6 Adamem Haertle, ekspertem bezpieczeństwa, twórcą oraz redaktorem naczelnym serwisu ZaufanaTrzeciaStrona.pl
OCHRONA PRZED ATAKAMI
25 Pełna kontrola infrastruktury w dużej skali (Energy Logserver)
OCHRONA ŚRODOWISK IT
26 Techniczny wyścig dobra ze złem
29 Fortinet: ochrona wszystkich kanałów komunikacji
10 Cyberzagrożenia w erze sztucznej inteligencji
Kolejne wygrane bitwy wcale nie kończą trwającej, coraz bardziej zażartej, wojny.
CYFROWE ZAMKI I KLUCZE
13 Ransomware – nie tylko szyfrowanie
14 Dane w silosach – największy wróg zarządzania ryzykiem (Tenable)
15 Oberig IT: cyberochrona nowej generacji
OCHRONA INFRASTRUKTURY IT
16 Monitorowanie bezpieczeństwa wsparte AI
19 GreyCortex Mendel: gdy detekcja staje się strategią
20 Bezpieczne sieci bez granic (Cisco)
BEZPIECZEŃSTWO ENERGETYCZNE INFRASTRUKTURY IT
30 Światowy boom na centra danych nie omija Polski
33 Armac: biurowy UPS klasy premium (Ingram Micro)
OCHRONA DOSTĘPU DO CYFROWYCH ZASOBÓW
34 Cyfrowe zamki i klucze
37 Tożsamość na celowniku hakerów
OCHRONA SYSTEMÓW OT I IOT
38 Sieci nowych możliwości i zagrożeń
Przedsiębiorstwa mierzą się z wielkim wyzwaniem, jakim jest ochrona danych uwierzytelniających.
WYSOKA DOSTĘPNOŚĆ
ŚRODOWISK IT
22 Jak uniknąć przestojów IT, nie rujnując budżetu
41 Zarządy angażują się w cyberbezpieczeństwo
42 Indeks firm
MONITOROWANIE
BEZPIECZEŃSTWA
WSPARTE AI Nowe regulacje unijne wymagają od przedsiębiorstw stałego monitorowania systemów IT oraz właściwego reagowania na incydenty. 16
SIECI NOWYCH
MOŻLIWOŚCI
I ZAGROŻEŃ
Połączenie światów automatyki przemysłowej i firmowej teleinformatyki zapewnia nowe możliwości operacyjne, ale przynosi też wiele nowych wyzwań z zakresu cyberbezpieczeństwa.
Krzysztof Jakubik redaktor prowadzący
Czas na MSP dla MŚP?
Jeszcze dekadę temu mała lub średnia firma, która chciała zadbać o cyberbezpieczeństwo, mogła wyposażyć się w porządny firewall, zainstalować antywirusa na stacjach roboczych, a następnie z czystym sumieniem stwierdzić, że temat jest „w zasadzie ogarnięty”. Obecnie brzmi to jak naiwne wspomnienie z dawnych czasów, a coraz więcej firm z sektora MŚP zaczyna zadawać sobie pytanie: czy my w ogóle jesteśmy w stanie za tym nadążyć? Problem polega na tym, że cyfrowa przestępczość stała się nie tylko bardziej wyrafinowana, ale też lepiej zorganizowana. Cyberkryminaliści działają w modelu usługowym, oferując Phishing-as-a-Service czy gotowe pakiety złośliwego kodu w modelu subskrypcyjnym. Dla małych i średnich firm, które zazwyczaj nie mają pełnoetatowego specjalisty ds. bezpieczeństwa (ani szans na jego zatrudnienie, ze względu na rynkową lukę oraz nierealistyczne wymagania co do wynagrodzenia), a zagadnienie to jest „doklejane” do obowiązków administratora IT, oznacza to grę w zupełnie innej lidze niż kiedyś.
Do tego dochodzi coraz większa presja regulacyjna. Unijna dyrektywa NIS 2 czy RODO nakładają na firmy nowe obowiązki, często bez oglądania się na ich wielkość. Teoretycznie to słuszne, bo dane przetwarzane przez MŚP mogą być równie wrażliwe jak te posiadane przez dużych graczy. W praktyce jednak spełnienie wymogów formalnych bez wsparcia specjalistów jest dla wielu firm niemal niewykonalne, a audyt bezpieczeństwa bywa dla małego podmiotu równie przerażający co kontrola skarbowa.
Kolejnym ciosem jest gwałtowne przenoszenie wielu procesów biznesowych do chmury. To z jednej strony ogromna szansa, ale i ryzyko – szczególnie gdy firma korzysta z wielu platform SaaS jednocześnie. W mniejszych podmiotach nie jest rzadkością sytuacja, w której każdy dział kupuje
usługi, bez centralnego nadzoru. Skutkuje to rozproszeniem danych, brakiem spójnej polityki dostępu oraz niemal zerową widzialnością dla zespołu IT. W takim środowisku wykrycie nietypowej aktywności użytkownika (albo cyberprzestępcy) graniczy z cudem. Jednym z mniej oczywistych wyzwań jest też zmiana w samym charakterze zagrożeń. Coraz częściej ataki nie bazują na złośliwym kodzie, lecz na inżynierii społecznej – manipulowaniu pracownikami w taki sposób, by sami „otworzyli drzwi” napastnikom. W takiej sytuacji żadne zabezpieczenia nie pomogą, jeśli firma nie zainwestuje w regularne szkolenia i budowanie świadomości wśród pracowników. Niestety, w MŚP takie podejście często jest traktowane jako zbędny luksus. Wszystko wskazuje na to, że jedynym ratunkiem w tej sytuacji są dostawcy usług zarządzanych (w tym bezpieczeństwa), którzy pozwolą firmom outsourcować część odpowiedzialności za monitorowanie incydentów i reagowanie na nie. Jednak i tu pojawia się problem – jak wybrać dostawcę, któremu naprawdę można zaufać i który nie potraktuje mniejszych podmiotów jako klientów drugiej kategorii?
Może zatem nadeszła pora, aby zaczęły masowo powstawać firmy „MSP dla MŚP”? Przy czym nie takie, które głównie wysyłają „informatyka”, gdy pani Krysi skończy się toner w drukarce. Mam na myśli usługodawców, którzy podejdą do tematu metodycznie – nie będą straszyć, lecz uświadomią klientowi zagrożenia dla jego biznesu (wynikające nie tylko z cyberprzestępczości, ale dotyczące też np. zagadnień wysokiej dostępności), wspólnie opracują przynajmniej zręby polityki bezpieczeństwa, a następnie pomogą w jej wdrożeniu i jako zaufany partner zaangażują się w szkolenie pracowników. Tym samym dadzą nadzieję tym, którzy nie radzą sobie technicznie i problem sprawia im utrzymanie równowagi między realnym ryzykiem a kosztami i wysiłkiem, jakie trzeba ponieść, by to ryzyko ograniczyć. Wierzę, że Czytelnicy Vademecum z powagą podejdą do potrzeb także mniejszych klientów i nie przegapią tego niemałego kawałka biznesowego tortu.
Ustawa o KSC 2025: najnowszy projekt
Wsierpniu br. w serwisie Rządowego Centrum Legislacji opublikowano kolejną, siódmą wersję projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Zawiera ona doprecyzowane zapisy dotyczące procedur nadzoru, zasad zgłaszania incydentów oraz klasyfikacji podmiotów publicznych. Celem nowelizacji jest pełna transpozycja dyrektywy NIS 2 do polskiego prawa oraz dostosowanie mechanizmów nadzoru i obowiązków w cyberbezpieczeństwie do obecnych zagrożeń. Obejmie ona około 38 tys. podmiotów w Polsce, co stanowi radykalny wzrost w porównaniu z poprzednią ustawą, która dotyczyła kilku tysięcy firm i instytucji. Nowelizacja uwzględnia także możliwość nakładania kar finansowych sięgających nawet 10 mln euro.
Projekt zakłada, że po jednomiesięcznym vacatio legis od wprowadzenia ustawy podmioty kluczowe i ważne będą miały jedynie sześć miesięcy na pełne dostosowanie się do nowych przepisów. W praktyce oznacza to konieczność rozpoczęcia przygotowań jeszcze przed formalnym przyjęciem ustawy. Konieczne jest wykonanie audytu, inwentaryzacji sprzętu i oprogramowania, ocena ryzyka i przegląd łańcucha dostaw, wdrożenie mechanizmów zarządzania podatnościami, raportowania incydentów czy wyznaczenie osób do kontaktu z Krajowym Systemem Cyberbezpieczeństwa, a także przeprowadzenie szkoleń.
Kto będzie objęty nowymi przepisami?
l Podmioty kluczowe – infrastruktura o strategicznym znaczeniu, której unieruchomienie w wyniku ataku skutkuje ryzykiem paraliżu społecznego i gospodarczego: branża energetyczna, wodociągi, transport lotniczy, kolejowy i morski, ochrona zdrowia, banki.
l Podmioty ważne – średnie i duże firmy, które dotychczas nie były formalnie nadzorowane, ale pełnią istotną funkcję w gospodarce (np. centra logistyczne, operatorzy usług cyfrowych, producenci chemikaliów, firmy telekomunikacyjne o regionalnym zasięgu).
l Podmioty publiczne – projekt wzmacnia obowiązki dla urzędów oraz instytucji administracji państwowej i samorządowej, które dotąd traktowane były ulgowo. Teraz będą miały obowiązek wdrożenia procesów reagowania na incydenty i raportowania ich do CSIRT.
l Dostawcy wysokiego ryzyka – ustawa daje rządowi narzędzie, by formalnie wykluczyć z rynku dostawców sprzętu i oprogramowania (firma może być wykluczona z przetargów publicznych, a jej produkty stopniowo eliminowane z infrastruktury krytycznej), jeśli istnieją przesłanki, że ich obecność zagraża bezpieczeństwu państwa, chociażby ze względu na powiązania z państwami trzecimi, brak transparentności produkcji czy podatność na ingerencję wywiadowczą.
Najważniejsze zmiany
l Procedury administracyjne – wprowadzono jasne kryteria, kto i kiedy może zostać wpisany do rejestru podmiotów objętych ustawą. Organ nadzorczy musi teraz uzasadnić odmowę wykreślenia, a podmioty mają prawo do odwołania.
l Rozszerzenie kryteriów dla podmiotów ważnych – oprócz wskaźników finansowych i kadrowych brane będą pod uwagę elementy jakościowe, takie jak wpływ na inne branże, liczba obsługiwanych klientów czy charakter świadczonych usług.
l Ocena dostawców wysokiego ryzyka – decyzja administracyjna w tej sprawie będzie podejmowana na podstawie oceny ryzyka przygotowanej przez Agencję Bezpieczeństwa Wewnętrznego i zatwierdzonej przez Radę Ministrów.
l Nadzór i sankcje – organy nadzorcze (np. Ministerstwo Cyfryzacji, UKE) zyskują nowe instrumenty, w tym możliwość nakładania kar administracyjnych, czasowego zawieszenia działalności lub cofnięcia koncesji.
Proponowane zmiany wprowadzane przez nowelizację UoKSC
Obszar Stan przed nowelizacją
Po nowelizacji
Zakres podmiotów objętych ustawą Ograniczony katalog (głównie operatorzy usług kluczowych) Rozszerzony katalog (obowiązki dla wielu średnich i dużych firm w 18 branżach)
Dostawcy wysokiego ryzyka Brak podstawy prawnej do wykluczania
Procedury administracyjne Nieprecyzyjne, długie, brak jawności
Sankcje
Głównie kary finansowe (stosowane sporadycznie)
Czas dostosowania Niejednoznaczny, w praktyce nawet kilka lat
Obowiązki dla sektora publicznego
Ograniczone, różny poziom dojrzałości
Formalny mechanizm eliminacji dostawców ze względu na zagrożenia bezpieczeństwa
Szczegółowe zasady, uzasadnienia odmów, publikacja decyzji, prawo do odwołania
Szerszy katalog (wstrzymanie działalności, cofnięcie koncesji, wykluczenie z przetargów)
Bardzo krótki (1 miesiąc vacatio legis, 6 miesięcy na wdrożenie)
Ujednolicone i wzmocnione (obowiązek zgłaszania incydentów i wdrożenia procedur)
Źródło: Rządowe Centrum Legislacji
nie ma końca Gra w cyberbezpieczeństwo
„W prawie brakuje konieczności starania się przez producentów urządzeń o uzyskanie certyfikatów bezpieczeństwa, które potwierdzałyby, że sprzęt przeszedł testy w danym zakresie i nie wprowadza do infrastruktury IT dodatkowych czynników ryzyka" – mówi Adam Haertle, ekspert bezpieczeństwa, twórca i redaktor naczelny serwisu ZaufanaTrzeciaStrona.pl.
Można spotkać się z opinią, że w kontekście cyfrowego bezpieczeństwa ani cyberprzestępcom, ani twórcom rozwiązań ochronnych, nie zależy na całkowitej wygranej – obie grupy nie chcą pozbawić się swoich żywicieli. Czy mamy do czynienia z patową sytuacją, w której najbardziej poszkodowani są zwykli użytkownicy?
Rzeczywiście, w tej grze długo nie będzie zwycięzcy, ale z innego powodu niż cyniczna strategia opierająca się na chęci zapewnienia sobie ciągłości zysku. Atakujący napędzani są chciwością i zazwyczaj nie zważają na długoterminowe konsekwencje. Rzadko kto idzie na „emeryturę” po dużym skoku, chociaż zdarzały się wyjątki. Bywało, że z darknetu znikały sklepy z narkotykami, gdy ich sprzedawcy uzyskali satysfakcjonujący poziom przychodu i w międzyczasie nie dali się złapać. Większość jednak prowadzi swój „biznes” tak długo, aż ktoś im przerwie. Obrońcy z kolei rywalizują nie tylko z przestępcami, ale i między sobą. Konkurencja jest ogromna, więc każdy chce być szybszy, skuteczniejszy, tańszy. To przypomina kreskówkę o kojocie i Strusiu Pędziwiatrze – wyścig trwa bez końca, nie ma mety… Problem jest więc asymetryczny – zawsze znajdą się nowi sprawcy, bo wejście do „branży” jest łatwe, a ryzyko złapania i udowodnienia winy minimalne.
Czy jednak w ostatnich latach szala nie przechyliła się trochę na stronę cyberprzestępców? Wysokość okupów, bezczelność działań, a nawet ataki na szpitale – kiedyś istniała przecież niepisana umowa, aby za cel nie obierać instytucji medycznych… Faktycznie dociera do nas więcej informacji o skali i skutkach ataków, ale niekoniecznie dlatego, że zjawisko to nagle eksplodowało. Po prostu obecnie inaczej wygląda krajobraz zagrożeń. Dekadę temu ransomware uderzał głównie w użytkowników indywidualnych – masowo infekowano tysiące komputerów, a to wymagało dużych nakładów pracy. Przestępcy zauważyli, że łatwiej i szybciej jest zaszyfrować całą firmę i to od niej zażądać jednego dużego okupu, niż od wielu indywidualnych osób. Takimi udanymi atakami interesują się już media, a dodatkowo do złudzenia, że jest ich więcej, przyczynia się obowiązek informowania o nich przez firmy na podstawie takich regulacji jak
Psychologia w kontekście cyberbezpieczeństwa staje się najważniejszym czynnikiem.
RODO czy przepisów giełdowych w USA oraz Europie. Kiedyś ofiary mogły zamiatać incydenty pod dywan, teraz muszą je ujawniać. Akurat w Polsce ich liczba jest relatywnie stała. Według statystyk CERT Polska, dwa lata temu było u nas około 130 udanych poważnych ataków ransomware, rok później – 120.
W Polsce podmioty infrastruktury krytycznej i branży finansowej są powszechnie wskazywane jako te, wobec których istnieje wysokie ryzyko cyberprzestępczości. Jakie inne branże powinny także zwracać większą uwagę na bezpieczeństwo?
Zacznijmy od tego, że branża finansowa jest rzeczywiście narażona, ale też dobrze zabezpieczona, natomiast jeśli chodzi o infrastrukturę krytyczną, to uważam, że ryzyko jej zagrożenia jest trochę przeszacowane. Do tej pory nie mieliśmy poważnych incydentów w podmiotach energetycznych czy wodociągowych, które realnie wpływałyby na życie obywateli – nigdy nie zgasło światło, nie zabrakło wody, nikt nie ucierpiał. Oczywiście dobrze, że przeznaczane są środki na ochronę, bo lepiej mieć zabezpieczenia niż ich nie mieć, ale statystycznie dotychczas realne zagrożenie było niewielkie i sprowadzało się do chwilowego uzyskania przez hakera dostępu do wybranych paneli infrastruktury. Natomiast z największą, często niedoszacowaną luką, mamy do czynienia w wspomnianej branży medycznej. Szpitale w Polsce są niedofinansowane, a tam cyberzagrożenia mogą realnie wpływać na życie ludzi.
Niemniej, ostatnio pojawił się raport, w którym stwierdzono, że Polska jest najbardziej atakowanym krajem, ze wskazaniem na Rosję. Fot. archiwum
Uwielbiam te raporty… Akurat ten konkretny przygotowała jakaś hiszpańska instytucja, która policzyła ataki haktywistów. A Polska trafiła na pierwsze miejsce głównie dlatego, że mamy w Polsce portal CyberDefence24, którego redaktor Oskar Klimczuk bardzo skrupulatnie śledzi kanały haktywistów i przedstawia informacje o każdej zhakowanej fontannie w Pcimiu Dolnym. Oczywiście, robi świetną robotę i gdyby nie on, to pewnie w ogóle nie wiedzielibyśmy o trzech czwartych tego typu ataków. To jednak o niczym nie świadczy, bo liczy się nie ich liczba, a skutek w masowej skali. Natomiast rzeczywistych pełnych danych nie ma nikt – ani my, ani napastnicy.
Czy w Polsce można zaobserwować jakieś unikalne zjawiska w kontekście cyberprzestępczości na tle reszty świata?
Nawet dwa. Pierwsze to oszustwa wykorzystujące BLIK – cała fala przestępstw polegających na wykradaniu kodów za pośrednictwem Facebooka. Poza Polską to zjawisko nie istnieje, bo nikt nie ma BLIK-a, ale pewnie zacznie się pojawiać w innych krajach, gdy wdrożą swoje własne systemy płatności tego właśnie typu. Drugie zjawisko to rola Polski jako poligonu doświadczalnego. Wiele kampanii startuje najpierw w takich krajach, jak Ukraina czy Białoruś, a potem wchodzi do nas – bo jesteśmy bliscy kulturowo i językowo. Poza tym istnieje dobra sieć słupów do wypłacania pieniędzy z bankomatów, a sprawcy ze Wschodu mają tutaj wielu znajomych. Jak coś „zażre” w Polsce, to dopiero idzie dalej – do Niemiec, Francji czy Czech.
Jakie są najbardziej zaniedbane nisze w strategii obronnej polskich firm? Wciąż jest to podejście do cyberbezpieczeństwa jako zjawiska, które dotyczy wyłącznie innych. Każdy incydent ransomware, jaki znam, związany był z jednym konkretnym działaniem, które należało zrobić inaczej: nie otworzyć portu RDP ze słabym hasłem, zaktualizować firewall, przeszkolić pracownika, ustawić filtr poczty, zareagować na alert w SIEM-ie, który od dawna świecił się na czerwono itd. To są podstawy higieny bezpieczeństwa, a mimo to firmy je ignorują, bo wierzą, że
„przecież się uda”. Dlatego największe braki nie dotyczą aspektów technicznych, ale priorytetów i konsekwencji działania. Brakuje kultury reagowania, podejścia „zatrzymaj ryzyko w zarodku”, a nie dopiero wtedy, gdy zaszyfrowane są serwery.
To są przecież szkolne błędy! Czy można przyjąć, że gdyby je wyeliminować, liczba udanych cyberataków spadłaby o kilkadziesiąt procent? Zdecydowanie tak. To jest bardzo wyraźnie widoczne na przykładzie Stanów Zjednoczonych, które pierwsze były mocno atakowane przez gangi ransomware.
Tam 70–80 procent incydentów brało się właśnie z tych szkolnych błędów. I Amerykanie, z konieczności, bo skala była gigantyczna, musieli poprawić podstawową higienę cyberbezpieczeństwa. Efekt? Liczba najprostszych ataków spadła, a przestępcy zaczęli przenosić się tam, gdzie jest łatwiej – najpierw do Europy Zachodniej, a teraz coraz częściej do Europy Wschodniej. Oczywiście ci najlepsi nie przestali atakować USA – ich dalej interesują najtrudniejsze cele, bo tam jest największy potencjał zysku. Jednak ogromna rzesza grup cyberprzestępczych nie ma takich kompetencji, żeby forsować skompli-
Czy istnieje skuteczny sposób na zautomatyzowaną, algorytmiczną ochronę przed sztuczkami socjotechnicznymi, aby zabezpieczyć użytkowników przed ich, mówiąc delikatnie, nie najmądrzejszym działaniem?
Ja bym powiedział, że tu raczej chodzi o ochronę przed ludzką naturą, bo to jej niedoskonałości i podatności są eksplorowane przez przestępców. W tej kwestii interesujące były eksperymenty, które prowadził Google. Nie wiem, na ile weszły one w fazę produkcyjną, ale idea była bardzo ciekawa: smartfon z Androidem słucha treści rozmowy i w pewnym momencie może podpowiedzieć, że użytkownik jest w procesie bycia oszukiwanym. Bo schematy manipulacji są znane, tylko trzeba zdać sobie sprawę, że właśnie w nie wpadliśmy. Ktoś stojący obok nas, na przykład członek rodziny, często wychwyci takie manipulacyjne mechanizmy szybciej, bo nie jest ich obiektem. Rolę takiego „świadka” może pełnić właśnie smartfon. Od strony technicznej jesteśmy na to gotowi: można przetwarzać takie dane lokalnie, bez naruszania prywatności i ostrzegać użytkownika, gdy rozmowa układa się według wzorca typowego dla oszustwa. Trzeba przy tym jednak postawić sprawę uczciwie: socjotechnika to potężna broń. Nie ma takiej liczby szkoleń, która byłaby wystarczająca. Znam trenera, który szkoli innych, a było blisko, żeby sam padł ofiarą manipulacji. Dopiero w ostatniej chwili, przypadkiem, zorientował się, że daje się nabrać, mimo że znał wszystkie sztuczki. To pokazuje, jak trudno się bronić. Są też przypadki, gdy ludzie prosili dostawcę internetu blokującego stronę phishingową, żeby im ją odblokował, bo „muszą coś kupić”. Obsługa tłumaczy: „to jest oszustwo, stracisz pieniądze”, a użytkownik odpowiada: „nie, nie, proszę to włączyć, ja wiem lepiej”. Nie ma jak z tym walczyć, gdy użytkownik działa przeciwko narzędziom ochronnym.
Znam trenera, który szkoli innych, a było blisko, żeby sam padł ofiarą manipulacji.
Jak bardzo sytuację utrudni wykorzystanie generatywnej sztucznej inteligencji przez cyberprzestępców do tworzenia deepfake’ów i phishingu? Na razie w ogóle nie ma potrzeby jej stosowania. W metodzie „na wnuczka” wystarczy zadzwonić, zatkać nos i powiedzieć „dziadku, miałem wypadek, mam rozbitą przegrodę nosową, dlatego tak dziwnie mówię”. To w zupełności wystarcza i nie ma potrzeby sztucznego generowania głosu. Uważnie obserwuję, jak przebiegają podejmowane w Polsce i na świecie próby ataków – nie spotkałem ani jednego, w którym w interaktywnej rozmowie skutecznie byłaby wykorzystywana sztuczna inteligencja. Oczywiście, przeróbki typu deepfake pojawiają się w reklamach – mieliśmy chociażby premiera Morawieckiego zachęcającego do rzekomej inwestycji w Baltic Pipe. Natomiast generalnie, ponieważ cyberprzestępczość to jest biznes, działa tu logika minimalnego wysiłku przy maksymalnym zysku. Jeśli wiadomości z błędami, pełne dziwnych zwrotów i ewidentnych sygnałów ostrzegawczych nadal skłaniają ludzi do kliknięcia, to po co je poprawiać? Naturalnie, są grupy, które inwestują w lepsze przygotowanie, ale to raczej przy atakach ukierunkowanych, gdzie znaczenie ma zmanipulowanie konkretnej ofiary, np. w kampaniach typu BEC. Natomiast w masowym phishingu wciąż liczy się ilość, a nie jakość.
