Ponad połowa polskich pracowników używa jednego hasła do wielu służbowych kont i systemów. Co dziesiąty zapisuje je w notatniku, pliku na pulpicie albo... w mailu do samego siebie. W połączeniu z tym, że niemal co drugi pracownik wykorzystuje służbowy komputer do prywatnych spraw, to gotowy scenariusz na poważny incydent bezpieczeństwa - od wycieku danych po sparaliżowanie całej firmy.
To nie teoria z podręcznika cyberbezpieczeństwa, ale wnioski z raportu ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu 2025”. Obraz, który się z niego wyłania, jest alarmujący.
Jedno hasło do wszystkiego - jedna dziura do całej firmy
Według raportu aż 55 proc. pracowników przyznaje, że ma jedno hasło do różnych kont służbowych. Mówimy o tych samych danych dostępowych do komputera, poczty, narzędzi biurowych, a nierzadko także do systemów finansowych, produkcyjnych czy specjalistycznych aplikacji biznesowych.
W praktyce oznacza to, że jeden skuteczny atak - phishingowy mail wyłudzający login i hasło albo wyciek danych z zewnętrznej usługi - może otworzyć cyberprzestępcom drzwi do całej firmowej infrastruktury. Nie tylko do skrzynki mailowej, ale też do CRM-ów, systemów fakturowania, paneli administracyjnych czy baz danych klientów.
Sytuację dodatkowo pogarsza fakt, że 26 proc. badanych przyznaje, iż przekazuje swoje hasła współpracownikom, a 13 proc. zapisuje je w łatwo dostępnych miejscach: w plikach tekstowych, notatkach, mailach. Innymi słowy - nawet jeśli systemy są zabezpieczone, to hasła do nich dosłownie „leżą na biurku”.
Żeby włamać się do systemu, wystarczy złamać człowieka
Eksperci od lat powtarzają, że najsłabszym ogniwem bezpieczeństwa nie są firewalle czy systemy antywirusowe, ale ludzie. Raport tylko to potwierdza. W epoce masowych kampanii phishingowych atakujący coraz rzadziej próbują siłowo łamać zabezpieczenia. Zamiast tego uderzają w ludzką czujność.
Fałszywa wiadomość od „przełożonego”, pilna prośba o zalogowanie się do „nowego panelu HR”, mail udający komunikat z banku - to dziś codzienność w skrzynkach pocztowych pracowników. Jeśli użytkownik używa tego samego hasła do kilku systemów, skala ryzyka rośnie wykładniczo. Po jednym udanym ataku napastnik może metodą „kaskadową” sprawdzać te same dane w innych usługach i systemach firmy.
Co ważne, opisane nawyki prawie na pewno nie kończą się na pracy. Trudno zakładać, że te same osoby w życiu prywatnym nagle zmieniają podejście. To oznacza, że pracownicy bywają „pomostem” między światami: błędy popełniane na prywatnych kontach mogą mieć konsekwencje dla środowiska firmowego - i odwrotnie.
Świadomość na deklaracjach, bałagan w praktyce
Na poziomie deklaracji obraz wygląda całkiem nieźle: ponad połowa respondentów uważa, że zna zasady cyberbezpieczeństwa obowiązujące w ich firmie. Problem w tym, że codzienne zachowania mówią co innego.
Pracownicy przyznają, że podają swoje hasła innym osobom w zespole, klikają w linki z nieznanych źródeł na sprzęcie służbowym (23 proc.), ignorują powiadomienia o aktualizacjach (16 proc.) i zapisują hasła w niezaszyfrowanych notatkach czy mailach (13 proc.). Różnica między tym, co ludzie mówią, a tym, co faktycznie robią, staje się jednym z kluczowych wyzwań dla polskich firm.
- Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury – mówi Kamil Sadkowski, analityk cyberzagrożeń, ESET.”
To ostrzeżenie dotyka sedna problemu: nie wystarczy, że pracownik „wie, jak powinien”, jeśli z wygody, pośpiechu czy przyzwyczajenia robi dokładnie odwrotnie.
Służbowy laptop po godzinach to otwarta brama
Ryzyko nie znika także po zakończeniu zmiany. Raport pokazuje, że niemal co drugi pracownik wykorzystuje firmowy sprzęt do celów prywatnych. Na służbowych komputerach logujemy się do mediów społecznościowych (27 proc.), robimy zakupy online (36 proc.), korzystamy z bankowości internetowej (37 proc.).
