Choć zagrożenia cybernetyczne rosną w siłę, złożoność ataków wzrasta, a wojna w Ukrainie unaoczniła realność cyberwojny – wiele firm w Polsce nadal traktuje cyberbezpieczeństwo jako „sprawę działu IT”. Nowe regulacje – choć potrzebne – w wielu przypadkach są postrzegane jedynie jako obowiązek formalny, a nie impuls do strategicznej zmiany – to główny wniosek z dyskusji poświęconej cyberbezpieczeństwu, która odbyła się podczas tegorocznego Europejskiego Kongresu Gospodarczego w Katowicach.
Rosnące zagrożenie, niezmienny punkt krytyczny
Eksperci uczestniczący w dyskusji (m.in. przedstawiciele Ministerstwa Cyfryzacji, Microsoft, PepsoiCo, DAGMA Bezpieczeństwo IT, CSIRT w NASK PIB, Polskich Sieci Elektroenergetycznych czy Polskiej Wytwórni Papierów Wartościowych) są zgodni – krajobraz zagrożeń cybernetycznych w Polsce zmienia się dynamicznie. Coraz częstsze są ataki o wysokim stopniu zaawansowania, finansowane przez państwa i wymierzone w infrastrukturę krytyczną. Równolegle rośnie liczba celowanych ataków opartych na inżynierii społecznej oraz phishingu, także z wykorzystaniem sztucznej inteligencji. Jak pokazuje raport CERT Polska, w 2024 roku liczba zgłoszonych incydentów cyberbezpieczeństwa w Polsce wzrosła aż o 62% (w porównaniu z 2023), a liczba zarejestrowanych incydentów zwiększyła się o 29%, co przełożyło się na nawet 300 zgłoszeń dziennie. Potwierdzają to również globalne dane ESET, z których wynika, że w II półroczu 2024 roku, Polska była drugim najczęściej atakowanym przez cyberprzestępców państwem na świecie.
Kluczową przyczyną celnych cyberataków wciąż pozostaje czynnik ludzki. Niska świadomość użytkowników, brak podstawowych zabezpieczeń czy nieaktualizowane systemy – to wciąż ważne przyczyny incydentów. Eksperci zwracają też uwagę na brak integracji cyberbezpieczeństwa z ogólną strategią firm. – To nie jest jednorazowy projekt, tylko ciągły proces – podkreślają. Tymczasem firmy często reagują dopiero po incydencie, zamiast działać prewencyjnie i strategicznie.
NIS2 i KSC: tysiące firm wobec nowego systemu
Wprowadzenie dyrektywy NIS2 oraz ustawy o Krajowym Systemie Cyberbezpieczeństwa oznacza istotną zmianę dla tysięcy podmiotów. Ministerstwo Cyfryzacji zapowiedziało zakończenie prac na nową wersją UKSC do końca czerwca. Nowe regulacje wprowadzają m.in. obowiązek wdrażania systemów zgłaszania incydentów i raportowania ich do centralnych rejestrów. Zmienia się też klasyfikacja podmiotów – na „kluczowe” i „ważne”. Eksperci podkreślają, że to nie tylko kwestia dostosowania technologii, ale i kompetencji: wiele mniejszych firm – zwłaszcza z regionów – nie ma wystarczających zasobów ani wiedzy, by sprostać nowym wymaganiom.
Jak zaznacza Michał Pukaluk z Ministerstwa Cyfryzacji, problemem nie są wyłącznie braki technologiczne – wciąż wiele incydentów wynika z błędów podstawowych: braku uwierzytelniania dwuskładnikowego i nieaktualizowanego oprogramowania. Ministerstwo zapowiada rozwój portalu cybergov.pl jako narzędzia typu „one-stop-shop” oraz uruchomienie usług centralnych, takich jak systemy anty-DDoS, S46 czy Cyber Threat Intelligence.
Mentalność compliance zamiast myślenia strategicznego
Choć firmy coraz częściej wdrażają mechanizmy bezpieczeństwa, to nadal traktują je jako działanie doraźne lub reakcję na nowe przepisy, a nie jako element długofalowej strategii. Zarządy rzadko aktywnie uczestniczą w procesach związanych z bezpieczeństwem – temat delegowany jest do CISO (Chief Information Security Officer, czyli szef ds. bezpieczeństwa informacji w organizacji), którzy z kolei często są przeciążeni i skupieni na bieżących kryzysach, bez przestrzeni na strategiczne planowanie. Wśród ekspertów nie brakuje też głosów ostrzegających przed ryzykiem związanym z brakiem doradztwa dla mniejszych firm.
– Perspektywa branży cyberbezpieczeństwa różni się znacząco od ogólnej perspektywy polskich firm. Wielu przedsiębiorców wciąż patrzy na regulacje dotyczące cyberbezpieczeństwa jak na coś zewnętrznego, kolejne wyzwanie z gatunku compliance, pewną kwestię formalną. Z badań przeprowadzonych przez ESET wynika, że także perspektywy osób odpowiedzialnych za cyberbezpieczeństwo w firmach oraz pozostałych pracowników, a nawet kadry zarządczej znacząco się różnią. Wiele osób, także na poziomie managementu, nadal nie traktuje cyberbezpieczeństwa jako czegoś istotnego dla strategii rozwoju. Aby regulacje naprawdę miały sens, potrzebujemy bardziej szczegółowego doradztwa, szczególnie dla podmiotów określanych jako „ważne”, które często są w łańcuchach dostaw dla podmiotów kluczowych. To kwestia wzmacniania kompetencji także w Polsce regionalnej i lokalnej, tam gdzie są realni dostawcy, którzy nadal wymagają wzmocnienia swoich kompetencji i świadomości – uzupełnia Paweł Jurek, dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT.
Cyberbezpieczeństwo jako imperatyw gospodarczy
Paneliści obecni na Europejskim Kongresie Gospodarcznym 2025 zgodzili się, że cyberbezpieczeństwo nie może być wyłącznie domeną działów technicznych – musi stać się integralnym elementem planowania strategicznego firm, a także narodową inwestycją w odporność gospodarczą. Bez właściwego podejścia i zrozumienia u podstaw, nawet najlepiej napisane regulacje nie przyniosą realnej zmiany. Tymczasem fałszywe poczucie bezpieczeństwa, niska jakość uwierzytelniania elektronicznego i brak spójnej strategii to bomby z opóźnionym zapłonem, zagrażające nie tylko firmom, ale całej gospodarce.