Realną odporność budują organizacje, które nie polegają tylko na technologii, ale łączą ją z jasnym podziałem odpowiedzialności, zaangażowaniem zarządu, świadomością pracowników i gotowością do działania w sytuacji kryzysowej. Do takich wniosków doszli uczestnicy panelu Administracja pod presją, który odbył się w ramach tegorocznego Europejskiego Kongresu Gospodarczego.
Pułkownik Paweł Doniec z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni podkreślił, że cyberataki coraz częściej omijają dobrze zabezpieczoną infrastrukturę wojskową i koncentrują się na jej cywilnym otoczeniu – firmach logistycznych, dostawcach i partnerach zaangażowanych w obsługę transportów uzbrojenia dla Ukrainy.
O poziomie bezpieczeństwa nie decydują już wyłącznie kompetencje zespołów technicznych, lecz strategiczne decyzje podejmowane na szczeblu zarządów. Organizacje, które nadal traktują cyberbezpieczeństwo jedynie jako obszar odpowiedzialności działu IT, ponoszą z tego tytułu coraz wyższe koszty, które mogą oznaczać poważne konsekwencje również dla ich otoczenia.
Skalę cyberzagrożeń potwierdza Microsoft Digital Defense Report, w którym Polska zajmuje trzecie miejsce w Europie pod względem liczby ataków prowadzonych przez grupy cyberprzestępcze powiązane z obcymi państwami.
– Dla nas cyberbezpieczeństwo oznacza zdolność do zapewnienia ciągłości wypłaty świadczeń. Cyberatak traktujemy nie jako incydent technologiczny, lecz jako potencjalne zakłócenie stabilności społecznej. To nie jest już koszt IT, tylko element systemowego zarządzania – zaznaczył podczas panelu Sławomir Wasielewski z Zakładu Ubezpieczeń Społecznych.
Zagrożenia wyprzedzają świadomość organizacji
Rosnąca liczba incydentów i ich złożoność sprawiają, że skuteczna cyberobrona musi obejmować nie tylko całą organizację, ale też jej ekosystem. Microsoft analizuje już ponad 100 bilionów sygnałów bezpieczeństwa dziennie, czyli o 28% więcej niż rok wcześniej. W tym samym czasie aktywność rosyjskich grup wymierzonych w Polskę oraz pozostałe państwa NATO wzrosła o 25 proc., co dodatkowo podkreśla dynamikę i skalę zagrożeń.
Jednocześnie zmieniają się metody działania cyberprzestępców. Coraz rzadziej wykorzystują oni luki techniczne, a częściej sięgają po skradzione dane uwierzytelniające dostępne w darknecie, próbują werbować pracowników organizacji oraz wykorzystują sztuczną inteligencję do tworzenia wiarygodnych wiadomości phishingowych. Kolejnym wyzwaniem mają być działania mające na celu odwrócenie uwagi i przeciążenie zespołów bezpieczeństwa.
Eksperci biorący udział w panelu podczas EKG zgodnie podkreślali, że niezależnie od charakteru incydentu – czy chodzi o przejęcie konta pracownika, czy masowe fałszywe zgłoszenia – skuteczne przeciwdziałanie zagrożeniom nie zależy wyłącznie od narzędzi i działań operacyjnych zespołów IT. Kluczowe staje się podejście na poziomie całej organizacji, w szczególności decyzje podejmowane przez zarządy, które wyznaczają priorytety, alokują budżety i kształtują zasady funkcjonowania przekładające się na realną odporność firm i instytucji.
Kto odpowiada za cyberbezpieczeństwo?
Poziom cyberbezpieczeństwa organizacji coraz wyraźniej odzwierciedla decyzje podejmowane na najwyższym szczeblu zarządzania. Tam, gdzie zarządy traktują je jako priorytet strategiczny, a nie wyłącznie zadanie operacyjne dla działów IT, budowana jest realna odporność. Tam natomiast, gdzie odpowiedzialność pozostaje rozproszona lub delegowana zbyt nisko, powstają luki, które prędzej czy później są wykorzystywane przez atakujących.
Na ten mechanizm zwrócił uwagę Piotr Ciepiela. Jak wskazał, wiele najpoważniejszych incydentów ransomware dotyczyło organizacji, w których jedna osoba odpowiadała jednocześnie za IT i cyberbezpieczeństwo – nie z powodu braku kompetencji, lecz dlatego, że na poziomie zarządu nie zapadła decyzja o potraktowaniu bezpieczeństwa jako odrębnego, strategicznego obszaru.
– Cyberbezpieczeństwo przestało być domeną departamentów IT. Odpowiedzialni są dziś prezesi, rady nadzorcze, najwyższe organy zarządzające” – mówił podczas dyskusji Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa i członek zarządu polskiego oddziału Microsoft.
Regulacje wyznaczają kierunek, ale nie zastąpią gotowości organizacyjnej
Odpowiedzią na brak formalnego i świadomego podejścia do zarządzania ryzykiem cybernetycznym jest nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wskazuje m.in. na znaczenie systemowego monitorowania zagrożeń i budowania tzw. świadomości sytuacyjnej jako podstawy skutecznej ochrony. Do tego aspektu odniósł się dyrektor NASK Radosław Nielek, podkreślając podczas dyskusji, że świadomość sytuacyjna jest jednym z kluczowych elementów skutecznego reagowania i budowania zdolności obronnych, a w szerszym ujęciu także przeciwdziałania incydentom.
Dla organizacji, które traktują cyberbezpieczeństwo jako element strategiczny, zmiany legislacyjne nie stanowią jednak przełomu. „Ustawa o KSC nie jest niczym strasznym. ZUS stosuje ją od dłuższego czasu, bo jako element infrastruktury krytycznej musi. Nowelizacja, która po części wynika z dyrektywy NIS2, jest tylko doprecyzowaniem” – zauważył Sławomir Wasielewski.
Eksperci zgodnie podkreślali jednak, że same regulacje nie przesądzą o realnym poziomie bezpieczeństwa. To, czy formalne ramy przełożą się na faktyczną odporność organizacji, zależy przede wszystkim od decyzji podejmowanych na poziomie zarządów oraz ich gotowości do wdrażania odpowiednich zmian w praktyce.
Czytaj także:
