Nie ma biznesu bez cyberodporności

Niedostateczny poziom cyberodporności to obecnie jeden z najpoważniejszych czynników ryzyka dla organizacji w praktycznie dowolnej branży. Za „temat numer jeden” uważa go sześciu na dziesięciu menedżerów[1]. Utrata kontroli nad danymi prowadzi do pogorszenia reputacji, odpływu klientów, spadku zaufania partnerów – i oczywiście potencjalnie do wysokich kosztów związanych z działaniami naprawczymi oraz procesami cywilnymi, co skutecznie odstrasza inwestorów.

Z drugiej strony Unia Europejska nakłada coraz bardziej wymagające zasady wzmacniające znaczenie odporności biznesowej. Dyrektywa NIS2 oraz rozporządzenia DORA i CRA wymuszają na zarządach poważne potraktowanie kwestii cyberbezpieczeństwa: opracowanie strategii gwarantującej ciągłość biznesową, planów postępowania na wypadek ataku lub awarii, czy wreszcie regularne kontrolowanie, czy mechanizmy te działają. W dodatku wszystko to pod groźbą upomnień, a nawet kar finansowych. A zatem dziś budowa cyberodporności ma nie tylko wymiar praktyczny, ale również prawny. Taktyka „poczekajmy, nas to nie dotyczy” już przestała działać.

Ataki są coraz bardziej bolesne

Średni koszt związany z cyberatakami ciągle rośnie – obecnie jest najwyższy w historii. Według danych IBM i Ponemon Institute (Analiza „Cost od Data Breach Report 2024”[2] przeprowadzona na podstawie odpowiedzi ponad 600 firm) sięga on 4,88 mln dolarów, co stanowi wzrost o 10 proc. w stosunku do sytuacji sprzed 12 miesięcy. Co istotne, najbardziej narażone są dane przechowywane w chmurze – wykradzenie informacji przechowywanych w chmurze publicznej i niedostatecznie zabezpieczonych przynosiło największe szkody, szacowane średnio na 5,17 mln dolarów. Natomiast dwie trzecie menedżerów IT zapytanych przez PwC uważa, że wdrażanie modeli generatywnej sztucznej inteligencji zwiększyło powierzchnię ataków[3]. PwC określa średni koszt pojedynczego ataku na 3,3 mln dolarów.

Globalne koszty związane z cyberprzestępczością w 2025 roku szacowane są przez analityków Forrester na 12 bln dolarów[4]. To zresztą jeden z najistotniejszych powodów, dla których kwestie odporności biznesu są już dziś regulowane na poziomie unijnym. Prognozy Forrester sygnalizują natomiast jeszcze jeden istotny czynnik związany z cyberatakami. Koszty pozwów zbiorowych przewyższą o 50 proc. ewentualne kary nakładane przez wskazane w regulacjach organy nadzorujące wdrażanie dyrektyw dotyczących cyberbezpieczeństwa. Już obecnie liczba firm pozywanych po wyciekach danych klientów jest najwyższa od 13 lat.

Nowe regulacje już tu są

O ile mniejsze firmy działające w niestrategicznych działach gospodarki mogą – na własne ryzyko – lekceważyć problemy bezpieczeństwa, o tyle firmy o znaczącej pozycji i działające w krytycznych obszarach zostaną zmuszone do zademonstrowania cyberodporności na warunkach opisanych w unijnych regulacjach.

Najważniejsza z nich to dyrektywa NIS2, która formalnie powinna zostać przez państwa członkowskie Unii Europejskiej wdrożona do 17 października 2024 roku i zacząć obowiązywać 18 października. Polska tych terminów nie dotrzymała, a moment realnego obowiązywania NIS2 przesunął się na przyszły rok. Do 17 kwietnia 2025 powinien powstać katalog podmiotów ważnych i kluczowych, które podlegać będą nowym przepisom. Szacuje się, że tymi regulacjami objętych zostanie ok. 10 tys. podmiotów w Polsce. O NIS2 pisaliśmy w ramach Strefy Wiedzy wielokrotnie, a więcej o rozwiązaniach technologicznych można dowiedzieć się ze specjalnego serwisu o cyberbezpieczeństwie.

Drugim fundamentalnym aktem prawnym jest DORA – rozporządzenie regulujące działalność podmiotów finansowych w środowisku cyfrowym. Nakłada ona bardzo daleko idące obowiązki dotyczące m.in. oceny i zarządzania ryzykiem, standardów technicznych i testów, raportowania i odpowiedzialności dostawców usług i sprzętu ICT. DORA zacznie obowiązywać 17 stycznia 2025 roku[5].

