Jeszcze niedawno o cyberbezpieczeństwie w firmach mówiło się głównie w kontekście kontroli zasobów sieciowych, odpowiedniej polityki haseł i oprogramowania antywirusowego.
Dziś to już za mało. Współczesne przedsiębiorstwo funkcjonuje w świecie, w którym granice między „fizycznym” a „cyfrowym” zacierają się, najcenniejszym aktywem stały się dane. Dlatego bezpieczeństwo przestaje być domeną działu IT, a staje się wspólną odpowiedzialnością całej organizacji.
W erze pracy zdalnej, mobilności i sztucznej inteligencji ryzyka nie wynikają wyłącznie z błędów technicznych, lecz także z decyzji ludzi, nieświadomych rutyn i kultury organizacyjnej.
Większośc obecnych incydentów bezpieczeństwa wynika z błędu człowieka, początkiem jest kliknięcie w złośliwy link, przekazanie informacji niewłaściwej osobie czy niedostatecznym zabezpieczeniu zasobów cyfrowych.
Kultura bezpieczeństwa to sposób myślenia o tym, jak każdy pracownik wpływa na odporność całej firmy. To połączenie ludzi, procesów i technologii, które razem tworzą system odporny, uczący się i adaptujący do zmian.
Ludzie to najważniejszy element systemu bezpieczeństwa
Dużo mówi się o tym, że „człowiek jest najsłabszym ogniwem”. Można jednak powiedzieć, że świadomy i zaangażowany pracownik staje się najsilniejszym punktem obrony. To od ludzi zależy, czy technologia zadziała zgodnie z przeznaczeniem. Najczęstszym błędem w podejściu do edukacji bezpieczeństwa jest traktowanie jej jako obowiązkowego szkolenia raz w roku. Powoduje to, że pracownicy nie mają poczucia, że temat dotyczy ich codziennych decyzji.
Coraz bardziej powszechne jest stosowanie ciągłej mikroedukacji - krótkich komunikatów, quizów, alertów, newsów i rozmowach w zespołach. 5-minutowe wymiany informacji o incydentach lub ciekawych przypadkach pozwalają utrzymać uwagę i zaangażowanie bez formalnych szkoleń. To właśnie ten nawyk regularnych, częstych rozmów buduje prawdziwą odporność.
Ludzie przestrzegają zasad tylko wtedy, gdy rozumieją ich sens. Zamiast karać za błędy, lepiej nagradzać właściwe reakcje np. szybkie zgłoszenie phishingu czy propozycję usprawnienia procedury. Kluczowe jest budowanie zaufania między zespołem bezpieczeństwa a resztą firmy. W kulturze opartej na zaufaniu pracownik nie boi się zgłosić problemu, bo wie, że nie zostanie ukarany, lecz doceniony za czujność. Niezwykle ważne jest budowanie świadomości, że od odpowiedzialnej postawy i umiejętności dostrzegania zagrożeń zależy bezpieczeństwo całej instytucji.
Obecnie, myśląc o zagadnieniach związanych z cyberbezpieczeństwem, trzeba także wziąć pod uwagę zmiany powodowane przez AI. Zmienia ona charakter pracy ludzi zajmujących się bezpieczeństwem. Z jednej strony ułatwia analizę tysięcy logów i przewidywanie anomalii. Z drugiej otwiera nowe wektory ataku: manipulacje promptami, „zatruwanie” danych treningowych (data poisoning), wycieki danych z modeli językowych. Specjaliści ds. bezpieczeństwa muszą rozumieć, jak modele AI podejmują decyzje, jak są trenowane i jak można je oszukać. Wymaga to rozwoju i umiejętności łączenia kompetencji technicznych, analitycznych a także odpowiedniej etyki.
Procesy – bezpieczeństwo jako system zarządzania
Kultura bezpieczeństwa wymaga spójnych, mierzalnych i sprawnych procesów. Ważne żeby podkreślić, że nie chodzi o biurokrację, lecz o system, który umożliwia ludziom podejmowanie właściwych decyzji nawet w stresie.
Audyt bezpieczeństwa często nie powinien się kończyć raportem, który trafia do szuflady. Nowoczesne firmy wdrażają cykl zarządzania ryzykiem, który przypomina model continuous improvement: identyfikacja, analiza, wdrożenie i uczenie się, a następnie weryfikacja wprowadzonych poprawek. W odpowiednim wdrożeniu takiego modelu mogą pomagać takie standardy jak np. ISO 270001 - określający zasady funkcjonowania systemu zarządzania bezpieczeństwem informacji.
Ważna jest także reakcja i podjęcie odpowiednich działań po wystąpieniu incydentu. Najlepiej, jeżeli zespół analizuje przyczyny i wprowadza korekty w procedurach.To podejście, zwane post-incident learning, pozwala zamieniać błędy w wiedzę organizacyjną. Firmy stosujące ten model skracają czas reakcji na kolejne incydenty średnio o 35–45%, a liczba powtarzających się błędów spada kilkukrotnie.
Myśląc o odpowiednim podejściu w zarządzaniu ryzykiem i bezpieczeństwem w firmie, konieczne jest uwzględnienie zagadnień związanych z dostępami do zasobów w firmie. Jednym z częstych źródeł zagrożeń jest brak konsekwencji w procesach kadrowych, jak na przykład brak koordynacji odebrania dostępów pracownikowi, który kończy współpracę z firmą. Aby uniknąć ryzyka pozostawiania aktywnych dostępów pracownikowi, który nie powinien już ich posiadać, powinno się zautomatyzować zarządzanie tożsamością (Identity & Access Management – IAM), w połączeniu z systemem HR. Przy zatrudnieniu dostęp jest przydzielany automatycznie, przy odejściu natychmiast odbierany. Takie systemy dają także możliwość dokładnego określania zakresu dostępu do poszczególnych systemów. Dzięki temu firma nie tylko ogranicza ryzyko, ale też zyskuje przejrzystość i audytowalność.
Współczesne firmy funkcjonują w sieci dostawców, podwykonawców i integratorów. Dlatego kultura bezpieczeństwa musi obejmować również partnerów biznesowych. Coraz częściej pojawia się podejście security by contract – wymóg określonych standardów bezpieczeństwa i obowiązek raportowania incydentów zapisany w umowie. To nie tylko zabezpieczenie formalne, ale realny sposób przenoszenia odpowiedzialności i edukowania ekosystemu wokół firmy. Kluczowymi zagadnieniami w tym zakresie są np. kwestie związane z przetwarzaniem danych czy też gwarancją dostępności usługi.
Systemy klasy SIEM, XDR czy SOAR, wspomagające analizę ruchu sieciowego, coraz częściej wykorzystują modele AI do analizy, wykrywania anomalii czy automatycznej klasyfikacji incydentów. To ogromne wsparcie, ale tylko wtedy, gdy człowiek zachowuje nadzór i odpowiedzialność. AI potrafi pomóc w detekcji, ale decyzję o reakcji nadal powinien podejmować człowiek posiadający odpowiednią wiedzę np. o kontekście biznesowym.
Regulacje i zaufanie cyfrowe
W ostatnim czasie zostało przyjętych kilka regulacji unijnych, na które warto zwrócić uwagę z punktu widzenia podniesienia poziomu bezpieczeństwa w firmach.
NIS2
Dyrektywa NIS2, która zacznie obowiązywać w 2025 roku, rozszerza wymogi bezpieczeństwa na znacznie szerszą grupę podmiotów niż dotychczas. Dotyczy nie tylko operatorów infrastruktury krytycznej, ale również dostawców usług cyfrowych, firm produkcyjnych, logistycznych, zdrowotnych i finansowych. Dla MŚP oznacza to m.in. konieczność posiadania polityk bezpieczeństwa, obowiązek raportowania incydentów, odpowiedzialność zarządów (także osobistą) za nadzór nad bezpieczeństwem.
Szczegółowe wymogi będą zdefiniowane przez prawo krajowe - w Polsce wciąż trwają prace nad projektem ustawy w tym zakresie.
AI Act
Regulacja AI Act wprowadza klasy ryzyka dla systemów sztucznej inteligencji. Firmy będą musiały zapewnić, że ich rozwiązania są bezpieczne, przejrzyste i odpowiednio zbalansowane. W praktyce oznacza to, że nawet przedsiębiorstwa korzystające z gotowych modeli AI (np. w marketingu czy rekrutacji) powinny wiedzieć, skąd pochodzą dane, umieć wyjaśnić, jak system podejmuje decyzje, stosować mechanizmy nadzoru człowieka.
Dla MŚP to także okazja do budowania zaufania klientów – poprzez transparentne informowanie o tym, jak używa się AI.
eIDAS2 i EUDI Wallet
Regulacja eIDAS2 wprowadza jednolity system tożsamości cyfrowej w UE. Dzięki EUDI Wallet obywatele i firmy będą mogli potwierdzać tożsamość, podpisywać dokumenty i logować się do usług w sposób bezpieczny. Dla przedsiębiorców oznacza to prostsze procesy podpisywania umów i potwierdzania wybranych atrybutów, możliwość wdrażania usług opartych na zaufaniu (np. zdalne podpisy, certyfikaty firmowe), mniejsze ryzyko oszustw i podszywania się pod cudzą tożsamość.
