Z Marcinem Kabacińskim, doświadczonym menedżerem cyberbezpieczeństwa, który pracował dla organizacji z różnych sektorów – od konsultingu i administracji publicznej po fintech (Crowe, Centralny Ośrodek Informatyki, PayPo) – jest członkiem zarządu Fundacji CISO #Poland i „wirtualnym” CISO (Chief Information Security Officer), rozmawiamy o uwarunkowaniach rynku, deficycie ekspertów cyberbezpieczeństwa, rosnącej presji regulacyjnej i eskalacji cyberataków, które zrodziły zapotrzebowanie na model vCISO.
Z czego wynika trend polegający na zatrudnianiu „wirtualnych CISO”, vCISO – menedżerów bezpieczeństwa, którzy świadczą zewnętrzne usługi na poziomie strategicznym, ale zarazem nie wchodzą w skład jednej organizacji?
Z własnego doświadczenia widzę, że praca wiele lat w jednym środowisku ogranicza horyzonty CISO. Technologie i procesy są tam dość stałe, więc trudno zdobyć świeże kompetencje. Gdy przychodzę budować cyberbezpieczeństwo, projektuję procesy – choćby Identity & Access Management – dobieram narzędzia, wskaźniki ryzyka, automatyzuję raportowanie. Po podniesieniu dojrzałości procesu stery oddaję operacyjnie do IT, a sam nadzoruję wskaźniki.
Model vCISO rozwiązuje przy okazji kilka bolączek rynku. Po pierwsze – deficyt talentów: doświadczonego CISO na pełnym etacie jest trudno znaleźć i utrzymać. Po drugie – presja regulacyjna: DORA, NIS2 czy nadchodzący AI Act nakładają obowiązki szybciej niż firmy są w stanie się do nich dostosować. Po trzecie – elastyczność kosztowa: organizacja płaci tylko za czas, w którym realnie tworzę roadmapę, audyt czy strategię, a nie za „bycie na fotelu”.
Kluczowa wartość dodana to szeroka perspektywa – widząc jednocześnie kilka branż, mogę natychmiast przenosić skuteczne rozwiązania z fintechu do e-commerce albo z sektora publicznego do konsultingu. Ta krzyżowa wymiana wiedzy jest dla mnie warta więcej niż pozorna strefa komfortu u jednego pracodawcy.
Zawsze dążę do tego, by „rozpędzić maszynę” cyberbezpieczeństwa, nadać jej kształt procesów, a gdy jest dobrze opisana i uruchomiona, przekazuję stery operacyjne do IT i szukam nowego wyzwania.
Jak szybko udaje się taką maszynę zbudować?
Około 2-3 lat. To zależy też od organizacji oraz jej celów biznesowych. Firmy dynamicznie rozwijające się przez przejęcia, ekspansję na nowe rynki czy zmieniające model biznesowy (pivot z B2C na B2B lub odwrotnie), będą miały większe wyzwania technologiczne i organizacyjne. Z kolei w przedsiębiorstwach o stabilnej strategii te wyzwania mogą być znacznie mniejsze, co pozwala szybciej osiągnąć dojrzałość procesów bezpieczeństwa.
Drugi czynnik to ludzie. Bardzo duży wpływ na pracę vCISO ma dojrzałość zespołów DevOps i administratorów. Tam, gdzie ich praktyki cyberbezpieczeństwa są mocne, a bezpieczeństwo nie musi co chwila gasić pożarów, praca vCISO nie jest aż tak stresująca i pod presją czasu.
W tym kontekście odkryłem dla siebie niszę, z którą wiele firm sobie nie radzi – Secure Software Development Life Cycle (Secure SDLC). Każda firma, która tworzy własne oprogramowanie, musi efektywnie zarządzać całym cyklem jego powstawania. Standardy takie jak OWASP Top 10 pomagają vCISO identyfikować i priorytetyzować kluczowe ryzyka bezpieczeństwa aplikacji webowych, a OWASP SAMM (Software Assurance Maturity Model) zapewnia praktyczne ramy, pozwalające ocenić i systematycznie zwiększać dojrzałość procesów tworzenia bezpiecznego oprogramowania. I tutaj, w procesie Secure SDLC, rola vCISO, który rozumie ten proces od strony DevOps oraz potrafi zaproponować efektywne rozwiązania cyberbezpieczeństwa, jest nieoceniona. Wszystko najlepiej działa na zasadzie partnerskiej współpracy z zespołami deweloperskimi oraz jasnego określenia celów i mierników dojrzałości. Bez tego trudno jest zapewnić efektywne bezpieczeństwo aplikacji.
Wirtualny CISO jest w stanie realizować kilka takich „placów budowy” równolegle?
Tak, są to zwykle kontrakty, które znajdują się na różnych etapach zaawansowania, a prowadzone są aż do osiągnięcia pełnej dojrzałości i stabilizacji przez organizację. Jako wirtualny CISO mogę równolegle realizować kilka takich „placów budów” oraz angażować się w inne projekty czy ich wybrane elementy. Ja np. jestem w stanie wykonać audyt procesu, przygotować strategię, czy podpowiedzieć pewne rozwiązania. Czasem w tym momencie moja rola się kończy – przynajmniej do momentu, kiedy firma zdecyduje się na wdrożenie rekomendowanych zmian.
Intensywność prac bywa jednak diametralnie różna. Zdarzają się klienci wymagający regularnego wsparcia, ale są też tacy, do których wracam raz na kwartał lub nawet rzadziej. Wynika to często z barier organizacyjnych lub technologicznych po stronie klienta, które muszą zostać pokonane, zanim będzie można pójść dalej. Dobrym przykładem jest proces zarządzania podatnościami (vulnerability management) – trudno jest usprawnić usuwanie podatności w oprogramowaniu własnym klienta, jeśli ten wcześniej nie rozpoczął skanowania kodu pod tym kątem. W takich przypadkach proponuję rozwiązania, jednak ich wdrożenie, np. narzędzi typu SAST czy DAST, zależy od wewnętrznych decyzji klienta i dojrzałości jego zespołów DevOps. Wtedy moja rola ogranicza się do oczekiwania na moment, gdy firma przełamie swoje wewnętrzne bariery i będzie gotowa kontynuować współpracę.
Dlaczego firmy się decydują na zaangażowanie wirtualnych CISO?
Zainteresowanie wirtualnymi CISO wynika po pierwsze z wymogów zgodności z regulacjami, które nakazują dbałość o procesy bezpieczeństwa, a nawet wprost wymuszają posiadanie w organizacji roli eksperta w zakresie cyberbezpieczeństwa. Moim naturalnym współpracownikiem jest więc nie tylko zespół IT, ale oczywiście także zespół prawny, z którym mam dostosowywać firmę do regulacji DORA i NIS2.
Z drugiej strony, regulacje te dotyczą coraz większej liczby firm, średnich, ale również całkiem małych, które na przykład są dostawcą ICT dla banku. Prawo i klient nakładają na nie wówczas szereg obowiązków. Nawet mały dostawca ICT dla banku musi mieć polityki, analizę ryzyka, plany ciągłości. Pełnoetatowy CISO bywa nieosiągalny kosztowo, a vCISO może szybko dostarczyć know-how i pozostać „na telefon”.
Osobiście mam także mniej oczywiste zapytania i projekty, np. dotyczące licencji Crypto Asset Service Provider (CASP), która pozwala na obrót kryptowalutami w Unii Europejskiej. Współpraca z jednej strony z kancelarią prawną, która taki proces prowadzi od strony formalnej, a z drugiej strony z IT firmy starającej się o licencję w KNF, jest dużym wyzwaniem dla vCISO i daje ogromną satysfakcję jak się taki proces kończy przyznaniem licencji.
Wirtualny CISO jest zatem w pewnym sensie brokerem usług bezpieczeństwa, w tym chmurowych?
Rzeczywiście, w pewnym sensie tak jest. Dziś mamy do dyspozycji wiele rozwiązań oferowanych jako usługi chmurowe – niemal wszystko czeka tylko na podłączenie do firmowego środowiska. Rzadko mówi się jednak o tym, że intensywne, zgodne z ich przeznaczeniem wykorzystanie tych narzędzi bywa niezwykle kosztowne, co zwykle wychodzi na jaw w krótkim czasie po wdrożeniu. Organizacje często reagują na to ograniczeniem stosowania narzędzia do absolutnie podstawowych funkcjonalności. W rezultacie firma posiada pozornie zaawansowane rozwiązanie, ale faktycznie korzysta z jego okrojonej wersji. To oczywiście bezpośrednio przekłada się na realne zwiększenie ryzyka cyberbezpieczeństwa. Moją rolą jest zatem również doradztwo, jak efektywnie korzystać z dostępnych rozwiązań i uniknąć sytuacji, gdy firma płaci za coś, czego w pełni nie wykorzystuje.
