BezpieczeństwoCentrum bezpieczeństwa za abonament. Czy SOC w chmurze to koniec ery wielkich budżetów? > Robert Kamiński Opublikowane 3 lipca 20260 0 6 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Przez lata obowiązywała prosta zasada: SOC — czyli Security Operations Center, centrum operacji bezpieczeństwa, mówiąc po ludzku: dyżurka, w której wykwalifikowani analitycy przez całą dobę śledzą, czy coś złego nie dzieje się w firmowej sieci — to infrastruktura dla dużych. Dla banków, operatorów telekomunikacyjnych, instytucji, które stać na kilkunastoosobowy zespół, dedykowane oprogramowanie i ściany ekranów jak z filmów szpiegowskich. Reszta jakoś dawała sobie radę. Albo nie dawała — i dowiadywała się o tym kilka miesięcy po fakcie.Prawo zmieniło stawkę3 kwietnia 2026 roku weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementująca unijną dyrektywę NIS2. Dla polskich firm sklasyfikowanych jako podmioty kluczowe lub ważne — a zakres jest szerszy, niż wiele zarządów sądzi — oznacza to obowiązek systematycznego monitorowania incydentów, raportowania ich do właściwych instytucji i, co szczególnie dotkliwe, osobistą odpowiedzialność członków zarządu za realizację tych wymogów. Kara może sięgać 100 milionów złotych.Rozmowa o SOC przeskoczyła nagle z „może kiedyś warto rozważyć” na „macie to robić i odpowiadacie za to głową.”Problem w tym, że rynek specjalistów nie urósł razem z wymogami prawa. Polska może dziś pokryć zaledwie około 15 procent swojego zapotrzebowania na ekspertów od bezpieczeństwa cyfrowego. W skali Europy brakuje blisko 400 tysięcy fachowców — szacuje Mind of Cyber. Wynagrodzenia w tej branży rosną w Polsce o 14–16 procent rocznie. Analityk z doświadczeniem w operacjach bezpieczeństwa to nie jest ktoś, kogo łatwo znaleźć, a już na pewno nie tanio.Co tak właściwie robi SOC i dlaczego to kosztujeKlasyczne centrum operacji bezpieczeństwa to kilka warstw oprogramowania i ludzi, którzy je obsługują.Podstawą jest SIEM (Security Information and Event Management) — system, który zbiera dzienniki zdarzeń (logi) z całej infrastruktury firmy i szuka w nich wzorców wskazujących na włamanie, wyciek danych albo działanie złośliwego oprogramowania. Nad nim pracuje SOAR (Security Orchestration, Automation and Response) — warstwa automatyzacji, która na wykryte zagrożenie reaguje według wcześniej zaprogramowanego scenariusza: blokuje konto, izoluje urządzenie, wysyła alert do administratora. Dochodzą do tego systemy analizy zachowań użytkowników — UEBA (User and Entity Behavior Analytics), czyli moduł, który pyta: czy ta osoba naprawdę zwykle o trzeciej w nocy pobiera 40 gigabajtów plików? A także ITDR (Identity Threat Detection and Response), który śledzi próby przejęcia tożsamości i kont uprzywilejowanych.Dotychczas każde z tych narzędzi kupowało się osobno, od różnych dostawców. Integracja była zadaniem dla zewnętrznych konsultantów. Utrzymanie — dla wewnętrznych specjalistów, których, jak wiemy, brakuje.Abonament zamiast infrastrukturyNa tym tle pojawia się model SOCaaS — Security Operations Center as a Service, czyli centrum bezpieczeństwa jako usługa subskrypcyjna w chmurze. Firma nie buduje własnej infrastruktury ani nie zatrudnia własnego zespołu analityków; zamiast tego wykupuje dostęp do platformy, narzędzi i — coraz częściej — procesów zautomatyzowanych przez sztuczną inteligencję.Globalny rynek tego typu usług był wyceniany w 2025 roku na ponad 7 miliardów dolarów i rośnie w tempie blisko 11 procent rocznie. W segmencie małych i średnich firm adopcja SOC jako usługi ma wzrosnąć o 22 procent do 2026 roku — i to właśnie tu koncentruje się największa dynamika. The Business Research CompanyTechnavioFortinet, jeden z liderów rynku cyberbezpieczeństwa, ogłosił właśnie platformę FortiSOC: rozwiązanie łączące SIEM, SOAR, UEBA i ITDR w jednej subskrypcji chmurowej. Jeden panel zarządzania, jeden rachunek miesięczny, gotowe reguły detekcji i schematy reagowania (tzw. playbooki) wypracowane przez globalny SOC producenta. Uzupełnia to moduł FortiAI-Assist — agentowa sztuczna inteligencja, czyli AI, które nie tylko odpowiada na pytania, lecz samodzielnie inicjuje działania: przeszukuje zdarzenia, koreluje alerty, proponuje lub wykonuje reakcję. Komunikacja między poszczególnymi agentami AI odbywa się przez protokół MCP (Model Context Protocol), który w uproszczeniu pozwala różnym modułom AI wymieniać między sobą zadania i wyniki.Fortinet nie jest tu jedynym graczem — podobne kierunki realizują CrowdStrike, Arctic Wolf czy IBM. FortiSOC jest przykładem trendu, nie rewolucją w próżni.Zastrzeżenie: cytat z IDC w komunikacie prasowym Fortineta nie ujawnia, czy badanie było przez producenta finansowane lub zlecone. Traktuję go jako tło, nie jako niezależną weryfikację.Co AI robi, czego nie robiAutomatyzacja obniża próg wejścia — ale go nie zeruje. Ktoś musi skonfigurować playbooki pod konkretne środowisko firmy, ocenić jakość generowanych alertów i zdecydować, kiedy automatyczna reakcja systemu jest działaniem właściwym, a kiedy mogłaby wyrządzić więcej szkód niż samo zagrożenie. W modelach w pełni zarządzanych przez dostawcę zadania te przejmuje zewnętrzny zespół. W modelach hybrydowych firma musi mieć przynajmniej kogoś, kto wie, na co patrzy.ENISA wprost wskazuje, że dla małych i średnich firm największym wyzwaniem we wdrożeniu NIS2 jest właśnie brak przystępnych narzędzi i kompetencji — a chmurowe usługi zarządzane i przystępne narzędzia są wymieniane jako kluczowe potrzeby tej grupy. Chmurowy SOC odpowiada na pierwsze. Drugie — brak kompetencji wewnętrznych do sensownego nadzoru nad zakupionym rozwiązaniem — pozostaje otwartym pytaniem, na które żaden vendorski komunikat prasowy nie daje odpowiedzi. ENISASOC przestał być luksusem dużych. Żeby jednak stał się narzędziem małych i średnich firm — musi być nie tylko tańszy, ale też zrozumiały. Subskrypcja to dobry początek. Pytanie, kto wyjaśni zarządowi, co właściwie kupił — i czy to wystarczy, gdy przyjdzie audyt.Related PostsPrzeczytaj również! SAP na nowo definiuje sposób działania firm dzięki Business AI Przyszłość sztucznej inteligencji w biznesie Pierwsza zasada korzystania z modeli AI? 2x się zastanów, zanim ich użyjesz