Cyberbezpieczeństwo i ochrona danych w HR

Jeszcze kilka lat temu cyberbezpieczeństwo było domeną działów IT. HR natomiast koncentrował się na rekrutacjach, rozliczeniach, benefitach i relacjach z pracownikami. Dziś ta granica praktycznie się zaciera. Obecnie dane są głównym paliwem dla przestępców, a w atakach wykorzystują zarówno technologię, jak i socjotechnikę. I to właśnie dział HR jest jednym z głównych celów.

Według raportu „Cyberportret polskiego biznesu 2025” (ESET) aż 82% firm w Polsce doświadczyło cyberataku w ciągu ostatnich pięciu lat. Tym bardziej niepokojące jest to, że tylko co piąty pracownik ocenia swoje kompetencje w zakresie cyberbezpieczeństwa jako wysokie. Co trzeci potwierdza, że dał się nabrać na deepfake, który oglądał.

W przypadku HR sytuacja jest o tyle poważna, że działy personalne magazynują dane pracowników (osobowe, finansowe, zdrowotne, rodzinne). A te są z natury wrażliwe. Ich wyciek może oznaczać konsekwencje, takie jak: kradzież tożsamości, utrata reputacji firmy i poważne straty finansowe.

Dlaczego cyberbezpieczeństwo zaczyna się w HR?

Działy HR pracują w środowisku, w którym tempo, liczba interakcji i przepływ dokumentów są wyjątkowo wysokie. Każdego dnia zespoły kadrowe przetwarzają dziesiątki CV, portfolio, linków, załączników PDF, zgłoszeń od pracowników czy zapytań od partnerów biznesowych. Ten intensywny charakter pracy sprawia, że HR często jako pierwszy styka się z próbą cyberataku.

Cyberprzestępcy dobrze rozumieją, że HR to obszar o największym wolumenie komunikacji zewnętrznej i wewnętrznej. Duża liczba różnorodnych plików i wiadomości zwiększa ryzyko tego, że do organizacji trafi spreparowany link lub złośliwy załącznik.

Jednocześnie to właśnie HR zarządza najbardziej wrażliwym zbiorem danych w całej organizacji. Znajdują się tam informacje o kandydatach, dokumenty kadrowo-płacowe, dane zdrowotne czy rodzinne pracowników. Dla cyberprzestępców to jak wejście do jaskini skarbów.

Deepfake, phishing i AI

Deepfake to technologia umożliwiająca tworzenie realistycznych materiałów audio i wideo, w których głos lub wizerunek osoby są podmienione cyfrowo. W HR może to oznaczać np. spreparowaną wiadomość głosową „od prezesa” z prośbą o przesłanie listy płac, albo wideo z fałszywym komunikatem dla zespołu. Według raportu ESET, co trzeci pracownik dał się nabrać na treść deepfake, co pokazuje skalę ryzyka.

Phishing to z kolei metoda wyłudzania informacji, najczęściej poprzez fałszywe e-maile lub strony internetowe podszywające się pod zaufane źródła. W HR atak może przybierać formę:

spreparowanego CV lub portfolio zawierającego złośliwe oprogramowanie,
fałszywego maila od kandydata lub partnera biznesowego z prośbą o przesłanie wrażliwych dokumentów,
linków do „systemów rekrutacyjnych” prowadzących do fałszywych stron logowania.

AI to nowe narzędzie, które może znacząco ułatwiać pracę HR, np. w analizie CV czy komunikacji z kandydatami. Jednocześnie brak zasad korzystania z AI stwarza ryzyko nieświadomego ujawniania wrażliwych danych osobowych np. wklejania informacji z dokumentów kadrowych do publicznych chatbotów. To zagrożenie staje się szczególnie poważne, gdy 36% specjalistów IT nie wie, czy firma podlega dyrektywie NIS2, a więc nie jest pewne, jakie regulacje chronią przetwarzane dane.

Jakie są największe luki bezpieczeństwa?

Cyberprzestępcy najczęściej wykorzystują te same punkty słabości. Oto najpoważniejsze z nich:

1. Zbyt szeroki dostęp do danych

Pracownicy i menedżerowie często mają dostępy nadane „na wszelki wypadek”. W efekcie jednym kliknięciem można pobrać całą bazę danych pracowników. Brak kontroli nad uprawnieniami to jeden z głównych powodów wycieków.

