Ponad 55 proc. pracowników w Polsce używa tego samego hasła do różnych kont służbowych, a 13 proc. zapisuje swoje dane dostępowe w notatkach, mailach lub plikach. Takie praktyki otwierają cyberprzestępcom drzwi do całej infrastruktury firmowej – wynika z raportu ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”.
Najsłabsze ogniwo: człowiek
Eksperci wskazują, że mimo coraz lepszych technologii zabezpieczających, to ludzkie przyzwyczajenia wciąż stanowią największe zagrożenie dla firmowego cyberbezpieczeństwa. Jak ostrzega Kamil Sadkowski, analityk cyberzagrożeń w ESET, atakujący często nie muszą łamać systemów, lecz ludzką czujność.
– Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – mówi Sadkowski.
Z raportu wynika, że 26 proc. pracowników przekazuje swoje hasła współpracownikom, a niemal połowa korzysta z firmowego sprzętu do celów prywatnych, m.in. do zakupów online, logowania do mediów społecznościowych czy bankowości internetowej. Takie zachowania zwiększają ryzyko infekcji systemów ransomware i wycieku danych.
Deklaracje kontra rzeczywistość
Choć ponad połowa badanych twierdzi, że zna zasady cyberbezpieczeństwa obowiązujące w firmie, codzienne praktyki pokazują co innego. 23 proc. kliknęło link z nieznanego źródła, a 16 proc. ignoruje powiadomienia o aktualizacjach systemu.
– Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami, może stać się realnym zagrożeniem dla organizacji – dodaje Sadkowski.
Autorzy raportu zwracają uwagę, że Polska w pierwszej połowie 2025 roku znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware. Pod tym względem wyprzedziliśmy nawet Stany Zjednoczone. Mimo tego ponad połowa pracowników (55 proc.) nie uczestniczyła w żadnym szkoleniu z zakresu cyberbezpieczeństwa w ostatnich pięciu latach.
Dlatego eksperci ESET i DAGMA wskazują, że firmy powinny łączyć edukację z konkretnymi narzędziami. W praktyce oznacza to wdrażanie menedżerów haseł, uwierzytelniania dwuskładnikowego (2FA), centralnego zarządzania aktualizacjami i ograniczania uprawnień użytkowników. Dopiero połączenie wiedzy z praktycznym wsparciem pozwoli ograniczyć ryzyko ataków i wzmocnić cyberodporność organizacji.