Czyli widzimy raczej histerię medialną, a nie realne zagrożenie? Na obecnym etapie na pewno tak. Zresztą często działa tu psychologiczny mechanizm wyparcia. Ofiary racjonalizują fakt, że dały się nabrać, mówiąc, że to był deepfake. Albo administratorzy w przedsiękowane zabezpieczenia. Biorą to, co jest podane „na tacy”.
biorstwach twierdzą, że padli ofiarą, bo sprawcy wygenerowali atak na poziomie APT. Tymczasem chodzi zazwyczaj o wykorzystanie przez nich otwartego portu RDP z hasłem „admin/admin”.
Czy prawne regulowanie aspektów dotyczących cyfrowego bezpieczeństwa to dobry pomysł?
To bardzo trudny, wielopoziomowy temat. Na pewno duże znaczenie miało wprowadzenie obowiązku informowania o incydentach – to realnie podniosło świadomość bezpieczeństwa w instytucjach i podmiotach biznesowych. Gdy zarząd musi zdecydować o wysłaniu wiadomości do milionów klientów, że firma została zhakowana, w wielu przypadkach przekłada się to na większy budżet IT na rozwiązania ochronne w kolejnych latach. Ogólnie na razie nie widać efektu przeregulowania, chociaż oczywiście nie wiadomo jak daleko w to zabrniemy. Natomiast w kontekście prawnym brakuje konieczności starania się przez producentów urządzeń o uzyskanie certyfikatów bezpieczeństwa, które potwierdzałyby, że sprzęt przeszedł testy w określonym zakresie i nie wprowadza do infrastruktury IT dodatkowych czynników ryzyka. Obecnie producenci i sprzedawcy urządzeń nie mają praktycznie żadnej motywacji, żeby ich produkty były bezpieczne – dotyczy to routerów, inteligentnych pralek, telewizorów, kamer internetowych itd.
W jaki sposób dla biznesu mogą być pożyteczne instytucje typu CERT?
Firmy wciąż ignorują podstawy higieny bezpieczeństwa, bo wierzą, że „przecież się uda”...
Dwa polskie CERT-y są poza zakresem zainteresowania podmiotów biznesowych: wojskowy dotyczy wyłącznie organizacji mundurowych, rządowy – centralnych instytucji administracji państwowej. Dla przedsiębiorców najistotniejszy jest CERT Polska przy NASK-u – to on obsługuje większość przypadków, które nie mieszczą się w kompetencjach wojskowych lub rządowych zespołów. To chyba najbardziej zapracowany zespół bezpieczeństwa w kraju, który wykonuje ogromną liczbę działań prewencyjnych i interwencyjnych. Obsługuje zarówno incydenty ransomware, jak i inne zagrożenia, reagując bardzo sprawnie, by uratować dane w krytycznej sytuacji. Mają doświadczenie, kompetent- Fot. archiwum
nych ekspertów i wsparcie finansowe ze środków publicznych, co pozwala im działać skutecznie zarówno wobec firm, jak i użytkowników indywidualnych. Oprócz CERT Polska działają również inne zespoły, często przy dużych firmach i organizacjach. Dobrym przykładem takiej instytucji jest CERT Orange Polska, jeden z najstarszych zespołów tego typu, który skutecznie chroni klientów Orange.
Czy równie pozytywnie można ocenić działalność coraz większej liczby CSIRT-ów?
To są zespoły reagowania działające w firmach i instytucjach na trochę niższym szczeblu, a ich skuteczność zależy głównie od skompletowanego zespołu ekspertów, których – jak wiadomo – brakuje, nie tylko w Polsce. W branży finansowej funkcjonuje bardzo sprawny zespół CSIRT KNF, zaś placówki medyczne wspiera Centrum e-Zdrowia (CEZ). W ostatnich latach zaczęło powstawać coraz więcej CSIRT-ów w różnych branżach. To naturalne, bo mają one specyficzne problemy, jednak nadmiar tych placówek może powodować chaos. Może dojść do sytuacji, w której powstaje wiele CSIRT-ów, które się pokrywają i wchodzą sobie w kompetencje, zamiast koordynować działania. Ich prawdziwa wartość dla biznesu polega bowiem na udrożnieniu kanałów wymiany informacji.
Właśnie, jak wśród polskich podmiotów wygląda otwartość w dzieleniu się doświadczeniami z incydentów?
Bardzo źle. Obecnie firmy rzadko dzielą się wiedzą o incydentach nawet z innymi podmiotami w tej samej branży, bo tajemnica korporacyjna oraz obawa przed odkryciem się przed konkurencją blokują naturalny przepływ informacji. Tymczasem cyberprzestępcy z ochotą wykorzystują doświadczenia z ataku na jedną firmę do kampanii przeciwko kolejnym. Większość podmiotów ogranicza się do spełnienia wymogów ustawowych – zgłoszenia incydentu klientom i sformułowania kilku standardowych zaleceń typu: „zmień hasło, zabezpiecz dane, nie klikaj w podejrzane linki”. Niestety, to jedynie symboliczne działania, które dla innych firm niewiele wnoszą. Tymczasem szcze-
gółowa wiedza o wektorach ataku czy błędach w procedurach firmy mogłaby służyć jako cenna lekcja dla innych podmiotów, które w podobnej sytuacji mogłyby zapobiec stratom lub skuteczniej reagować. Niestety ujawnianie takich szczegółów z punktu widzenia PR jest postrzegane jako wizerunkowe ryzyko, więc działy komunikacji zawsze starają się ograniczać informacje do minimum – tak, aby wyglądało „dobrze” zamiast uczciwie. W ciągu ostatnich 20 lat miało miejsce może pięć przypadków, gdy firmy otwarcie i szczegółowo analizowały swoje poważniejsze incydenty przed szerszą publicznością.
Wiele kwestii podczas naszej rozmowy dotyka w pewien sposób tematów szeroko rozumianej psychologii. Czy rzeczywiście jest ona tak ważna w kontekście cyberbezpieczeństwa?
to ekspert bezpieczeństwa z ponad dwudziestoletnim doświadczeniem. Jest twórcą i redaktorem naczelnym serwisu ZaufanaTrzeciaStrona.pl, a także prelegentem wielu konferencji, trenerem i wykładowcą. Organizuje jedną z największych polskich konferencji poświęconych ochronie cyfrowych danych – Oh My H@ck (omhconf.pl). Przed założeniem własnej firmy pracował jako konsultant bezpieczeństwa w Deloitte, a następnie jako CISO w UPC, gdzie przez 12 lat odpowiadał za ochronę informacji w regionie Europy Środkowo-Wschodniej. Laureat prestiżowej nagrody Digital Shapers 2021 magazynów Forbes i Business Insider.
Powiedziałbym wręcz, że staje się najważniejszym czynnikiem. Jest obecna na wszystkich poziomach: w projektowaniu systemów, reagowaniu na incydenty, zapobieganiu sztuczkom socjotechnicznym, edukacji użytkowników i komunikacji organizacyjnej. Skuteczny specjalista od bezpieczeństwa to nie tylko technik, lecz także mediator, edukator i analityk zachowania ludzi, który potrafi przewidzieć, w jakich okolicznościach człowiek może stać się wektorem ataku i jak go przed tym zabezpieczyć. Doskonałym przykładem jest historia rozwoju bankowych stron internetowych. Zabezpieczano sesje przeglądarki, weryfikowano integralność kodu, szyfrowano skrypty – wszystko po to, by uniemożliwić ataki przestępców na strony banków. Mimo zaawansowanej ochrony wystarczyło, że przestępca zadzwonił do klienta i poprosił o przelanie pieniędzy pod pretekstem rzekomego ataku albo o udostępnienie kodu autoryzacyjnego. Okazało się, że ludzki głos i manipulacja psychologiczna były znacznie skuteczniejsze niż wszystkie rozwiązania techniczne.
Czy równie duży wpływ psychologia ma na relacje wewnątrz przedsiębiorstwa?
Zespół odpowiedzialny za bezpieczeństwo musi umieć przekonywać zarządy do inwestycji w ochronę, a także współpracować z użytkownikami, którzy mogą postrzegać zabezpieczenia jako utrudnienie pracy – w obu tych przypadkach straszenie lub wymuszanie konkretnych działań jest nieskuteczne lub mocno irytujące. Z doświadczeń wielu lat wiemy, że najskuteczniejsza jest metoda nagrody, empatycznej edukacji oraz stopniowego wprowadzania zmian. Wobec pracowników czasami trzeba stosować metody wychowawcze jak z dziećmi – chodzić i rozdawać cukierki, nagradzając ich za dobre zachowanie. Najpierw nagroda, a dopiero potem kara, gdy nagroda nie skutkuje.
Rozmawiał Krzysztof Jakubik
Adam Haertle
Cyberzagrożenia
w erze sztucznej inteligencji
Globalna współpraca branży cyberbezpieczeństwa w walce z cyfrowymi piratami przynosi wymierne
efekty w postaci aresztowań, likwidacji trefnych serwerów oraz konfiskaty zasobów. A
jednak
kolejne wygrane bitwy wcale nie kończą trwającej, coraz bardziej zażartej, wojny.
l Krzysztof Jakubik
Model biznesowy przestępców oraz mechanika osiągania zysków ulegają istotnej przemianie w ostatnich latach. Można zaobserwować jednoczesne współistnienie dwóch strategii: kosztownych, wyrafinowanych operacji oraz taniej, zautomatyzowanej masowej aktywności. Dla przedsiębiorstw oznacza to konieczność dywersyfikacji obrony na trzech poziomach – technicznym (EDR, segmentacja sieci, ciągły monitoring), procedur (plany reagowania na incydenty, regularne testy przywracania środowisk IT do pracy) oraz decyzji strategicznych (cyfrowe ubezpieczenia, polityka komunikacji
kryzysowej, ścisła współpraca z organami ścigania). Sztuczna inteligencja dodatkowo wpływa na ekonomikę działania cyberprzestępców: podnosi jakość manipulacji i skalę ataków, ale też obniża barierę wejścia dla zautomatyzowanych masowych kampanii.
Na szczęście, coraz skuteczniejsze są działania organów ścigania, które przyniosły mierzalne sukcesy przeciwko ekosystemom ransomware. Skoordynowane międzynarodowe operacje doprowadziły do aresztowań liderów i afiliantów, przejęć serwerów i domen oraz konfiskaty kryptowalut. Wśród przykładów jest rozbicie grupy 8Base oraz ope-
Czy CVE to dobry wskaźnik?
W ciągu kilku minionych lat bardzo dynamicznie rośnie liczba podatności zgłaszanych do globalnej bazy CVE. W 2023 r. odnotowano prawie 29 tys. nowych CVE, podczas gdy w roku ubiegłym liczba ta skoczyła do rekordowych 40 tys., co oznacza wzrost o około 38 proc. Średnia dzienna liczba zgłoszeń dla całego 2024 r. wynosiła 108 CVE, a w pierwszych miesiącach 2025 wzrosła do 131, co może wskazywać, że pobite zostaną dotychczasowe rekordy. Przyczyną tej fali wzrostu podatności jest rosnąca liczba urządzeń i aplikacji dostępnych na rynku, ale też intensywne korzystanie z rozwiązań open source, których otwarty kod ułatwia wykrywanie podatności. Z drugiej strony, rośnie dyskusja nad jakością zgłaszanych podatności i realnym ryzykiem, jakie ze sobą niosą. Chociaż rośnie liczba nowych CVE, odsetek tych rzeczywiście wykorzystywanych przez cyberprzestępców pozostaje stosunkowo niski – w połowie 2024 r. Qualys wskazywał, że z całej masy zgłoszonych podatności wynosił on 0,91 proc. To oznacza, że wiele CVE ma charakter bardziej „teoretyczny” i nie można ich traktować jako zagrożenie krytyczne. Spada też tempo, w jakim podatności są eksploatowane od momentu zgłoszenia – obecnie tylko niewielka ich część zostaje natychmiast użyta przez atakujących.
racja „Cronos” wymierzona w LockBit, w wyniku której zablokowano serwisy komunikacyjne i zabezpieczono środki umożliwiające ofiarom odzyskanie dostępu bez płacenia okupu.
Ransomware wciąż dotkliwy
Ataki ransomware nieustannie spędzają sen z powiek osobom odpowiedzialnym za IT w przedsiębiorstwach, ale warto zauważyć, że w ciągu ostatnich dwóch lat przeszły one fazę intensywnej transformacji. Do konieczności zmiany strategii cyberprzestępców przyczynił się fakt, że znacząco spadły wpływy z okupów – według raportu Chainalysis („2025 Crypto Crime Report”) w 2024 r. odnotowano około 35 proc. mniej wpłat niż w rekordowym 2023 r., a całkowita suma otrzymanych okupów to około 813 mln dol. Zdaniem analityków spadek ten to efekt działań organów ścigania, wprowadzanych przez coraz więcej krajów restrykcji w obrocie kryptowalutami, wpływających na brak anonimowości, a także wzrostu skuteczności zabezpieczeń stosowanych przez przedsiębiorstwa.
Jednocześnie na wysokim poziomie utrzymała się liczba incydentów ransomware. Według autorów dokumentu „ENISA Threat Landscape 2024” oznacza to, że ataki są wciąż powszechne, ale częściej prowadzą do publikacji skradzionych danych niż do wypłat okupów (a to z kolei jest konsekwencją tego, że firmy mają coraz skuteczniejsze procedury wykonywania kopii zapasowych, więc nie tracą zaszyfrowanych danych i nie płacą okupu, godząc się na ich wyciek).
Skąd więc spadek przychodów cyberprzestępców przy relatywnie stałej liczbie udanych kampanii? Po pierwsze, model „big-game hunting” wciąż istnieje, realizowany przez zespoły nastawione na wielkie uderzenia celujące w podmioty z dużymi zasobami, wrażliwymi da-
nymi i potencjałem do podjęcia decyzji o zapłacie okupu (a więc głównie branża finansowa, techniczna, ochrony zdrowia i sektor publiczny). Po drugie, pozycję największych gangów osłabiły działania prawne, w tym dekonspiracje, aresztowania, przejęcia infrastruktury, a także presja regulatorów. W rezultacie rynek uległ fragmentacji: na miejsce rozbitych sieci wchodzą mniejsze, mniej doświadczone grupy i „samodzielni” operatorzy, którzy częściej atakują liczniej, lecz z mniejszymi żądaniami. To nie oznacza jednak, że są mniej niebezpieczni – ich działania mogą być wystarczające, aby zakłócić pracę małych lub średnich przedsiębiorstw, które nie przykładają do zabezpieczeń szczególnej uwagi. Ta ewolucja ma praktyczne konsekwencje. Podmioty inwestujące w podstawowe praktyki cyberbezpieczeństwa – szybkie łatanie luk, segmentację sieci, wieloskładnikowe uwierzytelnianie oraz kopie zapasowe wykonywane w profesjonalny sposób (a więc z regularnym testowaniem możliwości odzyskania danych) – coraz częściej nie muszą płacić okupów za odszyfrowanie danych lub uniknięcie ich opublikowania na publicznych forach. Ze statystyk wynika, że globalnie odsetek ataków kończących się szyfrowaniem spadł z 70 do 50 proc. w ostatnim roku, a mediany żądań i wysokości okupów wyraźnie się obniżyły.
W praktyce widać zatem dwa konkurencyjne trendy. Atakujący kierują się tam, gdzie szansa uzyskania potencjalnego zwrotu z podjętych przez nich działań jest najwyższa. Równocześnie lepsze procedury, świadomość, prawo i koordynacja międzynarodowej współpracy służb obniżają opłacalność masowych, dużych ataków. To prowadzi do zwiększonej liczby prób przy niższym średnim przychodzie na incydent. Od kilku lat widoczny był trend, zgodnie z którym atakujący odchodzili od wybierania za
Phishing nie służy już głównie wyłudzaniu pieniędzy.
ofiary indywidualnych osób i mniejszych firm, ze względu na konieczność prowadzenia negocjacji co do okupu z wieloma podmiotami i generalnie mniejszą szansą uzyskania go. Jednak wygląda na to, że w obecnej sytuacji nie będą mieli wyjścia i znów główne ryzyko będzie dotyczyło małych i średnich firm.
Nowe oblicze socjotechniki
Krajobraz cyfrowych oszustw niewątpliwie zmieni się także za sprawą sztucznej inteligencji. Generatywne modele ułatwiają tworzenie spersonalizowanych wiadomości phishingowych, syntezę głosu oraz deepfake’ów foto i wideo, a także zautomatyzowane zbieranie informacji o ofierze. Dzięki temu ataki socjotechniczne mogą stać się bardziej przekonujące i tańsze w skali masowej – wystarczy, że ktoś bez umiejętności copywritingu wygeneruje realistyczne założenia i w krótkim czasie otrzyma setki gotowych do rozesłania wariantów wiadomości. Warto jednak pamiętać, że ofiary w większości wciąż nabierają się na proste sztuczki. Badania i raporty pokazują, że ludzki czynnik nadal pozostaje najsłabszym ogniwem. Pracownicy firm
klikają w złośliwe linki w podejrzanych wiadomościach z takich powodów jak pośpiech, presja czy brak świadomości. Na razie cyberprzestępcy używają AI głównie do automatyzacji produkcji treści, które wcześniej tworzyli ręcznie, a niekoniecznie wymyślają nowe, wyrafinowane techniki manipulacji. W praktyce oznacza to, że w przypadku wielu firm wystarczającą ochroną byłoby zainwestowanie w fundamenty ochrony IT – szkolenia, MFA, sprawdzone procedury wykrywania zainfekowanych urządzeń i izolowania ich.
Kwestia kosztu i efektu ekonomicznego też działa w dwie strony. Zaawansowane deepfake’i oraz indywidualne kampanie z wykorzystaniem modeli generatywnych mogą być kosztowne w przygotowaniu, zwłaszcza gdy wymagają ręcznego dostosowywania i integracji wielu danych ofiary. Dlatego często atakujący wybierają hybrydowe podejście: rozpoczynają kampanię tanią i prowadzoną w szerokiej skali wysyłką wiadomości generowanych masowo przez AI, a po zidentyfikowaniu potencjalnie wartościowych celów sięgają po droższe techniki.
Ochrona przed atakami
Natomiast w kontekście AI specjalną kategorię stanowią ataki APT. W tym segmencie sztuczna inteligencja daje realne przewagi atakującym w wielu obszarach, takich jak: automatyzacja rozpoznania środowiska, generowanie skryptów eksploatacyjnych, analizowanie kodu źródłowego pod kątem podatności, a także techniki prompt injection skierowane przeciw systemom LLM używanym przez ofiary. APT wykorzystują AI nie tyle do „perswazji masowej”, co do zwiększenia efektywności fazy rekonesansu, szybkiego tworzenia exploitów i ukierunkowanego łamania zabezpieczeń. W efekcie narzędzia AI skracają cykl ataku i utrudniają jego wykrycie. Sztuczna inteligencja wykorzystywana jest też w mechanizmach obronnych. Systemy wykrywania anomalii, automatyczny triage alertów i generatywne asystenty do analizy incydentów zwiększają skalę i skuteczność ochrony, obniżając liczbę fałszywych alarmów i przyspieszając reagowanie. Duże firmy chwalą się spadkiem skutecznych wyłudzeń tam, gdzie wdrożono analitykę behawioralną i centralny monitoring tożsamości. Jednak wdrożenie takich systemów jest kosztowne i wymaga wykwalifikowanego zespołu.
Phishing wciąż głównym wektorem ataku
Z opublikowanego przez Cisco Talos raportu dotyczącego drugiego kwartału
Polska w czołówce
Techniczne przyczyny powodzenia ataków ransomware w latach 2023–2025 (dane w proc.)
Pobranie złośliwego pliku
2025 r. wynika, że phishing wciąż jest najczęściej wykorzystywaną metodą rozpoczęcia ataku, chociaż jego udział spadł z 50 do 33 proc. Eksperci tłumaczą to osłabieniem wpływu głośnej kampanii phishingu głosowego (vishingu), która dominowała w pierwszych miesiącach roku. Nadal jednak trzy czwarte kampanii phishingowych bazowało na przejętych, zaufanych kontach mejlowych, co pozwalało przestępcom łatwo obchodzić zabezpieczenia.
Co ważne, phishing nie służy już głównie wyłudzaniu pieniędzy, ale zdobywaniu kolejnych danych logowania. Ofiary trafiają na spreparowane strony, z których przestępcy przechwytują zarówno dane dostępowe, jak i tokeny uwierzytel-
Według badania przeprowadzonego przez ESET, w pierwszej połowie 2025 r. Polska zajęła niechlubne pierwsze miejsce na świecie pod względem liczby wykrytych ataków ransomware przeciwko rodzimym podmiotom, co oznaczało aż 6 proc. incydentów w skali globalnej. Jednocześnie na świecie obserwowany był wzrost liczby tego typu ataków o około 30 proc., chociaż wartość wypłacanych okupów spadła z kolei o 35 proc.
Wysoka pozycja Polski w statystykach nie jest efektem wyłącznie zewnętrznych zagrożeń – autorzy raportu wskazują na nasze poważne słabości wewnętrzne. Tylko 59 proc. polskich firm deklaruje stosowanie przynajmniej podstawowego oprogramowania zabezpieczającego, przy czym aż 88 proc. przyznaje, że w ostatnich latach doświadczyło przynajmniej jednego ataku albo wycieku danych.
Co więcej, wiedza lokalnych pracowników na temat ransomware wciąż pozostaje niewielka. Jedynie 19 proc. kadry rozumie, co ten termin w praktyce oznacza. Znacznie lepiej rozpoznawalne są za to phishing i kradzież tożsamości. Dodatkowo ponad połowa pracowników (52 proc.) nie brała udziału w żadnym szkoleniu z bezpieczeństwa w ciągu minionych pięciu lat, co potęguje ryzyko błędów ludzkich i skuteczność ataków socjotechnicznych.
niania wieloskładnikowego. Następnie, za pomocą spersonalizowanych kampanii spear phishingowych, sięgają po dane kolejnych użytkowników, chociażby w ramach tego samego przedsiębiorstwa. Brak obecnych przy tej metodzie żądań płatności sprawia, że wiadomości mejlowe wydają się mniej podejrzane, a tym samym taka technika kradzieży jest bardziej skuteczna.
Jedną z najszybciej rosnących metod cyberoszustw w ostatnich latach stał się natomiast quishing, czyli phishing z wykorzystaniem kodów QR. Cyberprzestępcy coraz częściej umieszczają fałszywe piktogramy w mejlach, SMS-ach, załącznikach PDF, a nawet w przestrzeni publicznej – na parkomatach, tabliczkach czy ulotkach. Skala zjawiska rośnie w błyskawicznym tempie: według danych firmy Check Point Software, w latach 2021–2024 liczba ataków phishingowych wykorzystujących kody QR wzrosła aż o 900 proc.
Tymczasem, jak pokazują badania zlecone przez serwis ChronPESEL.pl i Krajowy Rejestr Długów, aż 83 proc. Polaków deklaruje, że unika podejrzanych linków i załączników, co czyni ich bardziej podatnymi na quishing, bo kod QR omija tradycyjne filtry antyspamowe i pozostaje dla użytkownika nieprzezroczystą grafiką. W efekcie ta pozornie prosta metoda staje się wyjątkowo skutecznym narzędziem służącym do wyłudzania danych logowania, numerów PESEL czy kart płatniczych. n
Wykorzystana podatność
Wykradzione dane logowania
Szkodliwa wiadomość e-mail
Phishing Atak brute force
Wykorzystywane przez firmy mechanizmy ochrony własnego środowiska IT
Ochrona elektronicznejpoczty
Szkolenia ze świadomości dot. bezpieczeństwa
Backup, rozwiązania ciągłości biznesowej i przeciwdziałania skutkom ataków
Ochrona końcowychurządzeń
Mechanizmy
Podmioty, które doświadczyły jednego lub więcej ataków ransomware
Podmioty, które nie doświadczyły ataku ransomware
Działania podjęte przez cyberprzestępców podczas najbardziej poważnych ataków ransomware
Instalacja dodatkowego złośliwego kodu
Kradzież danych i ich upublicznienie
Kradzież danych
Zainfekowanie wielu stacji roboczych i serwerów
Przemieszczanie się w sieci (ruch boczny)
Zaszyfrowanie danych
Szantażowanie partnerów, akcjonariuszy lub klientów
Uporczywe działania, instalacja backdoora
Unieruchomienie wielu/wszystkich komputerów lub serwerów
Szantażowanie poinformowaniem podmiotów rządowych lub mediów
Zniszczenie kopii zapasowych
Skasowanie kopii migawkowych lub plików
Szantażowanie pracowników
Podniesienie uzyskanych uprawnień
Ransomware – nie tylko szyfrowanie
Wopublikowanym w sierpniu br. dokumencie „The Ransomware Insights Report 2025”, opracowanym przez Barracuda i Vanson Bourne, przedstawione zostały skala oraz skutki ataków ransomware na całym świecie. Z badań wynika, że aż 57 proc. podmiotów doświadczyło udanego ataku w ciągu ostatnich 12 miesięcy, a co trzeci z nich padł ofiarą wielokrotnie. Problem dotyczy wszystkich branż i firm, niezależnie od wielkości, ale szczególnie narażone są podmioty opieki zdrowotnej, administracji lokalnej i handlu.
Ataki nie ograniczają się już tylko do szyfrowania danych (a w niektórych w ogóle do zaszyfrowania nie dochodzi) – coraz częściej obejmują kradzież informacji, instalowanie dodatkowego złośliwego kodu, niszczenie kopii zapasowych czy szantaż wobec pracowników i partnerów biznesowych. Chociaż 32 proc. ofiar decyduje się zapłacić okup, niemal połowa z nich i tak nie odzyskuje pełnych danych, co pokazuje, że jest to ryzykowna i nieskuteczna strategia.
W raporcie zwrócono też uwagę na zjawisko „security sprawl” – rozproszenia narzędzi bezpieczeństwa i ich słabej integracji, które w praktyce zwiększa podatność na ataki. Ofiary ransomware statystycznie rzadziej mają wdrożone podstawowe zabezpieczenia, takie jak ochrona poczty, monitoring sieci, jak też rzadko prowadzą szkolenia dla pracowników.
Pełna wersja raportu
Dane w silosach
– największy wróg zarządzania ryzykiem
W epoce sztucznej inteligencji i rosnącej powierzchni ataku zarządzanie ryzykiem staje się fundamentem ciągłości biznesu. Tenable pokazuje, że
całość
można połączyć w jedną
wspierające nie tylko działy IT, ale i zarządy.
Dyrektorzy ds. bezpieczeństwa w dużych przedsiębiorstwach codziennie zmagają się z zalewem raportów z różnych źródeł: od zespołów SOC, dostawców chmurowych czy działów compliance (GRC). Każdy dokument ma inny priorytet i prezentuje dane w odmienny sposób. W efekcie osoby odpowiedzialne za cyberbezpieczeństwo częściej toną w tabelach i plikach CSV, niż faktycznie zarządzają ryzykiem. Problem dodatkowo pogłębia ekspansja sztucznej inteligencji, która stała się naturalnym elementem działalności wielu departamentów. Bezpieczeństwo musi nadążyć za tym nowym wektorem ekspozycji.
Na tym tle wyróżnia się Tenable – firma, która od lat buduje swoją pozycję lidera na rynku rozwiązań do zarządzania podatnościami i ekspozycją. Jej celem jest dostarczanie przedsiębiorstwom jednego źródła prawdy o stanie bezpieczeństwa,
niezależnie od tego, jak złożona i hybrydowa jest ich infrastruktura. Według ekspertów Tenable jest to szczególnie ważne w kontekście faktu, że sztuczna inteligencja przestała być wizją przyszłości i stała się realną częścią powierzchni ataku. Brak widzialności środowiska w tym obszarze to luka, która prędzej czy później zostanie wykorzystana przez cyberprzestępców.
Puzzle, które tworzą pełny obraz
Kluczową propozycją firmy jest rozwiązanie Tenable One wraz z modułem Connectors. Integruje ono dane z wielu narzędzi, takich jak systemy EDR, platformy chmurowe czy bazy CMDB, a następnie przenosi je do wspólnej warstwy
– Exposure Data Fabric. Tam informacje są deduplikowane, normalizowane i łączone w spójny obraz. Doświadczenia dotychczasowych użytkowników poka-
Przez lata firmy inwestowały w kolejne narzędzia: skanery podatności, rozwiązania EDR, systemy monitorujące chmurę czy do zarządzania tożsamościami. Każde z nich gromadzi dane w zamkniętym ekosystemie, co tworzy środowisko pełne silosów – przypomina to układanie puzzli bez obrazka referencyjnego. Zespoły wiedzą o istnieniu podatności, ale nie potrafią okre-
ślić ich znaczenia w kontekście procesów biznesowych. SOC widzi alerty z sieci, lecz nie potrafi powiązać ich z ryzykiem finansowym. Zarząd pyta o ogólny poziom bezpieczeństwa, a dostaje długie, techniczne raporty, które niewiele wnoszą. W takich warunkach pomocne okazuje się wdrożenie takich narzędzi jak oferowane przez Tenable, które zapewniają jeden, spójny obraz łączący wszystkie dane i pozwalają na priorytetyzację działań.
zują, że dzięki temu agregacja danych trwa o 75 proc. krócej, widzialność rośnie dziesięciokrotnie, a liczba incydentów trafiających do SOC spada o ponad 80 proc. Tenable One pozwala też zobaczyć, które problemy realnie zagrażają firmie, więc trzeba rozwiązać je w pierwszej kolejności. Tym samym zarządy otrzymują raporty, które nie są zbiorem technicznych detali, ale przejrzystą mapą ryzyka powiązaną z priorytetami biznesowymi.
Drugim filarem oferty jest Tenable AI Exposure – pierwsze na rynku rozwiązanie traktujące sztuczną inteligencję jako integralny element powierzchni ataku. W praktyce oznacza to możliwość identyfikowania, który pracownik i w jaki sposób korzysta z narzędzi AI, monitorowania konfiguracji mogących prowadzić do wycieków danych czy analizy prób manipulacji modelami generatywnymi. System tworzy też raporty, które jasno pokazują wpływ AI na ogólny poziom ryzyka. Ważną cechą jest działanie w trybie agentless, co ułatwia wdrożenie i eliminuje konieczność instalowania dodatkowego oprogramowania na urządzeniach użytkowników. Kierunek, w którym zmierza cyberbezpieczeństwo, określany jest jako Continuous Threat Exposure Management, czyli ciągłe zarządzanie ekspozycją na zagrożenia. Nie chodzi już o okresowe skanowanie systemów, ale o stałą widzialność, kontekst i priorytetyzację. Tenable, dzięki konektorom oraz modułowi AI Exposure, dostarcza dokładnie to, czego brakowało firmom – jeden obraz całej ekspozycji (z uwzględnieniem AI w ocenie ryzyka) oraz jasny plan działania.
Tenable zaprasza do obejrzenia webinaru demonstrującego rozwiązania do zapewniania widzialności środowisk IT.
Dodatkowe informacje: Joanna Wziątek-Ładosz, Senior Security Engineer, Tenable jwziatek@tenable.com
Oberig IT:
cyberochrona nowej generacji
Oberig IT rozwija
w Polsce dystrybucyjną ofertę
inteligentnych rozwiązań ochronnych, łącząc doświadczenie międzynarodowych
inży-
nierów z lokalnymi potrzebami rynku.
Oberig IT to wywodzący się z Kijowa dystrybutor rozwiązań cyberbezpieczeństwa, który od 2024 r. prowadzi działalność również w Polsce, rozwijając lokalny zespół i wykorzystując doświadczenie międzynarodowych inżynierów przy realizacji złożonych wdrożeń. Jego celem jest oferowanie narzędzi, których działanie wykracza poza standardowe mechanizmy i odpowiada na rosnącą skalę zaawansowanych ataków. Spółka kładzie nacisk na ścisłą współpracę z partnerami kanałowymi, zarówno tymi z dużym doświadczeniem, jak i firmami dopiero rozpoczynającymi działalność w obszarze bezpieczeństwa IT.
Jednym z filarów oferty Oberig IT jest stworzona przez firmę Cognyte platforma Luminar. Narzędzie to, służące do zewnętrznego monitoringu i prowadzenia cyberwywiadu, w czasie rzeczywistym gromadzi i analizuje dane o zagrożeniach z darknetu, deep webu, forów
hakerskich, mediów społecznościowych, a także publicznych źródeł OSINT. Dzięki takim modułom jak Cyber Threat Intelligence (CTI), Digital Risk Protection (DRP) czy External Attack Surface Management (EASM), Luminar pozwala nie tylko wykrywać i rozumieć zagrożenia, ale także minimalizować ryzyko ataków poprzez monitorowanie podatności, wykrywanie wycieków danych, ochronę przed phishingiem oraz śledzenie aktywności grup cyberprzestępczych.
czy regionu. Firma oferuje także usługi Takedown – eliminowanie fałszywych domen, stron phishingowych czy aplikacji mobilnych podszywających się pod znane marki. Klienci zyskują też dostęp do całodobowego wsparcia ekspertów Cognyte.
Z kolei specjalistyczne rozwiązania AlgoSec służą do automatyzowania i optymalizacji zarządzania regułami polityki bezpieczeństwa sieciowego w złożonych środowiskach IT. Pozwalają eliminować błędy wynikające z ręcznych zmian konfiguracyjnych, optymalizować procesy audytowe i minimalizować ryzyko naruszeń. Ich kluczowe funkcje obejmują automatyczną analizę polityki firewalli, wizualizację zależności reguł, symulowanie wpływu zmian typu „co jeśli” oraz integrację z takimi narzędziami jak ServiceNow. Dzięki temu wdrożenie nowych reguł może być przyspieszone nawet o 70 proc., a ryzyko przestojów i niezgodności regulacyjnych znacząco maleje.
Luminar wyróżnia się szerokimi możliwościami integracji z systemami SIEM i SOAR, co umożliwia automatyzację reagowania i sprawne zarządzanie incydentami. Wsparcie dla mechanizmów GenAI zapewnia kontekstowe wzbogacanie danych, priorytetyzowanie alertów i segmentację zagrożeń według branży
Pozostałe marki rozwiązań ochronnych dostępne w ofercie Oberig IT
• Cymulate – Dostawca platformy SaaS do zarządzania ekspozycją i walidacji bezpieczeństwa w czasie rzeczywistym, bazującej na zautomatyzowanych symulacjach ataków zgodnych z MITRE ATT&CK. Dzięki modułom BAS, CART i Exposure Management możliwe jest mierzenie odporności na zagrożenia, skracanie czasu reagowania i ograniczanie ryzyka cyberataków.
• Logpoint – Pochodzący z UE producent zintegrowanej platformy SIEM/SOAR/NDR, która obejmuje pełen cykl zarządzania logami, wykrywania zagrożeń, raportowania i automatyzacji reagowania na incydenty. Dzięki wykorzystaniu AI, metodologii MITRE ATT&CK oraz korelacji danych zapewniana jest widzialność infrastruktury, przewidywanie działań atakujących oraz zgodność z regulacjami w firmach każdej wielkości.
• Infinidat – Globalny producent systemów pamięci masowej, którego rozwiązania łączą ultrawysoką wydajność, niezawodność i optymalizację kosztów. Flagowy InfiniBox oraz platforma InfiniVerse gwarantują stuprocentową dostępność, ochronę przed cyberzagrożeniami i łatwe zarządzanie.
Rozwiązania te ułatwiają spełnianie wymagań regulacyjnych (m.in. PCI DSS, NIS 2, DORA, ISO 27001), prowadzenie audytów i zmniejszają ryzyko nałożenia sankcji. Zapewniają pełną widzialność ruchu sieciowego i kontrolę nad łącznością aplikacji oraz systemów. Dzięki automatyzacji procesów, integracji z różnorodnymi dostawcami firewalli (Cisco, Check Point, Palo Alto i inni) oraz intuicyjnemu mapowaniu przepływów sieciowych, pomagają szybciej diagnozować problemy, bezpiecznie migrować aplikacje do chmury i utrzymywać stałą gotowość audytową.
Dodatkowe informacje: Krystian Hofman, Business Development Manager, Oberig IT k.hofman@oberig-it.com
Monitorowanie bezpieczeństwa
wsparte AI
Nowe regulacje unijne wymagają od przedsiębiorstw stałego monitorowania systemów IT oraz właściwego reagowania na incydenty. To sprawia, że rośnie zapotrzebowanie na usługi SOC, które w coraz większym stopniu bazują na możliwościach sztucznej inteligencji. l Tomasz Janoś
Wraz z przechodzeniem przedsiębiorstw do chmury, korzystaniem z narzędzi SaaS i wdrażaniem pracy zdalnej lub hybrydowej, znacznie powiększa się w nich tzw. powierzchnia ataku. Tradycyjna ochrona, bazująca na bezpieczeństwie perymetrycznym, nie sprawdza się w przypadku coraz bardziej dynamicznie funkcjonujących środowisk. Tego rodzaju infrastruktura często generuje niespójne lub nieustrukturyzowane dane telemetryczne, co dodatkowo utrudnia skuteczne wykrywanie zagrożeń.
Tymczasem z opublikowanego przez Check Point raportu „The State of Cyber Security 2025” wynika, że do 2029 r. straty z tytułu cyberprzestępczości mają globalnie osiągnąć zawrotną sumę 15,6 biliona dol. Po przełożeniu tego na wskaźnik PKB okazuje się, że od światowej cybermafii większe są jedynie USA lub Chiny. Z drugiej strony beneficjentami obecnej sytuacji są również dostawcy systemów, których celem jest zapewnianie cyfrowego bezpieczeństwa. W tym celu coraz częściej wykorzystują rozwiązania bazujące na sztucznej inteligencji i automatyzacji, które właśnie stają się fundamentem obecnej ewolucji cyberochrony.
Dla wielu MŚP największym ryzykiem może być wykluczenie z łańcucha dostaw.
Obecnie wiele podmiotów, które muszą zapewnić sobie środki bezpieczeństwa, nie jest w stanie zrobić tego samodzielnie. Dotyczy to zwłaszcza sektora MŚP. A przecież także małe i średnie firmy mogą być objęte NIS 2, jeśli ich działalność ma istotny wpływ na bezpieczeństwo społeczne czy gospodarcze w danym kraju lub branży, bądź jeśli są dostawcami albo klientami firm już objętych unijną dyrektywą. Analitycy i doświadczeni gracze rynkowi podkreślają zgodnie, że wraz z pełnym wdrożeniem w Polsce NIS 2, era, w której małe i średnie firmy mogły traktować cyberbezpieczeństwo jako problem dotyczący tylko największych przedsiębiorstw, bezpowrotnie się kończy. Nowe przepisy rozszerzają katalog podmiotów objętych ścisłymi wymogami na tysiące średnich firm z kluczowych branż, takich jak produkcja, logistyka czy usługi cyfrowe.
– To już przestała być kwestia dobrych praktyk, a stał się twardy obowiązek prawny, obejmujący zarządzanie ryzykiem, regularne audyty i zgłaszanie incydentów. Konsekwencje zaniedbań są dziś znacznie poważniejsze niż kiedykolwiek wcześniej. Mówimy o karach finansowych sięgających milionów euro, ale także o osobistej odpowiedzialności kadry zarządzającej za niedopełnienie obowiązków. Dla wielu MŚP największym ryzykiem może być jednak wykluczenie z łańcucha dostaw. Więksi partnerzy po prostu nie będą mogli sobie pozwolić na współpracę z podmiotem, który nie gwarantuje zgodności z NIS 2. To ostatni dzwonek, by potraktować inwestycję w cyberbezpieczeństwo jako warunek dalszego funkcjonowania na rynku – pod-
kreśla Paweł Jurek, Business Development Director w Dagma Bezpieczeństwo IT. W tej sytuacji integratorzy coraz częściej decydują się na zmianę modelu dotychczasowego biznesu, by – jako dostawcy usług zarządzanych – oferować klientom monitorowanie, wykrywanie, analizowanie i reagowanie na cyfrowe zagrożenia oraz incydenty bezpieczeństwa w ich infrastrukturze. Inwestują w narzędzia ochronne, tworzą zespoły specjalistów i procesy, budując działające całodobowo oddziały SOC (Security Operations Center). Takie centrum – integrujące ludzi i rozwiązania techniczne – ma za zadanie chronić systemy klientów przed cyberatakami, minimalizować szkody i w ciągły sposób poprawiać bezpieczeństwo. Ci integratorzy, którzy decydują się na stworzenie SOC, muszą mieć jednak świadomość, że to wyjątkowo wymagający rodzaj biznesu.
Niedobory talentów, ciągła rotacja Według raportu „Global Cybersecurity Outlook 2025”, przygotowanego dla World Economic Forum, na świecie brakuje ponad 4 mln specjalistów z obszaru cyberbezpieczeństwa, a wśród badanych firm aż 67 proc. z nich wykazuje średnie lub krytyczne braki w zatrudnieniu odpowiednich profesjonalistów. Przy ograniczonych budżetach, przeciążonym personelu oraz niewielkiej wiedzy wewnętrznej, wiele firm ma trudności z wdrażaniem nawet podstawowych środków cyberochrony. Z kolei w najnowszym raporcie Cisco pt. „Cybersecurity Readiness Index 2025” mowa jest także o polskim rynku. Aż 79 proc. rodzimych respondentów wskazuje niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa jako główne wyzwanie (globalnie mierzy się z tym 86 proc. podmiotów). Ponad połowa polskich firm (57 proc.) ma wakaty na ponad dziesięciu procentach stanowisk związanych z tym obszarem, a braki szcze- Fot.
gólnie odczuwają ci, którzy chcą budować centra SOC na potrzeby własne bądź do świadczenia usług zewnętrznych. Rekrutacja i utrzymanie wykwalifikowanych analityków to stałe wyzwanie, zwłaszcza dla firm, które muszą utrzymywać całodobowo funkcjonujące zespoły lub rozwijają się w obszarach o wysokim poziomie zagrożenia.
W praktyce młodsi analitycy często mają trudności ze złożonością narzędzi i nawałem pracy, podczas gdy doświadczeni specjaliści są bardzo poszukiwani i często „podkupywani”. Duża rotacja dodatkowo osłabia zespoły SOC. Rozwiązaniem tych problemów może być strategia polegająca na inwestowaniu w automatyzację i AI, które zmniejszą zależność od uciążliwych manualnych zadań i umożliwią analitykom przejście do tych bardziej złożonych i przynoszących większą wartość.
Złożone technologie, dużo narzędzi Kolejnym wyzwaniem jest wybór właściwych narzędzi i ich integracja. Cyberbezpieczeństwo przez ostatnie lata ewoluowało od antywirusów do uwierzytelniania wieloskładnikowego (MFA) i usług EDR. Coraz częściej pojawiają się także rozwiązania i usługi, takie jak MDR, NDR, XDR, SASE, Zero Trust, monitoring SaaS, zarządzanie hasłami, ochrona DNS czy filtrowanie treści. Wobec takiej mnogości w wielu podmiotach środowisko ochronne budowane jest z wielu nieskomunikowanych ze sobą narzędzi. SIEM, EDR, firewalle, platformy threat intelligence są często łączone „na siłę”, przy bardzo ograniczonej integracji. Prowadzi to do powstawania silosów danych, niespójnych procesów i fragmentarycznej widzialności. W rezultacie rośnie średni czas wykrywania zarożeń (MTTD) oraz reagowania na nie (MTTR).
Według wspomnianego już raportu Cisco, aż 74 proc. badanych podmiotów zgłasza, że ich rozbudowana infrastruktura bezpieczeństwa – bazująca na ponad dziesięciu różnych rozwiązaniach – ogranicza zdolność do szybkiego i skutecznego reagowania na zagrożenia.
– Klienci kupują dużo „zabawek”, przy czym jedno rozwiązanie do phishingu, a inne do neutralizacji podatności… Często jest tak, że narzędzia te nie współgrają
AI musi zdobyć zaufanie
Jedną z najczęstszych barier w popularyzacji agentów AI w operacjach bezpieczeństwa może okazać się kwestia zaufania. W sytuacji, gdy agent AI samodzielnie izoluje urządzenie, blokuje dostęp użytkownika czy zamyka incydent, w naturalny sposób pojawia się pytanie o powody takiej decyzji. Dlatego kluczowym problemem we wdrażaniu AI jest „wyjaśnialność” (taki właśnie, dość niezgrabny termin – powstały na bazie ang. „explainability” – zaczyna się upowszechniać w omawianym kontekście). Tymczasem wiele systemów AI – zwłaszcza bazujących na deep learningu – działa na zasadzie tzw. czarnych skrzynek, co utrudnia prześledzenie ich toku rozumowania. W kontekście zaś bezpieczeństwa brak przejrzystości może podważyć zaufanie, zwłaszcza gdy stawka jest wysoka. Z tego względu systemy agentowe powinny być projektowane w sposób transparentny, a jednocześnie powinny generować jasne, audytowalne logi swoich działań, wraz z uzasadnieniem każdej decyzji.
ze sobą, a dokładanie kolejnych elementów sprawia, iż użytkownik boryka się z coraz większym chaosem. W efekcie, choć jest uzbrojony po zęby, nie zwiększa poziomu swojej ochrony. Dlatego trzeba pamiętać, że realne cyberbezpieczeństwo to jeden, spójny ekosystem, który nie może być wynikiem punktowego działania – uważa Karol Kij, dyrektor Działu Rozwiązań Cyberbezpieczeństwa w Atende.
AI SOC przyszłością operacji bezpieczeństwa
Wobec rosnącej fali coraz bardziej złożonych zagrożeń oraz opisanego wcześniej niedoboru specjalistów, analitycy bezpieczeństwa są obecnie w stanie obsłużyć – jak pokazują różne badania – średnio połowę alertów dziennie. Przy czym wielu z nich twierdzi, że średni czas wykrywania i reagowania zwiększył się w ciągu ostatnich dwóch lat, co osłabia zdolność dostawcy świadczącego usługi SOC do realizacji założeń SLA. A to z kolei grozi karami, odpływem klientów i utratą reputacji.
Dlatego nieuniknione jest wykorzystanie AI i automatyzacji, co radykalnie zmienia operacje bezpieczeństwa i pozwala nadążać za ewoluującymi zagrożeniami. Jednakże wykorzystanie AI w SOC nie polega na zastąpieniu analityków, lecz na wsparciu i podniesieniu poziomu ich pracy – tak, aby mogli szybciej podejmować decyzje, nie tonąc w powodzi alertów.
Takie czy inne wdrożenie agentów AI najczęściej nie jest projektem powstałym od zera. Praca współczesnych centrów SOC bazuje na złożonej sieci narzędzi – platform SIEM, SOAR, rozwiązań EDR i NDR, monitorowania chmury i innych rozwiązań. Integracja agentów AI z takim ekosystemem bez zakłócania operacji stanowi więc poważne wyzwanie. Dlatego przyszłość każdego SOC-a, który ma bazo-
AI i automatyzacja radykalnie zmienia operacje bezpieczeństwa i pozwala nadążać za zagrożeniami
wać na AI, wymaga stosowania otwartych, interoperacyjnych platform, które można podłączyć do dowolnego stosu technicznego, normalizować dane wejściowe z wielu źródeł i uruchamiać działania w ramach różnych narzędzi. Potrzeba otwartych, wykorzystujących API platform i frameworków automatyzacji, które mogą działać ponad posiadanymi systemami.
Potrzeba proaktywnych działań
Współczesne cyberbezpieczeństwo działa głównie reaktywnie: analitycy monitorują alerty i eskalują incydenty, postępując według playbooków. Jednak w obliczu coraz szybszych i bardziej wyrafinowanych zagrożeń, model ten przestaje się sprawdzać. Agenty AI torują drogę do operacji proaktywnych, przewidując ryzyko, a więc reagując z wyprzedzeniem. W tego rodzaju przypadkach agenty poszukują anomalii, korelują sygnały między systemami i autonomicznie uruchamiają procesy reakcji, skracając czas działania i wychwytując zagrożenia odpowiednio wcześniej.