2. Brak procedur korzystania z AI

Wiele firm nie stworzyło żadnych zasad dotyczących wklejania danych do publicznych chatbotów.

3. Bałagan w procesach rekrutacyjnych

Odbieranie CV na ogólne skrzynki mailowe, brak skanowania załączników czy przechowywanie dokumentów w niezaszyfrowanych folderach to główne grzechy ochrony danych w rekrutacji.

4. Brak szkoleń z cyberhigieny

Większość pracowników nie wie:

jak wygląda phishing,
jak rozpoznać deepfake,
kiedy nie otwierać załączników,
jak reagować na podejrzany e-mail.

Nie dziwi więc, że tylko 1 na 5 wierzy w swoje kompetencje w tym obszarze.

Budowanie świadomości na temat cyberbezpieczeństwa w HR

Czas przejść do praktyki. Zabezpieczenie danych pracowników w HR wymaga uporządkowanego podejścia, które obejmuje kilka kluczowych obszarów.

Mapowanie danych HR. Dział powinien dokładnie wiedzieć, jakimi danymi dysponuje, gdzie są przechowywane, kto ma do nich dostęp, jakie procesy je dotyczą i gdzie mogą występować punkty ryzyka. To działa jak audyt wstępny, bez którego nie da się zaprojektować skutecznych zabezpieczeń.
Zasada minimalnego dostępu. Każdy pracownik powinien mieć dostęp tylko do tych danych, które są mu rzeczywiście niezbędne. Należy regularnie przeglądać uprawnienia dostępu, co pozwoli uniknąć niepotrzebnego ryzyka wycieku danych.
Jasne zasady korzystania z AI w HR. Polityka powinna określać, jakich narzędzi można używać, w jaki sposób anonimizować dane i czego nie wolno wklejać do publicznych chatbotów lub systemów AI, w szczególności danych osobowych pracowników.
Edukacja pracowników HR. Najskuteczniejsze są krótkie, regularne szkolenia oraz praktyczne ćwiczenia, takie jak symulacje phishingu, mikro-szkolenia, ćwiczenia z deepfake czy scenariusze z codziennej pracy HR. Dzięki nim zespół staje się świadomy zagrożeń i potrafi reagować w sytuacjach krytycznych.
Zabezpieczenia procesów. Firmy, które korzystają z ATS z szyfrowaniem, skanują CV pod kątem złośliwego oprogramowania i unikają odbierania zgłoszeń na niekontrolowane skrzynki mailowe, znacząco zmniejszają ryzyko w organizacji.
Procedura postępowania w przypadku incydentu. Dział HR musi wiedzieć, co robić po wykryciu wycieku, w jakiej kolejności powiadamiać pracowników, jakie działania podjąć z IT i prawnikiem oraz jak dokumentować zdarzenie. W sytuacjach kryzysowych liczą się minuty!

Od czego zacząć wdrażanie cyberbezpieczeństwo w HR?

Nie trzeba czekać na audyt czy wdrożenie pełnej polityki bezpieczeństwa, żeby zacząć chronić dane pracowników. Już teraz dział HR może podjąć konkretne kroki. Umówienie krótkiego spotkania z działem IT w celu sprawdzenia aktualnego poziomu zabezpieczeń HR pozwala szybko zidentyfikować potencjalne luki. Kolejnym krokiem jest przegląd uprawnień do danych pracowników i natychmiastowe usunięcie niepotrzebnych dostępów.

Warto również rozpocząć projektowanie polityki korzystania z AI, określając, jakie narzędzia można stosować i w jaki sposób bezpiecznie przetwarzać dane. Zamówienie symulacji phishingu dla zespołu HR pomoże w praktyce sprawdzić, jak dział reaguje na próby wyłudzenia informacji. Na koniec dobrze jest sprawdzić proces rekrutacyjny, aby upewnić się, że nie stanowi on furtki dla złośliwego oprogramowania.

Te proste, codzienne działania pozwalają HR stać się pierwszą linią obrony w ochronie danych pracowników i zwiększyć bezpieczeństwo całej organizacji.

Przeczytaj również:

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.