Home Bezpieczeństwo Centrum bezpieczeństwa za abonament. Czy SOC w chmurze to koniec ery wielkich budżetów?

Centrum bezpieczeństwa za abonament. Czy SOC w chmurze to koniec ery wielkich budżetów?

0
0
21

Przez lata obowiązywała prosta zasada: SOC — czyli Security Operations Center, centrum operacji bezpieczeństwa, mówiąc po ludzku: dyżurka, w której wykwalifikowani analitycy przez całą dobę śledzą, czy coś złego nie dzieje się w firmowej sieci — to infrastruktura dla dużych. Dla banków, operatorów telekomunikacyjnych, instytucji, które stać na kilkunastoosobowy zespół, dedykowane oprogramowanie i ściany ekranów jak z filmów szpiegowskich.

Reszta jakoś dawała sobie radę. Albo nie dawała — i dowiadywała się o tym kilka miesięcy po fakcie.

Prawo zmieniło stawkę

3 kwietnia 2026 roku weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementująca unijną dyrektywę NIS2. Dla polskich firm sklasyfikowanych jako podmioty kluczowe lub ważne — a zakres jest szerszy, niż wiele zarządów sądzi — oznacza to obowiązek systematycznego monitorowania incydentów, raportowania ich do właściwych instytucji i, co szczególnie dotkliwe, osobistą odpowiedzialność członków zarządu za realizację tych wymogów. Kara może sięgać 100 milionów złotych.

Rozmowa o SOC przeskoczyła nagle z „może kiedyś warto rozważyć” na „macie to robić i odpowiadacie za to głową.”

Problem w tym, że rynek specjalistów nie urósł razem z wymogami prawa. Polska może dziś pokryć zaledwie około 15 procent swojego zapotrzebowania na ekspertów od bezpieczeństwa cyfrowego. W skali Europy brakuje blisko 400 tysięcy fachowców — szacuje Mind of Cyber. Wynagrodzenia w tej branży rosną w Polsce o 14–16 procent rocznie. Analityk z doświadczeniem w operacjach bezpieczeństwa to nie jest ktoś, kogo łatwo znaleźć, a już na pewno nie tanio.

Co tak właściwie robi SOC i dlaczego to kosztuje

Klasyczne centrum operacji bezpieczeństwa to kilka warstw oprogramowania i ludzi, którzy je obsługują.

Podstawą jest SIEM (Security Information and Event Management) — system, który zbiera dzienniki zdarzeń (logi) z całej infrastruktury firmy i szuka w nich wzorców wskazujących na włamanie, wyciek danych albo działanie złośliwego oprogramowania. Nad nim pracuje SOAR (Security Orchestration, Automation and Response) — warstwa automatyzacji, która na wykryte zagrożenie reaguje według wcześniej zaprogramowanego scenariusza: blokuje konto, izoluje urządzenie, wysyła alert do administratora. Dochodzą do tego systemy analizy zachowań użytkowników — UEBA (User and Entity Behavior Analytics), czyli moduł, który pyta: czy ta osoba naprawdę zwykle o trzeciej w nocy pobiera 40 gigabajtów plików? A także ITDR (Identity Threat Detection and Response), który śledzi próby przejęcia tożsamości i kont uprzywilejowanych.

Dotychczas każde z tych narzędzi kupowało się osobno, od różnych dostawców. Integracja była zadaniem dla zewnętrznych konsultantów. Utrzymanie — dla wewnętrznych specjalistów, których, jak wiemy, brakuje.

Abonament zamiast infrastruktury

Na tym tle pojawia się model SOCaaS — Security Operations Center as a Service, czyli centrum bezpieczeństwa jako usługa subskrypcyjna w chmurze. Firma nie buduje własnej infrastruktury ani nie zatrudnia własnego zespołu analityków; zamiast tego wykupuje dostęp do platformy, narzędzi i — coraz częściej — procesów zautomatyzowanych przez sztuczną inteligencję.

Globalny rynek tego typu usług był wyceniany w 2025 roku na ponad 7 miliardów dolarów i rośnie w tempie blisko 11 procent rocznie. W segmencie małych i średnich firm adopcja SOC jako usługi ma wzrosnąć o 22 procent do 2026 roku — i to właśnie tu koncentruje się największa dynamika. The Business Research CompanyTechnavio

Fortinet, jeden z liderów rynku cyberbezpieczeństwa, ogłosił właśnie platformę FortiSOC: rozwiązanie łączące SIEM, SOAR, UEBA i ITDR w jednej subskrypcji chmurowej. Jeden panel zarządzania, jeden rachunek miesięczny, gotowe reguły detekcji i schematy reagowania (tzw. playbooki) wypracowane przez globalny SOC producenta. Uzupełnia to moduł FortiAI-Assist — agentowa sztuczna inteligencja, czyli AI, które nie tylko odpowiada na pytania, lecz samodzielnie inicjuje działania: przeszukuje zdarzenia, koreluje alerty, proponuje lub wykonuje reakcję. Komunikacja między poszczególnymi agentami AI odbywa się przez protokół MCP (Model Context Protocol), który w uproszczeniu pozwala różnym modułom AI wymieniać między sobą zadania i wyniki.

Fortinet nie jest tu jedynym graczem — podobne kierunki realizują CrowdStrike, Arctic Wolf czy IBM. FortiSOC jest przykładem trendu, nie rewolucją w próżni.

Zastrzeżenie: cytat z IDC w komunikacie prasowym Fortineta nie ujawnia, czy badanie było przez producenta finansowane lub zlecone. Traktuję go jako tło, nie jako niezależną weryfikację.

Co AI robi, czego nie robi

Automatyzacja obniża próg wejścia — ale go nie zeruje. Ktoś musi skonfigurować playbooki pod konkretne środowisko firmy, ocenić jakość generowanych alertów i zdecydować, kiedy automatyczna reakcja systemu jest działaniem właściwym, a kiedy mogłaby wyrządzić więcej szkód niż samo zagrożenie. W modelach w pełni zarządzanych przez dostawcę zadania te przejmuje zewnętrzny zespół. W modelach hybrydowych firma musi mieć przynajmniej kogoś, kto wie, na co patrzy.

ENISA wprost wskazuje, że dla małych i średnich firm największym wyzwaniem we wdrożeniu NIS2 jest właśnie brak przystępnych narzędzi i kompetencji — a chmurowe usługi zarządzane i przystępne narzędzia są wymieniane jako kluczowe potrzeby tej grupy. Chmurowy SOC odpowiada na pierwsze. Drugie — brak kompetencji wewnętrznych do sensownego nadzoru nad zakupionym rozwiązaniem — pozostaje otwartym pytaniem, na które żaden vendorski komunikat prasowy nie daje odpowiedzi. ENISA


SOC przestał być luksusem dużych. Żeby jednak stał się narzędziem małych i średnich firm — musi być nie tylko tańszy, ale też zrozumiały. Subskrypcja to dobry początek. Pytanie, kto wyjaśni zarządowi, co właściwie kupił — i czy to wystarczy, gdy przyjdzie audyt.

Dodaj komentarz

Przeczytaj również

IBM pokazał chip przyszłości. TSMC i Intel grają o teraźniejszość

Na konferencji VLSI 2026 IBM zaprezentował coś, co w branży półprzewodników zdarza się rza…