Wyciek firmowych danych? W wielu organizacjach pytanie nie brzmi „czy”, ale „kiedy”. Skala incydentów związanych z bezpieczeństwem danych w obszarze payroll drastycznie rośnie – wynika z badania „Potencjał listy płac 2026” przeprowadzonego przez ADP.

Wyniki badania pokazują, że wciąż są firmy, które nie mają wdrożonych planów awaryjnych na wypadek ataku, grożącego kradzieżą tożsamości pracowników i wielomilionowymi odszkodowaniami dla firmy – lub wdrożyły je połowicznie, mimo deklaracji, że poprawa bezpieczeństwa jest traktowana priorytetowo.

70% organizacji doświadczyło przynajmniej jednego incydentu związanego z cyberbezpieczeństwem w obszarze listy płac w ostatnich 24 miesiącach (w porównaniu do „tylko” 57% firm w poprzedniej edycji badania „Potencjał listy płac 2025”)
33% firm traktuje bezpieczeństwo danych jako główny obszar planowanych udoskonaleń na poziomie globalnym

Zaledwie 41% firm ma wdrożony plan awaryjny w związku z cyberatakami w całej organizacji, a 49% – w niektórych krajach swojej działalności

Dane w HR – cenne jak sejf w banku

To właśnie w działach HR lub payroll znajdują się najbardziej „kaloryczne” dane dla hakerów. Można je najszybciej spieniężyć, bo mają realną wartość finansową:

• PESEL i numer dowodu osobistego – to klucze do systemów bankowych i urzędowychadres zamieszkania – niezbędny do weryfikacji kredytowej
• numer konta bankowego – pozwala na ataki polegające na podmianie numeru konta do wypłaty.

Dla pracowników i kontrahentów wyciek tych danych wystarczy, by ich właściciel stał się ofiarą np. oszustw bankowych czy doświadczył zauważalnego wzrostu liczby telefonów od oszustów, fałszywych wiadomości SMS oraz prób włamań na konta bankowe czy społecznościowe.

Równie poważne konsekwencje grożą organizacji, która dopuściła do wycieku danych. Za brak odpowiednich zabezpieczeń firma może zostać obłożona przez Urząd Ochrony Danych Osobowych karą administracyjną w wysokości do 20 mln EUR lub 4% rocznego światowego obrotu przedsiębiorstwa. Oprócz tego osoby poszkodowane mogą złożyć pozwy cywilne za poniesione szkody niemajątkowe. Trzeba też pamiętać o kosztach operacyjnych: audyty IT, poinformowanie tysięcy osób o wycieku, wynajęcie firm od cyberbezpieczeństwa i podwyższone składki ubezpieczeniowe to realne wydatki i trudne do odrobienia straty wizerunkowe. Atak cybernetyczny może też na pewien czas sparaliżować działalność, uniemożliwiając transfery pieniężne.

Dlaczego dochodzi do wycieków?

Dość często na skrzynki firmowe spływają maile przypominające wiadomości od współpracownika, kuriera lub instytucji finansowej. Kliknięcie w link lub załącznik skutkuje zainstalowaniem złośliwego programu, którego celem jest przechwycenie danych do logowania do systemów firmowych i wrażliwych danych. Innym, trywialnym źródłem wycieku jest… wysłanie pliku z danymi przez pracownika do niewłaściwej osoby lub zgubienie nośnika, na którym są zapisane wrażliwe informacje. Zdarza się też ciągle, że dane są przechowywane w publicznej chmurze bez ograniczeń dostępu.

– Firmy istniejące na rynku już od pewnego czasu, zatrudniające sporo pracowników, unikają tak prostych błędów, a jednak nadal padają ofiarą wyłudzeń danych. Hakerzy szukają nowych sposobów, zakładając, że efektywniej jest zaatakować organizację przechowującą dane co najmniej kilkudziesięciu osób, a nie kilku – mówi Mariusz Koczwara, head of sales w ADP Polska. – Ułatwieniem dla nich jest przechowywanie i przetwarzanie danych przez różne, rozproszone systemy. Konsolidacja ich w jednej, szyfrowanej platformie znacząco redukuje tzw. powierzchnię ataku. Pozwala to zespołom IT na błyskawiczne wychwycenie anomalii, jak na przykład logowanie z egzotycznej lokalizacji czy masowe pobieranie danych. W rozproszonych, lokalnych systemach jest to niemal niemożliwe do zauważenia w czasie rzeczywistym – dodaje.

Raport „Potencjał listy płac 2026” jest dostępny w całości. Dokument powstał na podstawie badania opinii 1816 specjalistów z 20 krajów, odpowiedzialnych za obsługę listy płac w organizacjach zatrudniających co najmniej tysiąc osób.