Modul în care lucrează întreprinderile mici și mijlocii s-a schimbat pentru totdeauna — dar la fel și modul în care sunt atacate. Echipele sunt distribuite, instrumentele SaaS gestionează totul, de la salarizare la gestionarea proiectelor, iar contractorii și furnizorii intră și ies regulat din sisteme. Cu fiecare nou instrument sau angajat care are posibilitatea de accesare, numărul punctelor potențiale de intrare crește.
Această suprafață de atac în expansiune contează, deoarece atacurile bazate pe acreditări, inclusiv phishingul, preluarea de conturi și furtul de parole, au devenit una dintre cele mai comune modalități prin care companiile suferă încălcări ale securității. Acestea funcționează tocmai pentru că posibilitatea de accesare s-a extins, ceea ce o face greu de urmărit. Tot ce trebuie să facă un atacator acum este să găsească un set valid de acreditări pentru a ocoli apărarea companiei dvs.
În acest context, ar trebui să fie încurajator faptul că peste jumătate dintre întreprinderile mici folosesc acum un manager de parole pentru afaceri. Însă Raportul privind securitatea cibernetică a IMM-urilor 2026 realizat de Proton — un studiu global pe 3.000 de factori de decizie din IMM-uri — a descoperit că unul din patru a suferit totuși o breșă de securitate anul trecut.
Toate acestea indică un decalaj între modul în care instrumentele sunt adoptate și modul în care sunt utilizate în realitate.
Cum folosesc IMM-urile managerele de parole astăzi
Majoritatea managerelor de parole sunt concepute pentru a face un singur lucru bine: să vă ajute să vă amintiți parola. În practică, aceasta înseamnă crearea de parole complexe și unice și gestionarea lor într-un seif criptat. Acest lucru este semnificativ mai bun decât norma de a refolosi aceleași acreditări pentru diferite conturi și platforme.
Dar, având în vedere că parolele reprezintă cel mai ușor punct de intrare pentru un atacator, IMM-urile au nevoie ca managerele de parole să facă mult mai mult decât să rezolve doar probleme de memorie și comoditate. Au nevoie ca acestea să securizeze posibilitatea de accesare.
Accesarea este o problemă mult mai amplă. Persoanele potrivite au acreditările potrivite — și ați ști ce deblochează acestea sau dacă ar ajunge pe mâini greșite? Pe măsură ce echipele cresc, abonamentele se acumulează, iar contractorii vin și pleacă, considerentele organizației dvs. trebuie să treacă de la simpla consolidare a parolelor la luarea în calcul a amenințărilor reale de securitate.
Aceasta este schimbarea pe care majoritatea companiilor nu o fac până când ceva nu merge prost.
Unde dau greș implementările managerelor de parole
Constatarea cheie a raportului nostru a fost că întreprinderile care adoptă managere de parole nu le folosesc în mod constant.
Partajarea nesigură a acreditărilor încă persistă la rate surprinzător de mari:
- 33% le partajează în documente comune sau foi de calcul
- 30% partajează acreditările prin e-mail
- 27% le partajează prin aplicații de mesagerie
- 25% le notează
- 24% le partajează verbal
Acesta este tabloul unor oameni ocupați care aleg cea mai rapidă rută disponibilă în acel moment. În loc să comute la aplicația managerului de parole și să partajeze o nouă acreditare în seiful corespunzător, s-ar putea să o lipească în Slack sau într-un e-mail.
Soluțiile de compromis par inofensive în mod izolat. Dar, în timp, acreditările ajung împrăștiate prin inboxuri, istorice de chat și documente partajate, în moduri greu de deslușit. Când un angajat pleacă, nu îi puteți revoca ulterior accesarea. Iar actualizarea parolelor într-o clipă după o breșă de securitate devine imposibilă, cu excepția cazului în care sunt stocate într-un loc sigur și centralizat.
Instruirea pentru aplicarea politicilor de securitate poate ajuta, dar cercetările noastre au arătat că nici măcar acest lucru nu este suficient…
De ce instruirea pentru conștientizarea securității nu este suficientă
Raportul nostru a descoperit că 39% din IMM-uri au experimentat un incident de securitate cauzat de o eroare umană. Această statistică este ușor de citit greșit; reacția naturală este de a presupune că angajați mai atenți înseamnă mai puține incidente.
Însă această abordare omite ceva important: Sistemele de securitate care depind de un comportament perfect sub presiunea de zi cu zi vor fi întotdeauna dezamăgite de realitate. Greșelile se întâmplă nu pentru că oamenilor nu le pasă — ele se întâmplă pentru că opțiunea sigură necesită adesea mai mult efort și timp decât își poate permite un IMM tipic. Chiar și echipele bine intenționate vor găsi soluții de compromis atunci când resursele sunt limitate.
