W ostatnich miesiącach wiele firm — od przemysłu i usług, przez logistykę, po jednostki publiczne — dostało jednocześnie kilka „sygnałów do pobudki”: twardsze wymagania compliance, realny wzrost liczby incydentów oraz większe budżety na modernizację IT i OT. To dobra wiadomość, o ile nie pomylimy inwestycji w narzędzia z budową odporności. Z doświadczeń FortCyber (ponad 170 zadowolonych klientów, w tym samorządy i wodociągi) wynika jedno: cyberbezpieczeństwo nie kończy się na fakturach. Zaczyna się wtedy, gdy technologia spotyka procedury, odpowiedzialność i codzienną dyscyplinę.

Lotnictwo jako wzorzec: procedury i „kara za ukrywanie”

W lotnictwie bezpieczeństwo nie jest efektem jednego genialnego systemu, tylko sumą tysięcy drobnych, powtarzalnych czynności: kontroli, przeglądów, rejestrów i otwartego analizowania incydentów. W tej kulturze większym problemem jest przemilczenie błędu niż sam błąd — dzięki temu cała branża uczy się szybciej. W cyber potrzebujemy podobnego podejścia: mniej „bo mamy narzędzia”, a więcej „czy umiemy udowodnić, że działamy bezpiecznie każdego dnia”.

Trzy powody, dla których „teraz” ma znaczenie

  • Regulacje i audyty: rośnie presja na zarządzanie ryzykiem (np. NIS2 dla części podmiotów, wymagania branżowe, wymogi ubezpieczycieli i klientów).
  • Zagrożenia: ataki przyspieszają, a ich skutki częściej dotykają ciągłości działania — nie tylko IT, ale i procesów operacyjnych.
  • Inwestycje: modernizacje (chmura, automatyzacja, zdalna praca, OT/IoT) zwiększają możliwości, ale też powierzchnię ataku.

Pułapka pojawia się wtedy, gdy inwestycje zaczynają działać jak „cyfrowa kamizelka kuloodporna”: kupujemy rozwiązania i podświadomie uznajemy, że ryzyko zniknęło. Tymczasem wiele incydentów nie wynika z braku technologii, tylko z luk w podstawach: dostępie zdalnym, kontach serwisowych, zmianach konfiguracyjnych, wyjątkach w regułach i braku nadzoru nad tym, co dzieje się na styku organizacja–dostawcy–podwykonawcy.

Najczęstszy scenariusz w OT: dostęp „otwarty” albo chroniony symbolicznie

Opisy incydentów w sektorze pokazują, że atakujący często nie muszą „łamać” skomplikowanych zabezpieczeń. Wystarczy, że znajdą wystawiony do internetu panel HMI/SCADA, usługę zdalnego pulpitu lub router z ustawieniami, które nigdy nie powinny przejść kontroli: brak uwierzytelniania, proste hasło, hasło domyślne, konto serwisowe bez rotacji i bez rejestracji działań. To są te sytuacje, w których przegrywa się nie z powodu braku budżetu, tylko z powodu braku konsekwencji.

  • zdalny dostęp do OT bez MFA lub z „jednym wspólnym hasłem dla wszystkich”,
  • urządzenia komunikacyjne (np. routery komórkowe) z domyślnymi poświadczeniami,
  • konta administracyjne, o których „nikt już nie pamięta” — często założone przez podwykonawcę,
  • brak segmentacji i brak dowodu, że konfiguracje są okresowo przeglądane oraz dokumentowane.

Dlatego warto mówić o odporności, a nie o „zabezpieczeniach”. Odporna organizacja potrafi utrzymać ciągłość pracy mimo incydentu: ma kopie, monitoring i firewalle, ale ma też procesy zarządzania zmianą, zasady dostępu, gotowość operacyjną, jasno przypisane role oraz nawyk ćwiczenia scenariuszy awaryjnych. To jest różnica między posiadaniem narzędzi a umiejętnością korzystania z nich pod presją.

Efekt Peltzmana w cyber: im więcej kupujemy, tym łatwiej tracimy czujność

Psychologia działa bezlitośnie: gdy wprowadzamy rozwiązania ochronne, część osób zaczyna zachowywać się mniej ostrożnie, bo „przecież mamy zabezpieczenia”. W motoryzacji opisuje to efekt Peltzmana — pasy i ABS potrafią paradoksalnie zachęcać do bardziej ryzykownej jazdy. W OT bywa podobnie: po wdrożeniu nowego systemu monitoringu albo segmentacji łatwo odpuścić przeglądy kont, zostawić wyjątki w regułach, utrzymać wygodny zdalny dostęp „na chwilę” i nie wrócić do tematu. A ryzyko wtedy rośnie, nie maleje.

NIS2: cyber wychodzi poza IT

Najcenniejszą zmianą, jaką przynoszą nowe wymagania, nie są „kolejne checklisty formalne”, tylko przesunięcie ciężaru odpowiedzialności: cyber nie jest już wyłącznie domeną działu IT. Dotyka zarządu, utrzymania ruchu, automatyki, zakupów, prawnego i wszystkich osób, które decydują o tym, kto i na jakich zasadach dotyka infrastruktury. W praktyce oznacza to jedno: procedury mają być nie tylko napisane, ale regularnie wykonywane i udokumentowane — dokładnie tak, jak w branżach o najwyższych standardach bezpieczeństwa.

Łańcuch dostaw: dostawca sprzedaje dziś także swoją wiarygodność

Większość organizacji działa dziś w ekosystemie integratorów, serwisantów, dostawców chmury i oprogramowania, firm utrzymaniowych oraz podwykonawców. Jeżeli firma ma być bezpieczna, to bezpieczne muszą być też wszystkie „miejsca styku” z partnerami zewnętrznymi. Kto zakłada konta? Kto ma uprawnienia admina? Kto włącza zdalny dostęp i na jak długo? Kto aktualizuje, kto zatwierdza zmianę i gdzie zostaje ślad? Bez odpowiedzi na te pytania nawet najlepsza architektura techniczna będzie miała słaby punkt.

Co warto zrobić „od jutra” — krótka lista działań dla firm

  1. Zrób inwentaryzację „wejść” (VPN, RDP/VNC, panele www, konta serwisowe, integracje, urządzenia brzegowe) i ustal, które są naprawdę potrzebne.
  2. Wprowadź silne uwierzytelnianie (MFA), rotację haseł i zasadę indywidualnych kont — koniec z „jednym loginem dla wszystkich”.
  3. Zamknij temat poświadczeń domyślnych i „zapomnianych” urządzeń — to wciąż jeden z najczęstszych punktów wejścia (widzimy to regularnie także w projektach dla samorządów i wodociągów).
  4. Ustal, kto zatwierdza i dokumentuje zmiany (zarządzanie zmianą) oraz gdzie trafiają logi z działań administracyjnych — również po stronie dostawców.
  5. Zdefiniuj wymagania dla dostawców: zasady kont, okna serwisowe, rejestr aktywności, odpowiedzialność za aktualizacje i podatności.
  6. Przećwicz scenariusz incydentu (IT i/lub OT): kto decyduje, kto komunikuje, jak odtwarzamy i jak utrzymujemy ciągłość — a potem popraw procedury po ćwiczeniu.

Podsumowanie: cel jest prosty — lotnicza powtarzalność

Budżety i nowe narzędzia są konieczne — ale nie wystarczą. Bezpieczeństwo rośnie wtedy, gdy potraktujemy je jak codzienną praktykę: regularne przeglądy, dowody wykonania, szybkie wyciąganie wniosków z incydentów i jasne zasady współpracy z dostawcami. To podejście sprawdza się niezależnie od branży — co potwierdzają nasze wdrożenia u ponad 170 zadowolonych klientów FortCyber, w tym w samorządach i przedsiębiorstwach wodociągowych. Jeśli chcemy „standardu lotniczego”, musimy zbudować nie tylko architekturę techniczną, ale też kulturę, w której procedury są równie ważne jak zakupy.