Granica między innowacją technologiczną a nowym wektorem ataku staje się coraz cieńsza. Firmy, niezależnie od branży, funkcjonują dziś jako organizmy technologiczne, co nieuchronnie czyni je podatnymi na zagrożenia cyfrowe.

Jednak paradygmat myślenia o bezpieczeństwie, w którym za ochronę odpowiada wyłącznie dział IT, gwałtownie traci na aktualności. Nowym polem bitwy staje się świadomość każdego pracownika i ład korporacyjny, a presję na zmianę potęgują nowe, surowe regulacje prawne.

W wielu organizacjach pokutuje mylne przekonanie, że wyspecjalizowane zespoły IT są w stanie samodzielnie odeprzeć każde zagrożenie. Rzeczywistość jest jednak bardziej złożona. Dane rynkowe pokazują, że polskie firmy znajdują się pod nieustanną presją – w 2024 roku aż 83% z nich doświadczyło co najmniej jednego incydentu bezpieczeństwa, co stanowi wzrost o 16 punktów procentowych w skali roku.

Jednocześnie ponad jedna trzecia przedsiębiorstw wskazuje na niedobór wykwalifikowanych specjalistów jako główną barierę w budowie skutecznej obrony. Przeciążone zespoły IT, zmagające się z codziennymi zadaniami operacyjnymi, nie są w stanie jednocześnie neutralizować coraz bardziej wyrafinowanych i ukierunkowanych ataków.

Ta dysproporcja między oczekiwaniami a realnymi możliwościami tworzy niebezpieczne luki w systemie obronnym firmy.

Presja regulacyjna zaostrza grę

Na problemy techniczne nakłada się rosnące ciśnienie ze strony regulatorów. Dwie kluczowe inicjatywy legislacyjne Unii Europejskiej – rozporządzenie DORA oraz Akt o sztucznej inteligencji (AI Act) – fundamentalnie zmieniają zasady gry, przenosząc odpowiedzialność za cyberbezpieczeństwo i ład cyfrowy na poziom zarządu.

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), które wchodzi w życie 17 stycznia 2025 roku, narzuca na banki, firmy ubezpieczeniowe i inne instytucje finansowe jednolite wymogi dotyczące zarządzania ryzykiem ICT, raportowania incydentów i testowania odporności.

Kary za nieprzestrzeganie przepisów mogą sięgnąć nawet 2% całkowitego rocznego światowego obrotu.

Z kolei unijny AI Act wprowadza ramy prawne dla stosowania sztucznej inteligencji, kategoryzując systemy według poziomu ryzyka. Niektóre zastosowania, takie jak systemy oceny społecznej (social scoring) czy narzędzia do manipulacji behawioralnej, zostaną całkowicie zakazane już od lutego 2025 roku.

Za najpoważniejsze naruszenia przewidziano grzywny w wysokości do 35 milionów euro lub 7% globalnego rocznego obrotu. Te regulacje sprawiają, że ignorowanie ładu cyfrowego staje się nie tylko ryzykiem operacyjnym, ale również strategicznym zagrożeniem finansowym.

Człowiek – najsłabsze ogniwo wzmacniane przez AI

Mimo postępu technologicznego, najczęstszą bramą do firmowych systemów pozostaje człowiek. Phishing wciąż jest dominującym wektorem ataku, a jego skuteczność rośnie dzięki wykorzystaniu generatywnej sztucznej inteligencji. Narzędzia AI pozwalają cyberprzestępcom na tworzenie bezbłędnych językowo i wysoce spersonalizowanych wiadomości, które z łatwością omijają tradycyjne filtry.

Statystyki są alarmujące. Średni koszt naruszenia danych spowodowanego phishingiem w 2024 roku wyniósł 4,88 miliona dolarów. Równie niebezpieczne są ataki typu Business Email Compromise (BEC), w tym tzw. oszustwo na prezesa (CEO fraud), gdzie napastnicy podszywają się pod kadrę zarządzającą, by nakłonić pracowników do wykonania pilnych, nieautoryzowanych przelewów. Szacuje się, że nawet 64% firm doświadczyło tego typu ataków, a średnia strata na incydent sięga 150 tysięcy dolarów.

W tym kontekście regularne, praktyczne szkolenia i symulacje ataków dla wszystkich pracowników przestają być opcją, a stają się koniecznością. Kluczowe jest również wdrożenie jasnych procedur, na przykład zasady bezwzględnie zakazującej zlecania płatności za pośrednictwem nieoficjalnych kanałów komunikacji, jak prywatne komunikatory.

Technologia jako warstwa wspierająca, nie zastępująca

Choć czynnik ludzki jest kluczowy, nowoczesne technologie oferują dodatkowe warstwy zabezpieczeń. Podpisy elektroniczne pozwalają na weryfikację autentyczności i integralności dokumentów – każda próba modyfikacji po podpisaniu powoduje jego unieważnienie, co stanowi natychmiastowy sygnał alarmowy.

Perspektywicznym rozwiązaniem jest również Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet), którego wdrożenie w krajach członkowskich UE ma nastąpić do końca 2026 roku. Portfel ma zapewnić obywatelom bezpieczną, cyfrową tożsamość, umożliwiając jednoznaczną weryfikację w świecie online i tym samym znacząco utrudniając oszustwa oparte na kradzieży tożsamości.