CXO HUB: budowanie odporności w oczekiwaniu na NIS2

Niezależnie od dostosowania do nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, konieczne jest podążanie za nowymi metodami ochrony i rozwiązaniami pozwalającymi budować odporność firm na rosnącą liczbę ataków, w szczególności ransomware. To główne wnioski z niedawnego spotkania w społeczności CXO HUB.

Spotkanie pt. „Cyber Resilience Day 2025 – w kierunku wdrożenia NIS2”, organizowane we współpracy z Hewlett Packard Enterprise (HPE) i Veeam Software Polska, otworzyła rozmowa z Łukaszem Wojewodą i Marcinem Wysockim, dyrektorem i zastępcą dyrektora Departamentu Cyfryzacji w Ministerstwie Cyfryzacji. Dyskusja ta przybliżyła aktualny stan prac nad wdrożeniem Dyrektywy NIS2 w polskim porządku prawnym.

Otwarta formuła pozwoliła na rozmowę o kontekście prawnym czekających na implementację przepisów, a także ich relację z innymi planowanymi regulacjami. Pojawiły się pytania o realizację planu wdrożenia Dyrektywy NIS2, poprzez podzielenie poprzedniej wersji ustawy na elementy wprowadzane w różnym tempie, ale względnie równolegle.

Mieliśmy także okazję rozmawiać o aktualności zapisów, które wprowadzono w październiku 2024 roku i możliwym zakresie Dyrektywy NIS3. Dziś wiadomo, że nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wprowadzająca do polskiego systemu prawnego Dyrektywę NIS2, dokona się prawdopodobnie w I kwartale 2026 roku.

Cyberodporność w 2025 roku: od opcji do konieczności

Katarzyna Jedlińska, Storage & Data Category Services Manager w HPE Polska, podczas dalszej dyskusji przekonywała, że cyberodporność przestała być jedynie pożądanym dodatkiem do infrastruktury IT. Co więcej, kwestia zapewnienia cyberodporności stała się absolutną koniecznością dla współczesnych organizacji.

Jednocześnie, cyberodporność to dziś znacznie więcej niż element zabezpieczeń technicznych. Jak podkreśliła Katarzyna Jedlińska, stanowi ona strategię przetrwania firmy, wpływając bezpośrednio na zdolność do konkurowania na rynku oraz budowanie i utrzymanie zaufania klientów. „W dobie cyfrowej transformacji brak odpowiedniego przygotowania może oznaczać nie tylko straty finansowe, lecz także faktyczne zagrożenie dla ciągłości działania organizacji” – powiedziała Katarzyna Jedlińska.

Nie ma przy tym jednego uniwersalnego rozwiązania gwarantującego cyberbezpieczeństwo. Skuteczna ochrona wymaga kompleksowego, wielowarstwowego podejścia dostosowanego do specyfiki i charakteru działania każdej firmy.

Jest to ważne również w kontekście geopolitycznej lokalizacji naszego kraju, która ma bezpośrednie przełożenie na poziom zagrożenia cybernetycznego. Dzisiaj Polska – obok Ukrainy – należy do najczęściej atakowanych krajów w Europie Środkowo-Wschodniej, przy czym Ukraina jest celem aż 33% wszystkich ataków w regionie europejskim. Na nasz kraj kierowanych jest ok. 5% ataków, co potwierdza, że dla polskich organizacji cyberodporność nie jest abstrakcyjnym pojęciem, lecz koniecznością.

Ransomware zmienia reguły gry

Zmienia się też charakter – i skala zagrożeń. W praktyce, wobec nasilającej się fali ataków ransomware tradycyjne podejście do Disaster Recovery okazuje się niewystarczające. Tego rodzaju zagrożenia nie zachowują się bowiem jak klasyczna awaria systemu, której skutki są natychmiastowe i widoczne. Złośliwe oprogramowanie potrafi pozostawać w systemie niewidoczne przez wiele dni od momentu infiltracji, systematycznie replikując się również do kopii w ośrodku zapasowym.

Szczególnie niepokojący jest fakt, że średni czas od aktywacji ransomware do jego wykrycia wynosi od 14 do 16 dni. „W praktyce oznacza to, że organizacja może przez dwa tygodnie funkcjonować w fałszywym poczuciu bezpieczeństwa, podczas gdy jej dane są już szyfrowane, a infrastruktura sparaliżowana” – zauważyła Katarzyna Jedlińska. Co gorsza, tradycyjne procedury odtwarzania po awarii mogą prowadzić do przywrócenia zainfekowanych kopii zapasowych, powodując ponowną kompromitację całego środowiska.

Niepokojące luki w gotowości organizacji

Zaprezentowane przez Katarzynę Jedlińską statystyki ujawniają dramatyczne braki w przygotowaniu przedsiębiorstw. Tylko 54% firm dysponuje udokumentowanymi rozwiązaniami Disaster Recovery, co oznacza, że prawie połowa organizacji działa bez jasnego planu postępowania w sytuacji kryzysowej. Jeszcze bardziej niepokojący jest fakt, że jedynie połowa firm testuje swoje plany DR co najmniej raz w roku. Bez regularnych testów nawet najlepiej opracowana strategia może okazać się nieskuteczna w momencie rzeczywistego zagrożenia.

Skuteczna cyberodporność wymaga tymczasem skoordynowanych działań na wielu płaszczyznach jednocześnie. Fundamentem jest rzetelna ocena ryzyka, obejmująca identyfikację i szczegółową analizę potencjalnych zagrożeń specyficznych dla danej organizacji. Równie istotna jest segmentacja sieci połączona z wdrożeniem zasady najmniejszych uprawnień, co ogranicza potencjalne pole działania atakującego po ewentualnej kompromitacji.

Kluczową rolę odgrywają odpowiednio zaprojektowane kopie zapasowe wraz z kompleksowym planem odzyskiwania, przy czym szczególnego znaczenia nabierają konieczność budowania wyizolowanych i zweryfikowanych pod kątem pełnego bezpieczeństwa elementów środowisk IT, w myśl koncepcji Clean Room, oraz regularne testowanie procedur odtwarzania danych. Firmy muszą także inwestować w zaawansowane systemy monitorowania i wykrywania zagrożeń w czasie rzeczywistym, m.in. SIEM czy XDR, które pozwalają na szybką identyfikację anomalii.

Nie można też zapominać o wymiarze prawnym. Zgodność z regulacjami, takimi jak RODO, ISO 27001 czy Dyrektywa NIS2, to nie tylko obowiązek formalny, lecz także element budowania kompleksowej strategii bezpieczeństwa.

Krytyczne pytania

Przed wystąpieniem incydentu firmy muszą zadać sobie wiele zasadniczych pytań dotyczących strategii odtwarzania. Gdzie dokładnie nastąpi odtworzenie danych i systemów? Czy będzie to Primary Storage, nowy sprzęt, urządzenia backupowe, a może chmura? Każda z tych opcji niesie inne konsekwencje dla czasu i skuteczności odzyskiwania sprawności.

Należy również rozważyć, czy dostępna pojemność jest wystarczająca do pełnego odtworzenia środowiska produkcyjnego, czy przywracane dane nie są już zainfekowane, czy kluczowe zasoby nie mogą zostać czasowo zablokowane przez służby specjalne w ramach prowadzonych dochodzeń. Równie istotne jest pytanie o wydajność rozwiązań Instant Recovery i ich zdolność do obsługi obciążeń produkcyjnych bez degradacji usług.

W 2025 roku cyberodporność definitywnie przestała być opcjonalnym elementem strategii IT. To fundament działalności każdej współczesnej organizacji, niezależnie od jej wielkości czy branży. Pytanie brzmi nie „czy” jesteśmy narażeni na cyberatak, ale „jak dobrze” jesteśmy przygotowani na nieuniknione zagrożenia. Firmy, które traktują cyberbezpieczeństwo jako koszt, a nie inwestycję, ryzykują nie tylko stratami finansowymi, lecz także możliwością dalszego funkcjonowania na rynku.

Wypieranie rzeczywistości na najwyższych szczeblach

Tomasz Matuła, niezależny konsultant i doradca ds. ICT i cyberbezpieczeństwa, przedstawił autorską diagnozę problemów polskich organizacji w obliczu nadchodzącej implementacji NIS2. Jego wystąpienie skupiło się na trzynastu „grzechach głównych”, które zarządy i CTIO często wypierają, nie chcąc konfrontować się z niewygodną rzeczywistością.

„Pierwszy problem – i być może najważniejszy – to wypieranie i lekceważenie zmieniających się cyberzagrożeń przez top management. Wielu członków zarządów wciąż traktuje cyberbezpieczeństwo jako problem techniczny, który można delegować na dział IT, nie rozumiejąc jego strategicznego znaczenia dla całej firmy” – mówił Tomasz Matuła.