Firmy, które zrozumieją potencjał walletów cyfrowych, będą mogły szybciej budować relacje z klientami – szczególnie w handlu elektronicznym, usługach finansowych i sektorze publicznym.
Technologia jako narzędzie
Technologia jest niezbędna, ale sama nie gwarantuje bezpieczeństwa, a w wielu przypadkach może stwarzać także zagrożenie. Posiadanie najlepszego systemu antywirusowego nie uchroni przed nieświadomym kliknięciem w link phishingowy.
W wielu firmach modele bezpieczeństwa zakładały, że sieć wewnętrzna jest „bezpieczna”, a zewnętrzna – „nie”. Model Zero Trust zakładana, że nikt i nic nie jest zaufane z definicji. Każdy dostęp wymaga uwierzytelnienia, autoryzacji i weryfikacji kontekstu. Połączenie z siecią z nowego urządzenia, nietypowa lokalizacja logowania czy zmiana zachowania użytkownika wszystko to może uruchomić dodatkową weryfikację.
Nowym wyzwaniem jest bezpieczeństwo samych modeli sztucznej inteligencji. Ataki typu model inversion czy data poisoning pozwalają odtworzyć dane treningowe lub wprowadzić błędne wzorce, które potem prowadzą do błędnych decyzji. W praktyce oznacza to konieczność wprowadzenia audytu bezpieczeństwa modeli AI – analogicznego do testów penetracyjnych systemów IT. Jest to stosunkowo nowe zagadnienie, ale już teraz bardzo istotne. Obecnie nie ma zbyt wielu specjalistów zajmujących się tym problemem, jednak już teraz warto mieć świadomość potrzeby weryfikowania używanych modeli AI, ryzyka wycieku udostępnianych przez nas danych i potencjalnej możliwości sterowania lub modyfikacji odpowiedzi jakie uzyskujemy. Firmy, które rozwijają własne modele, powinny stosować AI red teaming, testy odporności i kontrolę źródeł danych. To obszar, który w najbliższych latach stanie się jednym z filarów cyberbezpieczeństwa.
Jak zacząć budować kulturę bezpieczeństwa? – praktyczny plan
Jeszcze kilka lat temu bezpieczeństwo traktowane jako koszt. Dziś coraz więcej firm postrzega je jako inwestycję w zaufanie – a więc w markę, relacje z klientami i dostęp do rynku. Firmy o dojrzałej kulturze bezpieczeństwa szybciej wdrażają nowe technologie, bo mają zdefiniowane procesy zarządzania ryzykiem. Częściej pozyskują kontrakty międzynarodowe, gdzie wymogi compliance są wysokie. Mogą także łatwiej przyciągają pracowników, zwłaszcza jeżeli specjaliści mają przekonanie o stosowanej kontroli ryzyka w danej instytucji. Stosowanie kultury bezpieczeństwa to sygnał, że firma traktuje dane i zaufanie tak samo poważnie, jak jakość produktu.
Żeby wdrożyć kulturę bezpieczeństwa nie trzeba od razu wdrażać rozbudowanych frameworków. Wystarczy prosty plan działania w kilku krokach:
- Zdefiniuj odpowiedzialność.
Czy zarząd ma jasno określoną rolę w bezpieczeństwie? Czy ktoś raportuje ryzyka bezpośrednio do kierownictwa? - Buduj świadomość, nie tylko procedury.
Zamiast kolejnych regulaminów, wprowadź rozmowy o bezpieczeństwie, quizy, studia przypadków. - Automatyzuj, gdzie się da.
Wykorzystaj systemy IAM, MFA, SIEM – ale nie po to, by zastąpiły ludzi, lecz by wspierały ich decyzje. - Włącz partnerów i dostawców.
Twoje bezpieczeństwo jest tak silne, jak najsłabsze ogniwo w łańcuchu dostaw. - Mierz i ucz się.
Bezpieczeństwo to proces ciągłego doskonalenia. Regularnie analizuj incydenty i aktualizuj procedury.
Bezpieczeństwo jako kultura zaufania
W świecie, w którym sztuczna inteligencja potrafi tworzyć zarówno treści, jak i dezinformację, zaufanie staje się kluczowe. Nie da się go kupić można je jedynie budować i zdobywać. Firma przyszłości to taka, która rozumie, że bezpieczeństwo to kultura zaufania - między ludźmi, procesami i technologią.
W czasach niepewności technologicznej to właśnie kultura bezpieczeństwa stanie się najtrwalszą przewagą konkurencyjną - bo chroni to, co najcenniejsze: dane, reputację i zaufanie klientów.
