Słowo „bezpieczeństwo” potrafi zmęczyć, zanim cokolwiek się wydarzy. Ransomware. Phishing. Wyciek haseł. Backdoor w VPN. „Krytyczna podatność”. Każdy temat brzmi jak ten najważniejszy. Do tego dochodzi presja. Od zarządu, klientów, czasem od ubezpieczyciela. W małej firmie zwykle nie ma na czasu na tego typu problemy. IT jest „pomiędzy”. A właściciel firmy robi to samo, co wczoraj: sprzedaje, dowozi, gasi pożary. W takim otoczeniu łatwo wpaść w tryb paniki. Albo w tryb wyparcia. A bezpieczeństwo, paradoksalnie, zaczyna się od porządku.
Hype nie pomaga, liczby pomagają
Wystarczy spojrzeć na twarde dane. Verizon w DBIR 2025 opisuje, jak naprawdę zaczynają się incydenty. W tej analizie dane logowania (czyli po prostu dostęp: hasło, klucz, token) są najczęstszym „pierwszym krokiem” napastnika – około 22% przypadków.
Na drugim miejscu jest wykorzystanie podatności, około 20%. To jest ważne, bo pokazuje jedno: nie da się naraz zaopiekować wszystkim, ale da się zacząć od rzeczy, które wracają najczęściej. I da się zacząć bez chaosu.
Część ciężaru można zdjąć z barków
W MŚP najwięcej energii ucieka na utrzymanie podstaw: aktualizacje, dostępność usług, kopie danych. Zwykła praca. Tu pojawia się pragmatyczny ruch: przenieść część odpowiedzialności na usługi w modelu SaaS. Jeśli firma trzyma pocztę i pliki w popularnych usługach, część tematów dzieje się „w tle”. Aktualizacje środowiska, utrzymanie infrastruktury, wiele elementów odporności. To nadal nie jest magia. Ale nie wymaga codziennego pilnowania przez kogoś w firmie.
W praktyce to jest jedyny sposób, żeby mały zespół nie zatonął w utrzymaniu. Tyle że jedno zostaje po stronie firmy zawsze. Dostępy.
Hasła firmowe: temat numer jeden
SaaS może utrzymać usługę. Może ją aktualizować. Może dbać o swoje serwery. Ale nie wie, kto w twojej firmie powinien mieć dostęp do faktur. Kto ma mieć dostęp do skrzynki wspólnej. Kto ma prawo do umów z kontrahentami. I jaki dostęp został kiedyś nadany ‘na chwilę’, bo firma była w biegu. Wstaw tu swój przykład — to często najbardziej cenny zasób.
I tu wracają hasła firmowe.
Hasła są nudne. I właśnie dlatego są zdradliwe. W firmach hasła często żyją własnym życiem: ktoś zapamiętał, ktoś wkleił w notatki, ktoś wysłał na czacie, ktoś zostawił „na potem”. To nie jest błąd ludzi. To jest brak procesu. Jeśli w DBIR 2025 około 22% incydentów zaczyna się od nadużycia danych logowania, to znaczy, że to nie jest margines. To jest codzienność.
Systemowa kontrola zamiast kolejnych wymagań
Pierwszym krokiem nie powinna być kolejna „lista zaleceń”, a uporządkowanie tego, co i tak już istnieje. Czyli: centralna kontrola nad hasłami i dostępami. Nie chodzi o to, żeby pracownik miał pamiętać lepiej czy więcej. Chodzi o to, żeby firma miała mapę dostępów i właścicieli. Żeby było wiadomo:
- Kto jest właścicielem hasła do danego konta.
- Kto ma dostęp dziś.
- Kto miał dostęp miesiąc temu.
- Co dzieje się z dostępami, gdy ktoś zmienia rolę.
- Co dzieje się z dostępami w dniu odejścia z firmy (offboarding).
To jest cykl dostępu. I on musi mieć właściciela. Co ważne: firmy często są reaktywne, bo nie mają czasu na system. W badaniu Forrester Consulting dla WithSecure z 2023 roku 60% respondentów deklarowało podejście reaktywne. To nie jest wstyd, tylko uczciwy opis rzeczywistości.
Co się zmienia, gdy to uporządkujesz
Największa wartość jest prosta: spada liczba „przypadkowych” ryzyk. Unikalne hasła przestają się powtarzać. Dostęp przestaje być „wiedzą w głowie jednej osoby”. Odejście pracownika nie zostawia po sobie cichych kont i starych uprawnień.
I nagle zaczynają działać kolejne elementy porządku: przeglądy dostępów, zasady nadawania uprawnień, regularne porządkowanie kont. To nie jest wielki projekt. To jest praca organizacyjna.
Co dalej
Gdy hasła i uprawnienia są poukładane, kolejne kroki przestają być przytłaczające.
W praktyce na krótkiej liście zwykle są:
- Kopie zapasowe (zwłaszcza dla danych poza SaaS).
- Aktualizacje urządzeń końcowych i aplikacji.
- Podstawowe szkolenie użytkowników, bardzo praktyczne, bez straszenia.
Ale początek drogi jest tutaj:
Hasła. Zbudowanie polityki dostępów. Jedno źródło prawdy. Odpowiedzialność za cykl dostępu.
Źródła:
– Verizon Data Breach Investigations Report 2025,
– The Value Of Putting Security Outcomes First (Forrester Consulting, marzec 2023)
Autor: Mariusz Graszek – przedsiębiorca, CISO (dyrektor ds. bezpieczeństwa informacji) i Head of Consulting w mageek.it. Pomaga małym i średnim firmom upraszczać i automatyzować procesy wymuszając stosowanie najlepszych praktyk bezpieczeństwa i poufności.