Bezpieczeństwo infrastruktury IT: technologia to nie wszystko

Znaczna większość organizacji wdraża standardowe mechanizmy ochrony perymetru: firewalle nowej generacji, zaawansowane systemy służące wykrywaniu i zapobieganiu cyberwłamaniom, rozwiązania antymalware, replikację danych. Problem w tym, że bezpieczeństwo infrastruktury IT nie sprowadza się tylko do technologii.

Publikacja: 15.12.2025 18:19

rp.pl

Materiał partnera: MAIN.PL

Firewall nie zatrzyma ataku APT (Advanced Persistent Threats), jeśli nikt nie koreluje alertów z systemów SIEM (Security Information and Event Management) . Polityka silnych haseł nie zapobiegnie kompromitacji, gdy dane uwierzytelniające krążą w nieszyfrowanych plikach. Mechanizmy odtwarzania po awarii okażą się bezużyteczne, gdy w momencie incydentu zespół nie będzie wiedział, jak uruchomić procedury przełączania awaryjnego.

Rzeczywisty poziom bezpieczeństwa zależy od trzech nakładających się warstw: technologicznej, organizacyjnej i ludzkiej. To właśnie ich współzależność decyduje, czy organizacja jest przygotowana na współczesne zagrożenia.

Anatomia niskiego bezpieczeństwa – trzy nakładające się warstwy

Współczesne zagrożenia rzadko wynikają z pojedynczego błędu. Są przede wszystkim kulminacją niedociągnięć technologicznych, chaosu w procesach organizacyjnych oraz błędów ludzkich. Dopiero analiza tych warstw jako spójnego ekosystemu pozwala zrozumieć prawdziwą naturę ryzyka, na jakie narażona jest organizacja.

Warstwa technologiczna: podatności i luki konfiguracyjne

Producenci regularnie publikują CVE i łatki, ale okno między wystąpieniem podatności a jej załataniem to okres podwyższonego ryzyka. Raport Verizon DBIR 2025 wskazuje, że 20% naruszeń rozpoczęło się od wykorzystania podatności – wzrost o 34% w stosunku do poprzedniego roku. Równie problematyczne są błędy konfiguracyjne: serwery z domyślnymi danymi uwierzytelniającymi, bazy danych eksponowane na publiczne adresy IP bez dodatkowej autentykacji, czy też porty zarządzania dostępne bez ograniczeń.

Red Teaming (symulacja działań cyberprzestępców) pokazuje, że nawet przy solidnych zabezpieczeniach brzegowych, atakujący który uzyskuje początkowy dostęp, ma często nieograniczony ruch lateralny w sieci wewnętrznej. Brak mikrosegmentacji, brak monitoringu ruchu “wschód-zachód”, nadmierne uprawnienia – to wszystko pozwala “awansować” do uprawnień administratora domeny w ciągu minut.

Raport CrowdStrike 2025 wskazuje, że średni czas od uzyskania początkowego dostępu do rozpoczęcia ruchu lateralnego wynosi zaledwie 48 minut, a najszybszy zaobserwowany przypadek to 51 sekund.

Warstwa organizacyjna: chaos w procesach i uprawnieniach

Zarządzanie tożsamością i dostępem to fundament każdego modelu bezpieczeństwa, ale praktyka często odbiega od teorii. Uprawnienia są przyznawane reaktywnie i rzadko odbierane.

Użytkownik zmienia rolę, zachowując dostęp do starych systemów. Pracownik odchodzi, a jego konto można reaktywować. Konsultanci otrzymują podwyższone uprawnienia i zachowują je na stałe. Nikt nie przeprowadza regularnych przeglądów dostępu.

Rezultat to setki aktywnych kont z nadmiernymi uprawnieniami, których organizacja nie jest w stanie skontrolować. Problem pogłębia fragmentacja systemów zarządzania tożsamością: Active Directory zarządza infrastrukturą lokalną, aplikacje SaaS mają własne systemy autentykacji, a środowiska chmurowe używają własnych modeli kontroli dostępu opartej na rolach. W takiej rozproszonej strukturze kompleksowy audyt uprawnień jest niemal niemożliwy.

Równie problematyczne są procedury bezpieczeństwa. Organizacje posiadają obszerną dokumentację: polityki, standardy konfiguracyjne, procedury operacyjne, plany ciągłości działania. Problem w tym, że dokumentacja nie przekłada się na działania operacyjne. Zespoły nie znają dokumentów, nie zostały przeszkolone, lub same procedury są… niepraktyczne.

Warstwa ludzka: świadomość jako najsłabsze ogniwo

Technologia może być doskonale skonfigurowana, ale to czynnik ludzki pozostaje najtrudniejszym elementem do zabezpieczenia. Według raportu Verizon, to właśnie pracownicy są głównym powodem 60% wszystkich naruszeń bezpieczeństwa.

Większość kampanii rozpoczyna się od inżynierii społecznej: celowanego phishingu, pretekstowania lub innych form manipulacji. Jeśli użytkownik kliknie w złośliwy link i wprowadzi dane uwierzytelniające na sfałszowanej stronie, wszystkie warstwy techniczne stają się nieistotne.

Tymczasem, organizacje inwestują znaczące budżety w rozwiązania techniczne, zaniedbując szkolenia w zakresie świadomości bezpieczeństwa. Te, są często przeprowadzane jedynie formalnie, bez szczegółowej weryfikacji skuteczności. Poziom bezpieczeństwa organizacji jest tylko tak silny jak jej najsłabsze ogniwo, a tym ogniwem jest niemal zawsze nieświadomy ryzyka człowiek.

Skutki niedopatrzeń – w IT i poza nim

Niedociągnięcia w warstwach technologicznej, organizacyjnej i ludzkiej przekładają się na bardzo konkretne i dotkliwe konsekwencje biznesowe, finansowe i prawne, które często wielokrotnie przewyższają wydatki na odpowiednie zabezpieczenia.

Konsekwencje prawne i finansowe

Organizacje mają tendencję do traktowania wymogów regulacyjnych jako obciążenia administracyjnego. RODO, dyrektywa NIS2 czy ISO 27001 są postrzegane jako formalne listy kontrolne. Tymczasem konsekwencje braku zgodności są wymierne.

W 2024 roku UODO nałożył kary na łączną kwotę blisko 14 milionów złotych.

Kluczowym problemem jest brak rozumienia, które regulacje dotyczą organizacji i jakie implementacje są wymagane. Zespoły IT znają konfigurację infrastruktury, ale rzadko posiadają wiedzę o wymogach NIS2 czy klasyfikacji danych w kontekście RODO.

Zarząd zakłada, że zgodność jest domeną działu prawnego lub IT. W efekcie żadna jednostka nie czuje pełnej odpowiedzialności, a organizacja operuje w stanie niepewności prawnej. Pierwsza poważna weryfikacja: audyt zewnętrzny, kontrola organu nadzorczego, lub incydent wymagający notyfikacji, ujawnia skalę luki w zgodności.

Skutki biznesowe: reputacja, kontrakty, przestoje

Poza karami regulacyjnymi, niski poziom bezpieczeństwa generuje bezpośrednie straty biznesowe.

Incydent bezpieczeństwa taki jak wyciek danych klientów czy atak ransomware paraliżujący operacje niszczy reputację budowaną latami. Klienci tracą zaufanie, co przekłada się na utratę kontraktów. Partnerzy biznesowi, szczególnie w sektorach regulowanych, wymagają certyfikatów zgodności i dowodów dojrzałego poziomu bezpieczeństwa przed podpisaniem umów. Organizacja bez odpowiednich certyfikacji lub z historią incydentów bezpieczeństwa jest eliminowana na etapie weryfikacji należytej staranności.

Raport IBM Cost of a Data Breach 2025 wskazuje, że średni globalny koszt naruszenia danych wynosi 4,44 miliona dolarów, przy czym większość tych kosztów to nie kary regulacyjne, lecz utracone przychody i cena odbudowy zaufania. Badania pokazują również, że firmy po incydencie osiągają wyniki giełdowe o 8,6% gorsze względem lat poprzednich.

Przestoje operacyjne to kolejny wymierny skutek. Dla firm z sektora finansowego czy e-commerce, gdzie transakcje odbywają się przez całą dobę, każda godzina przestoju to bezpośrednia strata przychodu. Co więcej, odtwarzanie po poważnym incydencie pochłania ogromne zasoby: zespoły IT pracują w trybie kryzysowym, konsultanci zewnętrzni są zatrudniani w trybie pilnym, a koszty rosną wykładniczo.

Brak widoczności jako problem operacyjny

Lata przyrostów bez strategii monitoringu zostawiają dziesiątki rozproszonych źródeł logów, wiele konsol i brak jasnej ścieżki eskalacji; pojedyncze systemy wykrywają anomalie, ale bez korelacji nie widać całej kampanii. Średni czas identyfikacji i powstrzymania naruszenia wynosi 241 dni.

Nawet z SIEM (Security Information and Event Management) realna ochrona wymaga zespołu, który rozumie taktyki atakujących i potrafi interpretować najmniejsze sygnały 24/7/365. Małe, obciążone operacyjnie zespoły rzadko mają na to zasoby; często brakuje też udokumentowanych procedur, więc wykryty incydent zaczyna się od chaosu.

Podczas kiedy atakujący działają w minutach i godzinach, atakowani, nieprzygotowani na tę okoliczność – reagują w tygodniach i miesiącach.

Jak naprawdę zabezpieczyć infrastrukturę

Efektywne bezpieczeństwo wymaga zrozumienia, że odpowiedzialność spoczywa na całej organizacji: od najwyższego kierownictwa przez zespoły techniczne po każdego użytkownika. Ale to nie oznacza konieczności budowania wewnętrznego centrum operacji bezpieczeństwa czy zatrudniania dziesiątek specjalistów. Istnieją modele usługowe pozwalające osiągnąć bezpieczeństwo klasy korporacyjnej bez ponoszenia pełnych kosztów budowania zespołów od zera.

Testy penetracyjne i operacje Red Team

Pierwszy krok to identyfikacja powierzchni ataku. Regularne testy penetracyjne (etyczne hakowanie przeprowadzane przez certyfikowanych specjalistów) pozwala spojrzeć na infrastrukturę z perspektywy atakującego. Pentesterzy używają tych samych narzędzi i technik co przeciwnicy, identyfikując podatności możliwe do wykorzystania zanim zrobią to cyberprzestępcy.

Operacje Red Team idą dalej: to kompleksowa symulacja działań przeciwnika testująca całość postawy obronnej organizacji włącznie z procedurami wykrywania i reagowania oraz świadomością bezpieczeństwa. Działania Red Team dają realistyczną ocenę poziomu bezpieczeństwa, ujawniając luki, których izolowane oceny techniczne mogą nie wychwycić.

Centrum Operacji Bezpieczeństwa jako usługa (SOCaaS)

Drugi filar to ciągły monitoring, detekcja i reakcja 24/7/365. Centrum Operacji Bezpieczeństwa jako usługa (SOCaaS) zapewnia zespół analityków, którzy na bieżąco korelują zdarzenia bezpieczeństwa, prowadzą triage i koordynują działania ograniczające skutki incydentów. To krytyczny element dojrzałego programu, ponieważ bez operacyjnej warstwy detekcji i reakcji nawet najlepsze narzędzia pozostają katalogiem funkcji.

Model SOCaaS rozwiązuje problem braku zasobów po stronie organizacji: dostawca zapewnia ludzi, procesy i technologię. Zespół SOC integruje telemetrię z kluczowych źródeł (systemy, sieć, endpointy, tożsamości, chmura/SaaS), wykonuje analizę korelacyjną, wykrywa anomalie i uruchamia procedury reakcji zgodnie z ustalonymi SLA (Service Level Agreement) np. MTTD (Mean Time To Detect – średni czas od wystąpienia zdarzenia do jego wykrycia) oraz MTTR (Mean Time To Respond/Recover – średni czas od wykrycia do opanowania incydentu lub przywrócenia usług).

Audyty bezpieczeństwa i zapewnienie zgodności

Trzeci element to systematyczna weryfikacja zgodności. Audyt bezpieczeństwa to ustrukturyzowana ocena, czy kontrole organizacyjne spełniają wymogi ram zgodności, m.in. RODO, NIS2, ISO 27001.

W przeciwieństwie do testu penetracyjnego, audyt nie jest próbą wykorzystania podatności, ale weryfikacji, czy polityki, procedury i konfiguracje techniczne są poprawne i egzekwowane. Audyt identyfikuje luki w zarządzaniu i procesach operacyjnych, przygotowuje organizację do kontroli regulacyjnych i audytów wymaganych przez partnerów biznesowych. Zewnętrzni audytorzy oferują obiektywną perspektywę i konkretne rekomendacje naprawcze.

Odtwarzanie po awarii jako usługa

Ostatni element to ciągłość działania. Żadne środki zapobiegawcze nie dają stuprocentowej gwarancji. Organizacja musi być zawsze przygotowana na udany atak, awarię sprzętu lub błąd ludzki.

Odtwarzanie po awarii jako usługa (DRaaS – Disaster Recovery as a Service) zapewnia chmurowe środowisko DR. Zamiast utrzymywać dedykowane zapasowe centrum danych, organizacja ciągle replikuje krytyczne systemy do infrastruktury dostawcy. W razie awarii przełączenie (failover) do środowiska chmurowego zajmuje godziny, a nie dni czy tygodnie. Co równie ważne, DRaaS to nie tylko technologia, lecz także przetestowane procedury i przygotowany personel. Regularne testy DR/ćwiczenia odtwarzania potwierdzają, czy plany działają w kontrolowanych warunkach, zanim dojdzie do realnej awarii.

MAIN, we współpracy z Cyber Arms, oferuje zintegrowane podejście do bezpieczeństwa infrastruktury – od identyfikacji podatności i ciągłego monitorowania zagrożeń, po zapewnienie zgodności i gotowość do odtwarzania po awarii. To model dający dostęp do narzędzi klasy korporacyjnej, sprawdzonych procesów i doświadczonych specjalistów bezpieczeństwa, bez potrzeby inwestycji w budowę pełnoskalowej organizacji bezpieczeństwa.

Podsumowując

Bezpieczeństwo to nie produkt, a proces wykraczający poza technologię. Samo wdrożenie narzędzi nie wystarczy: jeśli organizacja nie ma widoczności, nie spełnia wymogów regulacyjnych, procedury są martwymi dokumentami, a użytkownicy nie rozumieją zagrożeń, poziom bezpieczeństwa pozostaje iluzoryczny.

Efektywne bezpieczeństwo nie wymaga nieograniczonego budżetu — wymaga systematyki i dojrzałego zarządzania ryzykiem. Kluczowe elementy to: identyfikowanie podatności poprzez testy, utrzymywanie widoczności dzięki ciągłemu monitoringowi, szybka reakcja według przećwiczonych procedur, zapewnienie zgodności z regulacjami oraz utrzymanie potwierdzonych testami zdolności odtworzeniowych. Bezpieczeństwo nie jest projektem z określoną datą zakończenia. To ciągły proces, który wymaga dostępu do odpowiedniej wiedzy i sprawdzonych rozwiązań.

Materiał partnera: MAIN.PL