przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Zarządzanie uprawnieniami kont pracowników – o czym pamiętać?

Zarządzanie uprawnieniami kont pracowników – o czym pamiętać?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Uprawnienia użytkowników odgrywają kluczową rolę w zakresie dostępu do plików, co przekłada się również na bezpieczeństwo organizacji – niezależnie od profilu działalności. Zarządzanie uprawnieniami kont pełni niezwykle ważną funkcję pod kątem ochrony danych osobowych. Niezależnie od wykorzystywanej platformy powinniśmy starać się przyznawać użytkownikom najmniejsze wymagane uprawnienia oraz unikać współdzielenia kont.

Dlaczego należy kontrolować przyznawanie uprawnień?

W dążeniu do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych informacji powinniśmy pamiętać o przyznawaniu najniższych wymaganych uprawnień dla użytkowników. Zgodnie z dokumentem „Security and Privacy Controls for Information Systems and Organizations” amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) z sierpnia 2025 roku powinniśmy przyznać użytkownikom wyłącznie uprawnienia konieczne do wykonywania swoich służbowych obowiązków. Według Instytutu pozwala to uniknąć potencjalnych konsekwencji przejęcia określonego konta, ponieważ cyberprzestępca, który uzyskał nieuprawniony dostęp do konta o niskich przywilejach, będzie miał zdecydowanie mniejszy wpływ na działanie systemów w porównaniu z np. przejęciem konta administratora.

Warto również dodać aspekt ochrony danych osobowych – dzięki rozsądnemu przyznawaniu dostępu do zasobów możemy uniknąć sytuacji, gdzie np. przejęcie konta pracownika wskutek ataku phishingowego doprowadza do kradzieży bazy danych klientów firmy.

Przykład 1. (źródło: bbc.com)

W lipcu 2025 roku BBC poinformowało, że atak ransomware na brytyjską firmę KNP był możliwy dzięki przełamaniu hasła jednego z pracowników. Incydent doprowadził do upadku przedsiębiorstwa i zwolnienia 700 osób. Atak doskonale pokazuje, że uzyskanie nieuprawnionego dostępu do konta nie powinno mieć tak poważnych skutków, których skalę można znacznie ograniczyć poprzez nadanie odpowiednich uprawnień.

Przykład 2. (źródło: microsoft.com)

W marcu 2022 roku Microsoft poinformował o uzyskaniu nieuprawnionego dostępu do konta jednego z pracowników przez grupę cyberprzestępców (LAPSUS$), co dało im ograniczony dostęp do infrastruktury. Zapewniono również o braku nieuprawnionego dostępu do danych klientów. Incydent dobrze pokazuje zasadność przyznawania najmniejszych wymaganych uprawnień, ponieważ pozwala to uniknąć ew. poważnych skutków przejęcia kont.

Uprawnienia kont a ochrona danych

Odpowiednie zarządzanie uprawnieniami kont jest ważne pod kątem RODO. Mowa tutaj przede wszystkim o poniższych aspektach:

  • zapewnienie poufności i integralności (art. 5 ust. 1 lit. f);
  • wdrażanie odpowiednich środków technicznych i organizacyjnych (art. 32);
  • rozliczalność i aktualizowanie stosowanych środków ochrony danych (art. 24 oraz art. 5 ust. 2).

Decyzje Prezesa Urzędu Ochrony Danych Osobowych jednoznacznie wskazują, że w organizacji konieczne jest stałe monitorowanie osób, które mają dostęp do określonych zasobów. W styczniu 2022 roku PUODO nałożył karę wynoszącą ponad 545 tys. zł na Santander Bank Polska S.A. (DKN.5131.33.2021), spowodowaną niepoinformowaniem ponad 10 tys. osób o naruszeniu ochrony ich danych (art. 34 RODO). Zdarzenie polegało na tym, że były pracownik banku uzyskał nieuprawniony dostęp do Platformy Usług Elektronicznych ZUS – było to możliwe przez nieodebranie mu odpowiednich uprawnień po zakończeniu stosunku pracy, co powinien uczynić administrator.

Warto również podkreślić, że za określanie uprawnień kont pracowników nie powinien odpowiadać inspektor ochrony danych osobowych – jego główną rolą jest monitorowanie procesów. UODO w decyzji z września 2020 roku (ZWAD.405.31.331.2019) jasno podkreśla, że IOD co do zasady nie może nadawać upoważnień personelowi w zakresie przetwarzania danych osobowych. Organ nadzorczy stwierdził, że zgodnie z art. 38 RODO rolą IOD jest monitorowanie przestrzegania przepisów, a ww. działanie stanowi konflikt interesów, niezgodny z ust. 6 przytoczonego artykułu. Choć omawiane zdarzenie nie dotyczy stricte kont użytkowników, PUODO jednoznacznie rozdziela zadania IOD i administratora w zakresie tego procesu.

Aby zapewnić rozliczalność (np. wskazać to, jaka osoba uzyskała dostęp do określonego zasobu w danym czasie), powinniśmy korzystać z kont możliwych do przypisania konkretnej osobie – unikając sytuacji, gdzie wszyscy pracownicy korzystają z konta administratora. Widzimy to dobrze w opisie działań podjętych po incydencie przez firmę w jednej z decyzji PUODO (DKN.5131.14.2021), gdzie w ramach wewnętrznej polityki ustalono konieczność wykorzystywania przez pracowników indywidualnych kont, które „można monitorować”.