Czy w portfelu przedsięwzięć dla wirtualnego CISO pojawiają się już także zadania budowy governance, architektury z myślą o wdrażaniu rozwiązań AI?
Jak najbardziej. W wielu organizacjach niewątpliwie istnieje dziś silna presja, żeby za wszelką cenę znaleźć miejsce dla AI. Moim zdaniem nie ma w tym nic dziwnego – jeśli AI pozwala realnie usprawnić procesy lub ograniczyć koszty, jest to konkretna wartość biznesowa. Pełniąc funkcję CISO zawsze staram się jednak zbadać ryzyka, prześledzić łańcuch dostarczenia usługi, z której konkretna organizacja ma zamiar skorzystać.
Analiza obejmuje zarówno warstwę front-end, jak i back-end. Konieczne jest szczegółowe prześledzenie wszystkich elementów istotnych z punktu widzenia zgodności regulacyjnej oraz bezpieczeństwa informacji. Następnie przedstawiam mierzalną ocenę ryzyka, która staje się podstawą do świadomego podjęcia decyzji przez zarząd – czy dane rozwiązanie AI zaakceptować, czy odrzucić.
Czy zdarzyło Ci się oceniać rozwiązania AI i jakie były tego konsekwencje?
Tak, wielokrotnie. Od dużych systemów po małe gadżety, jak dyktafon z natychmiastową transkrypcją. W każdym przypadku analizuję działanie takiego systemu lub urządzenia – kluczowy dla mnie jest przepływ danych, a także kwestie zgodności z regulacjami obowiązującymi daną firmę. Wynik przedstawiam w formie analizy potencjalnych ryzyk i niezgodności.
Konsekwencje mojej analizy i oceny zawsze są takie same – redukuję obszar domysłów i niepewności i umożliwiam podjęcie decyzji biznesowej z wiedzą o potencjalnych ryzykach. W pewnej firmie otrzymałem do zaopiniowania projekt, który już kilka tygodni krążył po różnych działach i był wstępnie zaopiniowany. Zaskoczyło mnie to, że funkcjonalności systemu wskazują na użycie AI, a nikt o tym wcześniej nie wspomniał. Na pierwszej rozmowie z właścicielem biznesowym zorientowałem się, że system posiada wbudowane rozwiązanie AI do skracania tekstów, gromadzenia i podsumowań korespondencji klientów. Zasadniczo nie jest to dziś nic szczególnego, ale trzeba pamiętać, że zwykłe, wbudowane w aplikację algorytmy uczenia maszynowego takich zdolności nie mają. Łatwo zweryfikowałem na stronach producenta użycie AI w analizowanym systemie. Krótka rozmowa z biznesem oraz weryfikacja w Internecie wystarczyła, żeby ustalić to, czego w firmie nie zrobiono przez miesiąc. Aplikacja odsyłała dane do przetworzenia w OpenAI, poza obszar Unii Europejskiej, co z punktu widzenia compliance stanowiło dla tej firmy dodatkowe ryzyko.
Czy AI może stać się narzędziem wspierającym zarządzanie zgodnością i cyberbezpieczeństwem?
Zdecydowanie tak! Obecnie istnieje już wiele narzędzi AI do wspierania cyberbezpieczeństwa, które skutecznie automatyzują pracę. Przykładem może być analiza zagrożeń – rozwiązanie Google – SecGemini, które na bieżąco analizuje scenariusze ataków, grupy APT oraz cały globalny krajobraz cyberzagrożeń, bazując na frameworku MITRE ATT&CK.
Głównym wyzwaniem będzie jednak integracja sztucznej inteligencji z istniejącymi procesami oraz zapewnienie zgodności wybranych narzędzi AI z regulacjami prawnymi i standardami bezpieczeństwa informacji.
Warto podjąć ten wysiłek, ponieważ prawidłowo wdrożone AI może odegrać kluczową rolę w automatyzacji procesów bezpieczeństwa – zarówno operacyjnie (wykrywanie i reagowanie na incydenty), jak i w fazie rozwoju oprogramowania (weryfikacja zabezpieczeń). W efekcie powstaje rozwiązanie, które na bieżąco analizuje globalny pejzaż zagrożeń oraz specyfikę danej organizacji, pozwalając lepiej zarządzać ryzykiem.
Uprzedzając pytanie o wpływ AI na specjalistów cyberbezpieczeństwa: dobrze wdrożona sztuczna inteligencja będzie błogosławieństwem, które zwiększy efektywność zespołów security. Efekty wdrożenia AI zależą wprost od poziomu kompetencji osób, które z niej korzystają. Zespół o niskiej dojrzałości nie wykorzysta jej potencjału, a nawet może pogłębić swoje błędy. Natomiast w rękach doświadczonego eksperta AI staje się potężnym narzędziem, które wielokrotnie zwiększa jego skuteczność, przyspiesza analizę i automatyzuje powtarzalne zadania – zostawiając więcej czasu na działania strategiczne.
Jak model vCISO odnajduje się na tle dzisiejszych zagrożeń z obszaru cybersec?
Moim zdaniem – bardzo dobrze. Obserwujemy nieustanny wzrost liczby oraz skali cyberataków wymierzonych zarówno w biznes, jak i instytucje publiczne. Organizacje, które zatrudniają kilkaset osób i nie mają własnych rozbudowanych zespołów security, coraz częściej potrzebują wsparcia zewnętrznego – nawet jeśli nie tworzą cyfrowych produktów. Kilkuosobowy dział IT odpowiedzialny za pocztę, serwery plików, CRM czy ERP nie będzie w stanie kompleksowo obsłużyć kwestii cyberbezpieczeństwa.
W tym miejscu właśnie vCISO może zapewnić kompleksowe wsparcie. Przygotowuję dla klientów strategie dostosowane do ich specyficznych potrzeb oraz możliwości budżetowych, początkowo rozwiązując palące problemy, a następnie, w ciągu roku lub dwóch, budując rozwiązania, które znacząco zwiększają ich cyberodporność.
Jak złożone są typowe działania podejmowane w odpowiedzi na incydenty bezpieczeństwa?
To zależy. W kwietniu 2025 roku pojawiła się nowa wersja standardu NIST Incident Response, zawierająca zbiór dobrych praktyk i wytycznych. Jest to świetna podstawa, by określić procedury efektywnego reagowania na incydenty w różnych branżach. Kluczowe jest jednak odpowiednie osadzenie tych wytycznych w kontekście danej organizacji, uwzględniając jej możliwości, dostępne zasoby oraz profil ryzyka. Opracowałem wytyczne, które świetnie sprawdzają się w organizacjach niemających wcześniej do czynienia z poważnymi incydentami. Nie jest to wiedza tajemna, lecz uporządkowane procedury, które proponuję jako wartość dodaną usługi vCISO.
Warto podkreślić, że CISO nie jest osobą, która technicznie odszyfruje dane po ataku ransomware. Jego rola polega na poprowadzeniu organizacji w trakcie incydentu – zarówno wewnętrznie, jak i w relacjach z regulatorami czy instytucjami nadzorującymi cyberbezpieczeństwo. Niezależnie od formy zatrudnienia, CISO dba w pierwszej kolejności o powstrzymanie incydentu i ograniczenie jego skutków dla organizacji.
Istotne są tu również osobiste doświadczenia i zdolność racjonalnego podejścia do sytuacji. Gdy w jednej organizacji doszło do wycieku danych klientów, zamiast od razu resetować hasła 100 tysięcy użytkowników – co generowałoby ogromne obciążenie dla helpdesku – wdrożyliśmy procedurę wymuszającą zmianę hasła przy kolejnym logowaniu. To rozwiązanie było zarówno tańsze, jak i efektywniejsze. W mojej praktyce spotykam też przypadki, gdy jako vCISO wspieram etatowego CISO w tworzeniu strategii, podczas gdy on koncentruje się na operacjach i wewnętrznym zarządzaniu bezpieczeństwem.
Czy model vCISO i CISO as a Service stanie się standardem na rynku?
Tak, uważam, że to przyszłościowy model. vCISO, wsparty odpowiednimi narzędziami AI, będzie mógł oferować usługi dostosowane do specyficznych potrzeb klientów. Obie strony zyskają na tym rozwiązaniu – vCISO osiągnie większą efektywność działania, a firmy otrzymają spersonalizowane, elastyczne wsparcie.
Faktem jest jednak, że w Polsce ten model dopiero raczkuje. Znam kilka firm oferujących takie usługi, ale są to pojedyncze przypadki. Większość rynku jest zdominowana przez tradycyjne modele zatrudnienia. Tymczasem w Stanach Zjednoczonych jest to już całkiem rozwinięty trend i praktyka, która także u nas w naturalny sposób będzie się coraz bardziej rozwijać.
