1 godzina temu
Polska stała się trzecim najczęściej atakowanym krajem w Europie przez grupy powiązane z obcymi państwami. Jak wynika z danych najnowszego raportu Microsoft Digital Defense Report, cyberzagrożenia przestały być odległym ryzykiem technologicznym, a stały się bezpośrednim wyzwaniem dla ciągłości działania biznesu oraz instytucji publicznych. najważniejszy wniosek z debat tegorocznego Europejskiego Kongresu Gospodarczego jest jednoznaczny: traktowanie cyberbezpieczeństwa wyłącznie jako problemu działu IT to dziś największy błąd strategiczny nowoczesnej organizacji.
Skala operacji cyfrowych rośnie w bezprecedensowym tempie. Microsoft analizuje w tej chwili ponad 100 bilionów sygnałów bezpieczeństwa dziennie, co oznacza wzrost o 28 procent w skali roku. Jednocześnie aktywność rosyjskich grup wymierzonych w Polskę oraz inne kraje NATO wzrosła o jedną czwartą. Zmieniają się również cele i taktyki agresorów. Pułkownik Paweł Doniec z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni zwraca uwagę, iż ataki coraz częściej omijają silnie chronioną infrastrukturę wojskową, uderzając w jej cywilne otoczenie – firmy logistyczne, dostawców i partnerów biznesowych zaangażowanych w obsługę transportu uzbrojenia.
Pułkownik Paweł Doniec z Dowództwa Komponentu Wojsk Obrony CyberprzestrzeniCo więcej, przestępcy rzadziej szukają luk w oprogramowaniu. Zamiast tego kupują skradzione tożsamości w darknecie, manipulują pracownikami i wykorzystują sztuczną inteligencję do tworzenia precyzyjnych kampanii phishingowych. Kolejnym wyzwaniem są operacje mające na celu celowe przeciążenie i odwrócenie uwagi zespołów obronnych przed adekwatnym uderzeniem.
W tej rzeczywistości tradycyjna struktura zarządzania w przedsiębiorstwach zawodzi. Ekspert Piotr Ciepiela zauważa, iż wiele najpoważniejszych incydentów typu ransomware dotyka organizacji, w których ta sama osoba odpowiada jednocześnie za infrastrukturę IT i za cyberbezpieczeństwo. Taki stan rzeczy nie wynika z braku kompetencji personelu, ale z zaniechania na szczeblu zarządczym, który nie wyodrębnił bezpieczeństwa jako niezależnego pionu strategicznego. Gdy cele operacyjne IT – zorientowane na szybkość i elastyczność wdrażania rozwiązań – zderzają się z rygorami ochrony danych, brak niezależnego nadzoru ułatwia zadanie napastnikom.
Sławomir Wasielewski z Zakładu Ubezpieczeń SpołecznychPrzykłady z sektora publicznego pokazują, iż dojrzałe instytucje całkowicie redefiniują pojęcie ryzyka. Sławomir Wasielewski z Zakładu Ubezpieczeń Społecznych podkreśla, iż ochrona systemów nie jest kosztem technologicznym, ale warunkiem stabilności społecznej i gwarancją ciągłości wypłaty świadczeń. Choć wchodząca w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca unijną dyrektywę NIS2, obliguje rynek do systemowego monitorowania zagrożeń, same regulacje prawne nie zastąpią gotowości operacyjnej.
Ostateczna odpowiedzialność spoczywa na liderach biznesu. Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa w polskim oddziale Microsoft, przypomina, iż u podstaw każdego incydentu stoi człowiek, a budowanie odporności wymaga ciągłej pracy nad świadomością rad nadzorczych. Organizacje, które zrozumieją to wyzwanie zawczasu, zyskają stabilność; pozostałe przejdą niezwykle kosztowną lekcję dopiero w reakcji na kryzys.
Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa w polskim oddziale Microsoft
