników i osób odpowiedzialnych za cyberbezpieczeństwo firm.

Z danych wynika, że przedsiębiorstwa mierzą się z coraz bardziej złożonymi zagrożeniami, a luka między deklarowaną wiedzą a realnymi działaniami wciąż jest niepokojąco szeroka. Autorzy raportu analizują nie tylko skalę ataków i poziom zabezpieczeń, ale także świadomość pracowników, skuteczność szkoleń i gotowość organizacji do wdrażania nowych standardów w dynamicznie zmieniającej się rzeczywistości.