Analizy i perspektywy z obszaru cyberbezpieczeństwa dla organizacji w regionie CEE i MENA.
AI governance w praktyce zaczyna się od niepokojącej liczby: 57% pracowników aktywnie ukrywa przed pracodawcą fakt używania narzędzi AI.
Nie dlatego, że robią coś złośliwego. Polityka mówiła nie, a praca i tak musiała zostać wykonana.
Widzę to regularnie. Polityka istnieje. Zachowania, które miała powstrzymać, też istnieją - tylko poza zasięgiem wzroku.
Większość zespołów bezpieczeństwa nadal myśli o ryzyku AI jak o zakładce w przeglądarce. Ktoś wkleja tekst do ChatGPT. Może wycieka coś wrażliwego.
Bezpieczeństwo agentów AI stało się problemem, który większość organizacji odkrywa za późno. Nikt nie podjął decyzji o ich wdrożeniu - pewnego dnia po prostu podniesiono głowę i agenci już tam byli.
Deweloper zainstalował asystenta AI do kodowania trzy miesiące temu. Działa z jego credentials. Ma dostęp do każdego pliku, do którego ma dostęp on sam. Zespół operacyjny zautomatyzował raportowanie za pomocą narzędzia AI. Nikt nie ograniczył jego dostępu względem wartości domyślnych. Dostawca dołączył asystenta AI do platformy SaaS, którą odnowiłeś w zeszłym kwartale. Działa od dnia podpisania umowy.
DORA obowiązuje od 17 stycznia 2025 roku. Żadnych okresów przejściowych, żadnych przedłużeń. Organy nadzorcze zbierają Rejestry Informacji, przeglądają frameworki zarządzania ryzykiem ICT i wydają obserwacje. Pierwsze powiadomienia o Threat-Led Penetration Testing trafiają do organizacji w 2026 roku.
Jeśli Twoja organizacja działa w sektorze finansowym - albo dostarcza usługi ICT podmiotom finansowym - to rozporządzenie już Cię dotyczy lub bezpośrednio kształtuje to, czego Twoi klienci będą od Ciebie wymagać. A co organy nadzorcze i klienci zaczynają znajdować, to ta sama luka wszędzie: organizacje, które mają dokumentację, ale nie potrafią obronić tego, co za nią stoi.
Każdy raport po incydencie opowiada tę samą historię. Atakujący dostaje się do środka — przez e-mail phishingowy, skradzione poświadczenia, niezałataną urządzenie brzegowe. Samo wejście rzadko jest katastrofą. Katastrofą jest to, co dzieje się w kolejnych godzinach: atakujący przemieszcza się wewnątrz sieci na wschód i zachód, dociera do systemów, których pierwotny incydent nie powinien był dotknąć, i dopiero wtedy szkoda staje się nieodwracalna.
Przez dziesięciolecia broniliśmy perymetru. W dużej mierze przegraliśmy ten argument. Pytanie warte zadania nie brzmi teraz, czy perymetr zostanie przełamany — zostanie — lecz czy architektura wewnętrzna zakłada, że już do tego doszło.
Polska złożyła nowelizację ustawy KSC w Sejmie w listopadzie 2025 roku. Egzekucja przepisów spodziewana jest w 2026 roku. Większość organizacji czeka na ostateczny tekst ustawy przed podjęciem działań. To błąd.
Okno między uchwaleniem prawa a jego egzekucją będzie krótkie — a organizacje, które napotkają problemy, to nie te z lukami technologicznymi. To te, którym brakuje trzech dokumentów umożliwiających działanie.
Opóźnienia w gotowości do NIS2 rzadko wynikają z braków technologicznych. W praktyce wynikają z trzech brakujących dokumentów: