Pracownicy przez swój brak wiedzy, złą higienę cyfrową i ryzykowne nawyki, stanowią obecnie największe, choć skrywane zagrożenie dla swoich firm – taki alarmujący obraz wyłania się z najnowszego raportu „Cyberportret polskiego biznesu 2025”. Opracowały go firmy ESET i DAGMA Bezpieczeństwo IT na podstawie badania opinii ponad 1 tys. pracowników polskich firm, w tym 283 specjalistów ds. cyberbezpieczeństwa.
To już druga edycja raportu, unikalnego na polskim rynku, bo zderzającego perspektywę pracowników z opiniami ekspertów ds. cyberbezpieczeństwa. Okazuje się, że nowym polem minowym jest beztroskie korzystanie ze sztucznej inteligencji. Raport ESET ujawnia, że niemal co piąty pracownik (19 proc.) przyznał się do udostępniania narzędziom AI danych wrażliwych, takich jak informacje finansowe, dane klientów czy dokumenty objęte tajemnicą firmy.
– Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – ostrzega Kamil Sadkowski, analityk cyberzagrożeń, ESET.
Nieostrożne używanie AI
Eksperci alarmują, że narzędzia AI mogą stać się nowym źródłem poważnych zagrożeń dla firm. Ich postrzeganie skupia się na pozytywnych efektach użycia. Jednak w praktyce, gdy trafiają w ręce nieświadomych pracowników, dochodzi nieraz do realizacji przeciwnego scenariusza.
Jedynie 42 proc. pracowników wie, czym jest deepfake (manipulacje mające na celu zmianę cech twarzy, całkowitą podmianę tożsamości, a także modyfikację głosu), skoro blisko co trzeci (30 proc.) dał się oszukać fałszywemu wideo lub obrazowi stworzonemu przy pomocy narzędzi AI i w ten sposób otworzył hakerom bramy firmy i naraził ją na wyrafinowane oszustwa. Pomimo wzrostu ryzyka jedynie 28 proc. pracowników miało szkolenia z zagrożeń wynikających z używania AI – wynika z raportu ESET.
Jedynie taki odsetek pracowników miało szkolenia z zagrożeń wynikających z używania AI – jak wynika z najnowszego raportu ESET.
– Dumne przekonanie o własnych umiejętnościach jest często fałszywe i staje się jednym z najgroźniejszych błędów. Dlaczego? Ponieważ usypia czujność, a przez to osłabia skuteczność nawet dobrze zaprojektowanych systemów ochrony. Pracownicy często nie zdają sobie sprawy, że ich codzienne decyzje, np. korzystanie ze sprzętu służbowego do celów prywatnych, mogą stać się wektorem ataku, który zrujnuje firmę – podkreśla Kamil Sadkowski.
Higiena cyfrowa
Cyberzagrożenia nie są wymierzone wyłącznie w systemy zabezpieczeń i obsługujących je specjalistów. W codziennej działalności firm dotykają bezpośrednio także pracowników, którzy nie zajmują się cyberbezpieczeństwem. 13 proc. respondentów przyznało, że doświadczyło cyberataku w miejscu pracy, a ponad jedna czwarta (26 proc.) zetknęła się z takim problemem w życiu prywatnym.
- Biorąc pod uwagę to, że część ataków może pozostać niezauważona, taki odsetek pracowników doświadczających cyberataku (13 proc. respondentów przyznało, że doświadczyło cyberataku w miejscu pracy, a 26 proc. zetknęło się z takim problemem w życiu prywatnym) powinien niepokoić i prowadzić do podjęcia w firmie edukacji w dziedzinie cyberbezpieczeństwa. Zwłaszcza że realne konsekwencje, jakie przynoszą cyberataki, zarówno osobom prywatnym, jak i biznesowi, są coraz bardziej zatrważające - mówi Paweł Jurek, Business Development Director, DAGMA Bezpieczeństwo IT.
Trudno mówić o przestrzeganiu higieny cyfrowej w firmach, skoro raport ESET wskazuje na istnienie fundamentalnych braków. 55 proc. pracowników używa tych samych haseł do różnych kont służbowych, a 13 proc. pracowników zapisuje hasła w łatwo dostępnych plikach, notatkach lub mailach. Ponadto aż 37 proc. korzysta z bankowości internetowej na sprzęcie służbowym, a 36 proc. robi na nim zakupy online. Takie zachowania dalekie są od podstawowych wymagań higieny cyfrowej.
Szczególnie alarmujące jest to, że sprzęt służący do operacji wymagających najwyższej ostrożności, np. transakcji finansowych czy obsługi danych wrażliwych, użytkowany jest też w czynnościach czysto prywatnych, nawet w godzinach pracy. W efekcie luka między deklarowaną świadomością a rzeczywistym przestrzeganiem zasad cyberbezpieczeństwa staje się poważnym wyzwaniem dla polskich firm.
Edukacyjne remedium
45 proc. ankietowanych specjalistów ds. cyberbezpieczeństwa uważa, że najpilniejszą potrzebą inwestycyjną w firmach jest… szkolenie pracowników z myślą o ich bezpieczeństwie cyfrowym. Okazuje się, że to deficyt wiedzy jest bezpośrednią przyczyną ryzykownych zachowań. Z raportu ESET i DAGMA Bezpieczeństwo IT wynika, że aż 55 proc. pracowników nie przeszło ani jednego szkolenia z cyberbezpieczeństwa w ciągu ostatnich pięciu lat.
Być może brak wyszkolenia i nieświadomość jest powodem tego, że aż 17 proc. pracowników nie poinformowało nikogo o wystąpieniu niebezpiecznego zdarzenia. Brak obiegu informacji oznacza tu poważne ograniczenie możliwości reakcji oraz zapobiegania kolejnym zagrożeniom.
Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT