BezpieczeństwoCo by się stało, gdyby jutro zgasło światło? > Robert Kamiński Opublikowane 6 marca 20260 0 239 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr – ale nie w twoim mieszkaniu, tylko w twojej firmie? Nie prąd w gniazdku, tylko prąd w sieci. Chmura niedostępna, łącza martwe, systemy milczą. Kto w organizacji wie, co robić przez pierwsze 30 minut?Wojna hybrydowa zaczyna się w ExceluZ raportu KPMG „Barometr cyberbezpieczeństwa 2026. Cyberodporność w erze zmian” wyłania się obraz firm, które przestały wierzyć w „business as usual”. 37% przedsiębiorstw w Polsce bierze pod uwagę utratę kluczowego dostawcy chmury. 36% – długotrwały brak energii. 26% – wojnę hybrydową i sabotaż. Jeszcze parę lat temu takie scenariusze kojarzyły się raczej z planszą do „Ryzyka” niż z realnym planowaniem ciągłości działania. Dziś wchodzą do arkuszy ryzyka i na slajdy zarządów. Nie dlatego, że ktoś ma katastroficzną wyobraźnię, tylko dlatego, że infrastruktura cyfrowa stała się jednym z pierwszych, oczywistych celów destabilizacji.Co ważne – to nie jest abstrakcyjne „gdzieś tam”. W analizach polskich firm pojawia się już wprost scenariusz pełnoskalowego konfliktu zbrojnego (16% ankietowanych). A jednoczesna utrata wszystkich centrów przetwarzania danych, na skutek działań dywersyjnych, przestaje być political fiction.W odpowiedzi firmy przyspieszają z chmurą publiczną – i to nie tylko z powodów „transformacyjnych”, ale bardzo przyziemnych: bezpieczeństwo, redundancja, scenariusze awaryjne. Chmura z symbolu nowoczesności staje się zapasowym agregatem.Cyberbezpieczeństwo wychodzi z serwerowniCiekawa zmiana: bezpieczeństwo przestaje być „zabawką IT”. Jeszcze niedawno najczęstsza odpowiedź na pytanie „kto odpowiada za cyber?” brzmiała: CIO albo ktoś „od komputerów”. Teraz ten model zaczyna pękać.Odsetek firm, gdzie odpowiedzialność siedzi w IT, spadł do 36% (z 47% rok wcześniej).Ponad 25% organizacji ma już dedykowanego CISO – to dwa razy więcej niż rok temu.Tylko 2% firm w ogóle nie przypisało nikomu odpowiedzialności za ten obszar (wcześniej 11%).Innymi słowy: ktoś wreszcie zadał sobie pytanie, czy gaszenie pożarów, kupowanie narzędzi, dogadywanie się z regulatorami i edukacja pracowników to na pewno „kawałek etatu” dyrektora IT.I tu wchodzi paradoks: rośnie profesjonalizacja, rośnie świadomość, ale na pierwsze miejsce wśród barier wskakuje… brak wsparcia najwyższego kierownictwa (29%). Dalej są:trudności w rekrutacji i utrzymaniu ludzi,brak zaangażowania biznesu (po 26%).Budżet i technologia przestają być wymówką. Prawdziwą barierą jest to, że temat nadal bywa postrzegany jak trudny, techniczny i „od tego mamy ludzi”. Dopóki cyberbezpieczeństwo nie stanie się stałym punktem agendy zarządu – z decyzjami, odpowiedzialnością, priorytetami – wszystko inne będzie pudrowaniem.Kiedy AI pisze za napastnikówRaport uczciwie przyznaje: rekordowy odsetek firm dotkniętych incydentami nie jest przypadkiem. Zmienia się sama natura ataków. Wchodzimy w moment, w którym sztuczna inteligencja przestaje być „gadżetem do PowerPointa”, a zaczyna być fabryką cyberataków.Modele językowe generują perfekcyjne językowo, spersonalizowane kampanie phishingowe, które prześlizgują się przez klasyczne filtry.Deepfake audio i wideo zaczynają być realnym narzędziem socjotechniki – nie memem z TikToka.Automatyzacja pozwala prowadzić równolegle tysiące ukierunkowanych ataków, zamiast strzelać na oślep.W praktyce oznacza to, że złożoność i tempo ataków będą rosły szybciej, niż większość zespołów bezpieczeństwa jest w stanie łatkać podatności. AI będzie w stanie wyszukiwać słabości szybciej niż człowiek – i uczyć się na błędach równie dobrze jak obrońcy.I tu pojawia się kluczowe pytanie z raportu: czy organizacje zdążą zbudować cyberodporność w tempie dorównującym ewolucji zagrożeń? Nie: „czy kupią więcej technologii”, tylko: czy zdołają przeorganizować sposób myślenia o ryzyku, procedurach, odpowiedzialności.Blackout w praktyce: co firmy naprawdę trenująNa poziomie deklaracji organizacje próbują podchodzić do tematu systemowo, ale wciąż widać rozjazd między tym, co w dokumentach, a tym, co w realnych scenariuszach.Co robią firmy?46% wdrożyło program zarządzania bezpieczeństwem łańcucha dostaw (audyt dostawców).35% przygotowuje kompleksowe plany ciągłości działania (BCP).30% robi regularne analizy ryzyka w obszarze cyber i ciągłości.A gdy patrzymy na to, jakie zagrożenia są konkretnie wpisywane w analizy ryzyka, wychodzi następujący katalog:37% – utrata kluczowego dostawcy usług chmurowych,36% – długotrwały brak energii,29% – długotrwały brak dostępu do Internetu,26% – wojna hybrydowa i sabotaż,23% – awarie technologicznego łańcucha dostaw (np. zainfekowane aktualizacje),21% – rozległy atak ransomware,16% – pełnoskalowy konflikt zbrojny.To jest ciekawy moment: firmy dopisują coraz poważniejsze scenariusze, ale jednocześnie coraz niżej oceniają własną dojrzałość.Im więcej wiemy, tym mniej śpimy spokojnieRespondenci KPMG obniżyli ocenę dojrzałości zabezpieczeń w 11 z 14 kategorii. Drugi rok z rzędu nikt nie deklaruje „pełnej dojrzałości” we wszystkich obszarach. Tylko 3% firm uważa, że jest w pełni dojrzała w większości badanych kategorii.Najlepiej oceniane jest reagowanie na incydenty – czyli umiemy gasić pożary. Jedynym obszarem z realną poprawą rok do roku jest zarządzanie tożsamością i dostępem. To dobry znak, ale też sygnał, jak bardzo biegniemy za rzeczywistością:tylko 1/3 firm uważa swój poziom cyberodporności za adekwatny do obecnego krajobrazu zagrożeń,58% wprost przyznaje, że potrzebne są usprawnienia w wybranych obszarach.Krótko: większość firm widzi, że ma dziury w pancerzu. Różnica względem poprzednich lat polega na tym, że już tego nie pudruje.Gdzie pójdą pieniądze w 2026Z perspektywy budżetów widać trzy priorytety na najbliższy rok:Ochrona przed złośliwym oprogramowaniem.Programy podnoszenia świadomości pracowników.Bezpieczeństwo sieci wewnętrznej.Rośnie też znaczenie inwestycji w bezpieczeństwo partnerów biznesowych – tu działa zarówno logika łańcucha dostaw, jak i rosnąca presja regulacyjna.Do tego dochodzi outsourcing: aż 94% organizacji zleca na zewnątrz co najmniej jedną funkcję z obszaru cyberbezpieczeństwa. Większość robi to jednak selektywnie – 51% firm powierza dostawcom tylko jeden wybrany obszar. Czyli raczej chirurgiczne wsparcie niż pełne „oddanie” bezpieczeństwa w ręce zewnętrzne.W tle mamy dyrektywę NIS2 i regulacje wokół AI (AI Act), które nie pozwalają już traktować cyberbezpieczeństwa jak „miłego dodatku”. Formalne wymagania stają się kijem, ale też pretekstem, żeby wreszcie uporządkować fundamenty.Zarząd jako najsłabsze ogniwoJedna z najmocniejszych tez, jaka wybrzmiewa z raportu: największą barierą nie jest już brak budżetu czy technologii, tylko brak wsparcia najwyższego kierownictwa i realnego zaangażowania biznesu.To przesunięcie jest symboliczne.Jeśli przez lata tłumaczyliśmy sobie braki w cyberbezpieczeństwie „ciasnym budżetem” i „brakiem ludzi na rynku”, dziś wymówki się kończą. Technologie są dostępne, modele usługowe – elastyczne, można outsourcować, automatyzować, kupować kompetencje. Nie da się natomiast kupić:decyzji, że przerwy technologiczne są nieakceptowalne,zgody na ćwiczenia kryzysowe, które na kilka godzin wywracają organizację,czasu zarządu na rozmowę o najgorszych scenariuszach.To właśnie to – a nie kolejna skrzynka narzędzi – decyduje, czy blackout będzie dla firmy katastrofą, czy trudną, ale przećwiczoną sytuacją.Puenta: od „cyber” do zwykłej odpowiedzialnościZ perspektywy biznesu można ten raport czytać na dwa sposoby.Pierwszy: jako kolejny dokument o tym, jak jest źle, niebezpiecznie i jak bardzo trzeba się bać. Drugi: jako bardzo trzeźwy opis momentu przejścia – z epoki, w której cyberbezpieczeństwo było „tematem do odhaczenia”, w stronę świata, w którym staje się zwykłym elementem odpowiedzialnego zarządzania.Bo to, co przebija się przez liczby, jest w gruncie rzeczy proste:firmy zaczynają brać pod uwagę scenariusze, które jeszcze wczoraj brzmiały jak political fiction,lepiej wiedzą, gdzie mają słabe punkty,inwestują – ale nadal za wolno wobec tempa zmian,a najsłabszym ogniwem pozostaje tam, gdzie zawsze było najwygodniej milczeć: na poziomie decydentów.Blackout, wojna hybrydowa, utrata chmury – to wszystko brzmi jak wielkie, ciężkie słowa. Ale sprowadza się do bardzo przyziemnego pytania, które warto zadać sobie w firmie:kto, kiedy i na podstawie czego decyduje, czy jesteśmy naprawdę gotowi na dzień, w którym wszystko przestanie działać – i czy ta decyzja zapada gdzieś wyżej niż w dziale IT.Related PostsPrzeczytaj również! Trendy i wyzwania w cyberbezpieczeństwie w 2025 roku Najsłabszym ogniwem polityk cyberbezpieczeństwa jest człowiek Czy sama automatyzacja może zabezpieczyć Twoją firmę?