Z raportu Omdia wynika, że w ubiegłym roku ponad 70 proc. badanych firm zwiększyło wydatki na proaktywne rozwiązania bezpieczeństwa, które przewyższyły inwestycje w środki prewencyjne i reaktywne. Nietrudno zrozumieć, dlaczego podejście proaktywne pozwala przedsiębiorstwom wyprzedzać zagrożenia, zanim luki zostaną wykorzystane, zamiast nieustannie zmagać się ze skutkami już przeprowadzonych ataków. Taka zmiana skutkuje nie tylko wzrostem produktywności – jest przejściem do inteligentnej, adaptacyjnej
Zdaniem analityków z firmy Context rosnąca powierzchnia ataków oraz ich coraz bardziej zaawansowane techniki skłaniają przedsiębiorstwa do inwestowania w SIEM, w połączeniu z innymi rozwiązaniami, takimi jak XDR i SOAR. Dzięki konwergencji SIEM z XDR i SOAR firmy zyskują zintegrowaną platformę ochronną, która konsoliduje dane oraz skraca czas reakcji, automatycznie izolując zagrożenia bez potrzeby ręcznej interwencji. W 2024 roku Context odnotował ponad sześciokrotny wzrost sprzedaży oferowanych razem narzędzi SIEM i XDR. Usługi SOAR i SIEM sprzedawane łącznie wzrosły w ubiegłym roku w mniejszym, lecz nadal istotnym stopniu – o 22 proc. SIEM razem z XDR i SOAR
obrony. W sytuacji, gdy liczba alertów gwałtownie rośnie, a zasoby analityków są ograniczone, agentowe AI wypełnia lukę, zapewniając autonomię i skalowalność, jakiej nie oferują tradycyjne narzędzia. W środowisku, w którym automatyzacja SOC nie jest już opcją, agenty AI dostarczają warstwy inteligencji potrzebnej do budowania skalowalnych operacji.
Rekomendacje z raportu „Cybersecurity Readiness Index 2025” są zatem następujące: „aby sprostać współczesnym wyzwaniom w obszarze cyberbezpieczeństwa, przedsiębiorstwa muszą inwestować w rozwiązania bazujące na sztucznej inteligencji, upraszczać swoje środowiska ochronne oraz zwiększać świadomość zagrożeń związanych z AI. Kluczowe znaczenie ma priorytetowe traktowanie sztucznej inteligencji w wykrywaniu zagrożeń, reagowaniu na nie i odzyskiwaniu sprawności, a także przeciwdziałanie niedoborom kadrowym i zarządzanie ryzykiem wynikającym z niezarządzanych urządzeń i Shadow AI”.
Wraz z rozwojem agentów AI zespoły ds. bezpieczeństwa będą fundamentalnie zmieniać sposób działania. Sama rola analityka ulegnie transformacji – od osoby klasyfikującej alerty do doradcy strategicznego, od reagującej na incydenty do architekta bezpieczeństwa. Zamiast „gasić pożary”, analitycy będą coraz częściej nadzorować flotę inteligentnych agentów, dostrajać strategie wykrywania i kierować systemami AI zgodnie z priorytetami biznesowymi. Ta ewolucja wymaga podnoszenia kompetencji i zmiany sposobu myślenia, a zarazem otwiera nowe możliwości rozwoju kariery.
W dłuższej perspektywie można spodziewać się w pełni autonomicznych SOC-ów, w których udział człowieka będzie wymagany tylko w obszarach obsługi wyjątków, zgodności z regulacjami czy decyzji strategicznych. Ale nawet wtedy ludzki nadzór będzie kluczowy do wyznaczania celów, zarządzania ryzykiem i zapewnienia etycznego wdrożenia sztucznej inteligencji. n
GreyCortex Mendel:
gdy detekcja staje się strategią
Nieustający ruch w firmowych sieciach potrafi nieść ze sobą wiele zagrożeń, a atakujący nie ustają w poszukiwaniu słabych punktów infrastruktury. Rozwiązanie
GreyCortex Mendel udaremnia im zdobycie dostępu do kluczowych zasobów, a w konsekwencji doprowadzenie do kompromitacji.
Dla wielu menedżerów IT i OT prawdziwym problemem jest nie brak narzędzi, lecz brak wglądu we wszystkie działania w sieci, aby móc szybko reagować na incydenty. Pełna widoczność ruchu sieciowego, w tym także ruchu wschód-zachód, jest niezbędna do wczesnego identyfikowania podejrzanej aktywności. Cyberbezpieczeństwo to nie tylko dostęp do narzędzi i pulpitów nawigacyjnych, ale także konieczność zapewnienia firmom utrzymania ciągłości biznesowej oraz ochrony ich najważniejszych zasobów. Pomocne w osiągnięciu tego celu jest rozwiązanie firmy GreyCortex, założonej w Brnie przez ekspertów w dziedzinie uczenia maszynowego i analizy sieci. Łączy dogłębną wiedzę techniczną z praktycznym doświadczeniem w złożonych środowiskach IT i OT, co pozwala wielu rodzajom przedsiębiorstw (od szpitali i urzędów miejskich po globalne firmy technologiczne) zrozumieć wyzwania, przed którymi obecnie stoją, związane z zabezpieczeniem ruchu sieciowego.
Efektem pracy programistów GreyCortex jest Mendel – rozwiązanie klasy Network Detection and Response (NDR), które rewolucjonizuje sposób wykrywania i neutralizowania zagrożeń. Uwidacznia to, co niewidoczne, a przez to zapewnia przejrzystość tam, gdzie wcześniej panował chaos. System wykorzystuje zaawansowane metody detekcyjne, aby zautomatyzować proces
identyfikowania zagrożeń i przyspieszyć reagowanie.
Jedno spojrzenie na wszystkie sieci
W przeciwieństwie do tradycyjnych narzędzi monitorujących, Mendel nie zatrzymuje się na granicy świata IT. Mechanizmy tego rozwiązania równie skutecznie penetrują środowiska przemysłowe, w których starsze systemy i specjalistyczne protokoły często tworzą martwe punkty. Analizując całą komunikację – od serwerów biurowych po hale fabryczne – Mendel zapewnia jeden, spójny obraz firmowej infrastruktury, co pozwala wykrywać nie tylko znane zagrożenia, ale także nowe, niespotykane dotąd zachowania, które wskazują na trwające ataki zero-day lub wewnętrzne nadużycia.
– Dzięki rozwiązaniu GreyCortex zespół IT jednego z naszych klientów odkrył dziesiątki urządzeń, które komunikowały się bez jego wiedzy. W ciągu kilku dni Mendel zasygnalizował niewidoczną wcześniej podejrzaną aktywność, która mogła przerodzić się w poważny incydent – mówi Jarosław Chodkiewicz, Senior Presales Engineer w GreyCortex. Podobne historie powtarzają się w różnych branżach. Placówki opieki zdrowotnej mają zapewnioną ochronę danych pacjentów i systemów medycznych. Instytucje finansowe mogą zadbać o wyjątkowo cenne zaufanie klientów, którzy powierzają im oszczędności ca-
Monika Bakura, Country Manager, GreyCortex Polska
GreyCortex Mendel to ważny element oferty naszych partnerów biznesowych, wpisujący się m.in. w Triadę Widoczności SOC wg. Gartnera. Składa się ona z trzech odrębnych filarów: SIEM, EDR i NDR. Dzięki łatwej implementacji i integracji z innymi systemami bezpieczeństwa, elastycznemu modelowi licencjonowania oraz pokryciu całej firmowej sieci, nasze rozwiązanie można zaoferować nawet najbardziej wymagającym klientom. Mendel ułatwia również spełnienie wymogów regulacyjnych, co stanowi mocny argument podczas rozmów z instytucjami i przedsiębiorstwami. Dzięki wbudowanym mechanizmom inwentaryzacji zasobów, rejestrowaniu zdarzeń czy możliwości raportowania incydentów zapewnia zgodność z NIS 2, DORA czy RODO.
łego życia. Urzędy miast i samorządy lokalne zapewniają usługi komunalne bez przestojów i strzegą danych obywateli. Firmy techniczne wdrażają Mendel w celu ochrony własności intelektualnej oraz zapewnienia ciągłości działania. GreyCortex Mendel nie służy jedynie do zapobiegania atakom, ale pomaga firmom działać mądrzej i bezpieczniej. Daje zespołom IT i OT narzędzie, które zapewnia pełną wiedzę o zagrożeniach, umożliwia szybkie reagowanie i buduje odporność. Dzięki Mendel zyskują one więcej niż tylko rozwiązanie do monitorowania i analizy ruchu sieciowego – zyskują partnera, który stoi u ich boku o krok przed cyberprzestępcami.
Dodatkowe informacje: Monika Bakura, Country Manager, GreyCortex Polska monika.bakura@greycortex.com
Ochrona infrastruktury
Bezpieczne sieci bez granic
Podczas tegorocznej konferencji
Cisco Live 2025 zaprezentowano odświeżone portfolio produktów do budowy infrastruktury sieciowej, która pod względem
funkcjonalności i wydajności gotowa jest na erę sztucznej inteligencji.
Firmowe sieci coraz rzadziej przypominają uporządkowane, statyczne środowiska sprzed dekady. Obecnie to złożone ekosystemy łączące centra danych, chmurę publiczną, oddziały oraz tysiące urządzeń końcowych – stacjonarnych i mobilnych. Do tego dochodzą wymagania dotyczące pracy zdalnej, aplikacji AI, a także presja regulacyjna. Utrzymanie spójnego poziomu ochrony oraz wydajności wymaga rozwiązań, które są jednocześnie skalowalne, odporne na przyszłe zagrożenia i energooszczędne. Powinny też zapewniać pełną widzialność infrastruktury, automatyzację wdrażania oraz egzekwowania reguł polityki bezpieczeństwa. Dlatego producenci systemów sieciowych przechodzą od wdrażanych punktowo narzędzi do zintegrowanych platform obejmujących całą infrastrukturę. Liderem tej rewolucji jest Cisco, które podczas konferencji Cisco Live 2025 w San Diego przedstawiło nowe modele urządzeń umożliwiających budowę infrastruktury sieciowej nowej generacji.
Hybrydowa zapora w nowej odsłonie
Nowe modele zapór sieciowych Secure Firewall 6100 przeznaczone są dla wymagających wysokiej przepustowości środowisk centrów danych oraz dla operatorów telekomunikacyjnych. Urządzenia, które umieszczono w kompaktowej obudowie
tak, aby z wysoką wydajnością (nawet 400 Gb/s) zwalczać zagrożenia w warstwie 7., a jednocześnie zapewniać deszyfrowanie dużego natężenia ruchu TLS/SSL z wykorzystaniem bazującego na sztucznej inteligencji silnika Encrypted Visibility Engine.
Dzięki architekturze klastrowej (do 16 jednostek połączonych w modelu active-active N+1) możliwe jest osiągnięcie zagregowanej wydajności przekraczającej 4 Tb/s, przy zmniejszonym – w porównaniu z konkurencyjnymi rozwiązaniami – zapotrzebowaniu na przestrzeń, energię i chłodzenie. Zapewniona modularna skalowalność powoduje, że użytkownicy tych rozwiązań nie muszą wymieniać posiadanego sprzętu przy wzroście natężenia ruchu, lecz mogą dodawać kolejne jednostki w ramach klastra.
Z kolei urządzenia Secure Firewall 200 przeznaczone są do wdrażania w tych firmowych sieciach, w których wymagana jest obecność funkcji zapór sieciowych nowej generacji (NGFW), działających z wysoką wydajnością. Urządzenia te zapewniają lokalną inspekcję ruchu (również zaszyfrowanego) oraz mają wbudowane mechanizmy SD-WAN (m.in. szablony konfiguracyjne, integracja z SASE, kontrola bezpieczeństwa usług chmurowych). Stosunek ceny do wydajności tych rozwiązań jest trzykrotnie korzystniejszy w porównaniu z konkurencyjnymi rozwiązaniami. Nowe zapory Secure Firewall przeznaczone są przede wszystkim dla przed-
o wysokości 2U, zostały zaprojektowane Zapory Secure Firewall 6100 umieszczono w kompaktowej obudowie 2U.
siębiorstw, w których funkcjonuje infrastruktura rozproszona lub hybrydowa (środowisko prywatne połączone z chmurą publiczną), a jednocześnie ważne dla nich jest zachowanie spójności wdrożonych reguł polityki bezpieczeństwa w całej firmie (od centrów danych, przez kampusy, po oddziały) i zapewnienie możliwości wydajnej inspekcji ruchu end-to-end.
Sieci przygotowane na AI
Nowe modele inteligentnych przełączników sieciowych Cisco to urządzenia stworzone z myślą o infrastrukturze, która musi sprostać wymaganiom generowanym przez środowiska sztucznej inteligencji, rozwiązania AR/VR, sprzęt IoT czy systemy transmisji obrazu w dużej rozdzielczości. Wprowadzone do oferty modele, takie jak C9350 Fixed Access oraz C9610 Modular Core, bazują na układach ASIC Cisco SiliconOne, które umożliwiają „fragmentację” operacji, dzięki czemu zadania mogą być wykonywane równolegle bez wzajemnego zakłócania się. Przełączniki zapewniają uplink 100 Gb/s oraz multigigabitowe porty, co znacząco zwiększa przepustowość i eliminuje wąskie gardła przy intensywnym ruchu sieciowym.
W nowych przełącznikach wprowadzono mechanizmy kryptograficzne odporne na możliwość złamania za pomocą komputerów kwantowych (post-quantum cryptography). Zastosowano także funkcję secure boot oraz wzmocniony system operacyjny Linux, który zapobiega instalowaniu nieautoryzowanego oprogramowania. Szyfrowanie zgodne ze standardami MACsec, IPsec oraz WAN MACsec zapewnia z kolei ochronę danych przesyłanych pomiędzy urządzeniami w rozproszonej sieci kampusowej. Przełączniki umożliwiają wdrożenie polityki Zero Trust poprzez dynamiczne blokowanie nieautoryzowanych urządzeń końcowych oraz ogra-
Nowe inteligentne przełączniki
sieciowe Cisco C9350 Fixed Access
oraz C9610 Modular Core bazują na układach ASIC Cisco SiliconOne.
niczanie ruchu bocznego (lateral movement) już na poziomie urządzenia, zanim ruch trafi do zapory czy innych systemów sieciowych. Dodatkowo, funkcja Security Service Insertion pozwala na inteligentne przekierowywanie określonego ruchu do zaawansowanych zapór, gdy potrzebna jest głęboka inspekcja.
Wprowadzone do oferty Cisco przełączniki wyposażone zostały w wiele mechanizmów upraszczających zarządzanie, co przekłada się na mniejsze koszty instalacji, wyeliminowanie błędów konfiguracji i szybsze wdrożenia. Energooszczędność (funkcje Smart Power, tryb hibernacji) przekłada się na znaczące oszczędności w eksploatacji, co ma znaczenie w dużych kampusach czy obiektach z wieloma urządzeniami. Ich wdrożenie pozwala na stworzenie infrastruktury gotowej na skalowanie ruchu oraz wymagań związanych z AI i rozwojem zagrożeń, bez konieczności częstych wymian sprzętu.
Nowa generacja sieci w oddziałach Firmy, które mają wiele oddziałów, mierzą się obecnie z wieloma wymaganiami: koniecznością zapewnienia wysokiej niezawodności środowiska IT oraz jego bezpieczeństwa w epoce post-kwantowej, rosnącym wpływem sztucznej inteligencji, a także nieustannie zwiększającą się liczbą użytkowników pracujących zdalnie. Tymczasem z przeprowadzonego na zlecenie Cisco badania wynika, że 60 proc. przerw w działaniu sieci oddziałów jest konsekwencją korzystania z przestarzałej, nadmiernie złożonej infrastruktury. W odpowiedzi producent stworzył linię produktową Unified Branch, do której trafiła nowa rodzina routerów pod nazwą Cisco 8000 Series Secure Routers. Pozwalają one uprościć zarządzanie, podnieść po-
ziom bezpieczeństwa i zapewnić lepszą wydajność.
Unified Branch to wielopunktowe podejście, łączące routing z funkcjami firewalli nowej generacji, sieciami Wi-Fi i przełącznikami – wszystko zarządzane z jednego panelu (Meraki Dashboard). Zapewniono także możliwość integracji z oprogramowaniem Cisco ThousandEyes, by zapewnić widzialność działania sieci i skuteczniejsze diagnozowanie problemów. Rozwiązanie to umożliwia szybsze otwieranie nowych oddziałów dzięki podejściu „Branch as Code”, wykorzystaniu zweryfikowanych przez Cisco gotowych wzorców (Cisco Validated Design, CVD), możliwościom bezdotykowego wdrażania (zero-touch deployment) i uproszczonego zarządzania zmianami. Zmniejsza to ryzyko popełnienia błędów konfiguracyjnych, przyspiesza proces wdrożenia i obniża koszty związane z zarządzaniem.
W koncepcję tę wpisują się nowe routery z rodziny Cisco 8000. Dostępnych jest pięć modeli, przeznaczonych zarówno do mniejszych oddziałów, jak i do centrów danych. Zapewniają one wysoką przepustowość (do 95 Gb/s dla IPsec i do 61 Gb/s dla SD-WAN), co pozwala sprostać rosnącemu obciążeniu w sieci WAN, szczególnie gdy ruch generowany jest przez aplikacje sztucznej inteligencji i rozproszonych pracowników. W routerach Cisco 8000 znalazły się nowe procesory dbające o przetwarzanie zadań obliczeniowych związanych z bezpieczeństwem (NGFW, głęboka inspekcja pakietów, ochrona przed zagrożeniami, obsługa reguł uwierzytelniania), które przyspieszyły pracę protokołu IPsec około trzykrotnie. Dodatkowo, ujednolicona została funkcjonalność zarządzania licencjami, co skraca czas wdrożeń i redukuje koszty operacyjne.
Bezprzewodowa sieć bez kompromisów
Cisco nieustannie rozwija swoją ofertę urządzeń do budowy infrastruktury sieci bezprzewodowych zgodnych ze standardem Wi-Fi 7 (802.11be). Cisco Wireless CW9179F to punkt dostępowy klasy enterprise, zaprojektowany do pracy w środowiskach o bardzo dużej gęstości ruchu, takich jak stadiony, lotniska czy kampusy. Urządzenie wykorzystuje nowoczesne techniki, jak MU-MIMO, OFDMA, Multi-Link Operation i modulację 4096-QAM. Wbudowane dwa porty 10 GbE PoE+ zapewniają redundancję łącza i zasilania, a konfigurowalne anteny pozwalają dopasować propagację sygnału do obiektu. Nowym punktem dostępowym można zarządzać centralnie z platformy Catalyst Center lub w chmurze poprzez usługę Meraki Dashboard, a wbudowany moduł GNSS umożliwia automatyczne dostosowanie ustawień do lokalnych regulacji. Ważną rolę odgrywa też funkcja AP Power Save, zmniejszająca zużycie energii w godzinach niskiego ruchu.
Na szczególną uwagę zasługują zintegrowane funkcje bezpieczeństwa, w tym obsługa standardu WPA3 (również w wersji Suite B i WPA3-R3), co gwarantuje silniejsze szyfrowanie ruchu i większą odporność na ataki brute force. Zgodność ze standardami EAP-FAST, PEAP, GTC czy EAP-SIM pozwala na elastyczne wdrażanie mechanizmów uwierzytelniania. Integracja z mechanizmem Cisco Identity Services Engine (ISE) daje możliwość profilowania urządzeń, mikrosegmentacji ruchu oraz egzekwowania reguł polityki bezpieczeństwa w czasie rzeczywistym. W efekcie każde połączenie użytkownika podlega rygorystycznej kontroli, a urządzenia niespełniające wymogów mogą być automatycznie izolowane.
Dodatkowe informacje:
Łukasz Dąbrowski, menedżer ds. komunikacji, Cisco ldabrows@cisco.com
Jak uniknąć przestojów IT,
nie rujnując budżetu
W teorii odpowiednio zaprojektowane mechanizmy wysokiej dostępności skutecznie zabezpieczają firmowe dane. W praktyce właściwa realizacja tego zadania przerasta niejedną firmę.
l Wojciech Urbanek
Cyfryzacja to miecz obosieczny. Z jednej strony rewolucjonizuje sposób prowadzenia biznesu, ale z drugiej tworzy nowe, nieznane wcześniej zagrożenia. Współczesne przedsiębiorstwa uzależniły się od cyfrowych technik na każdym poziomie działania: od obsługi klientów, przez raportowanie finansowe, aż po procesy produkcyjne. Gdy wszystko działa sprawnie, efektywność osiąga poziomy, o których do niedawna można było jedynie pomarzyć. Jednak, gdy rozwiązania zawodzą, następuje kaskada problemów.
Liczby mówią same za siebie. Według raportu „The Hidden Costs of Downtime” autorstwa Splunk i Oxford Economics, firmy z listy Global 2000 tracą rocznie 400 mld dol. z powodu nieplanowanych przestojów IT. To średnio 200 mln dol. na każdą z nich, co stanowi sumę składającą się z utraconych przychodów i kar nakładanych przez regulatorów rynku. Co więcej, to jedynie wierzchołek góry lodowej, która składa się z szeregu ukrytych kosztów: zniszczonej reputacji, spadku kapitalizacji rynkowej czy utraconego zaufania poszkodowanych klientów. Te
niematerialne szkody mogą czasami zadać firmom cios o wiele bardziej bolesny niż bezpośrednie koszty przestoju.
Niemniej, straty różnią się, w zależności od branży. Najbardziej cierpi handel detaliczny (287 mln dol. rocznie), a w dalszej kolejności produkcja (255 mln), transport i logistyka (213 mln) oraz energetyka i usługi komunalne (211 mln). Co gorsza, współczesna gospodarka tworzy system naczyń połączonych. W efekcie awaria jednego elementu natychmiast przekłada się na funkcjonowanie całości. Przykładowo, paraliż systemu bankowego błyskawicznie zatrzymuje działalność podmiotów z dziesiątek innych branż. Przestój linii produkcyjnej rozprzestrzenia się jak fala uderzeniowa przez cały łańcuch dostaw, dotykając sprzedawców detalicznych, firmy logistyczne i końcowych konsumentów.
Szczególnie niebezpieczne są awarie w branży komunikacji i mediów. Mogą one odciąć obywateli od służb ratunkowych lub sparaliżować koordynowanie działań podczas katastrof naturalnych. Podczas gdy media rozpisują się o spektakularnych atakach na globalne korpo-
racje, tysiące małych przedsiębiorstw cierpi w ciszy. Te mniejsze incydenty nie mają wartości informacyjnej dla szerokiej publiczności, tworząc błędne koło nieświadomości. A właściciele lokalnych biznesów nie zdają sobie sprawy z realnych zagrożeń, co czyni je jeszcze bardziej podatnymi na ataki.
Luksus vs. racjonalność
W idealnym świecie każdy szef IT mógłby cieszyć się zielonymi lampkami na monitorach, ciszą w serwerowni i regularnymi premiami za stabilność systemów. Rzeczywistość jednak bywa brutalna, co wynika między innymi z faktu, że przedsiębiorstwa często wpadają w kosztowną pułapkę, myląc wysoką dostępność (high availability) z odpornością na awarie (fault tolerance).
– Korporacje często stawiają na fault tolerance, chociaż w zupełności wystarczyłoby wdrożyć mechanizmy wysokiej dostępności. Według szacunków branżowych zapewnienie odporności na awarię dla systemu transakcyjnego w banku kosztuje 2,5-krotnie więcej niż w przypadku podstawowej infrastruktury. Z kolei w fir-
mach z branży HR uruchomienie systemu wysokiej dostępności kosztuje 1,5–2 razy więcej niż rozwiązanie bazowe. Nie raz spotkałem firmy przepłacające miliony, bo ktoś zdecydował się na opcję fault tolerant – mówi Paweł Mączka, CEO Storware’u. Oczywiście istnieje wiele firm i zastosowań, w których wysoka dostępność i odporność na awarie nie są krytyczne. W związku z tym nie muszą one inwestować w kosztowne rozwiązania redundantne, klastry wysokiej dostępności czy zaawansowane systemy backupu i disaster recovery. Do tej grupy należą przede wszystkim małe firmy lokalne (restauracje, sklepy, małe biura rachunkowe), a także szkoły, muzea czy biblioteki.
Walka o pięć „dziewiątek”
Najbardziej wymagające przedsiębiorstwa dążą do poziomu 99,999 proc. dostępności, co oznacza zaledwie 5 minut i 15 sekund przestoju w ciągu całego roku. To matematyczna perfekcja w świecie, gdzie każda sekunda kosztuje tysiące dolarów. Rzecz jasna, osiągnięcie tego poziomu nie jest proste.
