4 marca 2026 r. we Wrocławiu, podczas konferencji „Dialog w świecie algorytmów”, organizowanej przez Zachodnią Izbę Gospodarczą, miałem przyjemność moderować panel dyskusyjny „Cyberzagrożenia współczesnego świata: Skuteczna ochrona firmy a wymogi regulacyjne”. W rozmowie wzięli udział przedstawiciele bardzo różnych środowisk: nadkomisarz Andrzej Ślązak z Centralnego Biura Zwalczania Cyberprzestępczości, Paweł Chorodyński, CEO IT Develop, Ireneusz Tarnowski, analityk cyberzagrożeń w Orange Polska, oraz Marek Kędziera, CEO Mobile Trust. Już sam skład panelu pokazywał, że nie będzie to rozmowa wyłącznie o technologii. Obok perspektywy technicznej pojawił się punkt widzenia organów ścigania, praktyki biznesowej, zarządzania i regulacji.
To ważne, ponieważ właśnie w tym miejscu znajduje się dziś sedno debaty o cyberbezpieczeństwie. Wciąż bardzo często myślimy o nim jak o obszarze „informatycznym”: oprogramowanie antywirusowe, firewalle, backupy, testy penetracyjne, monitoring. Wszystko to oczywiście ma znaczenie. Problem polega jednak na tym, że współczesne cyberbezpieczeństwo dawno przestało być wyłącznie technicznym dodatkiem do działalności organizacji. Stało się zagadnieniem strategicznym, dotykającym zarządów, odpowiedzialności osobistej menedżerów, kultury organizacyjnej, relacji z dostawcami, zgodności regulacyjnej i gotowości do działania w sytuacji kryzysowej. To jeden z najważniejszych wniosków, które wybrzmiały podczas naszej debaty.
Najważniejszy wniosek z rozmowy to że największym ryzykiem dla firmy nie jest dziś brak odpowiednich narzędzi bezpieczeństwa, ale brak dojrzałości organizacyjnej, świadomości pracowników, zaangażowania zarządu, procedur, kultury zgłaszania błędów. Brak przygotowania na moment, w którym incydent już wystąpi. To właśnie ta luka - organizacyjna, a nie wyłącznie techniczna - decyduje dziś o tym, czy firma będzie odporna, czy bezradna.
Człowiek nadal pozostaje najsłabszym ogniwem
W debacie wyraźnie wybrzmiał wątek czynnika ludzkiego. Nadkomisarz Andrzej Ślązak zwrócił uwagę, że 70–80% incydentów bezpieczeństwa wynika z błędów użytkowników. To liczba, która powinna działać na wyobraźnię każdego zarządu. Pokazuje ona bardzo jasno, że nawet najlepsza infrastruktura techniczna nie zagwarantuje bezpieczeństwa, jeśli organizacja nie potrafi budować właściwych postaw i nawyków wśród ludzi.
To szczególnie istotne, bo wiele firm nadal działa według dość prostego schematu: bezpieczeństwo utożsamia z zakupem rozwiązań technologicznych. Im więcej systemów, tym większe poczucie kontroli. Tymczasem rzeczywistość jest odwrotna. Duża część skutecznych ataków nie zaczyna się od złamania zaawansowanych zabezpieczeń, lecz od jednego kliknięcia, jednej wiadomości, jednego błędu oceny sytuacji, jednej pochopnie przekazanej informacji. Właśnie dlatego inwestycje w szkolenia, budowanie świadomości i ćwiczenie właściwych reakcji nie są „miękkim dodatkiem” do bezpieczeństwa. Są jego fundamentem.
Bardzo ważną uwagę dodał Paweł Chorodyński, który wskazał, że ataki socjotechniczne są coraz częściej kierowane nie tylko do pracowników operacyjnych, ale także - a może przede wszystkim - do kadry zarządzającej. To niezwykle ważny sygnał. W wielu organizacjach wciąż pokutuje przekonanie, że największe ryzyko generują osoby o niższych kompetencjach cyfrowych, podczas gdy osoby decyzyjne, członkowie zarządu czy dyrektorzy są z definicji bardziej odporni. To złudzenie. Kadra zarządzająca jest atrakcyjnym celem, bo ma dostęp do informacji, może autoryzować płatności, podejmuje decyzje pod presją czasu, działa wielowątkowo i często nie ma przestrzeni na ostrożność. Z punktu widzenia przestępcy to idealna kombinacja.
