Ponad połowa pracowników firm w Polsce (55 proc.) nie przestrzega podstawowych zasad bezpieczeństwa w cyberprzestrzeni. Użytkowanie tych samych haseł do różnych kont służbowych to zaledwie jeden z wielu przykładów nonszalancji - wynika z najnowszej, drugiej już edycji raportu „Cyberportret polskiego biznesu 2025” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Takie błędy narażają polskie firmy na atak cyberprzestępców i końcowy ich skutek, czyli – nierzadko – gigantyczne straty.
– Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – ostrzega Kamil Sadkowski, analityk cyberzagrożeń, ESET.
Czynnik ludzki
Główną i najgroźniejszą lukę w firmowej ochronie zasobów IT stanowi tzw. czynnik ludzki. Największe zagrożenia wynikają z nieznajomości fundamentalnych reguł bezpiecznego postępowania w wirtualnej przestrzeni i ze zwykłych, ludzkich błędów.
13 proc. pracowników zapisuje hasła w łatwo dostępnych miejscach, np. w plikach, notatkach czy mailu. Mało tego, pracownicy używają zazwyczaj słabych, łatwych do odgadnięcia haseł, np. 12345. Również powtarzanie tych samych haseł do różnych kont, w tym prywatnych i służbowych, jest niebezpieczną praktyką. Jeszcze groźniejsze jest zapisywanie haseł na karteczkach, w notatnikach lub w niezabezpieczonych plikach na komputerze bądź udostępnianie ich innym osobom.
Aż 55 proc. pracowników używa sprzętu firmowego do celów prywatnych, a 27 proc. używa służbowego sprzętu do obsługi prywatnych kont, np. w mediach społecznościowych. Ryzykownym zachowaniem jest korzystanie z bankowości internetowej na służbowym sprzęcie, a 37 proc. respondentów badania ESET przyznaje, że nie widzi w tym problemu. 36 proc. pracowników, korzystając z firmowych zasobów IT, robi zakupy online, co znacząco zwiększa ryzyko sprowadzenia problemów na organizację.
Bramy dla cyberprzestępców
16 proc. pracowników przyznaje w badaniu ESET, że ignoruje powiadomienia o potrzebie aktualizacji oprogramowania. W ten sposób otwiera cyberprzestępcom kolejną drogę do ataku przez znane luki w zabezpieczeniach. Innym błędem jest instalowanie nieautoryzowanego oprogramowania lub aplikacji bez zgody działu IT, co niestety nie jest praktyką rzadką.
Przejawem nieświadomości jest takżebrak reakcji pracowników na przypadki incydentów w zakresie cyberbezpieczeństwa. 17 proc. pracowników, którzy doświadczyli cyberataku w pracy, nikogo o tym nie poinformowało – wynika z raportu ESET i DAGMA Bezpieczeństwo IT. Niemal co piąty pracownik (19 proc.) przyznał, że udostępniał narzędziom AI dane wrażliwe, np. informacje finansowe, dane klientów czy dokumenty objęte tajemnicą handlową.
– Fałszywe przekonanie o własnych umiejętnościach to jeden z najgroźniejszych błędów, ponieważ usypia czujność i osłabia skuteczność nawet dobrze zaprojektowanych systemów ochrony w firmie. Pracownicy często nie zdają sobie sprawy, że ich codzienne decyzje, np. korzystanie ze sprzętu służbowego do celów prywatnych, mogą stać się wektorem ataku – tłumaczy Kamil Sadkowski.
Przeciw ryzyku
Uodpornienie przedsiębiorstwa na cyberataki zakłada zastosowanie kombinacji działań organizacyjnych, czyli szkolenia pracowników, opracowania i wdrożenia polityki bezpieczeństwa oraz określenia uprawnień w dostępie poszczególnych pracowników do danych i systemów.
Fałszywe przekonanie o własnych umiejętnościach to jeden z najgroźniejszych błędów, ponieważ usypia czujność i osłabia skuteczność nawet dobrze zaprojektowanych systemów ochrony w firmie.
Niezbędne jest też sięgnięcie po rozwiązania techniczne, np. regularne, centralnie administrowane aktualizowanie systemów i aplikacji, zapory sieciowe, oprogramowanie zabezpieczające czy używanie menedżerów haseł oraz uwierzytelnień dwuskładnikowych (2FA) wszędzie tam, gdzie to możliwe.
Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT