Rosnąca liczba cyberataków, nowe obowiązki regulacyjne oraz ograniczone zasoby kadrowe sprawiają, że cyberbezpieczeństwo staje się jednym z kluczowych wyzwań dla polskich firm – niezależnie od ich wielkości czy branży. O tym, jakie zagrożenia dominują dziś w środowisku biznesowym, na ile realną alternatywą stają się usługi typu SOC-as-a-Service oraz z jakimi błędami i barierami organizacyjnymi najczęściej mierzą się firmy przy budowie systemów bezpieczeństwa, mówi Dawid Zięcina, Technical Department Director w DAGMA Bezpieczeństwo IT.
Klaudia Ciesielska, Brandsit: Jakie cyberzagrożenia dominują obecnie w środowisku polskich firm? Czy rzeczywiście obserwujecie wzrost zaawansowanych ataków (APT), czy nadal przeważają incydenty phishingowe i malware?
Dawid Zięcina, Dagma Bezpieczeństwo IT: Polskie firmy są wciąż narażone na te same, dobrze znane typy cyberataków. Najczęściej spotykanym zagrożeniem pozostaje klasyczny phishing, oparty na fałszywych stronach internetowych służących do wyłudzania danych. Choć liczba kampanii phishingowych nieznacznie spada w porównaniu z poprzednimi latami, nadal jest to najczęściej wykorzystywana technika przez cyberprzestępców.
W przypadku złośliwego oprogramowania (malware), nasze obserwacje są spójne z danymi z raportów branżowych – skala jego wykorzystania rośnie, a głównym celem jest kradzież danych.
Warto również zwrócić uwagę na rosnącą aktywność grup APT (Advanced Persistent Threats), co jest ściśle związane z obecną sytuacją geopolityczną. To zazwyczaj grupy powiązane z obcymi państwami, działające w celach wywiadowczych i dezinformacyjnych. Co istotne, ich działania coraz częściej wykraczają poza sektor publiczny czy duże firmy państwowe – ofiarami ataków stają się także mniejsze przedsiębiorstwa będące częścią łańcucha dostaw. Zdarza się również, że celem ataków są osoby prywatne powiązane z pracownikami lub właścicielami tych firm.
„Polskie firmy są wciąż narażone na te same, dobrze znane typy cyberataków.”
Brandsit: Dyrektywa NIS2 oraz nowelizacja ustawy o KSC wprowadzają istotne obowiązki w obszarze cyberbezpieczeństwa. Jakie wyzwania najczęściej napotykają firmy przy próbach wdrożenia zgodności z tymi regulacjami?
D.Z.: Obecnie największym wyzwaniem dla polskich firm przy wdrażaniu zgodności z NIS2 jest brak jednoznacznej, oficjalnie przyjętej przez Polskę wykładni krajowych przepisów, które mają zostać zawarte w nowelizowanej ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Choć większość wytycznych zawartych w NIS2 ma stosunkowo jasną interpretację, to właśnie szczegóły implementacyjne w ustawie mogą w praktyce wyznaczyć kierunek zmian w obszarze cyberbezpieczeństwa. Z tego względu wiele organizacji przyjmuje postawę wyczekującą.
Mimo braku ostatecznego kształtu ustawy, obserwujemy znaczący wzrost zainteresowania usługami wspierającymi wdrażanie systemów zarządzania bezpieczeństwem informacji (zgodnych z ISO/IEC 27001) oraz systemów zapewniających ciągłość działania (zgodnych z ISO 22301). To dobry kierunek, który pozwala organizacjom przygotować się w sposób systemowy do nadchodzących wymagań oraz zaplanować konkretne działania.
Częstym problemem jest brak świadomości, jak głębokiej analizy własnej działalności wymagają te procesy oraz ile czasu i zasobów należy poświęcić, aby skutecznie wdrożyć rozwiązania zwiększające cyberdojrzałość i odporność organizacji — w szczególności na ryzyko przestojów wywołanych np. cyberatakiem.
Brandsit: Czy outsourcing bezpieczeństwa – np. w formie SOC-as-a-Service – staje się realną alternatywą dla firm bez własnych zespołów bezpieczeństwa?