Ten wątek prowadzi do jeszcze jednego wniosku: edukacja w zakresie cyberbezpieczeństwa nie może być kierowana wyłącznie „w dół” organizacji. Nie wystarczy przeszkolić pracowników i uznać temat za zamknięty. W pierwszej kolejności zrozumieć go musi kierownictwo. To zarząd decyduje o budżecie, priorytetach, kulturze organizacyjnej i tym, czy bezpieczeństwo jest realnym elementem strategii, czy tylko deklaracją na prezentacji. Jeżeli zarząd nie traktuje ryzyka cyberbezpieczeństwa poważnie, organizacja prędzej czy później zaczyna to odzwierciedlać we wszystkich swoich decyzjach.
Bezpieczeństwo nie może być „doklejone” na końcu
Jednym z najmocniejszych merytorycznie głosów podczas panelu była uwaga Ireneusza Tarnowskiego, że cyberbezpieczeństwo powinno być traktowane jako nieodzowny komponent IT już na etapie wdrażania systemów, a nie jako element dołączany dopiero później. To podejście, które w wielu branżach wciąż nie stało się standardem. Bardzo często firmy myślą w ten sposób: najpierw zbudujmy lub kupmy rozwiązanie, uruchommy proces, osiągnijmy funkcjonalność biznesową, a kwestie bezpieczeństwa dopracujemy później. Problem polega na tym, że „później” zwykle oznacza: drożej, trudniej i mniej skutecznie.
W praktyce oznacza to, że bezpieczeństwo powinno być integralną częścią projektowania usług, systemów i procesów. Nie jako przeszkoda w innowacji, lecz jako warunek odpowiedzialnego wdrożenia. Dotyczy to zarówno dużych organizacji, jak i sektora MŚP. Co więcej, właśnie mniejsze firmy bywają szczególnie narażone, bo dysponują ograniczonymi zasobami, działają szybciej, mniej formalnie, a przez to częściej zostawiają kwestie bezpieczeństwa „na później”. Tymczasem przestępcy nie dzielą ofiar według wielkości firmy, lecz według podatności.
W debacie pojawił się też ważny wątek różnicy między świadomością IT a świadomością bezpieczeństwa. W małych i średnich organizacjach zdarza się, że istnieje już pewne zrozumienie potrzeby cyfryzacji, narzędzi, automatyzacji czy infrastruktury. To jednak nie jest jeszcze to samo co dojrzałość bezpieczeństwa. Można świetnie rozumieć technologię, a jednocześnie nie mieć wdrożonych procedur, modelu zarządzania incydentami, zasad kontroli dostępu czy procesu oceny dostawców. To rozróżnienie wydaje mi się dziś szczególnie istotne. Wiele firm jest cyfrowych, ale niekoniecznie bezpiecznych.
Kultura organizacyjna jest równie ważna jak technologia
W dyskusji mocno wybrzmiał również temat kultury organizacyjnej. Marek Kędziera zwrócił uwagę, że pracownicy nie mogą bać się zgłaszać podejrzanych sytuacji z obawy przed konsekwencjami czy utratą pracy. To spostrzeżenie pozornie proste, ale w praktyce niezwykle ważne. W wielu organizacjach istnieje bowiem ciche założenie, że incydent jest przede wszystkim dowodem czyjejś winy. Taki klimat sprzyja ukrywaniu błędów, opóźnianiu zgłoszeń i minimalizowaniu problemu. A w cyberbezpieczeństwie czas reakcji ma znaczenie kluczowe.
Jeżeli pracownik boi się powiedzieć, że kliknął podejrzany link, otworzył załącznik albo podał dane logowania na fałszywej stronie, organizacja traci najcenniejszy zasób w pierwszej fazie incydentu: czas. Często nie sam błąd jest największym problemem, ale to, że nikt o nim nie wie przez kolejne godziny lub dni. Dlatego bezpieczeństwo powinno opierać się na kulturze odpowiedzialności, a nie kulturze strachu. Pracownik musi wiedzieć, że zgłoszenie incydentu - nawet własnego błędu - jest działaniem pożądanym, a nie ryzykownym.