– Największym wyzwaniem nie są same rozwiązania techniczne, lecz ich właściwe zintegrowanie z procesami biznesowymi. Dążenie do pełnej dostępności każdego elementu infrastruktury nie zawsze jest możliwe, a często nawet nie jest konieczne. Znacznie ważniejsze jest wiedzieć, co naprawdę musi być dostępne zawsze, a co może chwilowo poczekać – zauważa Wojciech Furmankiewicz, dyrektor Red Hat ds. technologii i rozwiązań w regionie Europy Środkowo-Wschodniej.
Dane z raportu Veeam „Ransomware Trends and Proactive Strategies 2025” obnażają bolesną rzeczywistość. Tylko 44 proc. podmiotów ma jasno określoną w swoich playbookach częstotliwość
Jedynie 59 proc. polskich firm deklaruje korzystanie z oprogramowania zabezpieczającego.
i metodę weryfikowania możliwości odzyskania danych z kopii backupowych, a zaledwie 37 proc. posiada alternatywną infrastrukturę na wypadek awarii podstawowej. Jeszcze bardziej niepokojące jest to, iż 52 proc. respondentów przyznaje, że ich zespoły IT i bezpieczeństwa wymagają znaczącej poprawy lub całkowitej restrukturyzacji, aby skutecznie radzić sobie z wyzwaniami.
– To jasno pokazuje, że strategia ciągłości działania musi wykraczać poza sferę rozwiązań technicznych i uwzględniać cały ekosystem organizacyjny. Warto też uzmysłowić sobie kluczową rzecz: zachowanie wysokiej dostępności to wprawdzie ważny element strategii działania, ale nie gwarantuje bezpieczeństwa danych. Jeśli dojdzie do ich zaszyfrowania w wyniku ataku ransomware, HA nie pomoże w ich odzyskaniu – ostrzega Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w polskim oddziale Veeama.
Każde środowisko ma swoją specyfikę
Osiągnięcie wysokiej dostępności nie jest uniwersalną receptą, gdyż każde środowisko IT ma swoje unikalne wyzwania i możliwości.
– Paradoksalnie najtrudniej osiągnąć HA w środowiskach fizycznych. Wynika to z faktu, że duplikowanie sprzętu niesie ze sobą ogromne koszty i ograniczenia geograficzne. Teoretycznie najłatwiej jest w chmurze, ale już nie raz spotkałem się z firmami, które myślały, że dostawca usług zadba o wszystko. Brak zrozumienia modelu podziału odpowiedzialności często słono ich kosztuje – tłumaczy Paweł Mączka. Środowisko wirtualne z jednej strony rewolucjonizuje dostępność i zarządzanie zasobami, z drugiej zaś wprowadza zupełnie nowe wyzwania związane z infrastrukturą. Wirtualizacja przynosi niezaprzeczalne korzyści: umożliwia błyskawiczne migrowanie maszyn między serwerami, elastyczne skalowanie zasobów oraz ekspresowe wdrażanie nowych instancji. Te możliwości przekładają się na znacznie większą efektywność operacyjną i obniżenie kosztów. Jednak wirtualizacja dziedziczy też wszystkie słabości środowisk fizycznych, jednocześnie potęgując ich skutki.
Radosław Piedziuk,
Storage Platforms & Solutions
Sales Leader, Dell Technologies
Konteneryzacja zmienia podejście do wysokiej dostępności, umożliwiając łatwe skalowanie, szybkie odtwarzanie usług i automatyczne przełączanie między instancjami. Firmy wdrażają zwirtualizowane aplikacje nie tylko dla elastyczności, ale również celem uproszczenia i zwiększenia ich dostępności. Rozwiązania automatyzujące, w rodzaju Infrastructure as Code, czy systemy samonaprawiające się, istotnie zwiększają poziom wysokiej dostępności, eliminując błędy ludzkie, przyspieszając odtwarzanie środowisk i umożliwiając szybką reakcję na awarie. Dzięki nim infrastruktura może być odtwarzana i skalowana automatycznie, co podnosi bezpieczeństwo i ogranicza ryzyko operacyjne. Trend ten jest już widoczny w Polsce, co obrazuje zainteresowanie narzędziami Terraform, Ansible czy wykorzystaniem funkcji auto-healing w środowiskach Kubernetes.
Dell zdobył certyfikat Channel Master 2025
Awaria pojedynczego fizycznego serwera może w mgnieniu oka sparaliżować kilkadziesiąt maszyn wirtualnych. To typowy efekt domina. Inny czarny scenariusz rozwija się, gdy zawodzi wspólny system przechowywania danych. Awaria macierzy SAN lub serwera NAS oznacza, że dziesiątki, a czasem setki maszyn wirtualnych jednocześnie tracą dostęp do swoich dysków. Wszystkie systemy stają w miejscu, a nad przedsiębiorstwem zawisa widmo utraty danych.
Trzeci problem to zjawisko technicznego „korka ulicznego”. Gdy wszystkie maszyny wirtualne próbują jednocześnie przesyłać ogromne ilości danych – podczas tworzenia kopii zapasowych, replikacji czy masowych transferów plików – przepustowość sieci staje się krytycznym ograniczeniem, obniżając wydajność całej infrastruktury.
– Właściwie zaprojektowane mechanizmy wysokiej dostępności skutecznie zabezpieczają usługi w środowiskach
fizycznych, wirtualnych oraz hybrydowych. Należy jednak uwzględnić, że wraz ze wzrostem złożoności środowiska proporcjonalnie rośnie też skomplikowanie zarówno infrastruktury, jak i aplikacji. To właśnie narastająca złożoność architektury, a nie ograniczenia dostępnych narzędzi, stanowi obecnie główne wyzwanie przy projektowaniu nowoczesnych rozwiązań wysokiej dostępności – wyjaśnia Wojciech Furmankiewicz.
Backup trudniejszy niż się wydaje
Gdy wszystkie mechanizmy wysokiej dostępności zawodzą, pozostaje ostatnia deska ratunku: kopia zapasowa. To ona decyduje o tym, czy firma przetrwa krytyczne incydenty wykraczające poza standardowe zabezpieczenia. Mowa przede
Mikołaj Wiśniak, wiceprezes, IT
Solution Factor
Konteneryzacja rewolucjonizuje podejście do wysokiej dostępności przez zaawansowaną automatyzację i uproszczenie architektury. Platformy orkiestracyjne Kubernetes umożliwiają dystrybucję aplikacji między różnymi węzłami i strefami dostępności, skutecznie eliminując pojedyncze punkty awarii dzięki wbudowanym mechanizmom replikacji, load balancingu i samonaprawy. Kluczową zaletą kontenerów jest ich efemeryczny charakter. Działają bowiem jako tymczasowe, łatwo odtwarzalne instancje, co przekłada się na błyskawiczne przywracanie usług po wystąpieniu problemów. Dodatkowo w podtrzymaniu ciągłości usług pomaga polityka wysokiej dostępności, czyli reguł definiowanych deklaratywnie w konfiguracji systemu, jak też liczba kopii danej aplikacji czy mechanizmy sprawdzania jej działania. W przeciwieństwie do tradycyjnych rozwiązań klastrowych HA, konteneryzacja drastycznie redukuje złożoność operacyjną i jednocześnie skraca czas wdrażania. Dlatego coraz więcej firm wybiera rozwiązania kontenerowe jako fundament dla odpornej i elastycznej infrastruktury.
wszystkim o fizycznych i logicznych uszkodzeniach nośników, a także atakach ransomware. Szczególnie dotkliwe dla polskich przedsiębiorców są te ostatnie. ESET informuje, że w pierwszej połowie 2025 r. Polska zajęła pierwsze miejsce na świecie pod względem liczby wykrytych ataków tego typu (aż 6 proc. wszystkich globalnych incydentów ransomware miało miejsce w naszym kraju). Jeszcze bardziej niepokojące jest to, że według tego samego badania jedynie 59 proc. polskich firm deklaruje korzystanie z oprogramowania zabezpieczającego.
Oczywiście samo posiadanie rozwiązań do tworzenia kopii zapasowych to za mało, by spać spokojnie. Raport Veeam z 2025 r. ujawnia wręcz dramatyczne statystyki: 69 proc. firm doświadczyło co najmniej jednego ataku ransomware w ciągu roku, a w większości przypadków napastnicy celowali bezpośrednio w repozytoria kopii zapasowych. W odpowiedzi na te zagrożenia część przedsiębiorstw stosuje zaawansowane strategie zabezpieczania backupów, takie jak 3-2-1 i jej nowsze odmiany (3-2-1-1, 3-2-1-1-0, 4-2-4). Podstawowa zasada jest prosta: trzeba posiadać kilka kopii danych na różnych nośnikach, w tym jedną całkiem odizolowaną od sieci.
Wiele przedsiębiorstw traktuje backup jak ubezpieczenie samochodu – skuteczność poznają dopiero po „wypadku”. Tymczasem kopie zapasowe powinny być testowane przynajmniej raz na kwartał. Z obserwacji Storware’u wynika, że zaledwie 35 proc. firm regularnie testuje swoje backupy. Podobną tendencję dostrzegają pracownicy Della.
– Regularne testy odtworzeniowe są rzadkością. Najczęściej wynika to z dużych wymagań czasowych, sprzętowych oraz proceduralnych. To poważny błąd, bowiem coś, co nie jest przetestowane, ma minimalną wartość. Tymczasem stosując wirtualizację oraz odpowiednie oprogramowanie do backupu, można ten proces niemal w całości zautomatyzować, sprowadzając koszty do poziomu bliskiego zeru – wyjaśnia Daniel Olkowski, Principal Solution Architect w Dell Technologies. Niemało trudności nastręcza firmom ustalenie odpowiednich wartości wskaźników RPO (Recovery Point Objective – punkt w przeszłości, do którego pozwoli
wrócić kopia zapasowa) oraz RTO (Recovery Time Objective – czas potrzebny na odtworzenie środowiska). Idealnym rozwiązaniem byłoby wyznaczenie RPO na poziomie 0–15 minut, a RTO od 15 minut do godziny. Jednak uzyskanie takich parametrów wiąże się z wysokimi kosztami, dlatego kluczowe jest umiejętne wyliczenie rzeczywistych potrzeb.
– Zaobserwowaliśmy, że aż 60 procent przedsiębiorstw ma problemy z odpowiednim oszacowaniem parametrów RPO oraz RTO. Często kopiują te wartości z ogólnodostępnych źródeł, bez głębszej analizy biznesowej i realnych potrzeb konkretnego podmiotu. To prowadzi do dwóch skrajnych postaw: z jednej strony zbyt wyśrubowanych wartości, z drugiej zaś do nadmiernej tolerancji na ryzyko. Znam przypadki płacenia za RPO na poziomie 15 minut dla systemu używanego raz w tygodniu – mówi Paweł Mączka.
Czasami firmy nie potrafią uporać się z prostszymi kwestiami niż określenie RTO i RPO, takimi jak ustalenie odpowiedzialności za ochronę danych. Często wychodzą z założenia, że jeśli korzystają z aplikacji SaaS, wszystkie zobowiązania przejmuje na siebie usługodawca. To nieprawda, która prowadzi do przykrych niespodzianek i utraty danych w wyniku cyberataków lub błędów pracowników.
– Badania pokazują szokującą rzeczywistość: aż 80 procent firm nie tworzy kopii zapasowych środowiska Microsoft 365. To oznacza, że spośród 450 milionów użytkowników tej platformy na całym świecie jedynie 15–20 procent rzeczywiście chroni swoje dane – alarmuje Henrik Brusgaard, wiceprezes ds. produktu w KeepIT. Backup to proces bardziej złożony niż może się wydawać osobom, które nieświadome są jego niuansów. Kluczem do skutecznej ochrony danych jest nie tylko posiadanie kopii zapasowych, ale również ich regularne testowanie, właściwe określenie parametrów RTO/RPO oraz zrozumienie rzeczywistych zobowiązań dostawców usług SaaS. Bez tych elementów nawet najnowocześniejszy system backupu może okazać się bezwartościowy, gdy nadejdzie chwila prawdy. A że nadejdzie, to niemal pewne. Wszystkie dane bowiem dzielą się na zabezpieczone oraz jeszcze (!) nieutracone. n
w dużej skali
Energy Monitor może stanowić fundament strategii proaktywnego zarządzania infrastrukturą – zarówno w małych, jak i w bardzo rozbudowanych środowiskach.
Współczesna infrastruktura IT wymaga nie tylko stabilności i wysokiej wydajności, ale także dynamiki w kontroli zmieniającej się infrastruktury IT. Każda przerwa w działaniu kluczowych usług może oznaczać straty finansowe, spadek produktywności i utratę zaufania klientów. Dlatego coraz więcej firm szuka narzędzi, które pozwolą na kompleksowe monitorowanie serwerów, baz danych, aplikacji i urządzeń wspierających pracę centrum danych, z naciskiem na automatyzację procesów zmian w IT. Jednym z takich rozwiązań jest Energy Monitor, opracowany przez polską firmę Energy Logserver, znaną dotąd głównie z systemów SIEM i SOAR.
Energy Monitor został stworzony z myślą o cyklicznej kontroli stanu infrastruk-
Artur Bicki, CEO, Energy Logserver
Jednym z użytkowników Energy Monitor jest spółka z branży motoryzacyjnej. Dotychczas jej administratorzy wykorzystywali system monitorowania wspomagany dziesiątkami skryptów, które zapewniały częściową automatyzację. Rozwijanie infrastruktury przy zastosowaniu takiego podejścia okazało się bardzo trudne, głównie ze względu na liczbę skryptów. W rozwiązaniu tego problemu pomogło wdrożenie najnowszej wersji Energy Monitor 1.5.2, dzięki której każdy proces monitorowania jest obsługiwany w jednym środowisku, a lokalne skrypty zostały wyłączone.
tury IT, a jego możliwości wykraczają daleko poza typowy monitoring serwerów. System pozwala na analizę kondycji systemów operacyjnych, aplikacji, baz danych oraz środowisk sieciowych, a także urządzeń zewnętrznych. To narzędzie, które nie tylko reaguje na awarie, ale pozwala im zapobiegać, wskazując potencjalne problemy zanim wpłyną na pracę firmy.
Jednym z największych atutów Energy Monitor jest elastyczność. W jego rdzeniu pracuje uznany, bazujący na otwartym źródle silnik Nagios Core, który daje dostęp do szerokiej gamy gotowych integracji oraz możliwość tworzenia własnych metod kontroli. Dzięki temu administratorzy mogą dostosować system do unikalnych potrzeb przedsiębiorstwa, obejmując monitoringiem praktycznie dowolne urządzenie lub usługę (sprzęt w szafach rack, UPS-y, generatory prądu, czujniki temperatury, wilgotności, dymu, systemy backupu, kamery CCTV, drukarki itd.). W praktyce oznacza to, że administratorzy zyskują jeden, centralny punkt wglądu w całość infrastruktury, co znacząco skraca czas reagowania na problemy.
Architektura Energy Monitor została zaprojektowana z myślą o pracy w dużej skali. Środowisko monitoringu można budować tak, aby dokładnie odzwierciedlało topografię sieci przedsiębiorstwa. Wykorzystanie klastra w układzie active-active oraz lokalnych sond, które również można klastrować, daje niemal nieograniczoną swobodę w projektowaniu systemu. To rozwiązanie szczególnie cenne w środowiskach rozproszonych, gdzie konieczne jest monitorowanie wielu lokalizacji w sposób zintegrowany i spójny.
W najnowszej wersji Energy Monitor wprowadzono funkcje automatyzacji, które znacząco przyspieszają wdrożenie
systemu, zwłaszcza w dużych infrastrukturach. Automatyczne wykrywanie elementów sieci, predefiniowane szablony monitorowania czy inteligentne mechanizmy eskalacji alertów pozwalają skrócić czas konfiguracji i zmniejszyć obciążenie zespołów IT.
Energy Logserver – producent Energy Monitor – działa na rynku od siedmiu lat i stale poszerza swój zasięg. W Polsce dystrybucją tego narzędzia zajmuje się krakowska firma Bakotech. Model sprzedaży zakłada ścisłą współpracę z partnerami, którzy mogą liczyć na szkolenia, materiały marketingowe oraz aktywne wsparcie w procesie sprzedaży. Szczególnie istotny jest brak limitów zgłoszeń w kanale wsparcia technicznego oraz obsługa przez dedykowanego, polskiego inżyniera, co ułatwia szybkie rozwiązywanie problemów i budowanie relacji z klientami.
Producent i dystrybutor stawiają na przejrzystą ochronę projektów oraz dostęp do eksperckiej wiedzy. Energy Monitor ma już na swoim koncie szereg wdrożeń referencyjnych, w tym w firmach przygotowujących się do spełnienia wymogów dyrektywy NIS 2. Dzięki temu rozwiązanie znajduje zastosowanie nie tylko w przedsiębiorstwach komercyjnych, ale też w instytucjach publicznych i podmiotach z branż o znaczeniu krytycznym.
Dodatkowe informacje: Artur Bicki, CEO, Energy Logserver, artur.bicki@energylogserver.com
Techniczny wyścig
dobra ze złem
Nowoczesne cyberataki są szybkie, zautomatyzowane i coraz częściej wspierane przez AI. W tej wojnie nie wystarczy już antywirus – potrzebne są zintegrowane systemy wykrywania zagrożeń oraz reagowania na nie.
l Wojciech Urbanek
Hakerzy niczym gąbka chłoną techniczne nowinki i potrafią przekuć je na własną korzyść. W ostatnim czasie napastnicy robią również niemały użytek z modeli generatywnej sztucznej inteligencji. GhostGPT, WormGPT, DarkGPT, DarkestGPT i FraudGPT to najbardziej znane chatboty przeznaczone do tworzenia złośliwego oprogramowania, fałszywych stron internetowych czy tworzenia wiadomości phishingowych. Powyższe przykłady to jednak nic w porównaniu z nowym odkryciem naukowców z uniwersytetu Carnegie Mellon, którzy wykazali, że duże modele językowe mogą autonomicznie planować i przeprowadzać wyrafinowane cyberataki bez interwencji człowieka. Sztuczna inteligencja okazała się zdolna do odtworzenia ataku z 2017 r. na firmę Equifax, wykorzystując luki w zabezpieczeniach, instalując złośliwe oprogramowanie i wykradając dane (napastnicy pozyskali wówczas dane 147 mln klientów). Badacze z Carnegie Mellon, we współpracy z firmą Anthropic, opracowali zestaw narzędzi do przeprowadzania ataków o nazwie Incalmo. System ten wykorzystuje strategię stojącą za naruszeniem w Equifax i potrafi przełożyć ją na konkretne polecenia systemowe uży-
wane do ataków. Podczas testów w 9 na 10 przypadków LLM odniósł połowiczny sukces, np. pozyskanie części wrażliwych danych.
Działania cyberprzestępców od pewnego czasu przypominają funkcjonowanie korporacji – mają określone specjalizacje, strukturę, cele biznesowe i modele subskrypcyjne, a nawet budują własne marki. – Wszyscy znają Hells Angels. To silna, rozpoznawalna marka, budząca respekt, a nawet strach. Nikt o zdrowych zmysłach nie zadziera również z Los Zetas czy Cosa Nostrą. Gangi ransomware budują swoje marki w podobnym celu, chcąc wzbudzić niepokój wśród swoich ofiar. To pozwala im rekrutować najlepszych specjalistów i wywierać presję na zaatakowane podmioty – tłumaczy Mikko Hyppönen, szef działu analiz w WithSecure.
Dorwać ich w sieci
Wykrywanie cyberprzestępców to zadanie, które może rzucić na kolana nawet najpotężniejsze agencje świata. Dmitrij Juriewicz Choroszew, lider gangu ransomware LockBit, odpowiedzialnego za wyłudzenia o wartości miliarda dolarów, został w końcu zidentyfikowany przez połączone siły amerykańskie i brytyjskie.
Okazało się, że to 31-letni Rosjanin mieszkający w Woroneżu. Jego reakcja? Na platformach społecznościowych pochwalił się koszulką z własną podobizną i napisem: „Poszukiwany – 10 milionów dolarów nagrody”. Przestępca pozostaje na wolności i raczej nic mu nie zagraża.
Historia Choroszewa to nie wyjątek, lecz reguła. Największe gangi cyberprzestępcze często operują z Rosji, Chin i Korei Północnej – państw, które nie tylko tolerują ich działalność, ale nierzadko je wspierają. Rzecz jasna, autorytarne rządy zapewniają im parasol ochronny, dopóki przestępcy atakują „odpowiednie” cele. Dlatego ich schwytanie graniczy z cudem, a skoro nie można ich pojmać, pozostaje zatrzymać ich ataki. W efekcie mamy do czynienia z wojną na wyczerpanie, w której każda strona testuje możliwości przeciwnika. Przedsiębiorstwa, które chcą skutecznie tego dokonać, muszą trzymać się trzech fundamentalnych zasad: uzyskać kompleksowy wgląd w infrastrukturę i zagrożenia, identyfikować najważniejsze obszary wymagające uwagi, a następnie być w stanie podjąć działania naprawcze. Zauważenie sygnałów świadczących o ataku jeszcze zanim dojdzie do katastrofy umożliwiają nowoczesne rozwiązania ochronne, takie jak EDR czy XDR. – Jednak, aby w pełni wykorzystać ich możliwości, niezbędny jest ciągły, całodobowy monitoring. Tylko wtedy możemy realnie wykryć i zatrzymać atak zanim będzie za późno – zauważa Grzegorz Gąsiewski, analityk systemowo-biznesowy ds. cyberbezpieczeństwa w Perceptusie.
Antywirus nie zatrzyma cyberprzestępców
Systemy EDR (Endpoint Detection and Response) praktycznie wypierają z firm i instytucji tradycyjne antywirusy, które coraz gorzej radzą sobie z wykrywaniem zaawansowanych cyberataków, a czasami są wobec nich całkowicie bezradne. Przykładem może być nierozpoznany jeszcze ransomware, ataki fileless (bezplikowe) czy działania hakerów wykorzystujących legalne narzędzia systemowe, jak PowerShell czy WMI. Wygląda na to, że oprogramowanie antywirusowe jako pojedyncze rozwiązanie przetrwa tylko w segmencie użytkowników domowych i małych firm. Fot. Adobe Stock Poważnym wyzwaniem dotyczącym cyberbezpieczeństwa jest deficyt wykwalifikowanej kadry.
– Klasyczny antywirus jest rozwiązaniem przeznaczonym głównie dla użytkowników indywidualnych. W dobie ataków typu zero-day czy kampanii celowanych, które są skrupulatnie, czasami miesiącami przygotowywane przez grupy APT przeciwko konkretnej firmie, zwykły antywirus może po prostu nie wystarczyć. Warto zauważyć, że ESET wycofuje się z opcji sprzedaży samego antywirusa dla biznesu. Musimy zaakceptować nową rzeczywistość, w jakiej się znaleźliśmy – tłumaczy Michał Sroka, Enterprise Account Manager w Dagma Bezpieczeństwo IT.
Oczywiście oprogramowanie antywirusowe nie zniknie z dnia na dzień z firm, ale obecnie trudno sobie wyobrazić ich skuteczne funkcjonowanie bez innych narzędzi ochronnych.
– Nowoczesne programy antywirusowe przeszły ewolucję. Jednak w środowiskach firmowych są tylko jednym z wielu elementów niezbędnych do skutecznej ochrony, nie gwarantując pełnej odporności na zaawansowane ataki. W profesjonalnych zastosowaniach standardem staje się połączenie antywirusa, systemów EDR/XDR i centralnego zarządzania bezpieczeństwem – mówi Marcin Klimowski, Cybersecurity Sales Specialist w polskim oddziale Cisco. Co nowego zatem wnosi EDR do firmowej ochrony? Tradycyjne antywirusy bazują głównie na sygnaturach znanego złośliwego kodu. EDR wprowadza dodatkowo mechanizmy analizy behawioralnej i uczenia maszynowego do wykrywania nieznanych wcześniej zagrożeń, w tym ataków bezplikowych (fileless) i technik „living off the land” (wykorzystanie do prowadzenia ataków nieszkodliwych i zaakceptowanych przez dział IT aplikacji). EDR działa w czasie rzeczywistym, zbierając i analizując dane o wszystkich procesach, połączeniach sieciowych i zmianach w systemie, co pozwala działać zgodnie z zasadą, że współczesna ochrona to nie tylko wykrywanie, ale również natychmiastowe reagowanie.
