Skuteczna obrona przed cyberzagrożeniami nie jest tylko domeną działów IT, lecz dotyczy całej organizacji. Jak podkreślali eksperci podczas panelu „Administracja pod presją” w ramach tegorocznego Europejskiego Kongresu Gospodarczego, realną odporność budują dopiero te instytucje, które łączą technologię z jasnym podziałem odpowiedzialności, zaangażowaniem zarządu, świadomością pracowników i gotowością do działania w sytuacji kryzysowej.
Pułkownik Paweł Doniec z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni podkreślił, że cyberataki coraz częściej omijają dobrze zabezpieczoną infrastrukturę wojskową i koncentrują się na jej cywilnym otoczeniu – firmach logistycznych, dostawcach i partnerach zaangażowanych w obsługę transportów uzbrojenia dla Ukrainy.
Skalę cyberzagrożeń potwierdza Microsoft Digital Defense Report, w którym Polska zajmuje trzecie miejsce w Europie pod względem liczby ataków prowadzonych przez grupy cyberprzestępcze powiązane z obcymi państwami. O poziomie bezpieczeństwa nie decydują już wyłącznie kompetencje zespołów technicznych, lecz strategiczne decyzje podejmowane na szczeblu zarządów. Organizacje, które nadal traktują cyberbezpieczeństwo jedynie jako obszar odpowiedzialności działu IT, ponoszą z tego tytułu coraz wyższe koszty, które mogą oznaczać poważne konsekwencje również dla ich otoczenia.
– Dla nas cyberbezpieczeństwo oznacza zdolność do zapewnienia ciągłości wypłaty świadczeń. Cyberatak traktujemy nie jako incydent technologiczny, lecz jako potencjalne zakłócenie stabilności społecznej. To nie jest już koszt IT, tylko element systemowego zarządzania – zaznaczył podczas panelu Sławomir Wasielewski z Zakładu Ubezpieczeń Społecznych.
Zagrożenia wyprzedzają świadomość organizacji
Rosnąca liczba incydentów i ich złożoność sprawiają, że skuteczna cyberobrona musi obejmować nie tylko całą organizację, ale też jej ekosystem. Microsoft analizuje już ponad 100 bilionów sygnałów bezpieczeństwa dziennie, czyli o 28% więcej niż rok wcześniej. W tym samym czasie aktywność rosyjskich grup wymierzonych w Polskę oraz pozostałe państwa NATO wzrosła o 25%, co dodatkowo podkreśla dynamikę i skalę zagrożeń.
Jednocześnie zmieniają się metody działania cyberprzestępców. Coraz rzadziej wykorzystują oni luki techniczne, a częściej sięgają po skradzione dane uwierzytelniające dostępne w darknecie, próbują werbować pracowników organizacji oraz wykorzystują sztuczną inteligencję do tworzenia wiarygodnych wiadomości phishingowych. Kolejnym wyzwaniem mają być działania mające na celu odwrócenie uwagi i przeciążenie zespołów bezpieczeństwa.
Eksperci biorący udział w panelu podczas EKG zgodnie podkreślali, że niezależnie od charakteru incydentu – czy chodzi o przejęcie konta pracownika, czy masowe fałszywe zgłoszenia – skuteczne przeciwdziałanie zagrożeniom nie zależy wyłącznie od narzędzi i działań operacyjnych zespołów IT. Kluczowe staje się podejście na poziomie całej organizacji, w szczególności decyzje podejmowane przez zarządy, które wyznaczają priorytety, alokują budżety i kształtują zasady funkcjonowania przekładające się na realną odporność firm i instytucji.
Kto odpowiada za cyberbezpieczeństwo?
Poziom cyberbezpieczeństwa organizacji coraz wyraźniej odzwierciedla decyzje podejmowane na najwyższym szczeblu zarządzania. Tam, gdzie zarządy traktują je jako priorytet strategiczny, a nie wyłącznie zadanie operacyjne dla działów IT, budowana jest realna odporność. Tam natomiast, gdzie odpowiedzialność pozostaje rozproszona lub delegowana zbyt nisko, powstają luki, które prędzej czy później są wykorzystywane przez atakujących.
Na ten mechanizm zwrócił uwagę Piotr Ciepiela. Jak wskazał, wiele najpoważniejszych incydentów ransomware dotyczyło organizacji, w których jedna osoba odpowiadała jednocześnie za IT i cyberbezpieczeństwo – nie z powodu braku kompetencji, lecz dlatego, że na poziomie zarządu nie zapadła decyzja o potraktowaniu bezpieczeństwa jako odrębnego, strategicznego obszaru.
– Cyberbezpieczeństwo przestało być domeną departamentów IT. Odpowiedzialni są dziś prezesi, rady nadzorcze, najwyższe organy zarządzające – mówił podczas dyskusji Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa i członek zarządu polskiego oddziału Microsoft.
Regulacje wyznaczają kierunek, ale nie zastąpią gotowości organizacyjnej
Odpowiedzią na brak formalnego i świadomego podejścia do zarządzania ryzykiem cybernetycznym jest nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wskazuje m.in. na znaczenie systemowego monitorowania zagrożeń i budowania tzw. świadomości sytuacyjnej jako podstawy skutecznej ochrony. Do tego aspektu odniósł się dyrektor NASK Radosław Nielek, podkreślając podczas dyskusji, że – świadomość sytuacyjna jest jednym z kluczowych elementów skutecznego reagowania i budowania zdolności obronnych, a w szerszym ujęciu także przeciwdziałania incydentom.
– Dla organizacji, które traktują cyberbezpieczeństwo jako element strategiczny, zmiany legislacyjne nie stanowią jednak przełomu. „Ustawa o KSC nie jest niczym strasznym. ZUS stosuje ją od dłuższego czasu, bo jako element infrastruktury krytycznej musi. Nowelizacja, która po części wynika z dyrektywy NIS2, jest tylko doprecyzowaniem – zauważył Sławomir Wasielewski.
Eksperci zgodnie podkreślali jednak, że same regulacje nie przesądzą o realnym poziomie bezpieczeństwa. To, czy formalne ramy przełożą się na faktyczną odporność organizacji, zależy przede wszystkim od decyzji podejmowanych na poziomie zarządów oraz ich gotowości do wdrażania odpowiednich zmian w praktyce.
Od reakcji do prewencji – rola czynnika ludzkiego
Krzysztof Malesa podkreślił, że u podstaw każdego incydentu stoi człowiek, a budowanie świadomości na poziomie zarządów jest procesem wymagającym ciągłej pracy. Organizacje, które konsekwentnie inwestują w tę świadomość, zwiększają swoją odporność. Pozostałe często uczą się dopiero w reakcji na incydent, który zmusza je do zmiany podejścia.