Ten aspekt jest często niedoceniany, ponieważ trudniej go zmierzyć niż liczbę wdrożonych narzędzi czy odhaczonych audytów. Ale to właśnie kultura bezpieczeństwa decyduje o tym, jak organizacja zachowa się w praktyce. Czy ktoś zgłosi niepokojącą wiadomość? Czy menedżer nie zlekceważy ostrzeżenia? Czy dział IT zostanie poinformowany odpowiednio wcześnie? Czy kierownictwo nie będzie próbowało „zamieść sprawy pod dywan”? W gruncie rzeczy mówimy tu o odporności organizacji rozumianej znacznie szerzej niż tylko odporność systemów.
Regulacje są potrzebne, ale same nie zbudują odporności
Bardzo ważną częścią panelu była rozmowa o regulacjach, zwłaszcza o NIS2 i polskiej ustawie o Krajowym Systemie Cyberbezpieczeństwa. W tym obszarze wyraźnie wybrzmiewa napięcie między intencją prawodawcy a odbiorem rynku. Dla wielu przedsiębiorców nowe przepisy są postrzegane przede wszystkim jako kolejne obciążenie: źródło obowiązków, niepewności interpretacyjnych i ryzyka kar. Z perspektywy firm jest to odczucie zrozumiałe. Każda nowa regulacja oznacza bowiem koszty, konieczność przeglądu procesów, zmiany w dokumentacji, szkolenia i potencjalną odpowiedzialność osobistą osób zarządzających.
Jednocześnie w debacie padło bardzo trafne spostrzeżenie, że regulacje te powinny być postrzegane także jako przewodnik. Innymi słowy: mają one wymusić wdrożenie zasad, które w dojrzałej organizacji i tak powinny funkcjonować. To ważne rozróżnienie. Nie chodzi wyłącznie o formalną zgodność, ale o wymuszenie realnego zainteresowania bezpieczeństwem na poziomie zarządczym. W praktyce wiele organizacji potrzebuje zewnętrznego impulsu, by potraktować ten obszar poważnie. NIS2 i KSC są właśnie takim impulsem.
Warto jednak uczciwie powiedzieć, że regulacje mają swoje ograniczenia. Ireneusz Tarnowski słusznie zauważył, że są one z natury wysokopoziomowe i nie nadążają za tempem działania adwersarzy. Przestępcy nie czekają na publikację rozporządzeń, wytycznych czy interpretacji. Modyfikują swoje metody błyskawicznie. Omijają zabezpieczenia, adaptują scenariusze, wykorzystują nowe technologie i reagują na zmieniające się warunki. Regulacja może wyznaczyć ramy, ale nie zastąpi zdolności organizacji do ciągłego monitorowania, uczenia się i reagowania.
Szczególnie interesujący był również głos o niespójności po stronie państwa. Podczas panelu zwrócono uwagę, że zdarza się, iż w przetargach publicznych wymogi bezpieczeństwa są traktowane marginalnie albo niespójnie. To problem szerszy niż sama legislacja. Jeżeli administracja i instytucje publiczne chcą budować wyższe standardy na rynku, muszą same dawać przykład, nie tylko poprzez przepisy, ale również poprzez praktykę zamówień, egzekwowanie standardów i edukację.
Współczesne zagrożenia są bardziej złożone, niż wielu firmom się wydaje
Debata pokazała też wyraźnie, że obraz współczesnego ataku cybernetycznego wciąż jest w świadomości wielu organizacji zbyt uproszczony. Nadal pokutuje wyobrażenie, że zagrożenie polega przede wszystkim na wirusie, który „wchodzi” do komputera, szyfruje pliki albo blokuje system. Tymczasem dzisiejsze ataki są często rozłożone w czasie, ciche, wieloetapowe, precyzyjnie przygotowane i zorientowane na maksymalizację presji na ofiarę.
Nadkomisarz Andrzej Ślązak zwrócił uwagę na ransomware jako jedno z najbardziej niszczycielskich zagrożeń. Istotne jest to, że współczesny ransomware bardzo często nie działa natychmiast. Potrafi pozostawać w środowisku ofiary przez wiele miesięcy, zanim dojdzie do zasadniczego uderzenia. To oznacza, że przedsiębiorstwo może funkcjonować pozornie normalnie, podczas gdy atakujący już rozpoznają jego infrastrukturę, uprawnienia, przepływy danych i kluczowe zasoby. Kiedy atak zostaje uruchomiony, jest zwykle za późno na improwizację.
Co więcej, model działania cyberprzestępców również się zmienił. Samo zaszyfrowanie danych często już nie wystarcza. Coraz częściej stosowany jest szantaż dwuetapowy: najpierw następuje blokada lub utrata dostępu do zasobów, a następnie groźba upublicznienia przejętych danych. To oznacza, że incydent bezpieczeństwa staje się od razu również kryzysem prawnym, reputacyjnym i relacyjnym. Firma musi myśleć nie tylko o przywróceniu systemów, ale także o klientach, partnerach, regulatorach, mediach i konsekwencjach ujawnienia danych.
W panelu padły także przykłady mniej oczywistych wektorów ataku, jak urządzenia przemysłowe czy systemy monitoringu wykorzystywane do tworzenia materiałów typu deepfake. To ważne przypomnienie, że granica między światem IT, OT, urządzeniami końcowymi i środowiskiem operacyjnym coraz bardziej się zaciera. Atak nie musi wejść przez główny system informatyczny. Wystarczy najsłabszy punkt ekosystemu.
AI wzmacnia nie tylko obrońców, ale i atakujących
W rozmowie pojawił się także temat sztucznej inteligencji. To zagadnienie dziś szczególnie aktualne, bo w debacie publicznej AI bywa przedstawiana przede wszystkim jako narzędzie rozwoju, automatyzacji i wzrostu produktywności. Wszystko to jest prawdą. Problem polega na tym, że te same narzędzia mogą służyć również napastnikom. W trakcie panelu wskazano, że narzędzia takie jak ChatGPT mogą znacząco przyspieszać przygotowywanie kampanii phishingowych i podnosić ich jakość.
To oznacza, że klasyczne podejście do rozpoznawania zagrożeń - oparte na ocenie jakości języka, oczywistych błędów, nienaturalnych sformułowań czy łatwych do wykrycia schematów - staje się coraz mniej skuteczne. Wiadomości generowane lub wspomagane przez AI są lepiej dopasowane, bardziej przekonujące, szybsze do przygotowania i łatwiejsze do personalizacji. Atakujący mogą tworzyć treści, które wyglądają wiarygodnie nie tylko językowo, ale również kontekstowo. To oznacza wzrost presji na organizacje w zakresie edukacji, ale też w zakresie weryfikacji procesów autoryzacyjnych, potwierdzania dyspozycji czy ochrony przed manipulacją.
Właśnie w tym punkcie szczególnie mocno widać, dlaczego cyberbezpieczeństwo nie może być sprowadzone do kwestii „oprogramowania ochronnego”. To gra dynamiczna. Jedna strona zyskuje nowe narzędzia, druga musi zmieniać procedury, nawyki, systemy wykrywania i szkolenia. Odporność nie wynika z jednorazowego wdrożenia, ale z gotowości do ciągłej adaptacji.
Łańcuch dostaw to obszar, którego firmy nadal nie kontrolują wystarczająco dobrze
Kolejny ważny wątek dotyczył bezpieczeństwa łańcucha dostaw. Ireneusz Tarnowski podkreślił, że organizacje często nie zdają sobie sprawy, jak silnie ich bezpieczeństwo zależy od dostawców oraz od kolejnych podmiotów obecnych dalej w tym łańcuchu. To problem, który narasta wraz z cyfryzacją i specjalizacją rynku. Firmy korzystają z gotowego oprogramowania, usług chmurowych, zewnętrznych integratorów, partnerów wdrożeniowych, podwykonawców, a każdy z tych elementów może stać się punktem wejścia dla ataku.
To także zmienia klasyczne pytanie o odpowiedzialność. Nawet jeśli organizacja dba o własne środowisko, może stać się ofiarą przez słabsze ogniwo po stronie partnera. W takiej rzeczywistości bezpieczeństwo wymaga nie tylko ochrony własnych zasobów, ale również świadomego zarządzania relacjami z dostawcami. Ocena ryzyka, weryfikacja standardów, przegląd aktualności oprogramowania, unikanie rozwiązań po zakończeniu cyklu życia — wszystko to przestaje być opcjonalnym „dodatkiem do zakupów”, a staje się podstawowym elementem odpowiedzialnego prowadzenia biznesu.
W praktyce to jeden z tych obszarów, które najłatwiej zaniedbać, bo są rozproszone, mało widoczne i często formalnie „outsourcowane”. Tymczasem outsourcing odpowiedzialności nie oznacza outsourcingu ryzyka. Gdy dojdzie do incydentu, konsekwencje ponosi organizacja, której działalność została zakłócona, której dane wyciekły i której klienci tracą zaufanie.
Największym problemem firm bywa nie sam incydent, ale reakcja na niego
Jednym z najbardziej praktycznych elementów panelu była dyskusja o tym, co dzieje się po wykryciu ataku. Wciąż wiele firm nie zgłasza incydentów odpowiednim organom, bo obawia się konsekwencji operacyjnych, reputacyjnych albo proceduralnych. Szczególnie silny jest mit, że zgłoszenie sprawy organom ścigania musi oznaczać natychmiastowe zabezpieczenie całej infrastruktury i paraliż działalności. Nadkomisarz Ślązak stanowczo ten obraz prostował, wskazując, że w praktyce chodzi przede wszystkim o zabezpieczenie danych, wykonanie kopii i takie działania, które nie muszą oznaczać długotrwałego zatrzymania pracy organizacji.
To ważne z dwóch powodów. Po pierwsze, ukrywanie incydentów utrudnia ściganie sprawców i budowanie wiedzy o sposobach działania grup przestępczych. Po drugie, pozostawienie organizacji samej sobie często prowadzi do jeszcze większych strat. Firma, która działa pod presją, bez planu, bez wsparcia i bez przygotowanych scenariuszy, podejmuje decyzje reaktywne, a nie strategiczne.
Szczególnie cenna była praktyczna wskazówka dotycząca pierwszej reakcji na wykryty atak: nie należy wyłączać komputerów i serwerów, ponieważ może to doprowadzić do utraty danych z pamięci operacyjnej, kluczowych dla analityków i śledczych. Właściwym działaniem jest fizyczne odcięcie sieci od internetu - „wyciągnięcie wtyczki”, a nie odcinanie zasilania. To zdanie dobrze oddaje szerszy problem: w sytuacji kryzysowej organizacje potrzebują nie improwizacji, ale prostych, przećwiczonych zasad.
Tu właśnie pojawia się znaczenie planów reagowania na incydenty i ćwiczeń typu tabletop, o których mówił Ireneusz Tarnowski. Organizacja nie może uczyć się reagowania dopiero wtedy, gdy już została zaatakowana. Potrzebuje wcześniej przeanalizować role, decyzje, ścieżki eskalacji, kontakt z zewnętrznymi partnerami, sposób komunikacji wewnętrznej i zewnętrznej. Incydent jest zawsze testem nie tylko zabezpieczeń, ale przede wszystkim zdolności organizacyjnych.
Odpowiedzialność zarządu przestaje być pojęciem abstrakcyjnym
Podczas debaty wyraźnie wybrzmiało również to, że odpowiedzialność zarządu za bezpieczeństwo nie będzie już wyłącznie kategorią symboliczną. Wraz z rozwojem regulacji rośnie znaczenie osobistej odpowiedzialności osób zarządzających. To może budzić opór, ale jednocześnie jest koniecznym elementem zmiany. Przez wiele lat bezpieczeństwo bywało traktowane jako obszar techniczny, delegowany w dół organizacji, oderwany od strategicznych decyzji biznesowych. Dziś ten model się kończy.