Według Grand View Research globalny rynek EDR ma do 2030 r. osiągnąć wartość 16,89 miliardów dol., przy średniej rocznej stopie wzrostu (CAGR) wynoszącej 24,9 proc. w latach 2024–2030.
– Nasz kraj zdaje się wpisywać w światowy trend. Wysokie wymagania w zakre-
Z biegiem czasu coraz więcej firm będzie rozszerzać możliwości EDR o ochronę nowych obszarów.
sie obsługi tych narzędzi mają wpływ na liczbę użytkowników, chociaż zauważam, że z roku na rok te ograniczenia stają się coraz mniej istotne. Wymogi prawne związane z NIS 2 i UoKSC, rosnąca liczba ataków w Polsce czy popularyzacja rozwiązań EDR sprawia, że firmy przestają się bać inwestycji w nie – dodaje Michał Sroka. Kolejnym krokiem w rozwoju EDR jest XDR (Extended Detection and Response), czasami określany jako „EDR plus”, co bardzo dobrze definiuje to rozwiązanie. EDR koncentruje się na ochronie komputerów,
stacji roboczych i serwerów, a XDR idzie o krok dalej, zbierając i korelując dane dodatkowo z innych źródeł: chmury, sieci czy aplikacji. Marcin Klimowski podkreśla, że XDR nie zastępuje EDR, lecz jest zbudowany na jego bazie, umożliwiając szersze i skuteczniejsze podejście do ochrony środowiska IT.
– Wielu producentów łączy rozwiązania EDR i XDR w pakiet, co daje większe możliwości bezpieczeństwa. Dlatego można powiedzieć, że popularność obu jest na podobnym poziomie – mówi
Bartłomiej Pośpiech, System Engineer w Net Complex.
Tak czy inaczej, coraz więcej firm z biegiem czasu będzie rozszerzać możliwości EDR o ochronę nowych obszarów, dostosowując się do zmieniającego się krajobrazu cyfrowych zagrożeń.
EDR, SIEM, SOAR – razem czy osobno?
Zasada „od przybytku głowa nie boli”, która sprawdza się w przypadku pieniędzy czy innowacyjnych pomysłów, niekoniecznie znajduje zastosowanie w cyberbezpieczeństwie. Przedsiębiorstwa coraz częściej zmagają się z paradoksem: nadmiar narzędzi, zamiast poprawiać poziom ochrony, wprowadza chaos operacyjny. Jednocześnie cyfrowe zagrożenia ewoluują w błyskawicznym tempie, wymuszając inwestycje w coraz bardziej wyrafinowane rozwiązania. Do najważniejszych należą EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management) oraz SOAR (Security Orchestration, Automation and Response).
EDR działa jak czujny strażnik urządzeń końcowych, monitorując w czasie rzeczywistym komputery stacjonarne, laptopy i serwery. Jego największą słabością pozostaje jednak lawina alertów, często generujących fałszywe alarmy, które paraliżują zespoły bezpieczeństwa. SIEM pełni rolę centralnego oka, zbiera i analizuje logi bezpieczeństwa z całej infrastruktury IT, poszukując wzorców wskazujących na potencjalne zagrożenia. Jednak wysokie koszty wdrożenia i utrzymania stanowią
barierę dla wielu firm, blokującą przed inwestycją w to rozwiązanie. Z kolei SOAR automatyzuje rutynowe zadania i koordynuje odpowiedzi na incydenty, pozwalając zespołom reagować szybciej i efektywniej. Jego skomplikowane wdrożenia wymaga jednak znaczących zasobów i ekspertyzy. Wybór optymalnego rozwiązania zależy od specyfiki przedsiębiorstwa. Szpital skupiony na ochronie dokumentacji medycznej znajdzie w EDR idealne narzędzie do zabezpieczenia urządzeń końcowych. Bank wymagający zgodności z PCI DSS doceni możliwości monitoringu oferowane przez SIEM. Z kolei duże korporacje, szczególnie te działające zgodnie z rygorystycznymi regulacjami (DORA, wymogi KNF), najczęściej sięgają po SOAR ze względu na potrzebę błyskawicznego reagowania na incydenty. Przy czym nie od rzeczy będzie współdziałanie powyższych systemów. – Wielowarstwowość to fundament skutecznej ochrony. W obliczu współczesnych technik ataków integracja EDR z systemami SIEM i SOAR stała się koniecznością. Takie połączenie ułatwia zarządzanie zdarzeniami i zapewnia pełny obraz sytuacji bezpieczeństwa, wskazując obszary ryzyka jeszcze przed wystąpieniem incydentu – podkreśla Bartłomiej Pośpiech.
Kluczem do sukcesu jest w tym przypadku przemyślana strategia uwzględniająca wielkość firmy i jej specyficzne potrzeby. Mniejsze podmioty mogą priorytetowo traktować ochronę urządzeń końcowych poprzez EDR, podczas gdy większe przedsiębiorstwa skorzystają z globalnej widzialności zapewnianej przez SIEM i moż-
Jarosław Wilk, Chief Technology Officer,
Engave
Pomimo dostępności na rynku kompleksowych rozwiązań typu NDR/ XDR, a także jeszcze bardziej zaawansowanych SOAR, zapewniających wykrywanie i reagowanie na zagrożenia, znaczna część firm oraz instytucji koncentruje się głównie na aspekcie wykrywania incydentów. Takie
podejście wynika z dwóch kluczowych czynników: braku zaufania do zautomatyzowanych działań systemów bezpieczeństwa oraz niewystarczającej wiedzy eksperckiej. Niestety, opóźnione reagowanie na incydenty bezpieczeństwa, często potęgowane brakiem całodobowej dostępności odpowiedzialnego za ten obszar zespołu, znacząco zwiększa potencjalne straty. Należy pamiętać, że cyfrowe ataki są zazwyczaj przeprowadzane poza standardowymi godzinami roboczymi, a szybka reakcja po wykryciu zagrożenia stanowi kluczowy element skutecznej obrony. Sytuację dodatkowo komplikuje fakt, że czas od pojawienia się incydentu do jego wykrycia również nie jest zerowy.
Engave otrzymał tytuł IT Master 2025
liwości automatyzacji SOAR. Ostatecznie, pytanie nie brzmi „ile narzędzi mieć?”, ale „które narzędzia i jak je ze sobą połączyć?”. Swoją drogą to zadanie spoczywa na barkach wielu integratorów.
Specjalista pilnie poszukiwany
Rynek rozwiązań do ochrony urządzeń końcowych charakteryzuje się wysoką konkurencyjnością i rozdrobnieniem. Potencjalni nabywcy mają szeroki wybór, jednak ich głównym problemem staje się kwestia finansowania nowoczesnych narzędzi. Globalna niestabilność gospodarcza, napędzana napięciami geopolitycznymi, niepewną polityką taryfową oraz zmienną inflacją, prowadzi do stagnacji lub redukcji budżetów na cyberbezpieczeństwo. Według badań IANS Research, tegoroczny udział wydatków na ten cel w ogólnych budżetach IT spadł z 11,9 proc. do 10,9 proc., co przerwało pięcioletni trend wzrostowy.
Równie poważnym wyzwaniem jest deficyt wykwalifikowanej kadry. Raport InterviewMe wskazuje, że specjalista ds. bezpieczeństwa IT zajmuje trzecie miejsce wśród najwyżej opłacanych zawodów w Polsce – 25 proc. przedstawicieli tej profesji zarabia więcej niż 15 tys. zł brutto miesięcznie. Specjaliści tej klasy są nie tylko drodzy, lecz także trudni do pozyskania. Tylko 6 proc. respondentów badania HRK przyznało, że rekrutacja ekspertów ds. bezpieczeństwa IT nie stanowi dla nich większego problemu. Odpowiedzią na te wyzwania mają być usługi MDR (Managed Detection and Response), co może oznaczać duże możliwości dla integratorów. – Rozwój modelu usługowego jak MDR pokazuje, że wiele firm poszukuje równowagi między zaawansowanymi rozwiązaniami technicznymi, a dostępem do kompetencji. Stąd outsourcing monitorowania i reagowania na incydenty zyskuje na popularności – zauważa Grzegorz Gąsiewski. Część ekspertów pokłada nadzieje w rozwoju sztucznej inteligencji i automatyzacji procesów, które mogłyby zmniejszyć zapotrzebowanie na specjalistów, przyczyniając się tym samym do upowszechnienia takich narzędzi jak EDR czy SIEM. Ale to na razie tylko spekulacje, gdyż trudno przewidzieć, jakimi nowymi metodami zaskoczą nas cyberprzestępcy. n
Fortinet:
Im
wygodniejsze rozwiązanie
ochrona wszystkich kanałów komunikacji
komunikacyjne,
tym trudniej
o jego skuteczne
zabezpieczenie bez kompromisów. A jednak FortiMail Workspace Security zapewnia ochronę bazującą na AI, bez negatywnego wpływu na produktywność.
Najczęstszym wektorem cyberataków są użytkownicy końcowi – podatni na phishing, manipulacje typu Business Email Compromise (BEC), klikający w złośliwe linki lub otwierający pliki ze złośliwym kodem. Z tego powodu zespoły ds. bezpieczeństwa IT walczą z zalewem alertów, a w wielu firmach incydenty dotyczące poczty elektronicznej i aplikacji do współpracy stanowią większość zgłoszeń. Niestety, spada też szybkość reagowania, bowiem przeciążeni specjaliści zazwyczaj nie są w stanie odpowiednio szybko zareagować na zagrożenie, które występuje w krótkim oknie czasowym. Obecnie hakerzy przesyłają linki prowadzące do hostowanych dokumentów, które w momencie kliknięcia są jeszcze „czyste”, a złośliwy ładunek pojawia się dopiero później, gdy zostanie pobrany z internetu. Takich ataków nie da się powstrzymać, korzystając wyłącznie z klasycznych mechanizmów filtrowania
Paweł Wojciechowski, Channel Sales Director, Fortinet
Współczesna komunikacja odbywa się za pomocą wielu różnych narzędzi jednocześnie, dlatego nie wystarczy już tylko ochrona serwera pocztowego. Potrzebne jest rozwiązanie zabezpieczające na wielu „frontach”, które rozumie, jak wygląda współczesne środowisko pracy: hybrydowe, mobilne, bazujące na chmurze. FortiMail Workspace wychodzi naprzeciw tym realiom, oferując ochronę dostosowaną do rzeczywistych zagrożeń i nawyków użytkowników, bez spowalniania ich pracy.
poczty. Co więcej, coraz częściej cyberprzestępcy nie potrzebują żadnego złośliwego oprogramowania, by osiągnąć swój cel. Zamiast tego wykorzystują zaawansowaną inżynierię społeczną do kradzieży tożsamości i w ten sposób dostają się do firmowej sieci. Dlatego w firmach potrzebna jest analiza zachowania, kontekstu i reputacji – inteligentne podejście za pomocą narzędzia, które potrafi dostrzec niuanse.
Lepiej zapobiegać niż leczyć
Na wyzwania związane z wielokanałową cyfrową komunikacją odpowiada rozwiązanie Fortinet FortiMail Workspace. Nie ogranicza się ono do monitorowania poczty elektronicznej, ale obejmuje pełne spektrum narzędzi do współpracy, z których korzystają pracownicy – Microsoft Teams, OneDrive, SharePoint, Google Drive, Dropbox, Slack, Box, Zendesk, a także same przeglądarki internetowe. Dzięki temu możliwe jest wykrywanie i neutralizowanie zagrożeń tam, gdzie rzeczywiście się pojawiają, jeszcze zanim użytkownik otworzy czy prześle dalej niebezpieczny plik lub wiadomość.
W tle FortiMail Workspace działają bazujące na AI usługi ochronne FortiGuard, które analizują podejrzane treści, odnośniki i załączniki w czasie rzeczywistym, a w razie potrzeby automatycznie blokują dostęp lub izolują zagrożone konta. Co istotne, rozwiązanie pozwala także zidentyfikować podejrzane zachowanie, jak nietypowe miejsce, z którego następuje logowanie, nagłe przesyłanie dużej liczby plików czy próby udostępnienia danych poza przedsiębiorstwo. W przypadku wykrycia zagrożenia FortiMail Workspace działa błyskawicznie – usuwa zainfekowane wiadomości ze
wszystkich skrzynek, odbiera uprawnienia przejętemu kontu, powiadamia zespół SOC i uruchamia scenariusze reagowania. Kluczowe jest tutaj proaktywne podejście: zatrzymanie ataku zanim nastąpi eskalacja.
Dodatkowym atutem FortiMail Workspace jest pełna integracja z platformą Fortinet Security Fabric, co umożliwia scentralizowane zarządzanie zagrożeniami w całym środowisku IT. Dane płynące z narzędzi komunikacyjnych mogą być weryfikowane pod kątem zgodności z regułami polityki bezpieczeństwa obowiązującymi na firewallach, w systemach DLP czy urządzeniach końcowych.
Grzegorz Szałański, Fortinet Unit Team Leader, Exclusive Networks Poland
W celu skutecznej ochrony kanałów komunikacji w środowisku biznesowym należy precyzyjnie określić te, którymi posługują się użytkownicy, a także ustalić gdzie każdego dnia szukają informacji i danych – obecnie nie są to już tylko tradycyjne wiadomości e-mail, ale też czaty, notatki ze spotkań, kalendarze czy współużytkowane pliki. To właśnie każdy z tych kanałów jest potencjalnym nośnikiem zagrożeń.
Dodatkowe informacje: Paweł Wojciechowski Channel Sales Director, Fortinet pwojciechowski@fortinet.com
Światowy boom na centra danych Polski nie omija
Do rosnących wyzwań dotyczących zachowania ciągłości zasilania centrów danych i serwerowni oraz skutecznego ich schłodzenia doszło zadanie bardziej podstawowe – zapewnienie im gwarantowanych źródeł energii.
Obserwowany w ostatnim czasie wielki wzrost inwestycji w centra danych jest efektem przede wszystkim gwałtownego rozwoju sztucznej inteligencji i przetwarzania w chmurze. Jak wynika z najnowszego raportu CBRE „Global Data Center Trends”, w 2025 r. popyt na powierzchnię w centrach danych na całym świecie osiągnął rekordowy poziom. Głównym motorem tego wzrostu są hiperskalerzy i dostawcy usług chmurowych. W efekcie trwającego boomu wiele rynków zmaga się z ograniczoną dostępnością mocy energetycznej. Popyt wynosi zapotrzebowanie na prąd do poziomów, do których dostarczająca go sieć nigdy nie była projektowana. Zdaniem Międzynarodowej Agencji Energetycznej już w przyszłym roku globalne zużycie energii przez centra danych może być ponad dwukrotnie większe niż w 2022 r., osiągając poziom 1000 TWh, czyli mniej więcej tyle, ile zużywa cała Japonia.
Rośnie przy tym zainteresowanie Polską jako atrakcyjnym miejscem do lokowania centrów danych i ich eksploatacji.
Zdaniem ekspertów dodatkowo wzmacniać je będą ograniczenia administracyjne dla tego rodzaju inwestycji wprowadzane przez inne kraje. Między innymi z powodu problemów z podażą energii ograniczenia dla rozwoju centrów danych wprowadziły w Europie już takie kraje jak Holandia, Francja i Irlandia. Tamtejsza administracja bierze pod uwagę to, że zużycie energii w centrach danych jest 40 razy większe niż w innych nieruchomościach wykorzystywanych do komercyjnej działalności. W takiej sytuacji wyzwaniem jest to, że z jednej strony trzeba budować coraz więcej energochłonnych centrów danych, aby sprostać rosnącemu zapotrzebowaniu na moc obliczeniową, a z drugiej konieczne stało się – wynikające z coraz częściej wprowadzanych regulacji – ograniczenie emisji dwutlenku węgla.
l Tomasz Janoś
– Potrzeby energetyczne stawiają branżę centrów danych pod rosnącą presją w obszarze środowiskowym. Ale jej liderzy nie czekają na regulacje i sami wdrażają strategie ograniczania emisji w ramach Scope 1, 2 i 3. W tym celu stosują niskoemisyjne paliwo HVO, energię z OZE oraz analizę cyklu życia infrastruktury, by minimalizować ślad węglowy na każdym etapie realizacji inwestycji oraz eksploatacji obiektu. Ta kwestia będzie zajmować coraz więcej naszej uwagi z racji oczekiwań społecznych, ale też zobowiązań klientów centrów danych – mówi Krystian Pypłacz, dyrektor operacyjny Data4.
Łatwo nie będzie
Jak poinformował portal xyz.pl, w ostatnim czasie do Polskich Sieci Elektroenergetycznych (PSE) spłynęły wnioski o podłączenie obiektów centrów danych na łączną moc aż 130 GW. To szokująca liczba, jako że obecnie wszystkie elektrownie w kraju zapewniają łącznie ok. 72 GW mocy. Inwestorzy deklarują, że chcą uruchomić ponad 200 centrów danych, z których część miałaby potrzebować nawet 800 MW – to tyle, ile dostarcza jeden spory blok gazowy. Zdaniem PSE, gdyby zreali-
zowano zaledwie 5 proc. tych planów, to już trzeba byłoby budować nowe elektrownie porównywalne wielkością z Bełchatowem. Z jednej strony jest to ogromna szansa dla gospodarki, bo centra danych są infrastrukturą przyszłości, ale z drugiej – potężne wyzwanie dla energetyki. Oczywiście, wspomniane 130 GW w deklaracjach to wielkość ogromnie zawyżona. A to wynika w dużej mierze z niedoskonałości polskich przepisów, które zezwalają na rezerwowanie mocy bez spełnienia dodatkowych warunków. I robi się to najczęściej bardzo „na wyrost”. Dlatego nie tylko sieć przesyłowa, ale i przepisy regulujące procedury wydawania zgód wymagają w Polsce zmian. Warto odnotować, że był to jeden z wielu tematów poruszanych podczas Debaty CRN „Centra danych w erze AI”, której zapis opublikowany jest w numerze 4/2025 CRN Polska. – Na całym świecie, w kontekście przyłączy do sieci, największym wyzwaniem jest zawsze prąd. Problemem w Polsce jest też prawo energetyczne. Wygląda to tak, że jak mam działkę i prawo do nieruchomości, to składam wniosek o przyłącze określonej liczby MW. Mogę nawet nie wiedzieć, czy to wykorzystam, ale jeśli wniosek jest
kompletny, to dostawca energii, jeżeli ma przyłącze, musi go rozpatrzyć pozytywnie. W rezultacie, przynajmniej w okolicach Warszawy, mamy do czynienia z masą zarezerwowanej mocy przyłączeniowej, z czego olbrzymia część nie będzie wykorzystywana. Odbywa się to nawet na zasadach spekulacji. Trwa w tej chwili dyskusja o przyszłych zmianach w prawie energetycznym, żeby uwolnić tę spekulacyjnie zarezerwowaną moc, która będzie potrzebna nowym centrom danych – mówił podczas debaty Sławomir Koszołko, CEO Atmana. Urealniając krajowe prognozy, w najbardziej optymistycznych wariantach zakłada się, że za kilkanaście lat centra danych w Polsce będą zużywać kilka gigawatów, co i tak będzie wyzwaniem dla dostawców energii. Obecnie moc centrów danych działających w Polsce to niewiele ponad 200 MW.
Niezmiennie większość komercyjnej powierzchni serwerowej w Polsce zlokalizowana jest w Warszawie. Stolica wyróżnia się nie tylko pod względem wielkości centrów danych, ale również różnorodności oferowanych usług. Obok rozwiniętego segmentu kolokacji detalicznej, coraz większe znaczenie zyskuje kolokacja hurtowa, napędzana rosnącym zapotrzebowaniem ze strony dostawców chmurowych i dużych przedsiębiorstw. Poza tym na liście preferowanych lokalizacji w Polsce dominują duże miasta. O umiejscowieniu centrum danych decydują przede wszystkim miejscowe plany zagospodaro-
wania przestrzennego i możliwość zapewnienia sobie odpowiedniego przyłącza. Ważny jest też dostęp do wody używanej do chłodzenia systemu oraz kwestia odprowadzania nadmiarowego ciepła.
– Kluczowe jest strategiczne podejście do wyboru lokalizacji, zwłaszcza w przypadku nowych inwestycji. To nie tylko kwestia kosztów, ale także dostępności energii, kompetencji lokalnych kadr oraz potencjału dalszego rozwoju infrastruktury. Coraz częściej obserwujemy ścisłą współpracę z operatorami sieci elektroenergetycznych już na etapie planowania inwestycji, co pozwala lepiej zarządzać procesem budowlanym i integracją z siecią – mówi Cezary Gutowski, Sales Support Manager, Secure Power w Schneider Electric.
Programy świadomego poboru mocy
Operatorzy centrów danych zaczynają dostrzegać także korzyści finansowe i operacyjne płynące z udziału w programach elastycznego poboru mocy, znanych na świecie jako Demand Side Response (DSR) oraz ich wpływ na stabilność sieci. Wykorzystując zasoby na miejscu, przesuwając na później mniej pilne zadania oraz integrując magazyny energii, są oni w stanie odciążać sieć i jednocześnie obniżać koszty energii.
Przykładowo, Google wdrożyło system, który przesuwa wykonywanie niepilnych zadań obliczeniowych na okresy mniejszego zapotrzebowania w sieci, utrzy-
Czy polskie centra danych będą
korzystać z SMR-ów?
Rosnąca rola sztucznej inteligencji i nacisk na dekarbonizację zwiększają znaczenie bez- i niskoemisyjnych źródeł energii. Dlatego optymistyczną informacją może być to, że coś zaczyna się dziać w obszarze najbardziej pożądanego przez operatorów sposobu zasilania centrów danych, czyli małych modułowych reaktorów jądrowych (SMR).
Kilka miesięcy temu Orlen Synthos Green Energy (OSGE) i Stowarzyszenie Polish Data Center Association (PLDCA) powołały grupę roboczą ds. wykorzystania SMR do zasilania centrów danych. Celem współpracy jest opracowanie strategii dostarczania czystej, stabilnej energii dla tej dynamicznie rosnącej w Polsce branży. OSGE promuje wykorzystanie reaktorów BWRX-300, które zresztą mogą nie tylko zasilać centra danych, ale też dostarczać ciepło systemowe, wspierając dekarbonizację ciepłownictwa.
Głównym celem grupy roboczej PLDCA i OSGE jest opracowanie tzw. białej księgi opisującej możliwości wdrażania w branży centrów danych projektów SMR, korzyści wynikające ze wspólnej realizacji projektów oraz ewentualne ograniczenia i wyzwania z tym związane. Dokument, będzie zawierał omówienie technicznych aspektów obu branż, określenie pola synergii oraz rekomendacje dotyczące potencjalnych zmian legislacyjnych i deregulacyjnych ułatwiających współpracę.
mując działanie kluczowych funkcji i jednocześnie zmniejszając obciążenie w godzinach szczytu. Co ciekawe, niektóre obiekty zaczęły w czasie dużego zapotrzebowania przenosić obciążenia na lokalne generatory awaryjne, co zmniejszało przeciążenia sieci i pozwalało skorzystać z zachęt finansowych. Centra danych stosujące programy elastycznego poboru mogą obniżać koszty energii, czerpać zyski z posiadanej rezerwy mocy oraz wzmacniać swoją odporność na niestabilność sieci. Na najbardziej obciążonych rynkach takie obiekty zyskują przewagę konkurencyjną, unikając drogich szczytowych stawek za energię i utrzymując ciągłość pracy dzięki strategicznemu zarządzaniu energią. Są nawet takie placówki, które próbują dostosowywać swoją działalność do poziomu energii węglowej w sieci, wpisując to w swoje strategie dekarbonizacji.
Wraz z rosnącą świadomością korzyści operatorzy dostrzegają, że programy typu DSR mogą działać w centrach danych bez zakłócania ich pracy. W związku z tym część z nich inwestuje w automatyzację, która dynamicznie przesuwa obciążenia w zależności od warunków sieci, zapewniając przetwarzanie danych w okresach, gdy energia jest bardziej dostępna i tańsza. Inni stosują zaawansowane strategie chłodzenia, które
dostosowują zużycie energii do dostępności mocy w sieci, co ułatwia im zarządzanie wahaniami zapotrzebowania. Ostatecznie to długoterminowe umowy zakupu energii mogą im pomóc zabezpieczyć się przed przyszłymi podwyżkami cen, a elastyczne strategie zarządzania obciążeniem pozwolą unikać drogich okresów szczytowych. Dodatkowo lokalne inwestowanie w energię, w tym w odnawialne źródła i magazyny energii, także mogą zmniejszyć zależność operatorów od sieci przesyłowej.
