O ile sama technologia przyniosła szereg udogodnień, to towarzyszące jej ryzyka stały się bardziej realne niż kiedykolwiek wcześniej. Mówimy o ponad 113 tysiącach poważnych incydentów zanotowanych w ciągu 2024 roku tylko w Polsce, a dane wyraźnie pokazują trend wzrostowy w bieżącym roku. Złożona sytuacja geopolityczna nie pozostawia złudzeń, że ta tendencja utrzyma się w kolejnych latach. Niezależnie od tego, czy mówimy o produkcji, e-commerce czy usługach – musimy radzić sobie z nowymi wyzwaniami, które nie dotyczą już tylko działu IT/OT, ale całej strategii biznesowej.

AI w cyberbezpieczeństwie – wsparcie i zagrożenie jednocześnie

Sztuczna inteligencja przestała być futurystyczną koncepcją i stała się codziennym narzędziem (często wbudowanym już domyślnie w istniejące produkty). Wiele polskich firm zaczęło wdrażać systemy oparte na AI do wykrywania anomalii, przewidywania ataków i automatycznej reakcji na incydenty. Technologie, takie jak SIEM czy EDR wspierane przez algorytmy uczenia maszynowego, znacząco przyspieszają proces identyfikowania zagrożeń i automatyzacji w atestowaniu wdrożonych kontroli.

Problem pojawia się jednak z drugiej strony – atakujący również mają dostęp do tych samych narzędzi. W pierwszym kwartale 2025 odnotowano o 19% więcej incydentów związanych z deepfake’ami niż w całym 2024 roku. Cyberprzestępcy wykorzystują modele generatywne, takie jak WormGPT i FraudGPT do tworzenia wiarygodnych oszustw na poziomie wcześniej niespotykanym. Jedna z głośniejszych spraw dotyczyła pracownika, który w wyniku spotkania wideo z wykorzystaniem deepfake’u przekazał atakującym 25 milionów dolarów. Te wydarzenia pokazują, że wdrażanie AI bez odpowiedniego modelu zarządzania ryzykiem i mechanizmów weryfikacji to droga donikąd. Oprócz ataków socjotechnicznych da się również zauważyć rozwój narzędzi ułatwiający przełamywanie zabezpieczeń. W ostatnich dniach ujrzało światło darmowe narzędzie Hexstrike-AI, które z pewnością obniży próg wymaganych umiejętności do przeprowadzenia skomplikowanych technicznie ataków i przyspieszy przełamywanie zabezpieczeń.

Regulacje, które zmieniają sposób myślenia o cyberbezpieczeństwie

Rok 2025 przyniósł też polskim organizacjom istotną falę obowiązków związanych z dostosowaniem do europejskich i krajowych ram regulacyjnych. Z kolei dyrektywa NIS2 rozpoczęła przydługi spektakl nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), który, miejmy nadzieję, zbliża się do szczęśliwego finału.

Firmy, które do tej pory traktowały cyberbezpieczeństwo jako kwestię stricte taktyczną i techniczną, będą musiały dokonać zmiany perspektywy – nowe regulacje wymagają zaangażowania zarządów, jasno określonych procesów oraz udokumentowanych procedur. Wdrożenie tych wymogów nie będzie łatwe. Może się wiązać z wysokimi kosztami, koniecznością szkoleń i często reorganizacją wewnętrznych procesów i struktur. Z drugiej strony dostosowanie do tych norm może przyczynić się do budowania rzeczywistej odporności cyfrowej państwa, o ile nie zostanie sprowadzone do odhaczania punktów z listy.

Potwierdzona testami i certyfikacjami odporność biznesu może być wykorzystana również do budowania zaufania klientów, partnerów i inwestorów. Coraz częstszą praktyką jest wymuszanie kaskadowania standardów bezpieczeństwa na kolejne ogniwa łańcucha, aż do podwykonawców. W umowach coraz częściej można znaleźć klauzule dotyczące ujawniania podwykonawców, uzyskiwania osobnych zgód na ich użycie, czy szybkiego zgłaszania incydentów oraz prawa do audytu. Wymagania te zaczynają gościć również w warunkach zamówień.

Transparentność i wzajemna odpowiedzialność to nie są już tylko ładnie brzmiące hasła – to fundamenty skutecznego zarządzania i realny sposób na zminimalizowanie ryzyka kaskadowych awarii.

Co rok 2025 nam już z pewnością pokazał?

Bieżący rok z pewnością pokazał, że budowa odporności cyfrowej w Polsce nie jest już kwestią wyłącznie techniczną – to strategiczna decyzja angażująca cały biznes i rynek.

Sztuczna inteligencja, zmieniające się wymagania regulacyjne oraz bezpieczeństwo łańcucha dostaw ukształtowały praktykę zarządzania ryzykiem i bezpieczeństwem informacji w nowy sposób. Organizacje, które potraktowały te trendy jako punkt wyjścia do przemyślenia swoich modeli operacyjnych, zyskują przewagę. Te, które uznały je za przejściową modę, mogą powoli odczuwać negatywne konsekwencje – od incydentów bezpieczeństwa po zbliżające się z uchwaleniem nowej wersji ustawy o KSC problemy regulacyjne.