Podczas Business Sync Hub w jednym panelu prowadzonym przez Tomasza Matułę, zasiedli przedstawiciele kluczowych graczy rynku: Tomasz Kędziora (P4/Play), Damian Leśniak (Cloudware Polska), Jacek Kędzierski (IBM) i Maciej Przepiórka (Dell). Temat był wymagający: „Cyberodporność 2025+: NIS2, nowelizacja UKSC i przyszłość bezpieczeństwa organizacji”. Zamiast powielać slogany o cyberbezpieczeństwie, panel skupił się na praktyce: co naprawdę trzeba zrobić, aby organizacja była bardziej odporna na ataki.
NIS2 i UKSC: mniej „papieru”, więcej realnej odpowiedzialności
Tomasz Kędziora, odpowiadający za cyberbezpieczeństwo u jednego z największych operatorów telekomunikacyjnych w Polsce, zwrócił uwagę, że wieloletnia „epopeja” wokół nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zmęczyła wiele firm. Ponadto zapisy o karach, sankcjach i osobistej odpowiedzialności członków zarządów sprawiły, że, temat nabrał realnej wagi również w salach zarządów.
W praktyce oznacza to, że:
- członkowie zarządu mogą ponosić osobiste konsekwencje za zaniedbania w obszarze cyberbezpieczeństwa,
- regulator zyskuje narzędzia nie tylko do nakładania kar finansowych, ale także do ingerencji w skład władz spółek,
- wymagania (np. system zarządzania bezpieczeństwem informacji, rejestr aktywów, analiza ryzyka, zapewnienie ciągłości działania) przestają być „opcją”.
Tomasz podkreślił, że firma, dla której pracuje nie traktuje tych wymagań jako „odfajkowania ustawy”, ale jako okazję do spojrzenia w lustro: analizy własnych incydentów, incydentów u konkurencji i głośnych przypadków z rynku. Na tej podstawie budują rejestr aktywów i usług, przeglądają podatności, rejestry incydentów, procedury reakcji i, co ważne, sprawdzają, czy dzięki wdrożonym środkom bezpieczeństwa potrafią zauważyć, że coś podejrzanego się dzieje.
Szkolenia i testy: od nudnych prezentacji do realnych ćwiczeń
Jednym z najmocniejszych wątków panelu była zmiana podejścia do szkoleń i testowania użytkowników. Zamiast kolejnej, „odhaczonej” prezentacji e‑learningowej, firma zaczęła:
- opowiadać o własnych incydentach (oczywiście w formie bezpiecznej dla organizacji),
- organizować krótkie sesje Q&A dla pracowników,
- prowadzić akcje testowe, np. wysyłkę „podejrzanych” wiadomości do wybranej grupy i analizę reakcji.
Z prostego testu – wysłania maila z danymi do logowania do grupy pracowników – można w kilka godzin zobaczyć, ilu z nich zgłosi podejrzaną wiadomość, a ilu spróbuje się zalogować. To bardzo czytelny barometr poziomu świadomości w organizacji.
Podobne kampanie, w tym testy phishingowe dla kadry menedżerskiej, opisywał Jacek Kędzierski z IBM. Ważne było nie tylko samo badanie, ale również szczery feedback omawiany na spotkaniach kierownictwa. Taki dialog sprawia, że cyberbezpieczeństwo przestaje być „sprawą IT”, a staje się tematem kultury organizacyjnej.
Producenci biorą odpowiedzialność: „bezpieczne od fabryki”
Z perspektywy producenta sprzętu i rozwiązań pamięci masowych głos zabrał Maciej Przepiórka z Dell. Z badań, które przytoczył, wynika, że dla 72% klientów technologie ochrony danych są dziś priorytetowe – wyżej niż wydajność czy łatwość zarządzania. W odpowiedzi na to oczekiwanie duzi producenci wbudowują cyberodporność w rozwiązania „od fabryki”.