Chłodzenie cieczą staje się koniecznością
Rosnące wymagania i gęstość mocy serwerów AI prowadzą do tego, że potrzebne staje się chłodzenie cieczą – mimo że branża wciąż nie ma jednego standardu, a każde rozwiązanie to kompromis między wydajnością, bezpieczeństwem i odpowiedzialnością. W przeciwieństwie do prostego podłączenia zasilania, układ chłodzenia z wykorzystaniem płynu wymaga zaawansowanej inżynierii: od doboru złączy, przez redundancję, aż po jakość i przepływ medium. Najważniejsze sposoby chłodzenia cieczą to obecnie direct-to-chip (bezpośrednie chłodzenie układów scalonych) oraz zanurzeniowe chłodzenie cieczą, które może działać w systemach jedno- lub
AI przełamie bariery ludzkiego postrzegania?
W typowym centrum danych personel techniczny optymalizuje wydajność systemów na podstawie swojej wiedzy o sprzęcie oraz hipotez dotyczących tego, jak systemy reagują w określonych warunkach czasu i miejsca, obejmujących pogodę, obciążenie oraz sposób użytkowania. Jednak nawet najlepsi inżynierowie, podejmując decyzje i korzystając z narzędzi do zarządzania infrastrukturą centrum danych (DCIM), mają swoje ograniczenia. Operatorzy tych placówek liczą więc, że to uczenie maszynowe i sztuczna inteligencja zapoczątkują nową erę efektywności energetycznej w branży, w której liczy się każdy kilowat.
Ten nowy trend wynika z tego, że sztuczna inteligencja ma niemal nieskończoną zdolność do opanowania złożoności systemów, manipulując skomplikowanymi sekwencjami pracy instalacji chłodniczych, aby zoptymalizować zużycie energii w stale zmieniających się w czasie rzeczywistym warunkach. Może w ułamku sekundy analizować setki scenariuszy typu „co by było, gdyby”, aby znaleźć najlepsze rozwiązanie.
Pionierzy w tej dziedzinie minimalizują ryzyko, nakładając na AI pewne ograniczenia i weryfikując jej decyzje przed ich wdrożeniem. Przykładowo, w jednym z programów pilotażowych sztuczna inteligencja doradziła operatorom obiektu uruchomienie agregatu chłodniczego w sytuacji, w której zawsze korzystano z free coolingu. Po zastosowaniu się do rady udzielonej przez AI okazało się, że w tych konkretnych warunkach zużycie energii było niższe, co wcześniej wydawało się niemożliwe.
I chociaż systemy chłodzenia cieczą są na ogół znacznie droższe niż tradycyjne rozwiązania chłodzące i mogą być trudne do wdrożenia w istniejących obiektach, to według IDC już w tym roku 22 proc. centrów danych korzysta z takich właśnie rozwiązań. Można spodziewać się, że liczba ta wzrośnie w nadchodzących latach, gdy operatorzy centrów danych będą reagować na dodatkowe obciążenie cieplne generowane przez sztuczną inteligencję, ale także gdy będą wykorzystywać kolejne innowacje celem zwiększenia wydajności i niezawodności chłodzenia cieczą. Według prognoz firmy Grand View Research, globalny rynek tego typu klimatyzacji w centrach danych powinien w latach 2025–2030 odnotować średnioroczny wzrost (CAGR) wynoszący 21,6 proc.
Generalnie, jako segment branży, chłodzenie centrów danych (bez podziału na rodzaje wykorzystywanych rozwiązań technicznych) bardzo szybko rośnie. Jak prognozuje MarketsandMarkets, w ciągu 7 lat wydatki na te systemy zwiększą się ponad dwukrotnie – z 11,08 mld dol. w 2025 r. do 24,19 mld w 2032 r. Takie kwoty zostaną wydane na rozwiązania i usługi. Tym samym średni roczny wzrost całej branży wyniesie w tym okresie 11,8 proc. Mimo ofensywy chłodzenia cieczą wciąż dominować będą rozwiązania bazujące na wykorzystaniu powietrza. Można to wyjaśnić ich większą skalowalnością i kompatybilnością z istniejącą infrastrukturą, a także ceną. Zaletą jest też szerokie zastosowanie, łatwość integracji i stała poprawa efektywności energetycznej. Wszystko to sprawia, że klimatyzacja pozostanie najpopularniejszym rozwiązaniem do odprowadzania ciepła w centrach danych. Nie zabraknie także instalacji hybrydowych łączących oba sposoby odprowadzania ciepła. n
Armac:
biurowy UPS klasy premium
UPS-y marki Armac z rodziny Office Online
Armac Office On-line PF1 Dust-Free to rodzina zasilaczy bezprzerwowych zaprojektowanych z myślą o użytkownikach wymagających ciągłej pracy w każdej sytuacji, niezależnie od jakości energii płynącej z sieci. Flagowy model o mocy 2000 VA/2000 W pracuje w topologii online (podwójna konwersja), co oznacza, że podłączone do jego wyjść urządzenia zasilane są zawsze przez przetwornik, bez ryzyka przerwy w dostawie prądu. Dzięki współczynnikowi mocy 1.0 użytkownik ma do dyspozycji pełne 2000 W mocy skutecznej, co wyróżnia go w segmencie UPS-ów biurowych i serwerowych. Urządzenie dostępne jest w obudowie typu tower, a cała seria obejmuje także modele 1 i 3 kVA w tej samej formie oraz warianty do montażu w szafie rack, o mocy 1, 2 i 3 kVA.
Pod względem specyfikacji technicznej Armac Office On-line PF1 zapewnia parametry, które do tej pory zarezerwowane były głównie dla urządzeń wdrażanych w bardziej wymagających środowiskach IT. Do dyspozycji użytkownika oddano osiem gniazd IEC C13 oraz składający się z sześciu baterii wbudowany zestaw akumulatorów AGM/ VRLA 12 V/9 Ah, których stan jest regularnie weryfikowany dzięki funkcji automatycznego testu wykonywanego co 60 dni. Deklarowany czas podtrzymania wynosi około pięciu minut przy pełnym obciążeniu, co w praktyce wystarcza do zapisania danych, zamknięcia systemu lub przełączenia na alternatywne źródło energii. Do komunikacji służą porty
PF1 przeznaczone są dla klientów, którzy nie akceptują kompromisów między ceną a funkcjonalnością.
USB i RS-232, a wkrótce w ofercie producenta pojawi się także moduł SNMP umożliwiający integrację z systemami monitoringu. Całością można zarządzać za pomocą prostego w obsłudze, a jednocześnie zapewniającego zaawansowane opcje konfiguracji oprogramowania PowerManager II.
Na tle innych konstrukcji Armac PF1 wyróżnia się także dodatkowymi funkcjami. Zasilacz wyposażono w wymienny filtr przeciwkurzowy „Dust-Free”, co znacznie wydłuża jego żywotność w trudniejszych warunkach pracy, gdzie kurz i pył mogą skracać czas działania elektroniki. Kolejnym udogodnieniem są inteligentne wentylatory z regulacją prędkości obrotowej metodą PWM, które automatycznie dopasowują się do bieżącego obciążenia. Urządzenie umożliwia również zimny start, czyli uruchomienie bez podłączenia do sieci, a także wyposażone jest w port EPO pozwalający na natychmiastowe awaryjne odcięcie zasilania.
Połączenie
Obsługa i serwisowanie Armac PF1 zostały zaprojektowane tak, aby maksymalnie ułatwić codzienną eksploatację. Metalowa obudowa modelu PF1 zapewnia odporność na uszkodzenia i długotrwałą pracę, a łatwy w demontażu i możliwy do wyczyszczenia panel frontowy z filtrem przeciwkurzowym ułatwia konserwację. Wbudowany ekran LCD wyświetla wszystkie najważniejsze parametry pracy, w tym poziom nałado-
wania akumulatorów, obciążenie oraz tryb zasilania.
Z punktu widzenia bezpieczeństwa Armac Office On-line PF1 gwarantuje ciągłość pracy podłączonych urządzeń dzięki natychmiastowemu przełączaniu na zasilanie bateryjne. Energia dostarczana jest w postaci pełnej fali sinusoidalnej, co jest kluczowe dla sprzętu wrażliwego na wahania napięcia, takiego jak serwery, urządzenia medyczne czy precyzyjne systemy pomiarowe. Funkcja automatycznego testowania baterii pozwala zapobiegać niespodziewanym awariom, a wbudowane mechanizmy zabezpieczające chronią zarówno sam UPS, jak i podłączone urządzenia przed przepięciami, przeciążeniem, nadmiernym rozładowaniem i przeładowaniem akumulatorów.
Dystrybutorem UPS-ów Armac Office On-line PF1 Dust-Free oraz właścicielem marki Armac jest spółka akcyjna Impakt. Sugerowana cena detaliczna urządzeń wynosi tylko 1979 zł brutto, co w zestawieniu zapewniają funkcjonalnością sprawia, że jest to jedno z najciekawszych rozwiązań w swojej klasie.
W czasach, gdy wewnętrzne zagrożenia mogą być równie destrukcyjne jak zewnętrzne cyberataki, przedsiębiorstwa – chcąc
nie chcąc – mierzą się z wielkim wyzwaniem, jakim jest ochrona danych uwierzytelniających.
Wcyfrowym świecie – w przeciwieństwie do gospodarstw domowych – nie ma jednej lub dwóch par drzwi ani kilku okien, lecz dziesiątki, a czasem setki wirtualnych wejść. Należą do nich konta użytkowników, interfejsy API, urządzenia mobilne, sieci VPN, a także usługi chmurowe. Co gorsza, napastnik nie musi czaić się pod drzwiami domu – może znajdować się w dowolnym zakątku globu. Wystarczy jeden błąd konfiguracyjny, przestarzały system lub słabe hasło, aby ułatwić przestępcom dostanie się do firmowej infrastruktury.
Najbardziej niezawodną techniką uzyskiwania nieautoryzowanego dostępu od lat pozostaje phishing i jego odmiany: spear phishing, whaling, smishing, clone phishing. Według „Verizon Data Breach Investigations Report”, phishing odpowiada za 20–30 proc. wszystkich
Wykorzystanie techniki deepfake może spowodować spadek zaufania do stosowania uwierzytelniania bazującego na biometrii twarzy.
incydentów kradzieży danych uwierzytelniających. A dostęp do nich jest prosty, bowiem przestępcy regularnie sprzedają w darknecie zestawy combo, na które składają się zbiory par nazw użytkowników i haseł pochodzących z wcześniejszych naruszeń i masowych wycieków. Według analizy SOCRadar w ubiegłym roku skompromitowano ponad milion par danych logowania (e-mail i hasło). Zakupione zestawy są używane do systematycznego testowania kombinacji nazw użytkowników i haseł na setkach lub tysiącach stron internetowych lub prowadzenia ukierunkowanych kampanii phishingowych.
Nie ufaj już nikomu
Zuchwałość cyberprzestępców, ewolucja architektury IT oraz postępujące upowszechnienie modelu zdalnej pracy przyczyniły się do popularyzacji koncepcji ochronnej Zero Trust, bazującej na zasadzie „nigdy nie ufaj, zawsze weryfikuj”. To analogiczne podejście do tego, jakby klucze do domu i innych pomieszczeń posiadała jedynie głowa rodziny, a pozostali domownicy za każdym razem musieli się do niej zwracać o ich udostępnienie, udowadniając jednocześnie, że nie są przebierańcami. Zero Trust podważa sens dalszego funkcjonowania systemu ochrony określanego często jako „zamek i fosa”, bazującego na bardzo sil-
nych zabezpieczeniach na granicy sieci oraz kontroli ruchu wchodzącego i wychodzącego.
– Model „zamek i fosa” oddziela dwa światy: wrogi na zewnątrz i bezpieczny w środku. Użytkownik zostaje wpuszczony do wnętrza z pełnym dostępem sieciowym po sprawdzeniu poświadczeń. Ale w ten sposób także przestępca, który uzyska dostęp do zasobów, może poruszać się wewnątrz sieci bez żadnych ograniczeń. Natomiast koncepcja Zero Trust wiąże się z rygorystyczną weryfikacją tożsamości i uprawnień dla wszystkich prób dostępu, niezależnie od lokalizacji, a także ciągłą walidacją stanu zabezpieczeń – tłumaczy Grzegorz Gondek, Business Development Manager w polskim oddziale Fortinetu.
Chociaż w swoich założeniach Zero Trust wygląda bardzo przekonująco, to praktyka pokazuje, że wdrożenie tej metody nie jest ani proste, ani tanie, ponieważ należy zainwestować w nowe rozwiązania, szkolenia personelu oraz potencjalnie w wymianę istniejących systemów. Poza tym użytkownicy mogą być przeciwni nowym procedurom bezpieczeństwa.
– Model „zamek i fosa” wciąż dominuje w około 70 procentach polskich przedsiębiorstw, szczególnie w tych małych i średnich, które działają w tradycyjnych branżach. Z kolei duże firmy i branża fi-
nansowa coraz częściej inwestują w Zero Trust, co wymusza praca zdalna i wymogi regulacyjne – tłumaczy Karol Girjat, Business Development Manager w Net Complex.
NAC i IAM – razem czy osobno?
Chociaż technika NAC (Network Access Control) ma już na karku powyżej dwóch dekad, to bardzo dobrze wpisuje się w stosunkowo świeżą strategię Zero Trust. System pełni rolę strażnika lokalnej infrastruktury, przeprowadzającego wielowarstwową weryfikację każdego urządzenia przed udzieleniem dostępu do sieci. Na przykład, gdy pracownik chce połączyć się z firmową siecią VPN używając laptopa z Windows, NAC sprawdzi czy zapora systemowa jest aktywna, czy zainstalowane są wszystkie krytyczne aktualizacje systemu, jak też czy urządzenie spełnia firmowe standardy bezpieczeństwa.
Współczesne rozwiązania, poza uwierzytelnianiem i kontrolą dostępu bazującą na adresach IP oraz typach urządzeń, wykorzystują sztuczną inteligencję do takich procesów jak automatyczna klasyfikacja urządzeń, wykrywanie anomalii w zachowaniu czy predykcyjna analiza zagrożeń. Ważnym etapem w rozwoju produktów NAC jest też transformacja w stronę rozwiązań chmurowych i hybrydowych, co wymuszają mobilność
pracowników, praca zdalna czy migracja do chmury.
Czasami NAC jest mylnie utożsamiane z rozwiązaniami IAM (Identity Access Management). Chociaż mają wspólne cele, pełnią różne, komplementarne role. NAC to „pierwsza linia obrony”, weryfikująca czy urządzenie i użytkownik mogą wejść do infrastruktury. Z kolei IAM jest kontrolerem uprawnień użytkownika, który zalogował się do systemu i aplikacji. Niektóre nowoczesne platformy NAC oferują już elementy IAM, takie jak integracja z katalogami użytkowników (Active Directory, Azure AD) lub zarządzanie rolami i grupami. Jednakże większość firm nadal traktuje oba systemy jako rozwiązania komplementarne. Przyszłość obu segmentów rysuje się w bardzo jasnych barwach. Według danych Grand View Research, w 2022 r. wielkość globalnego rynku NAC wyniosła 2,51 mld dol., a prognozy wskazują, że w 2030 r. osiągnie wartość 21,26 mld. Oznacza to roczną stopę wzrostu (CAGR) na poziomie 27,2 proc. W przypadku rynku IAM sytuacja przedstawia się następująco: w 2022 r. światowe przychody wyniosły 15,93 mld dol., zaś prognozowana wartość na 2030 r. to 41,52 mld, co przekłada się na średnią roczną stopę wzrostu (CAGR) wynoszącą 12,6 proc. Natomiast jeśli chodzi o rodzimy rynek IAM, jego wartość szacowana jest na około 400–480 mln zł.
– Sprzedaż tych rozwiązań w Polsce rośnie, do czego przyczyniają się zwiększająca skalę zagrożeń hybrydowych wojna, a także regulacje NIS 2 i DORA. Swoje zrobiła też rekordowa liczba cyberataków, która w 2024 roku przekroczyła poziom 110 tysięcy – mówi Rafał Jakubowski, AI Architect w Billennium.
Uprzywilejowani pod kontrolą
Historia Edwarda Snowdena stała się egzemplifikacją wewnętrznego cyberzagrożenia, ale to tylko wierzchołek góry lodowej. Rzeczywistość często bywa brutalna: nawet najbardziej zaufani pracownicy mogą okazać się największym zagrożeniem. Rajesh Dhawan, zwolniony administrator w amerykańskiej rządowej agencji hipotecznej Fannie Mae, w akcie zemsty próbował usunąć
krytyczne dane z 4 tys. serwerów. Gdyby się to udało, skutki byłyby katastrofalne. Z kolei Martin Tripp z Tesli podążył nieco inną ścieżką, tworząc kod automatycznie eksportujący gigabajty wrażliwych danych koncernu, włączając w to dziesiątki poufnych fotografii i nagrań dotyczących systemów produkcyjnych. Ale większość takich przypadków nigdy nie wyszło na jaw – firmy nie „chwalą się” takimi incydentami, chroniąc swoją reputację.
Batem na nieuczciwych adminów jest PAM (Privileged Access Management) – zaawansowany system przeznaczony do zarządzania kontami o podwyższonych uprawnieniach. Pod jego czujnym okiem znajdują się administratorzy sieci, baz danych czy pamięci masowych, a więc osoby, które mogą jednym kliknięciem sparaliżować pracę całej firmy. System ten nie tylko ogranicza ryzyko nadużyć i ataków, ale również zapewnia precyzyjną kontrolę i ciągłe monitorowanie każdego działania użytkowników o wysokich uprawnieniach.
Dwa inne rozwiązania, które śledzą pracę administratorów to PIM (Privileged
Nawet
najbardziej zaufani pracownicy mogą okazać się największym zagrożeniem.
Identity Management) oraz SUPM (Superuser Privilege Management). Pierwszy z nich skupia się na uprzywilejowanych tożsamościach, a więc ustaleniu kto jest administratorem i jak na długo dostaje uprawnienia.
– Kluczowe jest zrozumienie, że PIM sprawdza kim jesteś i jakie masz uprawnienia, a PAM kontroluje, co robisz z tymi uprawnieniami – tłumaczy Karol Girjat. Systemy PIM oraz PAM są często traktowane jako rozwiązania komplementarne. Niektórzy dostawcy definiują PIM jako podzbiór PAM (CrowdStrike), inni preferują zunifikowane podejście (ManageEngine).
– Nieco ponad połowa firm łączy PIM i PAM w jednej platformie, a 30 procent
stosuje podejście etapowe, najpierw wdrażają PIM, a potem następuje integracja PAM – mówi Rafał Jakubowski. Najmniej popularnym rozwiązaniem jest SUPM, kontrolujący czy i kiedy użytkownik może podnieść swoje uprawnienia oraz jakie komendy może wykonać w trybie superusera. Najczęściej korzystają z niego firmy IT, software house’y czy podmioty z wysokimi wymaganiami w zakresie zgodności.
Co z tym hasłem?
Teoretycznie hasła mogą być bezpieczne, pod warunkiem, że zawierają minimum 12 znaków. Teoria jednak, jak to zwykle bywa, rozmija się z praktyką. Jak wynika z badania przeprowadzonego przez NordPass, 200 najpopularniejszych haseł używanych w 2024 r. można złamać w mniej niż sekundę. A to nie jest ich jedyna wada.
– Przedsiębiorstwa muszą niekiedy wymuszać na pracownikach stosowanie haseł o odpowiednim stopniu skomplikowania. Często jednak z uwagi na ich złożoność lądują one zapisane w zeszycie, pod klawiaturą, a nawet na karteczkach naklejonych na monitorze. Zbyt skomplikowane mechanizmy logowania mogą prowadzić do ich obchodzenia, co ostatecznie obniża poziom bezpieczeństwa i efektywność operacyjną. Firmy muszą zmierzyć się z problemem pogodzenia wysokiego poziomu ochrony z wygodą użytkownika – tłumaczy Adrianna Staszczyk, młodszy specjalista ds. bezpieczeństwa informacji i ochrony danych osobowych w Perceptusie.
Jedną z alternatyw dla tradycyjnych haseł jest uwierzytelnianie wieloskładnikowe (MFA), wymagające podania dwóch lub więcej różnych dowodów tożsamości przed uzyskaniem dostępu do konta lub systemu. Jak wynika z raportu Okta „The Secure Sign-in Trends”, wdrożenie MFA wykazuje ciekawą zależność od wielkości przedsiębiorstwa. Analizy pokazują odwrotną korelację między liczbą pracowników a poziomem upowszechnienia MFA: im większy podmiot, tym niższy wskaźnik wdrożenia. Firmy zatrudniające mniej niż 300 osób osiągają najwyższy poziom stosowania MFA (82 proc.), natomiast te liczące ponad 20 tys. pracow-
ZDANIEM SPECJALISTY
Paweł Kamiński,
Senior Solutions Architect, IT Solution Factor
Zainteresowanie systemami PAM w Polsce systematycznie rośnie, szczególnie w branżach regulowanych, takich jak bankowość, energetyka czy administracja publiczna. Głównymi użytkownikami są administratorzy IT, DevOps oraz firmy outsourcingowe. Popyt napędzają wymogi ISO 27001, KNF oraz kontrole audytowe. Wdrożenie PAM zwiększa odporność na nadużycia i pozwala na redukcję strat wynikających z błędów, jakie popełniają użytkownicy uprzywilejowani. Systemy PAM powinny działać komplementarnie z PIM – ten pierwszy zarządza cyklem życia kont uprzywilejowanych, a drugi kontroluje i audytuje ich użycie. W praktyce często zaczyna się od PAM-u, by ograniczyć ryzyko związane z administratorami, a dopiero później dodaje PIM dla zapewnienia lepszej automatyzacji i zgodności. Integracja tych dwóch podejść zwiększa przejrzystość i skraca czas reagowania na incydenty.
IT Solution Factor otrzymał tytuł IT Master 2025
Patryk Suchorowski, architekt rozwiązań IT, Rublon
Model „zamek i fosa” wciąż funkcjonuje w wielu firmach, szczególnie tych z rozbudowaną własną infrastrukturą. Jednak wraz z rosnącą mobilnością pracowników i przenoszeniem aplikacji do chmury staje się on niewystarczający. Coraz częściej widzimy inwestycje w rozwiązania przesuwające kontrolę bliżej użytkownika i zasobu, np. NAC, IAM czy MFA, co wpisuje się w koncepcję Zero Trust. Po NAC sięgają najczęściej średnie i duże firmy, które mają rozbudowane sieci korporacyjne oraz wymagają granularnej kontroli dostępu do sieci przewodowej i bezprzewodowej. NAC dobrze wpisuje się w model Zero Trust, bo pozwala weryfikować urządzenia i użytkowników przed nadaniem im dostępu. W praktyce podmioty posiadające IAM często uzupełniają go NAC-iem, ponieważ oba rozwiązania odpowiadają na różne poziomy kontroli tożsamości oraz sieci.
ników – najniższy (59 proc.). Odwrotną tendencję pokazują badania Jump Cloud, zgodnie z którymi 87 firm z ponad 10 tys. pracowników używa MFA, a w firmach średnich (26-100 pracowników) współczynnik ten wynosi 34 proc. Według Okty najpopularniejsze metody uwierzytelniania wieloskładnikowego – oprócz hasła – to push (29 proc.), SMS (17 proc.) oraz token programowy (14 proc.). Jak wiadomo, od dawna w branży IT mówi się o całkowitym odejściu od haseł. Nie jest to misja niewykonalna, ale wymaga czasu, bowiem ludzie nie lubią radykalnych zmian.
– Chociaż tradycyjne hasło pozostaje najczęściej stosowaną metodą uwierzytelniania, rynek autentykacji bezhasłowej rośnie w tempie 19 procent rocznie, a więc najszybciej wśród rozwiązań IAM. Google raportował 400-procentowy wzrost udziału cyfrowych kluczy logowania, a rozwiązanie to jest już obsługiwane przez ponad 90 procent urządzeń korzy-
Rublon zdobył certyfikat Channel Master 2025
stających z iOS-a i Androida – zauważa Rafał Jakubowski.