Soluția de durată nu constă în mai multă instruire. Ci în proiectarea unor sisteme în care opțiunea sigură este, de asemenea, și cea ușoară.
Când partajarea în siguranță a accesului nu necesită mai mult efort decât plasarea unei parole într-un mesaj de chat, oamenii o vor folosi.
Când problema accesării scapă de sub control
Problema acreditărilor se agravează pe măsură ce echipele cresc.
Optzeci și șase la sută dintre IMM-uri se bazează acum pe servicii în cloud pentru operațiunile de zi cu zi. Asta înseamnă de obicei că acreditările se extind în instrumente de gestionare a proiectelor, platforme financiare, software de marketing, stocare de fișiere și sisteme pentru clienți, fiecare cu propriile permisiuni și istoric de accesare.
Accesarea nu se dispersează doar între sisteme; ea se răspândește în întreaga organizație, circulând între echipe, parteneri externi, contractori și foști angajați care ar putea păstra încă o cale de intrare.
Acest lucru înseamnă că, în realitate, acreditările se acumulează, accesările vechi continuă să persiste, iar numărul persoanelor care au — sau au avut — cheile celor mai sensibile sisteme ale dvs. crește dincolo de a putea fi urmărit ușor.
A avea instrumente nu este totuna cu a fi protejat
IMM-urile care au suferit breșe anul trecut nu au făcut economii: 92% investeau activ în instrumente de securitate. Aveau managere de parole, e-mail criptat, programe de instruire și politici scrise implementate. Cu alte cuvinte, configurările lor păreau solide pe hârtie.
Ceea ce le-a lipsit multora a fost aplicarea consecventă. Autentificarea cu mai mulți factori (MFA) a fost activată, dar nu era obligatorie, managerele de parole au fost implementate, dar nu au fost încorporate în obiceiurile zilnice, iar procesele de integrare și plecare au fost gestionate mai degrabă informal decât sistematic. Bănuim, având în vedere popularitatea managerelor de parole din browser, că mulți nici măcar nu utilizau deloc o platformă de echipă centralizată — bazându-se în schimb pe un ansamblu de opțiuni mai puțin sigure la nivel individual.
Fiecare dintre acestea este un mic decalaj care rămâne invizibil până când nu mai este.
Adevărata măsură a unei configurări de securitate nu constă în instrumentele de pe listă, ci în măsura în care acele instrumente rezistă la presiunea de zi cu zi a modului în care oamenii lucrează de fapt.
Iată câteva practici care să vă ajute să aduceți această realitate mai aproape de afacerea dvs.:
- Utilizați un manager de parole creat pentru echipe. Managerii de parole pentru browser nu doar că sunt mai puțin siguri, dar nu au instrumentele de administrator de care managerii au nevoie pentru a menține controlul deplin asupra conturilor dvs. Dacă nu aveți un manager de parole pentru companii care să fie ușor de utilizat, acesta nu va face față.
- Auditați cine are în prezent acces la ce. Verificați listele de utilizatori pentru cele mai sensibile instrumente și dacă vreun nume de acolo reprezintă o surpriză.
- Înlocuiți datele de conectare partajate cu conturi individuale. Deși este ușor să partajați datele de conectare într-un manager de parole, nu este o practică bună: Datele de conectare partajate reduc vizibilitatea la nivel de cont, îngreunând identificarea și reacția la o încălcare a securității.
- Faceți din autentificarea cu mai mulți factori o cerință. MFA este una dintre cele mai eficiente protecții disponibile — dar numai atunci când este impusă în mod implicit, nu lăsată ca o setare opțională.
- Transformați ieșirea din sistem într-un proces sistematic. Fiecare plecare, indiferent dacă este un angajat, un contractant sau un furnizor, ar trebui să declanșeze o revizuire a drepturilor de accesare imediat, nu ca o acțiune ulterioară.
Doriți să aflați ce altceva ați mai putea învăța din sondajul nostru efectuat pe 3.000 de lideri de afaceri din șase piețe cheie? Citiți mai multe în Raportul nostru de securitate cibernetică pentru IMM-uri 2026. Veți afla ce anume cauzează încălcări ale securității și cât costă acestea cu adevărat, unde apare cel mai des o eroare umană, cum adoptarea cloud-ului și a inteligenței artificiale creează noi puncte oarbe. Acesta include, de asemenea, pași practici pentru consolidarea protecției, care rezistă în condiții reale.