Bezpośrednio z tym łączy się drugi grzech: niechęć zarządu do brania osobistej odpowiedzialności za stan cyberbezpieczeństwa, pomimo realnego zagrożenia karami finansowymi przewidzianymi w nowych regulacjach. Perspektywa sankcji nie przekłada się automatycznie na zmianę postawy, co pokazuje głęboko zakorzenioną kulturę organizacyjną, odrzucającą odpowiedzialność w tej kwestii.

Chaos zamiast zarządzania

Trzeci zidentyfikowany problem to brak świadomego zarządzania obszarem cyberbezpieczeństwa. Wiele firm podchodzi do tej sfery reaktywnie, łatając kolejne dziury zamiast budować spójną, przemyślaną strategię. Brakuje właścicieli procesów, jasno określonych zakresów odpowiedzialności oraz systematycznego podejścia do budowania odporności cyfrowej.

Czwarty grzech to konsekwentne unikanie audytu zewnętrznego. Organizacje obawiają się niezależnej oceny swojego stanu bezpieczeństwa, preferując komfortową ignorancję nad trudną prawdą o rzeczywistym poziomie zabezpieczeń. Tymczasem właśnie zewnętrzny audyt może ujawnić krytyczne słabości, zanim wykorzystają je atakujący.

Incydenty, monitorowanie i koszty zaniedbań

Piąty i szósty grzech dotyczą fundamentalnego błędu w podejściu do zarządzania incydentami. Wiele firm sprowadza ten proces wyłącznie do ich obsługi, zamiast budować kompleksowy system zarządzania incydentami. Co więcej, brakuje pełnego monitorowania w trybie ciągłym i w czasie rzeczywistym, co uniemożliwia szybką identyfikację zagrożeń i odpowiednią reakcję.

Siódmy grzech jest konsekwencją wszystkich poprzednich: organizacje skarżą się na bardzo wysokie koszty dostosowania się do nowych wymogów.

Ryzyko traktowane po macoszemu

Ósmy grzech dotyczy sposobu szacowania ryzyka cybernetycznego. Tomasz Matuła podkreślił, że analiza ryzyka jest fundamentem do wyboru i wdrożenia odpowiednich zabezpieczeń w ramach podejścia „All Risks Approach”. Tymczasem w wielu firmach proces ten traktowany jest powierzchownie, opierając się na intuicji zamiast rzetelnej analizie. Bez właściwego zrozumienia ryzyk niemożliwe jest skuteczne zarządzanie nimi ani alokowanie zasobów tam, gdzie są najbardziej potrzebne.

Dziewiąty grzech to szczególnie powszechne fałszywe przekonanie, że wdrożenie normy ISO 27001 automatycznie zapewnia zgodność z wymogami bezpieczeństwa. Prelegent wyraźnie zaznaczył, że ISO 27001 to jedynie framework, szkielet do budowania systemu zarządzania bezpieczeństwem informacji.

Dziesiąty problem również dotyczy iluzji – tym razem oznacza brak kompleksowego monitorowania w trybie ciągłym. „Wiele organizacji żyje w przekonaniu, że nabycie systemu SIEM lub wykupienie usług zewnętrznego SOC wystarczy do zapewnienia bezpieczeństwa” – podkreślił Tomasz Matuła.

Jedenasty grzech to mit o istnieniu rozwiązań gotowych do NIS2. Tomasz Matuła wyraźnie ostrzegł przed wiarą w technologie czy usługi reklamowane jako „NIS2 ready”. Nie istnieją uniwersalne produkty, które automatycznie zapewnią zgodność z wymogami dyrektywy. Zgodność wymaga kompleksowego podejścia dostosowanego do specyfiki firmy, a nie zakupu gotowego produktu z półki.

Grzechy związane z testowaniem

Dwunasty i trzynasty grzech to fundamentalne zaniedbania: brak testowania planów ciągłości działania i regularnych testów odzyskiwania kopii zapasowych. Organizacje opracowują szczegółowe procedury, ale nigdy nie weryfikują, czy faktycznie zadziałają w sytuacji kryzysowej. Plan, który nie został przetestowany, to tak naprawdę tylko teoria, która może dramatycznie zawieść w momencie rzeczywistego zagrożenia.

Podsumowując swoje wystąpienie, Tomasz Matuła podkreślił optymistyczną konkluzję: Dyrektywa NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to nie tylko źródło nowych obowiązków i potencjalnych sankcji. Stanowią one również realną szansę dla firm, CTIO i CSO na uporządkowanie tego obszaru, uzyskanie wsparcia zarządu oraz budżetów na działania, które wcześniej były odkładane na później.

Wsparcie w każdej fazie incydentu

W dalszej części spotkania Tomasz Krajewski, Senior Technical Sales Director Eastern Europe & Africa, Veeam Software przedstawił program Veeam Cyber Secure, który wykracza poza tradycyjne rozwiązania backupowe, oferując kompleksowe wsparcie organizacji w trzech kluczowych fazach związanych z cyberatakami. Program ten łączy zaawansowaną technologię ze wsparciem zespołu Coveware, specjalizującego się w reagowaniu na incydenty ransomware.

Faza pre-incident, czyli przygotowanie przed incydentem, stanowi fundament skutecznej obrony. „Veeam rozpoczyna współpracę od zaawansowanego onboardingu, który obejmuje nie tylko wprowadzenie do produktów i procesów wsparcia technicznego, lecz także aktywację Coveware. To oznacza, że w momencie ataku organizacja ma już zapewniony bezpośredni dostęp do ekspertów, bez potrzeby negocjowania warunków współpracy w najtrudniejszym momencie” – mówił Tomasz Krajewski.

Kluczowym elementem przygotowania jest architektura i wdrożenie systemu opartego na najlepszych praktykach Veeam. Proces ten obejmuje sesje indywidualne, podczas których omawiane są specyficzne potrzeby firmy i projektowana jest optymalna architektura. Wszystko to opiera się na ponad stupunktowej liście kontrolnej bezpieczeństwa, która weryfikuje komponenty środowiska ochrony danych, od uprawnień bezpieczeństwa i haseł, przez praktyki przechowywania kopii zapasowych, po szyfrowanie i zarządzanie kluczami. Program przewiduje również kwartalne oceny bezpieczeństwa z sesjami przeglądowymi, gdzie śledzone są postępy i udzielane rekomendacje dotyczące elementów z listy kontrolnej. Poza tym firmy otrzymują priorytetowe wsparcie techniczne Premier Support, z ambitnym trzydziestominutowym SLA na pierwszą odpowiedź oraz dedykowanych menedżerów wsparcia w godzinach lokalnego czasu pracy.

Anatomia cyberataku i sztuka przetrwania

Tomasz Krajewski szczegółowo omówił anatomię typowego cyberataku ransomware, podkreślając kluczowy moment, który decyduje o sukcesie lub porażce organizacji. Zanim atakujący ogłoszą okup, ich priorytetem jest uniemożliwienie odzyskiwania danych przez ofiarę. Atakujący systematycznie identyfikują i eliminują kopie zapasowe, modyfikują procedury, dokumentację i systemy bezpieczeństwa, aby maksymalnie utrudnić lub uniemożliwić przywrócenie systemów.

Prelegent ostrzegł przed wieloma błędnymi założeniami, które mogą kosztować firmy bardzo drogo, jak naiwne przekonanie, że kanały komunikacji wewnętrznej, takie jak e-mail, Microsoft Teams czy Slack, nie są monitorowane przez napastnika. W rzeczywistości należy zakładać, że każda wiadomość może być przechwytywana, a atakujący mogą w czasie rzeczywistym śledzić plany obrony i reakcji organizacji.

Tomasz Krajewski zaproponował również zaskakujące podejście: firmy powinny rozważyć wykonanie kopii zapasowych krytycznych systemów także w ich zaszyfrowanym stanie po ataku. Dlaczego? Ponieważ narzędzia deszyfrujące dostarczane przez atakujących są notorycznie zawodne i mogą spowodować nieodwracalne uszkodzenie danych. Posiadanie kopii zaszyfrowanych plików może umożliwić późniejsze odzyskanie danych przy użyciu profesjonalnych narzędzi lub w przypadku ujawnienia kluczy deszyfrujących.

Złoty bilet atakujących

Szczególnie interesujące było ostrzeżenie dotyczące dokumentów ubezpieczenia cybernetycznego. Tomasz Krajewski określił je mianem „złotego biletu” dla aktorów zagrożenia. Atakujący celowo poszukują polis ubezpieczeniowych organizacji, ponieważ dokładnie wiedzą, do jakiej kwoty mogą podbić żądania okupu. W praktyce oznacza to, że wysokość żądanego okupu często precyzyjnie odpowiada limitowi polisy ubezpieczeniowej ofiary. Dokumenty te powinny być traktowane jako ściśle tajne i przechowywane z maksymalnym poziomem zabezpieczeń, oddzielnie od głównej infrastruktury IT.

Gdy dochodzi do ataku, czas reakcji ma kluczowe znaczenie. Program Veeam Cyber Secure zapewnia dostęp do Incident Response Retainer działającego 24/7/365, z ambitnym 15-minutowym SLA na nawiązanie kontaktu z zespołem Coveware. To oznacza, że organizacja nie jest pozostawiona sama sobie w krytycznym momencie.

Proces reagowania rozpoczyna się od oceny sytuacji z wykorzystaniem technologii Recon Scanner, która pozwala zrozumieć zakres ataku, zidentyfikować konkretny wariant ransomware oraz ustalić, która grupa atakujących stoi za incydentem. Coveware dysponuje bazą danych obejmującą tysiące przypadków ataków, co umożliwia precyzyjną identyfikację i prognozowanie zachowań atakujących.

Kolejnym etapem są negocjacje prowadzone przez wyszkolonych ekspertów Coveware. To profesjonaliści, którzy rozumieją psychologię atakujących, znają trendy rynkowe w „ekonomii cybernetycznych wymuszeń” i dysponują danymi historycznymi, pozwalającymi na skuteczne wynegocjowanie niższych kwot okupu lub alternatywnych rozwiązań. Proces jest w pełni transparentny dla klienta i obejmuje analizę ryzyk oraz możliwych scenariuszy.

Nauka z doświadczenia

Faza post-incident koncentruje się na wyciągnięciu wniosków i przygotowaniu organizacji na przyszłość. Veeam przeprowadza szczegółową analizę „co poszło nie tak”, identyfikując słabe punkty w zabezpieczeniach i procedurach, które umożliwiły sukces ataku. Przygotowywana jest kompleksowa dokumentacja techniczna wraz z analizą luk bezpieczeństwa, która stanowi podstawę do wdrożenia ulepszeń.

Jeśli organizacja ma ubezpieczenie cybernetyczne, Coveware przygotowuje również pełną dokumentację ubezpieczeniową niezbędną do zgłoszenia roszczenia. Ta pomoc jest szczególnie cenna, gdyż incydent ransomware wymaga precyzji dokumentacji.

Program Veeam Cyber Secure reprezentuje ewolucję myślenia o bezpieczeństwie danych. Nie wystarczą już zaawansowane rozwiązania backupowe. Organizacje potrzebują kompleksowego wsparcia obejmującego przygotowanie, profesjonalną pomoc w czasie kryzysu oraz analizę po incydencie.

Którędy do NIS2?

Konferencję zwieńczył panel dyskusyjny pt. „Wyzwania związane z wdrożeniem NIS2 i jak je mitygować?” z udziałem Przemysława Wołka, CISO w Santander Bank Polska, Tomasza Kędziory, CISO w Play oraz Marcina Suchara, CIO w Enel-Med.

Panel skupił się na praktycznych aspektach dostosowania do regulacji NIS2, uwzględniając, że jest to proces wieloaspektowy. Uczestnicy dyskusji uznali, że pełne wdrożenie dyrektywy obejmuje szeroki zakres działań: od zarządzania aktywami i szacowania ryzyka, poprzez wdrażanie środków ograniczenia ryzyka, tworzenie planów BCP/DR (Business Continuity Plan/Disaster Recovery), aż po zarządzanie incydentami, organizowanie szkoleń oraz testowanie przyjętych rozwiązań.

W trakcie panelu padło wiele pytań, które dotyczyły strategii dostosowania do regulacji. Ważnym wątkiem dyskusji było również ustalanie priorytetów oraz konieczność zmiany procesów wewnętrznych, aby były zgodne z nowymi wymogami. Paneliści odnieśli się także do kwestii wdrożenia norm ISO 27001 i pokrewnych jako przygotowujących do NIS2, co stanowiło punkt odniesienia dla wielu uczestników spotkania, mierzących się z wyborem optymalnej ścieżki certyfikacji i zgodności.