Co ciekawe, największe zasługi w eliminowaniu haseł mają regulatorzy. Z obserwacji Karola Girjata wynika, że około 60 proc. wdrożeń motywowanych jest wymogami regulacyjnymi, takimi jak PSD2, NIS 2 czy RODO, zaś w 40 proc. świadomością zagrożeń.
Implementacja systemów uwierzytelniających wiąże się z wieloma wyzwaniami: zróżnicowane środowiska IT, brak wykwalifikowanej kadry czy ograniczenia finansowe. To martwi, zwłaszcza w kontekście coraz bardziej wyrafinowanych ataków. Gartner ostrzega przed techniką deepfake, prognozując, iż w 2026 r. aż 30 proc. przedsiębiorstw uzna systemy weryfikacji tożsamości bazujące na biometrii twarzy za niewiarygodne. Powodem tego spadku zaufania jest rosnące zagrożenie wykorzystaniem fałszywych filmów oraz obrazów generowanych przez sztuczną inteligencję. n
Tożsamość na celowniku hakerów
Rok 2024 przyniósł gwałtowny wzrost liczby cyberataków, w ramach których kradziono cyfrowe tożsamości. Firma SpyCloud opublikowała obszerny raport dotyczący tego tematu, z którego wynika, że aż 91 proc. podmiotów doświadczyło incydentu związanego z użyciem skradzionych danych, a niemal 80 proc. naruszeń bezpieczeństwa wciąż obejmowało wykorzystanie przejętych poświadczeń. Skala problemu jest astronomiczna – w cyberprzestępczym podziemiu krąży ponad 750 miliardów skradzionych elementów tożsamości (hasła, adresy e-mail, numery telefonów, dane kart płatniczych).
Dynamicznie rośnie też znaczenie złośliwego oprogramowania typu infostealer, które potrafi przechwycić setki haseł i ciasteczek sesyjnych z jednego zainfekowanego urządzenia. Zjawisko to dotyka nie tylko pojedynczych użytkowników, ale także całe łańcuchy dostaw i firmy każdej wielkości. Autorzy raportu podkreślają konieczność zmiany podejścia z tradycyjnej ochrony pojedynczych kont na całościową ochronę tożsamości, obejmującą wszystkie powiązane dane, zarówno prywatne, jak i firmowe. Firmy powinny wdrożyć monitoring ekspozycji tożsamości, stosować wieloskładnikowe uwierzytelnianie i wymuszać stosowanie unikalnych haseł, chronić ciasteczka sesyjne oraz wdrażać mechanizmy Zero Trust. Kluczowe jest także sprawdzanie poziomu bezpieczeństwa partnerów i dostawców.
Pełna wersja raportu
Skala problemu
W 2024 roku 91 proc. firm doświadczyło incydentu związanego z przejęciem danych logowania – to obecnie jeden z głównych wektorów ataku. Ponad 750 mld elementów cyfrowej tożsamości zostało skradzionych i krąży w cyberprzestrzeni.
Nowe źródła zagrożeń
Infostealery to najgroźniejsza broń cyberprzestępców. Wycieki, z których zebrano dane w 2024 r., zawierały 548 mln haseł i aż 17,3 mld ciasteczek sesyjnych.
Ewolucja phishingu
Phishing zmienia się w usługę dostępną dla każdego. Cyberprzestępcy oferują obecnie kompletną infrastrukturę do przeprowadzania ataków w modelu abonamentowym. Aż 97 proc. wykradzionych w 2024 r. danych zawierało adresy e-mail, a 64 proc. numery IP.
Hasła – pięta achillesowa
W przeanalizowanych danych z wycieków haseł wciąż królują proste kombinacje jak „123456”, „admin” czy „qwerty”, które można złamać w sekundę. Co więcej 70 proc. użytkowników powiela swoje hasła w wielu usługach.
Największe wycieki danych
Rok 2024 przyniósł incydenty o rekordowej skali. W jednym z największych wycieków – „National Public Data” – znalazło się 2,7 mld rekordów, w tym 272 mln amerykańskich osobistych numerów identyfikacyjnych SSN.
Konsekwencje dla firm
Z jednego zainfekowanego urządzenia cyberprzestępca może uzyskać dostęp do 10–25 aplikacji biznesowych, co wystarczy, by sparaliżować całe przedsiębiorstwo.
53,3 mld
skradzionych unikalnych rekordów tożsamości
18 mln
wycieków zawierało dane stanowiące gotowe pakiety do przejęcia kont
1,7 mln
rekordów pozyskano z nowych kampanii, w których wykorzystywano AI i phishing-as-a-service
3,1 mld
haseł trafiło w ręce cyberprzestępców w 2024 r.
26 mld
rekordów wykradziono w największym wycieku MOAB (Mother of All Breaches)
146
rekordów średnio skradzionych na jednego pracownika
Ochrona systemów OT i IoT
Sieci i zagrożeń nowych możliwości
Współczesne, coraz bardziej scyfryzowane fabryki nie mogą już sprawnie i wydajnie funkcjonować bez obsługujących linie produkcyjne systemów OT (Operational Technology). Potrzebują także w rosnącym stopniu Internetu Rzeczy (IoT) oraz dostępu do sieci komputerowych i oprogramowania umożliwiającego silniejsze wpisywanie procesów przemysłowych w coraz bardziej złożone uwarunkowania biznesowe.
Do środowisk OT należy szerokie spektrum programowalnych systemów i urządzeń, których celem jest monitorowanie stanu oraz sterowanie pracą różnego rodzaju infrastruktur i fizycznych instalacji lub maszyn. Używane są one nie tylko do obsługi procesów stricte produkcyjnych, lecz także wielu innych procesów technicznych w różnych
Co drugie przedsiębiorstwo nie dysponuje programem ochrony środowisk OT.
Jeszcze do niedawna światy automatyki przemysłowej i firmowej teleinformatyki funkcjonowały całkowicie osobno. Obecnie są coraz bardziej połączone, w tym poprzez rozwiązania Internetu Rzeczy. Zapewnia to nowe możliwości operacyjne, ale przynosi też wiele nowych wyzwań z zakresu cyberbezpieczeństwa.
dziedzinach gospodarki, jak energetyka, transport, usługi komunalne itp.
Wśród rozwiązań z zakresu IoT można wymienić różnego rodzaju czujniki, które zapewniają dostęp do danych pozyskiwanych z maszyn. Mogą to być też specjalistyczne urządzenia umożliwiające przekazywanie informacji zwrotnych do instalacji obsługujących procesy techniczne, czy też pozwalające na automatyczne uruchamianie w ich ramach konkretnych działań. Mowa tu nie tylko o procesach produkcyjnych w fabrykach. Internet Rzeczy znajduje szerokie zastosowanie w wielu różnorodnych obszarach tzw. inteligentnych rozwiązań (miasto, transport czy dom). Z kolei Przemysłowy Internet Rzeczy (IIoT – Industrial Internet of Things) wymienia się jako integralny składnik tzw. inteligentnej fabryki.
Rynek z perspektywami
Przybierające na sile procesy cyfryzacji i automatyzacji sprawiają, że zapotrzebowanie na rozwiązania Internetu Rzeczy, w tym również IIoT, stale rośnie. Analitycy prognozują znaczący wzrost globalnych wydatków na rozwiązania IoT. Zdaniem autorów raportu opra-
cowanego przez PMR Market Experts, globalna wartość tego rynku osiągnie w 2030 r. wartość 2,65 bln dol. (1,18 bln dol. w 2023 r.). Według ekspertów GlobalData wzrosty będą wynikały głównie z zastosowań korporacyjnych. W 2028 r. przychody od przedsiębiorstw mają stanowić, podobnie jak w 2023 r., 72 proc. wszystkich przychodów w segmencie Internetu Rzeczy. Pozostała część należałaby do rynku konsumenckiego.
Zgodnie z przewidywaniami Grand View Research, wielkość rynku samego tylko Przemysłowego Internetu Rzeczy osiągnie w 2030 r. wartość 1,69 bln dol. Od 2024 r. wydatki mają rosnąć tutaj corocznie średnio o 23,2 proc. Najwyższa, prognozowana dynamika wzrostu (50 proc. rok do roku) ma nastąpić w segmencie usług, głównie ze względu na znaczny wzrost liczby połączonych ze sobą urządzeń. Silnie będzie rósł także rynek zastosowań w logistyce i transporcie oraz w branży produkcyjnej i motoryzacyjnej.
Prognozowany jest także dynamiczny rozwój rynku rozwiązań OT. Według szacunków Precedence Research, jego wartość ma w ciągu najbliższych dziesięciu lat wzrosnąć ponad czterokrotnie
l Andrzej Gontarz
– z 27,03 mld dol. w 2025 r. do poziomu 122,22 mld w roku 2034. Spodziewana skala średniorocznych przyrostów (CAGR) ma wynieść w tym okresie 18,25 proc.
Więcej cyfryzacji, więcej podatności
Jak to zwykle bywa w przypadku technicznego postępu, korzyściom towarzyszą niepożądane skutki. Posiadacze infrastruktury OT i IoT muszą liczyć się z pojawieniem się nowych cyberzagrożeń, wynikających z powiększających się obszarów podatności na ataki. Aż 75 proc. przedsiębiorstw uczestniczących w ubiegłorocznym badaniu firmy Onekey przyznało, że uwaga hakerów coraz bardziej kieruje się w stronę przemysłowych systemów sterowania i urządzeń Internetu Rzeczy. Jednocześnie 60 proc. respondentów oceniło swój budżet na cyberbezpieczeństwo jako niepewny. A jak wynika z raportu Fortinetu, 75 proc. firm posiadających infrastrukturę OT doświadczyło już co najmniej jednego włamania w ciągu ostatniego roku. Jak podano w opracowanym przez KPMG i Międzynarodowe Stowarzyszenie Cyberbezpieczeństwa Systemów Ste-
rowania (CSCAI) dokumencie „Control System Cybersecurity Annual Report 2024”, kwestie cyberbezpieczeństwa systemów automatyki przemysłowej nie są jeszcze w dostatecznym stopniu uwzględniane w firmowych strategiach bezpieczeństwa. Niemal połowa ankietowanych firm (49 proc.) nie posiada programów ochrony środowisk OT lub ma jedynie ich podstawowy zrąb. Jednocześnie rośnie jednak świadomość wagi problemów dotyczących bezpieczeństwa systemów OT, w tym również na poziomie kierownictw zakładów. 21 proc. uczestników badania KPMG i CSCAI zadeklarowało, że zamierza podnieść swój budżet na ochronę systemów przemysłowych o więcej niż 10 proc. w porównaniu z poprzednim rokiem. Najczęściej przy tym wskazywanym obszarem, w którym spodziewają się najwyższego zwrotu z inwestycji, jest segmentacja sieci.
Deklaracje przedsiębiorstw potwierdzają analizy rynkowe. Według prognoz MarketsandMarkets, wartość rynku zabezpieczeń środowisk technik operacyjnych wzrośnie z 20,7 mld dol. w 2024 r. do 44,9 mld dol. w roku 2029 (przy średniej rocznej stopie wzrostu na poziomie 16,8 proc.). Przy tym wydatki na usługi z zakresu bezpieczeństwa będą w najbliższych pięciu latach rosnąć szybciej niż wydatki na same rozwiązania OT.
Otwieranie zamkniętego
Cyfryzacja środowisk produkcyjnych powoduje, że na kontakt ze światem zewnętrznym wystawiane zaczynają być w coraz większym stopniu systemy, które do działania w takiej otwartej, zintegrowanej z firmowymi systemami informatycznymi formule nie były wcześniej projektowane. Rozwiązania technik operacyjnych miały działać w zamkniętych instalacjach produkcyjnych, służąc utrzymaniu ciągłości działania linii przemysłowych i zapewnieniu fizycznego bezpieczeństwa procesów technologicznych. Nawet jeśli to były urządzenia programowalne, to kwestie ich ochrony przed atakami z zewnątrz nie były w zasadzie brane pod uwagę. Podstawą bezpieczeństwa tych rozwiązań była ich izolacja i wykorzystanie w ściśle określonych wa-
AI pożyteczna i groźna
W ochronie systemów OT i IoT może pomagać sztuczna inteligencja. Dzięki uczeniu maszynowemu możliwe jest wykrywanie anomalii i odstępstw od standardowych wzorców zachowań, dzięki czemu łatwiejsze staje się wykrywanie potencjalnych ataków, bądź wręcz ich przewidywanie. Narzędzia AI mogą też wspierać zespoły cyberbezpieczeństwa w szybkim reagowaniu na incydenty i usuwaniu ich skutków.
Z drugiej strony sztuczna inteligencja może też stanowić pole dodatkowych, potencjalnych zagrożeń. Chodzi tu zarówno o wykorzystanie bazujących na niej narzędzi do przeprowadzania ataków na systemy przedsiębiorstw, jak też o bezpośrednie ataki na wykorzystywane algorytmy i modele AI (na przykład poprzez wprowadzanie zmian w danych, czy zakłócanie procesów trenowania). Wykorzystywane w systemach zabezpieczeń narzędzia bazujące na sztucznej inteligencji mogą też generować fałszywe alarmy. Stosowanie tej metody wymaga więc dodatkowej ochrony i wprowadzenia specjalnych, dotyczących jej standardów bezpieczeństwa.
runkach, do ściśle określonych zadań, na ściśle określonych urządzeniach.
Ze względu na postępujące procesy cyfryzacji integracja środowisk OT i IT wydaje się być obecnie nieunikniona i potrzebna z biznesowego punktu widzenia. Ich konwergencja stanowi też jednak zagrożenie, bowiem niesie potencjalne ryzyko związane z pojawieniem się nowych wektorów i płaszczyzn ataków. Systemy informatyczne i przemysłowe różnią się architekturą, jak też topologią, sposobem funkcjonowania, wymogami bezpieczeństwa, procesami zarządzania, czy stosowanymi rozwiązaniami technicznymi. W przedsiębiorstwach podlegały i w zasadzie nadal podlegają dwóm różnym grupom specjalistów, z wydzielonych, osobnych pionów OT i IT. Na dodatek rozwiązania technik operacyjnych mają dłuższy cykl życia niż systemy informatyczne. Są przeważnie dużo starsze niż IT, co nierzadko skut-
kuje brakiem wsparcia ze strony producentów. Nawet instalowanie w nich dostępnych poprawek jest dużo trudniejsze niż w systemach informatycznych i musi być planowane z dużym wyprzedzeniem. Każde bowiem zatrzymanie linii produkcyjnej wiąże się z dużymi, wymiernymi kosztami. Niektóre luki mogą więc nie być załatane nawet przez długi czas. Pogodzenie specyfiki tych dwóch różnych światów w jednym ekosystemie cyberbezpieczeństwa stanowi więc nie lada wyzwanie, chociaż wydaje się być koniecznością. Przy tym należy mieć na uwadze, że bezpośrednie, dosłowne przenoszenie metod ochrony z IT do OT nie zawsze jest skuteczne, a nawet może skutkować wzrostem podatności. Narzędzia i metody trzeba dostosować do wyzwań oraz specyfiki każdego środowiska z osobna, a potem połączyć je w jeden, spójny system cyberbezpieczeństwa. Konieczne jest stosowanie mechanizmów wykrywania zagrożeń specyficznych dla infrastruktury przemysłowej przy jednoczesnym zapewnieniu ochrony całego firmowego środowiska informatycznego. Cyberprzestępcy łączą bowiem dzisiaj techniki ataku znane z obszaru IT z metodami specyficznymi dla systemów OT.
Zalecanym sposobem radzenia sobie z potencjalnymi zagrożeniami jest segmentacja sieci, uznawana za fundamentalny składnik systemu bezpieczeństwa infrastruktury przemysłowej. Podział sieci na mniejsze, izolowane od siebie segmenty ma służyć ograniczaniu rozprzestrzeniania się zagrożeń i ułatwiać zarządzanie zabezpieczeniami. W przypadku zaistniałego incydentu segmentacja ogranicza możliwość przenoszenia się zagrożeń do innych obszarów sieci, przyczyniając się w ten sposób do minimalizacji potencjalnych szkód. Ograniczanie dostępu do systemów automatyki przemysłowej może też odbywać się poprzez stosowanie jednokierunkowych bramek, czy też tzw. stref zdemi-
Wiele urządzeń OT nie ma wbudowanych zabezpieczeń. Ochrona
litaryzowanych z zaporami sieciowymi. Rozwiązania te mają zapobiegać przepływom ruchu między systemami informatycznymi i operacyjnymi.
Duża różnorodność, brak standardów
Za kluczową przeszkodę w osiągnięciu pożądanego poziomu bezpieczeństwa w systemach IoT uznawany jest brak jednolitych, powszechnie akceptowanych standardów – nie tylko w zakresie metod ochrony, ale też wykorzystywanych w nich rozwiązań technicznych. W sieciach funkcjonuje wiele różnorodnych urządzeń, aplikacji i systemów pochodzących od różnych producentów i korzystających z wielu różnych protokołów komunikacyjnych. Na dodatek urządzenia te mają różny stopień złożoności i zaawansowania technicznego – od prostych czujników po skomplikowane systemy i narzędzia. To jeszcze bardziej utrudnia wprowadzenie jednolitych wymogów i norm dla całych środowisk IoT.
Co ważne, systematycznie przybywa urządzeń, które są włączane do sieci, stając się jej integralnym elementem. Przy czym wiele instalacji IoT realizowanych jest na bardzo dużą skalę. Zarządzanie tymi rozrastającymi się, coraz bardziej złożonymi systemami staje się tym samym coraz trudniejsze. Tymczasem wiele z wykorzystywanych urządzeń IoT nie ma wbudowanych zabezpieczeń, podczas gdy część z nich wyposażona jest w słabe, nieskuteczne mechanizmy uwierzytelniania i kontroli dostępu (często korzystają z prostego, domyślnie ustawionego i zazwyczaj potem niezmienianego hasła). Rośnie też statystyczne ryzyko natrafienia na rozwiązania bez bieżących uaktualnień oprogramowania, a więc wyjątkowo podatnych na ataki.
Dodatkowo, łączenie i integrowanie różnych rozwiązań w jednym systemie czy w jednej sieci utrudnia brak jednolitych standardów. W efekcie nie ma mowy o zachowaniu pełnej interoperacyjności coraz bardziej złożonych środowisk oraz kompatybilności funkcjonujących w nich urządzeń. To niesie z sobą kolejne czynniki ryzyka i stwarza podat-
Regulacje dotyczące OT
• IEC 62443 – międzynarodowy zespół standardów określający wymagania w zakresie bezpieczeństwa systemów automatyki przemysłowej
• NIST SP 800–82 – wytyczne amerykańskiego Narodowego Instytutu Standardów i Technologii (The National Institute of Standards and Technology, NIST) dotyczące bezpieczeństwa środowisk technik operacyjnych
• NIS 2 – unijna dyrektywa dotycząca cyberodporności w kluczowych branżach gospodarki
• Ustawa o krajowym systemie cyberbezpieczeństwa (w przygotowaniu) – nowelizacja dostosowująca polski system cyberbezpieczeństwa do wymogów NIS 2
Regulacje
dotyczące IoT
• ISO/IEC 27001, RODO, IEC 62443, NIS 2, Ustawa o krajowym systemie cyberbezpieczeństwa – mają zastosowanie do systemów IoT, chociaż wprost ich nie dotyczą
• Akt w sprawie danych (Data Act) – unijne rozporządzenie regulujące dostęp do danych generowanych przez urządzenia Internetu Rzeczy
• Cyber Resilience Act (CRA) – unijne rozporządzenie dotyczące odporności produktów cyfrowych i oprogramowania (wejdzie w życie w 2027 r.)
• CC (Common Criteria) – międzynarodowy standard oceny bezpieczeństwa produktów IT
ności na zagrożenia z zewnątrz. Wiele urządzeń, szczególnie tych prostych, ma przy tym ograniczoną moc obliczeniową, co utrudnia lub wręcz uniemożliwia implementowanie w nich bardziej zaawansowanych i skuteczniejszych mechanizmów ochronnych. W takich sytuacjach rośnie więc potrzeba stałego monitorowania ruchu w sieciach, analizowania zagrożeń i regularnych audytów, które będą przyczyniały się do identyfikowania podatności i eliminowania zagrożeń. n
Zarządy angażują się w cyberbezpieczeństwo
Opublikowany przez Fortinet raport „State of Operational Technology and Cybersecurity 2025” pokazuje, że rośnie dojrzałość przedsiębiorstw w podejściu do ochrony systemów technik operacyjnych (OT), a bezpieczeństwo tych środowisk staje się sprawą strategiczną. Coraz częściej odpowiedzialność za ten obszar przypisywana jest bezpośrednio osobom na stanowisku CISO – w 2025 r.
już ponad połowa firm deklaruje taki model, podczas gdy jeszcze w 2022 r. było to zaledwie 16 proc. Widać też większe zaangażowanie zarządów, które zaczynają traktować bezpieczeństwo OT jako element kluczowy dla ciągłości działania i reputacji przedsiębiorstwa.
Prawie połowa przedsiębiorstw wdrożyło procedury, w ramach których procesy dotyczące cyberbezpieczeństwa są stale
Poziom 0: Brak segmentacji lub widzialności systemów OT
Poziom 1: Zapewniona segmentacja i widzialność
Pełna wersja raportu
Poziom 2: Zapewniona kontrola dostępu i profilowanie
Poziom 3: Zapewniona predykcja zachowań
4: Wdrożona orkiestracja i automatyzacja
ulepszane dzięki informacjom zwrotnym z mechanizmów służących optymalizacji i automatyzacji analizy zagrożeń oraz zarządzania incydentami. Ten wyższy poziom dojrzałości przekłada się na skuteczność ochrony – w 2025 r. aż 52 proc. firm deklaruje brak włamań, w porównaniu z zaledwie 6 proc. trzy lata wcześniej. Najczęściej stosowane praktyki obejmują segmentację sieci, widzialność zasobów,
analizę zagrożeń oraz konsolidację dostawców, co wpływa na uproszczenie architektury bezpieczeństwa i obniżenie ryzyka powodzenia ataku.
Autorzy raportu podkreślają jednak, że wyzwań nie brakuje – wrażliwe systemy OT często wciąż bazują na starszych rozwiązaniach technicznych, co utrudnia ich zabezpieczenie. Nadal połowa badanych firm doświadczyła w ostatnim roku przynajmniej jednego incydentu, a wśród najczęstszych zagrożeń wymienia się phishing, złośliwe oprogramowanie i ataki ransomware. Dlatego konieczne jest nie tylko wdrażanie nowoczesnych narzędzi ochrony, lecz także budowanie świadomości pracowników oraz włączanie OT w strategie bezpieczeństwa całego przedsiębiorstwa.
Przerwa w działalności operacyjnej negatywnie wpływająca na produktywność
Przerwa w działalności operacyjnej zagrażająca bezpieczeństwu fizycznemu
Narażenie na szwank reputacji
Utrata danych biznesowych / własności intelektualnej o znaczeniu krytycznym
Niedochowanie wymogów dotyczących zgodności
Brak
Poziom
Indeks firm
DODATEK SPECJALNY DO MIESIĘCZNIKA CRN POLSKA www.CRN.pl
październik 2025 PL ISSN 1640-9183
Redakcja
Aleja Stanów Zjednoczonych 51, lok. 508 04-028 Warszawa redakcja@crn.pl
Tomasz Gołębiowski (redaktor naczelny) tel. 608 425 699 tomasz.golebiowski@crn.pl Krzysztof Jakubik (redaktor prowadzący) tel. (22) 24 42 923 krzysztof.jakubik@crn.pl Karolina Marszałek (sekretarz redakcji) karolina.marszalek@crn.pl Andrzej Gontarz andrzej.gontarz@crn.pl Tomasz Janoś tomasz.janos@crn.pl Wojciech Urbanek wojciech.urbanek@crn.pl
Grafika, layout, koordynacja produkcji: Tomasz Baziuk
Fotografia na okładce Adobe Stock
Fotografie Adobe Stock, archiwum Prenumerata prenumerata@crn.pl
WYDAWCA Peristeri Sp. z o.o. Aleja Stanów Zjednoczonych 51, lok. 508 04-028 Warszawa
REKLAMA i projekty specjalne Agata Myśluk tel. 694 455 426 agata.mysluk@crn.pl Jacek Goszczycki tel. 601 935 513 jacek.goszczycki@crn.pl
