Home Bezpieczeństwo Co by się stało, gdyby jutro zgasło światło?

Co by się stało, gdyby jutro zgasło światło?

0
0
234

– ale nie w twoim mieszkaniu, tylko w twojej firmie? Nie prąd w gniazdku, tylko prąd w sieci. Chmura niedostępna, łącza martwe, systemy milczą. Kto w organizacji wie, co robić przez pierwsze 30 minut?

Wojna hybrydowa zaczyna się w Excelu

Z raportu KPMG „Barometr cyberbezpieczeństwa 2026. Cyberodporność w erze zmian” wyłania się obraz firm, które przestały wierzyć w „business as usual”.
37% przedsiębiorstw w Polsce bierze pod uwagę utratę kluczowego dostawcy chmury.
36% – długotrwały brak energii.
26% – wojnę hybrydową i sabotaż.

Jeszcze parę lat temu takie scenariusze kojarzyły się raczej z planszą do „Ryzyka” niż z realnym planowaniem ciągłości działania. Dziś wchodzą do arkuszy ryzyka i na slajdy zarządów. Nie dlatego, że ktoś ma katastroficzną wyobraźnię, tylko dlatego, że infrastruktura cyfrowa stała się jednym z pierwszych, oczywistych celów destabilizacji.

Co ważne – to nie jest abstrakcyjne „gdzieś tam”. W analizach polskich firm pojawia się już wprost scenariusz pełnoskalowego konfliktu zbrojnego (16% ankietowanych). A jednoczesna utrata wszystkich centrów przetwarzania danych, na skutek działań dywersyjnych, przestaje być political fiction.

W odpowiedzi firmy przyspieszają z chmurą publiczną – i to nie tylko z powodów „transformacyjnych”, ale bardzo przyziemnych: bezpieczeństwo, redundancja, scenariusze awaryjne. Chmura z symbolu nowoczesności staje się zapasowym agregatem.

Cyberbezpieczeństwo wychodzi z serwerowni

Ciekawa zmiana: bezpieczeństwo przestaje być „zabawką IT”.
Jeszcze niedawno najczęstsza odpowiedź na pytanie „kto odpowiada za cyber?” brzmiała: CIO albo ktoś „od komputerów”. Teraz ten model zaczyna pękać.

  • Odsetek firm, gdzie odpowiedzialność siedzi w IT, spadł do 36% (z 47% rok wcześniej).
  • Ponad 25% organizacji ma już dedykowanego CISO – to dwa razy więcej niż rok temu.
  • Tylko 2% firm w ogóle nie przypisało nikomu odpowiedzialności za ten obszar (wcześniej 11%).

Innymi słowy: ktoś wreszcie zadał sobie pytanie, czy gaszenie pożarów, kupowanie narzędzi, dogadywanie się z regulatorami i edukacja pracowników to na pewno „kawałek etatu” dyrektora IT.

I tu wchodzi paradoks: rośnie profesjonalizacja, rośnie świadomość, ale na pierwsze miejsce wśród barier wskakuje… brak wsparcia najwyższego kierownictwa (29%). Dalej są:

  • trudności w rekrutacji i utrzymaniu ludzi,
  • brak zaangażowania biznesu (po 26%).

Budżet i technologia przestają być wymówką. Prawdziwą barierą jest to, że temat nadal bywa postrzegany jak trudny, techniczny i „od tego mamy ludzi”. Dopóki cyberbezpieczeństwo nie stanie się stałym punktem agendy zarządu – z decyzjami, odpowiedzialnością, priorytetami – wszystko inne będzie pudrowaniem.

Kiedy AI pisze za napastników

Raport uczciwie przyznaje: rekordowy odsetek firm dotkniętych incydentami nie jest przypadkiem.
Zmienia się sama natura ataków. Wchodzimy w moment, w którym sztuczna inteligencja przestaje być „gadżetem do PowerPointa”, a zaczyna być fabryką cyberataków.

  • Modele językowe generują perfekcyjne językowo, spersonalizowane kampanie phishingowe, które prześlizgują się przez klasyczne filtry.
  • Deepfake audio i wideo zaczynają być realnym narzędziem socjotechniki – nie memem z TikToka.
  • Automatyzacja pozwala prowadzić równolegle tysiące ukierunkowanych ataków, zamiast strzelać na oślep.

W praktyce oznacza to, że złożoność i tempo ataków będą rosły szybciej, niż większość zespołów bezpieczeństwa jest w stanie łatkać podatności. AI będzie w stanie wyszukiwać słabości szybciej niż człowiek – i uczyć się na błędach równie dobrze jak obrońcy.

I tu pojawia się kluczowe pytanie z raportu: czy organizacje zdążą zbudować cyberodporność w tempie dorównującym ewolucji zagrożeń?
Nie: „czy kupią więcej technologii”, tylko: czy zdołają przeorganizować sposób myślenia o ryzyku, procedurach, odpowiedzialności.

Blackout w praktyce: co firmy naprawdę trenują

Na poziomie deklaracji organizacje próbują podchodzić do tematu systemowo, ale wciąż widać rozjazd między tym, co w dokumentach, a tym, co w realnych scenariuszach.

Co robią firmy?

  • 46% wdrożyło program zarządzania bezpieczeństwem łańcucha dostaw (audyt dostawców).
  • 35% przygotowuje kompleksowe plany ciągłości działania (BCP).
  • 30% robi regularne analizy ryzyka w obszarze cyber i ciągłości.