D.Z.: Zarządzane usługi cyberbezpieczeństwa zyskują na popularności nie tylko wśród firm, które nie dysponują własnymi zespołami specjalistów, ale również jako wsparcie dla już istniejących działów bezpieczeństwa. W ramach usług takich jak SOC-as-a-Service klient otrzymuje dostęp do sprawnie działającego, wysoko wyspecjalizowanego zespołu, gotowego do działania w środowisku klienta w krótkim czasie od uruchomienia usługi.
Co istotne, zamawiający zyskuje szeroki zakres kompetencji niezbędnych do obsługi bezpieczeństwa na różnych etapach – bez konieczności zatrudniania wąsko wyspecjalizowanych ekspertów niezależnie od tego, czy incydent wystąpi, a jeśli tak, to jakiego rodzaju.
Utrzymanie i zarządzanie tak rozbudowanymi zespołami wewnętrznie wymagałoby znacznych zasobów kadrowych i finansowych – w modelu outsourcingowym odpowiedzialność ta przechodzi na dostawcę usługi, co czyni to rozwiązanie szczególnie atrakcyjnym pod względem elastyczności i efektywności kosztowej.
Brandsit: Jakie błędy strategiczne najczęściej popełniają firmy budujące system zarządzania bezpieczeństwem IT?
D.Z.: Najczęstsze błędy popełniane przez firmy na etapie wdrażania systemów bezpieczeństwa to brak przygotowanego planu transformacji opartego na rzetelnej analizie ryzyka, fragmentaryczne podejście do zidentyfikowanych problemów oraz niedoszacowanie zasobów – zarówno ludzkich, czasowych, jak i finansowych – niezbędnych do skutecznego wdrożenia.
„Cyberbezpieczeństwo to ciągły proces, który nie ma punktu końcowego i wymaga stworzenia odpowiedniego środowiska do rozwoju.”
Bardzo często organizacje podchodzą do tego procesu jak do sprintu, zakładając, że po szybkim osiągnięciu celu projekt zostanie zakończony. Tymczasem cyberbezpieczeństwo to ciągły proces, który nie ma punktu końcowego i wymaga stworzenia odpowiedniego środowiska do rozwoju.
Takie środowisko można zbudować m.in. poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji oraz systemu zapewniającego ciągłość działania – nawet jeśli organizacja nie planuje formalnej certyfikacji zgodności z wybranym standardem.
Brandsit: Czy obserwujecie zmianę podejścia zarządów i przesunięcie budżetów w stronę cyberbezpieczeństwa, czy wciąż traktowane jest ono jako obowiązek, a nie realna potrzeba biznesowa?
D.Z.: W firmach, w których za obszar cyberbezpieczeństwa odpowiadają doświadczeni specjaliści, zarządy wykazują wysoki poziom zrozumienia zarówno odpowiedzialności, jak i pozytywnego wpływu dobrze wdrożonych procesów bezpieczeństwa na cały biznes.
„Znacznie częściej to właśnie bagatelizowanie zagrożeń lub ignorowanie wcześniej zidentyfikowanych problemów prowadzi do kosztów niewspółmiernie wyższych niż inwestycje, które można było podjąć zawczasu – przed wystąpieniem incydentu.”
Wciąż jednak spotykamy się z podejściem, w którym cyberbezpieczeństwo postrzegane jest jako zbędne ograniczenie – coś, co utrudnia działalność operacyjną i generuje koszty, nie przynosząc bezpośrednich przychodów.
Budowanie świadomości zagrożeń, analiza wpływu IT na funkcjonowanie firmy oraz identyfikacja scenariuszy, w których organizacja może zostać sparaliżowana lub ponieść znaczne straty w wyniku zakłócenia działalności, to kluczowe elementy zmiany tej perspektywy.
Warto podkreślić, że zapewnienie bezpieczeństwa systemów i sieci nie musi wiązać się z ogromnymi wydatkami. Znacznie częściej to właśnie bagatelizowanie zagrożeń lub ignorowanie wcześniej zidentyfikowanych problemów prowadzi do kosztów niewspółmiernie wyższych niż inwestycje, które można było podjąć zawczasu – przed wystąpieniem incydentu.