Nadchodzi również wdrożenie aktu o odporności cyfrowej (CRA), który reguluje kwestie cyberbezpieczeństwa sprzętu i oprogramowania „posiadającego funkcje cyfrowe” – m.in. możliwości autoaktualizacji i raportowania incydentów[6]. CRA został zatwierdzony przez Parlament Europejski 12 marca 2024 roku i przyjęty przez Radę Unii Europejskiej 10 października 2024 r.

Grupa organizacji objętych nowymi regulacjami jest bardzo duża. Analizy rynkowe wskazują, że firmy działające na rynku finansowym są z reguły lepiej przygotowane na wejście w życie przepisów, jednak istnieje duża liczba podmiotów z branż dotąd nieregulowanych, dla których unijne zasady będą zaskoczeniem[7]. Jednak pytanie „czy moja firma będzie podlegać NIS2, DORA, czy CRA” wydaje się źle postawione. Właściwsze byłoby: „czy moja firma może sobie pozwolić na lekceważenie cyberodporności”.

Jak budować cyberodporność

Najpoważniejszym zadaniem i jednocześnie pierwszym krokiem na drodze do budowania cyberodporności organizacji jest przekonanie zarządu o konieczności podjęcia zdecydowanych (i realnych) działań. Jednak inicjatywy CISO, CIO czy CTO nie spotkają się z odpowiednim odzewem, jeśli nie będą uwzględniały potrzeb biznesowych, dlatego konieczne jest przekonanie wszystkich menedżerów, że cyberbezpieczeństwo to nie tylko odpowiedzialność działu IT. Bezpieczeństwo zależy od – i dotyka – wszystkich: od szeregowych pracowników, po członków zarządu.

Konieczne będzie również przygotowanie się (jeżeli dotąd tego nie zrobiono) do wymogów regulacyjnych, w tym ewentualnie do NIS2. Oznacza to m.in. inwentaryzacja zasobów, analiza poziomu ich zabezpieczenia, a także potencjalnych słabych punktów (tego zresztą wprost wymaga m.in. NIS2). W tym kontekście jednym z poważniejszych wyzwań dla firm będzie szczegółowe sprawdzenie łańcuchów dostaw i dostawców pod kątem bezpieczeństwa. Z analiz Forrester wynika, że większość najgroźniejszych ataków obecnie odbywa się właśnie za pośrednictwem parterów biznesowych lub przez oprogramowanie open source wbudowanego w produkty dostarczane przez usługodawców.

Nawet jeśli organizacja nie podlega regulacjom takim, jak NIS2 czy DORA, warto wykorzystać zawarte w nich zalecenia do poprawy odporności. Podstawą jest opracowanie planów awaryjnych, zabezpieczenie ciągłości biznesowej, tworzenie kopii zapasowych lub zapasowych – awaryjnych – centrów danych. Warto też takie plany przetestować – w razie awarii lub ataku czas zużyty na korygowanie błędów będzie bardzo cenny.

Wewnętrzny audyt przeprowadzony własnymi siłami może nie być wystarczającym źródłem informacji o stanie przygotowań na awarię lub atak. Można w tej dziedzinie skorzystać z kompleksowych usług świadczonych przez wyspecjalizowane firmy. To również dobry moment na rozpoczęcie transformacji w kierunku modelu zerowego zaufania i zupełnie nowej infrastruktury sieciowej.

Najważniejsze wnioski

Cyberodporność przestała być niszą, którą zajmują się tylko zespoły IT. Wspólnym mianownikiem wszystkich zmian regulacyjnych i technologicznych jest przekonanie, że cyberbezpieczeństwo stało się wyzwaniem dla całej gospodarki i organizacje powinny je traktować jako kluczowy element strategii biznesu.

Czy tak się dzieje w rzeczywistości? Badania PwC 2025 Global Digital Trust Insights wskazują, że globalnie tylko 2 proc. przedsiębiorstw wdrożyło całościową strategię cyberbezpieczeństwa. Będzie musiała to zrobić – i to raczej wcześniej niż później – zdecydowana większość z nich. Nie warto czekać i być ostatnim.

[1] https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-digital-trust-insights.html

[2] https://www.ibm.com/reports/data-breach

[3] https://www.pwc.com/gx/en/news-room/press-releases/2024/pwc-2025-global-digital-trust-insights.html

[4] https://www.forrester.com/blogs/predictions-2025-cybersecurity-risk-privacy/

[5] https://www.knf.gov.pl/dla_rynku/dora

[6] https://www.european-cyber-resilience-act.com/

[7] https://www.ey.com/pl_pl/cybersecurity/w-oczekiwaniu-na-nis2-stan-przygotowan

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Ten artykuł dotyczy produktu

Disaster Recovery as a Service

Przejdź do produktu

Data publikacji: 22.10.2024