Pracownicy wciąż obchodzą kontrolę dostępu. Nowy raport 1Password odsłania „luka zaufania do dostępu”

Wprowadzenie do problemu / definicja luki

1Password w najnowszym raporcie rocznym opisuje „Access-Trust Gap” – rosnącą różnicę między tym, co działy IT są w stanie kontrolować (SSO/IAM/MDM), a tym, jak faktycznie pracownicy i (coraz częściej) agenci AI uzyskują dostęp do danych i aplikacji. W praktyce oznacza to narastające „niewidzialne” logowania: do niezarządzanych aplikacji SaaS, z nieufnych urządzeń lub przy użyciu słabych poświadczeń.

W skrócie

• 73% pracowników jest zachęcanych do używania AI, ale 37% przyznaje, iż nie zawsze przestrzega polityk.
• 52% pobrało aplikacje bez zgody IT (shadow IT/SaaS sprawl).
• ~70% specjalistów bezpieczeństwa uważa, iż SSO nie wystarcza do zabezpieczenia tożsamości.
• 89% firm promuje passkeys jako krok w stronę ograniczenia ryzyka haseł.
• BYOD i urządzenia prywatne podważają skuteczność klasycznego MDM.

Kontekst / historia / powiązania

Wyniki 1Password potwierdzają trend opisywany w prasie branżowej: rośnie skala shadow IT oraz „shadow AI” – pracownicy wybierają wygodę i szybkość kosztem nadzoru. Publikacje niezależne od producenta (HNS, Infosecurity) wskazują na podobne zachowania: obchodzenie polityk AI, instalowanie narzędzi bez akceptacji i użycie prywatnych urządzeń do pracy.

Analiza techniczna / szczegóły luki

AI & polityki

• 94% deklaruje „przestrzeganie polityk AI”, ale tylko 37% robi to „przez większość czasu” – sygnał, iż egzekwowanie i komunikacja reguł są słabe.

SaaS sprawl / shadow IT

• 52% pracowników pobrało aplikacje bez zgody IT; offboarding bywa niespójny, bo znaczna część ekosystemu nie jest za SSO. Skutkiem są „martwe konta” i dostęp po odejściu z firmy.

Tożsamość i poświadczenia

• Specjaliści bezpieczeństwa wskazują, iż słabe/kompromitowane hasła pozostają kluczowym problemem; stąd szybka adopcja passkeys (89% firm zachęca do ich używania).

Urządzenia końcowe

• MDM nie nadąża za hybrydową pracą i BYOD; wielu pracowników regularnie korzysta z prywatnych urządzeń do dostępu do danych firmy.

Praktyczne konsekwencje / ryzyko

• Wycieki danych przez AI: wprowadzanie treści wrażliwych do niesankcjonowanych modeli i agentów.
• Uporczywe „niezarządzane” logowania: aplikacje poza SSO/SCIM utrudniają detekcję, audyt i usuwanie dostępu.
• Trwałość ryzyka haseł: współdzielenie/ponowne użycie haseł, phishing i infostealery.
• Powierzchnia ataku BYOD: brak telemetryki i polityk bezpieczeństwa na urządzeniach prywatnych. W efekcie – dłuższy czas wykrycia i wyższy koszt incydentów.

Rekomendacje operacyjne / co zrobić teraz

1. Rozszerz zarządzanie tożsamością poza SSO
   • Kataloguj wszystkie aplikacje (zarządzane i niezarządzane). Wdroż ciągłe odkrywanie SaaS i automatyczne przepływy aprowizacji/deprowizacji.
2. Wprowadź politykę „approved AI” + kontrolę dostępu dla agentów
   • Zdefiniuj listę dozwolonych modeli/narzędzi AI, kanały wprowadzania danych i logging. Zamiast blokady – monitorowanie, DLP i tokenizacja.
3. Przyspiesz przejście na passkeys
   • Używaj FIDO2/WebAuthn i kluczy sprzętowych/biometrii w miejscach wysokiego ryzyka; ogranicz manualną obsługę haseł przez użytkowników.
4. BYOD z atrybucją zaufania urządzenia
   • Uzupełnij MDM o weryfikację stanu urządzenia (device trust), izolację danych (konteneryzacja), oraz warunkowy dostęp (per-app VPN, posture checks).
5. Program higieny haseł i sekretów
   • Menedżer haseł/sekretów, rotacje, skan wycieków, zakaz udostępniania poza dedykowanymi „vaultami”.
6. Twarde procedury offboardingu
   • Pełna lista aplikacji (także poza SSO), odzyskanie kluczy API i tokenów, zamknięcie kont federacyjnych oraz kont lokalnych.

Różnice / porównania z innymi przypadkami

W przeciwieństwie do klasycznych raportów o „zmęczeniu hasłem” czy samym phishingu, 1Password skupia się na systemowym charakterze luki: rozjazd między narzędziami kontroli (SSO/MDM/IAM) a rzeczywistością pracy (SaaS, BYOD, AI). Niezależne materiały branżowe potwierdzają ten kierunek – problemem nie jest pojedyncza technika ataku, ale operacyjna niewidoczność dostępu.

Podsumowanie / najważniejsze wnioski

• „Luka zaufania do dostępu” nie wynika z jednego błędu, tylko z kumulacji: SaaS sprawl + BYOD + AI + hasła.
• Strategia powinna iść w stronę context-aware access: widoczność wszystkich aplikacji, polityki dla AI, passkeys, oraz device trust wykraczający poza klasyczny MDM.
• Zamiast zakazów – prowadzenie i egzekwowanie: widzieć, rozumieć i automatyzować.

Źródła / bibliografia

• Help Net Security: „Employees keep finding new ways around company access controls” (03.11.2025). (Help Net Security)
• 1Password – The Access-Trust Gap: 2025 Annual Report (PDF).
• 1Password – Komunikat prasowy (zestawienie kluczowych statystyk). (1password.com)
• Infosecurity Magazine – omówienie „shadow AI” w firmach. (Infosecurity Magazine)
• Expert Insights – podsumowanie wyników i metodyki badania. (Expert Insights)