Rosnąca liczba regulacji, coraz bardziej zaawansowane ataki oraz presja ze strony łańcuchów dostaw powodują, że cyberbezpieczeństwo przestaje być domeną działów IT, a staje się jednym z kluczowych obszarów zarządzania ryzykiem operacyjnym. Jak wskazuje Marcin Marczewski, architekt cyberbezpieczeństwa i prezes Resilia Sp. z o.o., firmy wciąż jednak zbyt często funkcjonują w modelu reaktywnym, reagując dopiero na wystąpienie incydentu.
Cyberodporność jako element zarządzania ryzykiem operacyjnym
Kluczowa zmiana dotyczy samego podejścia do bezpieczeństwa. Tradycyjny model, oparty na zapobieganiu incydentom, okazuje się niewystarczający. Cyberbezpieczeństwo skupiało się przede wszystkim na przygotowaniu i obronie firmy, natomiast cyberodporność zakłada, że do incydentu może dojść, a firma musi mieć procedury, które pozwolą jej zareagować i szybko się odtworzyć – podkreśla Marcin Marczewski, prezes Resilia. W praktyce oznacza to przejście z modelu opartego wyłącznie na prewencji do podejścia uwzględniającego zarządzanie incydentem, ciągłość działania oraz zdolność organizacji do odtworzenia kluczowych procesów, systemów i danych po jego wystąpieniu. Nie skupiamy się wyłącznie na pojedynczych technicznych zagadnieniach, ale na całościowej zdolności firmy do działania mimo zakłóceń – dodaje. Bezpieczeństwo cyfrowe przestaje być wyłącznie domeną IT, a staje się integralnym elementem zarządzania ryzykiem i ciągłością działania przedsiębiorstwa.
Średnie przedsiębiorstwa pod presją regulacyjną i luk kompetencyjnych
Szczególnie widoczne jest to w segmencie średnich przedsiębiorstw, które z jednej strony zaczynają podlegać wymogom regulacyjnym, a z drugiej nie mają wystarczających zasobów i kompetencji, by je wdrożyć. Są już na tyle duże, że są ciekawym przedmiotem ataku, natomiast nie ma zbytnio kompetencji, możliwości lub chęci do budowania własnych zespołów – wskazuje ekspert. W efekcie wiele z tych organizacji nie jest w stanie samodzielnie przełożyć wymogów regulacyjnych na konkretne działania operacyjne. Brakuje zasobów, ale też know-how, jak przełożyć te wymagania na codzienne działania – zaznacza. Jednocześnie rośnie presja regulacyjna oraz wymagania ze strony partnerów biznesowych, którzy coraz częściej weryfikują poziom zabezpieczeń w ramach audytów łańcucha dostaw.
Błąd wdrożeń: technologia zamiast procesów
Jednym z najczęściej powtarzających się problemów jest odwrócona logika wdrożeń – organizacje w pierwszej kolejności inwestują w narzędzia technologiczne, zamiast budować i porządkować procesy bezpieczeństwa. Rynek jest zdominowany przez dostawców, którzy mówią: kup moje pudełko, a będziesz cyberodporny – zauważa. Tymczasem – jak podkreśla – najpierw trzeba wdrożyć skuteczny proces, dopiero potem dobierasz narzędzia i zabezpieczenia techniczne. Dochodzi do rozproszenia inwestycji i niskiej efektywności wydatków, a wdrożone rozwiązania często nie są właściwie skonfigurowane lub w pełni wykorzystywane operacyjnie. Problemem pozostaje również niska skuteczność w obszarze detekcji incydentów. Firmy nie mają skutecznej umiejętności wykrywania ataku i bywa, że atakujący pozostają w infrastrukturze wiele miesięcy – zauważa. O poziomie bezpieczeństwa coraz częściej nie decydują więc wdrożone systemy, lecz sposób ich wykorzystania oraz integracja z procesami organizacyjnymi.
Procedury na papierze i reakcja po fakcie
W wielu organizacjach bezpieczeństwo wciąż funkcjonuje w modelu projektowym. Góruje przekonanie, że bezpieczeństwo to projekt jednorazowy, a nie stały proces zarządczy – mówi Marcin Marczewski. W praktyce często występuje wyraźna luka między formalnym podejściem do bezpieczeństwa a jego wdrożeniem. Organizacje tworzą dokumenty bez regularnego testowania, ćwiczeń i szkoleń – dodaje. Brak testów i symulacji sprawia, że w przypadku realnego incydentu organizacje tracą zdolność sprawnego działania i podejmowania decyzji. Jak podkreśla ekspert: Wiele decyzji zapada reaktywnie, po jakimś zdarzeniu, co pokazuje, że organizacje wciąż częściej odpowiadają na incydenty, niż im zapobiegają.
Człowiek i świadomość jako klucz do odporności
W praktyce istotna część ryzyk cyberbezpieczeństwa wynika z codziennych działań w organizacji. Najwięcej korzyści dla atakującego jest z atakowania człowieka – podkreśla Marcin Marczewski. Edukacja pracowników często koncentruje się na jednorazowych szkoleniach, pomijając elementy praktycznej weryfikacji wiedzy. Skuteczne programy powinny obejmować również testy i symulacje incydentów. Zmienia się również sposób postrzegania pracownika w cyberbezpieczeństwie. Kiedyś mówiono, że człowiek to najsłabsze ogniwo, teraz mówi zaczyna się zwracać uwagę, że to najdroższy zasób organizacji, mający szeroki dostęp do wrażliwych danych i krytycznych systemów – zaznacza. W konsekwencji to właśnie poziom świadomości i kompetencji pracowników w coraz większym stopniu determinuje odporność organizacji. Zdaniem eksperta przewagę będą budować organizacje, które potrafią zintegrować technologię, procesy i ludzi w spójny system zarządzania ryzykiem. Musimy przejść z cyberbezpieczeństwa na tryb cyberodporności, który zakłada budowanie zdolności reagowania i szybkiego powrotu – podsumowuje. W praktyce oznacza to rosnącą rolę wyspecjalizowanych, doświadczonych partnerów – takich jak Resilia – którzy kompleksowo wspierają organizacje nie tylko w doborze narzędzi, lecz przede wszystkim w projektowaniu procesów, budowie zdolności operacyjnych i dostosowaniu do wymogów regulacyjnych.
Joanna Biskup