Z punktu widzenia cyberbezpieczeństwa oznacza to wymieszanie dwóch światów - prywatnego i firmowego - na jednym urządzeniu. Każda podejrzana wtyczka do przeglądarki, każde fałszywe okno logowania do banku, każdy zainfekowany załącznik z prywatnej poczty potencjalnie dotyka również firmowej części życia cyfrowego pracownika.
A cyberzagrożenia nie zatrzymują się na granicy między „po pracy” a „w pracy”. Tego samego ransomware’u, który szyfruje prywatne zdjęcia i dokumenty, nic nie powstrzyma przed zaszyfrowaniem udziałów sieciowych, baz danych czy wspólnych katalogów projektowych firmy.
Polska na celowniku ransomware, szkolenia wciąż na marginesie
Skala ryzyka nie jest abstrakcyjna. Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware - wyprzedzając nawet Stany Zjednoczone. To oznacza, że polskie firmy są dziś jednym z ulubionych celów cyberprzestępców.
Na tym tle szczególnie niepokojąco wyglądają dane o edukacji. 55 proc. pracowników nie uczestniczyło w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat. W praktyce oznacza to całe zespoły, które wchodzą w coraz bardziej cyfrowy świat bez aktualnej wiedzy o zagrożeniach i dobrych praktykach.
Im bardziej cyfrowa staje się gospodarka, tym większe znaczenie ma edukacja. Brak świadomości nie tylko zwiększa podatność na ataki, ale też wzmacnia groźne, fałszywe przekonanie: „mnie to nie dotyczy”. Do czasu pierwszego incydentu.
Czas na działania, nie tylko na polityki bezpieczeństwa
Dobra wiadomość jest taka, że eksperci ds. cyberbezpieczeństwa w firmach coraz wyraźniej widzą skalę problemu. Z roku na rok rośnie odsetek specjalistów, którzy wskazują zarządzanie tożsamością, hasłami oraz dostępem uprzywilejowanym jako obszary wymagające pilnych inwestycji. Wyżej oceniana jest też rola wieloskładnikowego uwierzytelniania.
Sam problem jednak nie rozwiąże się od rosnącej świadomości. Potrzebne są konkretne narzędzia i konsekwencja. Jak przypomina Kamil Sadkowski:
- Aby skutecznie ograniczyć ryzyko, firmy powinny wdrażać rozwiązania, które wspierają dobre praktyki: menedżery haseł wraz z systemowym wymuszaniem silnych haseł, uwierzytelnianie dwuskładnikowe (2FA), centralne zarządzanie automatycznymi aktualizacjami czy ograniczanie uprawnień tam, gdzie to możliwe. Tylko połączenie edukacji z praktycznym wsparciem pozwala przekuć wiedzę w realne działania i zmniejszyć podatność organizacji - podkreśla Kamil Sadkowski.
To w praktyce oznacza koniec „wiary na słowo”, że pracownicy będą pamiętać o silnych, unikalnych hasłach i aktualizacjach. System ma ich do tego zmuszać - przez polityki haseł, automatyczne update’y, 2FA w kluczowych systemach. A szkolenia powinny być traktowane tak samo poważnie, jak obowiązkowe BHP.
Hasło na biurku to nie „głupi nawyk”. To realne ryzyko biznesowe
Dla wielu menedżerów obraz hasła przyklejonego na karteczce do monitora wciąż jest przede wszystkim dowcipem z memów. Raport ESET i DAGMA pokazuje, że to już nie jest śmieszne. To element większej całości: kultury „jakoś to będzie”, w której wygoda pracownika wygrywa z bezpieczeństwem firmy.
W czasach, gdy Polska jest jednym z głównych celów ataków ransomware, a kluczowe procesy biznesowe wiszą na dostępie do systemów IT, takie podejście staje się luksusem, na który firmy po prostu nie mogą sobie pozwolić.
Bo jeśli hasło do Twojego serwera naprawdę leży dziś na biurku któregoś z Twoich pracowników - to nie jest pytanie czy ktoś spróbuje to wykorzystać, tylko kiedy i z jakim skutkiem.