A gdy patrzymy na to, jakie zagrożenia są konkretnie wpisywane w analizy ryzyka, wychodzi następujący katalog:

  • 37% – utrata kluczowego dostawcy usług chmurowych,
  • 36% – długotrwały brak energii,
  • 29% – długotrwały brak dostępu do Internetu,
  • 26% – wojna hybrydowa i sabotaż,
  • 23% – awarie technologicznego łańcucha dostaw (np. zainfekowane aktualizacje),
  • 21% – rozległy atak ransomware,
  • 16% – pełnoskalowy konflikt zbrojny.

To jest ciekawy moment: firmy dopisują coraz poważniejsze scenariusze, ale jednocześnie coraz niżej oceniają własną dojrzałość.

Im więcej wiemy, tym mniej śpimy spokojnie

Respondenci KPMG obniżyli ocenę dojrzałości zabezpieczeń w 11 z 14 kategorii.
Drugi rok z rzędu nikt nie deklaruje „pełnej dojrzałości” we wszystkich obszarach. Tylko 3% firm uważa, że jest w pełni dojrzała w większości badanych kategorii.

Najlepiej oceniane jest reagowanie na incydenty – czyli umiemy gasić pożary. Jedynym obszarem z realną poprawą rok do roku jest zarządzanie tożsamością i dostępem.
To dobry znak, ale też sygnał, jak bardzo biegniemy za rzeczywistością:

  • tylko 1/3 firm uważa swój poziom cyberodporności za adekwatny do obecnego krajobrazu zagrożeń,
  • 58% wprost przyznaje, że potrzebne są usprawnienia w wybranych obszarach.

Krótko: większość firm widzi, że ma dziury w pancerzu. Różnica względem poprzednich lat polega na tym, że już tego nie pudruje.

Gdzie pójdą pieniądze w 2026

Z perspektywy budżetów widać trzy priorytety na najbliższy rok:

  1. Ochrona przed złośliwym oprogramowaniem.
  2. Programy podnoszenia świadomości pracowników.
  3. Bezpieczeństwo sieci wewnętrznej.

Rośnie też znaczenie inwestycji w bezpieczeństwo partnerów biznesowych – tu działa zarówno logika łańcucha dostaw, jak i rosnąca presja regulacyjna.

Do tego dochodzi outsourcing: aż 94% organizacji zleca na zewnątrz co najmniej jedną funkcję z obszaru cyberbezpieczeństwa. Większość robi to jednak selektywnie – 51% firm powierza dostawcom tylko jeden wybrany obszar. Czyli raczej chirurgiczne wsparcie niż pełne „oddanie” bezpieczeństwa w ręce zewnętrzne.

W tle mamy dyrektywę NIS2 i regulacje wokół AI (AI Act), które nie pozwalają już traktować cyberbezpieczeństwa jak „miłego dodatku”. Formalne wymagania stają się kijem, ale też pretekstem, żeby wreszcie uporządkować fundamenty.

Zarząd jako najsłabsze ogniwo

Jedna z najmocniejszych tez, jaka wybrzmiewa z raportu:
największą barierą nie jest już brak budżetu czy technologii, tylko brak wsparcia najwyższego kierownictwa i realnego zaangażowania biznesu.

To przesunięcie jest symboliczne.

Jeśli przez lata tłumaczyliśmy sobie braki w cyberbezpieczeństwie „ciasnym budżetem” i „brakiem ludzi na rynku”, dziś wymówki się kończą. Technologie są dostępne, modele usługowe – elastyczne, można outsourcować, automatyzować, kupować kompetencje.
Nie da się natomiast kupić:

  • decyzji, że przerwy technologiczne są nieakceptowalne,
  • zgody na ćwiczenia kryzysowe, które na kilka godzin wywracają organizację,
  • czasu zarządu na rozmowę o najgorszych scenariuszach.

To właśnie to – a nie kolejna skrzynka narzędzi – decyduje, czy blackout będzie dla firmy katastrofą, czy trudną, ale przećwiczoną sytuacją.

Puenta: od „cyber” do zwykłej odpowiedzialności

Z perspektywy biznesu można ten raport czytać na dwa sposoby.

Pierwszy: jako kolejny dokument o tym, jak jest źle, niebezpiecznie i jak bardzo trzeba się bać.
Drugi: jako bardzo trzeźwy opis momentu przejścia – z epoki, w której cyberbezpieczeństwo było „tematem do odhaczenia”, w stronę świata, w którym staje się zwykłym elementem odpowiedzialnego zarządzania.

Bo to, co przebija się przez liczby, jest w gruncie rzeczy proste:

  • firmy zaczynają brać pod uwagę scenariusze, które jeszcze wczoraj brzmiały jak political fiction,
  • lepiej wiedzą, gdzie mają słabe punkty,
  • inwestują – ale nadal za wolno wobec tempa zmian,
  • a najsłabszym ogniwem pozostaje tam, gdzie zawsze było najwygodniej milczeć: na poziomie decydentów.

Blackout, wojna hybrydowa, utrata chmury – to wszystko brzmi jak wielkie, ciężkie słowa. Ale sprowadza się do bardzo przyziemnego pytania, które warto zadać sobie w firmie:kto, kiedy i na podstawie czego decyduje, czy jesteśmy naprawdę gotowi na dzień, w którym wszystko przestanie działać – i czy ta decyzja zapada gdzieś wyżej niż w dziale IT.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…