W praktyce oznacza to:
- certyfikację fabryk i komponentów,
- łańcuch zaufania (root of trust, secure boot chain of trust) – każdy komponent jest cyfrowo podpisany, a próba podmiany uniemożliwia uruchomienie urządzenia,
- szyfrowanie danych, rotację kluczy, nieusuwalne snapshoty,
- mechanizmy bezpiecznego kasowania danych oraz cyber bunkry – odizolowane środowiska, do których dane replikowane są w kontrolowany sposób.
IBM, o którym mówił Jacek Kędzierski, idzie o krok dalej, projektując i kontrolując produkty „od procesora po wirtualizator”. Dzięki temu może brać pełniejszą odpowiedzialność za bezpieczeństwo środowiska, pod warunkiem, że klient stosuje się do rekomendowanych procedur.
Ciągłość działania: lokalnie, w chmurze czy… w kontenerze?
Damian Leśniak z Cloudware Polska zwrócił uwagę na temat ciągłości działania – często pomijany, dopóki coś się nie wydarzy. Klasyczne, lokalne data center daje poczucie kontroli i bliskości danych, ale jedna lokalizacja to zawsze ryzyko pożaru, zalania czy awarii zasilania. Budowa drugiego data center to z kolei ogromne koszty.
Z drugiej strony pełna migracja do chmury oddaje dane w ręce globalnych dostawców, z ich procedurami i bezpieczeństwem, ale często bez pełnej przejrzystości, gdzie fizycznie znajdują się dane.
Ciekawą „trzecią drogą” są mobilne, modułowe centra danych (kontenerowe data center):
- można je relokować w razie potrzeby,
- dają możliwość budowy prywatnej chmury z pełną kontrolą nad lokalizacją danych,
- pozwalają zapewnić redundancję i szybkie przywracanie działania, gdy stacjonarne centrum przestanie działać.
Damian podkreślił, że ciągłość działania to nie tylko wielkie katastrofy. Często wystarczy awaria fragmentu infrastruktury lub transformatora, by firma stanęła. Kluczowe jest więc nie tylko posiadanie planów B i C, ale także regularne ćwiczenie scenariuszy.
Jedna rekomendacja na 2026 rok od każdego z ekspertów
Na koniec panelu prowadzący poprosił każdego z prelegentów o jedną, konkretną rekomendację na kolejne lata:
- Tomasz Kędziora (P4/Play)
Przeprowadzić przynajmniej jeden, w miarę szeroki test odtworzenia ciągłości działania kluczowej usługi / procesu w ramach podnoszenia świadomości pracowników na cyber zagrożenia i zobaczyć, jak reagują pracownicy na zaistniałą sytuację i czy potrafią realizować zadania w celu przywrócenia usługi / procesu. Utrzymać spokój mimo natłoku informacji o atakach, ale przyjąć, że „coś” kiedyś się wydarzy również u nas i starać się działać z wyprzedzeniem.
- Maciej Przepiórka (Dell)
Budować rozwiązania w duchu zero trust i dbać o bezpieczeństwo przez cały cykl życia produktu. Równolegle prowadzić regularne testy użytkowników, bo technologia bez świadomego człowieka niewiele zmieni.
- Damian Leśniak (Cloudware Polska)
Postawić na szkolenia i ćwiczenia dla pracowników i zarządów. Integratorzy i dostawcy powinni przychodzić z gotowymi scenariuszami, a po każdym teście dawać pracownikom konkretny feedback.
- Jacek Kędzierski (IBM)
Już dziś myśleć o post‑quantum security. Dane wykradzione teraz mogą zostać odszyfrowane za kilka lat, gdy komputery kwantowe dojrzeją. Warto już teraz korzystać z rozwiązań odpornych na przyszłe ataki.
Wspólny mianownik? Cyberodporność to nie „produkt”, który można kupić jedną fakturą. To kombinacja rozsądnej interpretacji regulacji, świadomych zarządów, dojrzałych dostawców i dobrze przygotowanych ludzi po obu stronach.