W gruncie rzeczy jest to zmiana zdroworozsądkowa. To zarząd decyduje, czy firma ma środki na szkolenia, czy audyty kończą się realnym planem działań, czy dostawcy są oceniani, czy procedury istnieją tylko na papierze, czy również w praktyce. To zarząd definiuje, czy bezpieczeństwo jest inwestycją w odporność organizacji, czy pozycją kosztową minimalizowaną do niezbędnego minimum. Jeśli więc ryzyko bezpieczeństwa cyfrowego wpływa bezpośrednio na ciągłość działania, reputację, relacje z klientami i ryzyko prawne, trudno sobie wyobrazić, by odpowiedzialność za nie miała pozostawać całkowicie poza poziomem kierowniczym.
Być może właśnie tu znajduje się najważniejsza zmiana mentalna, przed którą stoi polski biznes. Cyberbezpieczeństwo nie jest już tematem dla działu IT. Jest tematem dla zarządu. A tam, gdzie zarząd nie chce tego przyjąć do wiadomości, prędzej czy później zrobi to za niego rzeczywistość - poprzez incydent, kontrolę, sankcję albo kryzys reputacyjny.
Podstawy nadal mają znaczenie
Na zakończenie panelu padły też rady bardzo podstawowe, ale przez to szczególnie ważne: regularne aktualizowanie systemów oraz nieużywanie tych samych haseł w wielu miejscach. Mogłoby się wydawać, że to truizmy. A jednak praktyka pokazuje, że to właśnie podstawowe zaniedbania nadal otwierają drogę do bardzo poważnych incydentów.
To również jest pewna lekcja płynąca z naszej debaty. Rozmowa o cyberbezpieczeństwie bardzo łatwo ucieka w stronę skomplikowanych scenariuszy, nowych technologii, zaawansowanych ataków i regulacyjnych niuansów. Tymczasem rzeczywista odporność organizacji buduje się równolegle na dwóch poziomach: strategicznym i podstawowym. Potrzebne są zarówno decyzje zarządcze, jak i elementarna higiena cyfrowa. Zarówno procedury kryzysowe, jak i aktualizacje. Zarówno analiza łańcucha dostaw, jak i zdrowy rozsądek użytkowników. Bez tego nawet najbardziej wyrafinowana strategia pozostanie deklaracją.
Debata, która pokazała nadchodzącą zmianę
Jako moderator tej rozmowy wyniosłem z niej przede wszystkim przekonanie, że jesteśmy dziś w momencie przejścia. Kończy się epoka, w której cyberbezpieczeństwo można było traktować jako obszar poboczny, techniczny i częściowo delegowalny. Wchodzimy w rzeczywistość, w której bezpieczeństwo cyfrowe staje się jednym z podstawowych wymiarów odpowiedzialnego zarządzania organizacją.
To oznacza konieczność zmiany myślenia na kilku poziomach jednocześnie. Po pierwsze, bezpieczeństwo trzeba przestać rozumieć jako produkt, który się kupuje. Po drugie, trzeba uznać, że człowiek jest nie tylko źródłem ryzyka, ale też kluczowym elementem odporności. Po trzecie, należy przestać traktować regulacje wyłącznie jako ciężar, a zacząć odczytywać je jako sygnał, że czas improwizacji się kończy. Po czwarte, firmy muszą zrozumieć, że incydent nie zaczyna się w chwili wykrycia objawów, ale dużo wcześniej - a odpowiedź na niego również musi być przygotowana wcześniej.
Najważniejszy wniosek z tej debaty jest dla mnie następujący: cyberbezpieczeństwa nie da się „domówić” na końcu procesu, tak jak dodatkowej usługi czy kolejnego modułu. Można i należy je natomiast budować - konsekwentnie, codziennie i na wszystkich poziomach organizacji. Tam, gdzie bezpieczeństwo staje się elementem kultury, a nie jedynie obowiązkiem formalnym, firma zyskuje coś więcej niż zgodność z przepisami. Zyskuje realną odporność.
I właśnie o odporność będzie dziś toczyć się najważniejsza gra. Nie o to, czy incydenty znikną, bo nie znikną. Nie o to, czy można wyeliminować całe ryzyko, bo nie można. Stawką jest to, czy organizacja potrafi działać w świecie, w którym zagrożenie jest stałym elementem rzeczywistości. W moim przekonaniu to właśnie było najważniejsze przesłanie wrocławskiej debaty: cyberbezpieczeństwo to nie tylko sprzęt, nie tylko procedury i nie tylko regulacje. To dojrzałość organizacyjna.