Zarządzanie uprawnieniami w JST

Rozporządzenie Rady Ministrów z dnia 21 maja 2024 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych wymienia kilka kluczowych zasad odnośnie do zarządzania uprawnieniami kont w podmiotach publicznych – § 19 ust. 2 podkreśla konieczność „nadawania stosownych uprawnień”, które są adekwatne do zadań realizowanych przez daną osobę. Co ważne, rozporządzenie podkreśla również „bezzwłoczną zmianę uprawnień” danej osoby w przypadku zmiany realizowanych zadań.

W § 20 dokumentu podkreślono również rozliczalność, która powinna być dokumentowana w formie logów (opisanych jako elektroniczne zapisy w dziennikach systemów).

Odnotowywany powinien być dostęp do m.in.:

  • konfiguracji systemu i zabezpieczeń;
  • systemu z uprawnieniami administracyjnymi;
  • danych wymagających ochrony na bazie przepisów prawa;
  • innych zasobów, wskazanych na podstawie analizy ryzyka.

Zarządzanie uprawnieniami kont

Wiele organizacji, zarówno publicznych, jak i prywatnych, korzysta z windowsowych kont w domenie Active Directory. Dzięki temu zarządzanie kontami pracowników jest znacznie prostsze względem „tradycyjnych”, lokalnych kont na danym komputerze – administrator ma kontrolę nad tym, kto ma dostęp do określonych zasobów organizacji.

Dokument francuskiej Krajowej Agencji ds. Bezpieczeństwa Systemów Informatycznych (ANSSI) z 2023 roku (ANSSI-PA-099) zawiera wiele praktycznych zaleceń dla administratorów systemów. Jednym z nich jest podzielenie środowiska na trzy poziomy (dosł. szczeble od ang. tier), co pozwala odseparować od siebie różne rodzaje zasobów i urządzeń:

  • Szczebel 0: zasoby krytyczne, stanowiące „serce organizacji” – np. kontroler domeny;
  • Szczebel 1: systemy biznesowe – np. serwer poczty czy zasoby sieciowe;
  • Szczebel 2: stacje robocze, drukarki i podobne urządzenia.

ANSSI zaznacza, że uprawnienia powinny być przyznawane według określonych tierów (szczebli), aby np. przejęcie konta administratora z drugiego szczebla nie umożliwiało zarządzania kontrolerem domeny. Celem takiego działania jest wyeliminowanie możliwości „atakowania wyżej” na bazie przyznanych uprawnień.

Rozdzielanie kont i grupy

Francuska agencja podkreśla również to, że na co dzień administratorzy nie powinni wykorzystywać swoich kont do codziennej pracy – oznacza to, że swoje obowiązki niezwiązane z administrowaniem domeną powinni wykonywać na kontach o uprawnieniach użytkownika.

Instrukcja Zarządzania Systemem Informatycznym Łódzkiego Urzędu Wojewódzkiego z 2023 roku w prosty sposób objaśnia kolejny ważny aspekt uprawnień – powinno się je przyznawać dla określonych grup użytkowników, a następnie przypisywać dane osoby do określonej grupy (zgodnie z RBAC – ang. Role-Based Access Control). Dokument określa również, że użytkownicy otrzymują „najniższy możliwy poziom uprawnień wystarczający do pracy”.

Przykład 3.

Do działu IT przychodzi nowy pracownik. Uprawnienia jego konta domenowego będą opierać się na dodaniu do określonej grupy – „helpdesk”. Dzięki temu nowo zatrudniona osoba nabędzie uprawnienia uprzednio przypisane dla danej grupy (np. reset haseł i dodawanie do wskazanych grup w określonej jednostce organizacyjnej – „księgowość” czy „HR”) bez konieczności posiadania uprawnień administratora domeny. Oznacza to, że nie modyfikujemy uprawnień użytkownika „Jan Kowalski”, lecz przypisujemy go do grupy zgodnej z jego rolą w organizacji.

Podsumowanie

Kluczową zasadą, niezależnie od typu i wielkości organizacji, powinno być przyznawanie najniższych wymaganych uprawnień. Niewskazane jest nadawanie uprawnień administratora szerokiemu gronu osób.

Niezależnie od wykorzystywanej aplikacji czy systemu musimy pamiętać o kontach użytkowników, którzy już nie pracują w danej organizacji. Przejęcie służbowego konta byłego pracownika może mieć poważne skutki dla organizacji, szczególnie jeśli ma wysokie uprawnienia. Organizacja powinna jasno opisać procedurę tzw. offboardingu, czyli działań po odejściu pracownika.

Zarządzanie kontami użytkowników warto rozpatrywać nie tylko na poziomie kont, lecz również ochrony danych osobowych. Przyznawanie dostępu wyłącznie do potrzebnych zasobów to bardzo ważny element zarządzania zasobami w organizacji.

Polecamy:

Koszt całkowity zatrudnienia pracownika w 2026 roku - musisz to wiedzieć!

Cyberbezpieczeństwo w świetle dyrektywy NIS2 – co ...
Czerwiec 2026
19
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Cyberbezpieczeństwo w świetle dyrektywy NIS2 – co musisz wiedzieć?
  2. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  3. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  4. Review bombing i opinie generowane przez AI. Oto jak chronić reputację firmy przed fałszywymi recenzjami
  5. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Cyberbezpieczeństwo w świetle dyrektywy NIS2 – co musisz wiedzieć?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Rewolucja w PIP od 8 lipca. Nowe narzędzie, które może uchronić pracodawców zatrudniających cudzoziemców.
HR Tech World 2026 – technologie, które zmieniają przyszłość HR
HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów