Cyberbezpieczeństwo to nie teoria

W wielu firmach z sektora MŚP i jednostkach samorządowych potrzebna jest zmiana myślenia i realne podniesienie odporności cybernetycznej. Sam zakup sprzętu czy licencji na oprogramowanie to za mało – mówi Anna Piechocka, dyrektor zarządzająca DAGMA Bezpieczeństwo IT.

Publikacja: 25.05.2026 18:39

Foto: Paweł Mrowiec

rp.pl

Materiał powstał we współpracy z firmą DAGMA Bezpieczeństwo IT

Nieodłącznym składnikiem cyfryzacji jest cyberbezpieczeństwo, a w Polsce zaczęła obowiązywać nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa. Czy jest to już obowiązkowy temat dla zarządów, dla kadry menedżerskiej? Czy nasz biznes czuje wagę tej sprawy?

Powiedziałabym, że bywa różnie. Są firmy, w których ta świadomość jest ogromna i rzeczywiście zarządy i działy cyberbezpieczeństwa poświęcają temu sporo uwagi. Ale bywają takie miejsca, to szczególnie mniejsze firmy, gdzie ta świadomość jest znacznie niższa i tam z bezpieczeństwem też jest gorzej.

Ciągle istnieje tu podział na MŚP i korporacje.

Wielkie firmy zwykle mają rozbudowane działy prawne, które rozumieją bieżące ustawodawstwo i przygotowują informacje dla zarządu. Zarząd reaguje i wydaje odpowiednie dyspozycje. W mniejszych firmach zwykle jest tak, że służby prawne są mniejsze. Siłą rzeczy nie ma kto przekazać zarządowi informacji, jakie są zadania i odpowiedzialność, co jest niezbędne. A jeszcze w naszej specyfice czasem jest tak, że zarząd przeznaczył pieniądze, kupiono sprzęt i oprogramowanie – i uważa się, że to wystarcza. A jeśli jest potrzebna jakaś dokumentacja, to też coś zostało przygotowane, ale zwykle jest odłożone na półkę, żeby było gotowe na wypadek kontroli.

A zupełnie nie o to przecież chodzi. Chodzi o to, żeby podnieść odporność cybernetyczną, a do tego nie wystarczy kupić licencji na oprogramowanie.

Jaka jest pani rada dla sektora MŚP, co te firmy powinny robić?

Po pierwsze, ważna jest edukacja i uświadomienie, po co zostały wdrożone te wszystkie wymogi. Bo ciągle istnieje takie myślenie, że skoro do tej pory nie było żadnego ataku, albo przynajmniej firma go nie zauważyła, to nadal nie będzie. A to nie jest prawda. Nie ma pytania czy, tylko kiedy to nastąpi, i czas na przygotowanie jest teraz. Teraz powinniśmy zareagować i zainwestować w realne zabezpieczenia. Ważne, byśmy podnieśli naszą cyberodporność i monitorowali, co się dzieje. A jednocześnie edukowali pracowników. Bo to truizm, ale rzeczywiście najsłabszym elementem jest człowiek. I żaden system nie pomoże, jeżeli ktoś kliknie w coś, w co nie powinien kliknąć.

Jak pani ocenia współpracę publiczno-prywatną i sektorową w kontekście budowy cyberodporności? W szczególności pytam o takie programy jak „Cyberbezpieczny Rząd" i „Cyberbezpieczne Wodociągi".

To świetny pomysł, bo ogromne pieniądze zostały skierowane w miejsca mocno niedoinwestowane, dzięki czemu gminy mają sprzęt i oprogramowanie. Ale właśnie o tym mówiłam: jest wiele takich miejsc, gdzie te pieniądze zostały dobrze wykorzystane i została podniesiona cyberodporność. Jest też wiele miejsc, gdzie kupiono sprzęt i wszystkie potrzebne licencje, lecz znacznie słabiej jest z ich implementacją. Podczas Europejskiego Kongresu Gospodarczego byłam na spotkaniu z premierem Krzysztofem Gawkowskim. Zasugerowałam nawet, żebyśmy pomyśleli na przykład o wprowadzeniu obowiązkowego jednodniowego szkolenia dla szefów jednostek. Bo często jest tak, że tzw. informatyk nawet chce coś zrobić, ale szefowie mają do tego dystans. Mam wrażenie, że może pomóc pójście piętro wyżej, gdy kierownik jednostki zrozumie, jakie ma obowiązki prawne i jakie konsekwencje poniesie, jeśli nie wdroży pewnych rzeczy. Oczywiście na pewno nie wszyscy i nie wszędzie się zmienią, ale może odsetek odporności cyfrowej by nam się poprawił.

Wicepremier Krzysztof Gawkowski zwraca dużą uwagę na suwerenność cyfrową. Dlaczego warto stawiać na europejskie technologie w zakresie cyberbezpieczeństwa?

Odwrócę tę kwestię: nigdy nie słyszałam, żeby w jakiejkolwiek instytucji federalnej czy stanowej w USA były wykorzystywane inne rozwiązania niż amerykańskie. My powinniśmy zacząć myśleć podobnie. Oczywiście idealnie by było, gdybyśmy mogli mieć polskie technologie, ale jeszcze ich nie mamy. Z premierem Gawkowskim rozmawialiśmy także o tym, że jest pomysł, żeby w nie inwestować i je rozwijać. Ale dopóki ich nie mamy, istotna byłaby dla nas europejskość i krótsze łańcuchy dostaw. Mam wrażenie, że w którymś momencie zachłysnęliśmy się globalizacją, ale już zaczynamy zauważać, że lepiej jest, gdy pewne obszary są rozwijane bardziej lokalnie. Nie mówię, że musi to koniecznie następować tylko i wyłącznie w Polsce, ale warto rzeczywiście zwracać uwagę na europejskość rozwiązań. Mam wrażenie, że wtedy jednak zmniejszamy ryzyko i mamy nad tym tu, w Europie, większą kontrolę.

Jakby pani miała ocenić stan przygotowania polskiego biznesu w zakresie cyberbezpieczeństwa w skali od 1 do 10, to jaka to by była ocena?

Pamiętajmy, że nie można generalizować. Bo w największych firmach, w bankach, w firmach ubezpieczeniowych ten poziom jest bardzo wysoki. Pewnie 10 nikt nigdy nikomu nie da, ale jest to na pewno 8–9. Natomiast w sektorze MŚP jest to 3.

–Artur Osiecki

Materiał powstał we współpracy z firmą DAGMA Bezpieczeństwo IT