W obliczu wyzwań i rosnącej skali zagrożeń cyfrowych, zdolność organizacji do szybkiej adaptacji do zmieniających się warunków otoczenia biznesowo-regulacyjnego, ale i geopolitycznego staje się kluczowa, kiedy ma ona do czynienia z incydentem. To właśnie w takich momentach zwykle przychodzi czas testu dojrzałości strategicznej – zarządzania i komunikacji w sytuacjach kryzysowych. Jaka jest w tym rola CISO, czyli Chief Information Security Officer?
- W sytuacjach kryzysowych CISO nie tylko koordynuje reakcję na incydenty cyfrowe, ale także odpowiada za komunikację kryzysową, tłumacząc złożone zagadnienia techniczne na język biznesowy i zarządza narracją, aby minimalizować szkody reputacyjne oraz prawne.
- Rola CISO ewoluuje w kierunku strategicznego doradcy zarządu i lidera odporności cyfrowej, współpracującego m.in. z cyberwojskiem, zespołami zarządzania kryzysowego i działem PR, co pozwala organizacji przygotować się na różne scenariusze zagrożeń, w tym hybrydowe i wojenne.
Odporność cyfrowa (digital resilience) do szybkiego powrotu do funkcjonowania w „standardowym” trybie po incydencie ma kluczowy związek z podejściem do zarządzania bezpieczeństwem cyfrowym. Minimalizacja szkód, utrzymanie ciągłości działania przedsiębiorstwa, próba ochrony reputacji, wdrożenie komunikacji kryzysowej – to zwykle odpowiedź na niepożądane zdarzenie w obliczu którego staje zarząd.
W tej „układance” niewątpliwie istotnym elementem jest „architekt cyberbezpieczeństwa” , czyli Chief Information Security Officer (CISO). To właśnie jego rola jest jedną z najważniejszych w całym procesie. Dlaczego powinien znajdować się w centrum kryzysowym i nie pełnić jedynie funkcji eksperta ds. „technicznych” kwestii, a być uznawany za strategicznego lidera, którego umiejętności będą przydatne nie tylko dla prezesa, ale też dla interesariuszy zewnętrznych? Powód jest prosty: uznanie jego znaczenia i oddanie mu pola do działania może być decydujące, jeśli chodzi o wpływ na stabilność finansową firmy w trudnym momencie. Jednak może mieć też znaczenie długoterminowe i stanowić „być albo nie być” w czasach permanentnego zagrożenia, w jakich przyszło nam funkcjonować.
„Lessos learned” z komunikacji kryzysowej, czyli wnioski z doświadczeń
Doświadczenia organizacji, które przetrwały poważne cyberataki (uniemożliwiające im funkcjonowanie na dłuższy czas, żądania okupu, sparaliżowanie działania spółki z obszaru infrastruktury krytycznej) dowodzą, że komunikacja kryzysowa musi być traktowana jak „tarcza” organizacji, a nie tylko reaktywny obowiązek.
Stąd podstawą jest uznanie szeregu obowiązków i zadań za jakie powinien odpowiadać CISO, takich jak: zarządzanie ryzykiem (cyber)bezpieczeństwa, ochrona danych w organizacji, opracowanie procedur bezpieczeństwa, zapewnianie zgodności z obecnie obowiązującymi standardami, procedurami i przede wszystkim przepisami krajowymi i unijnymi; ale też budowanie świadomości cyberbezpieczeństwa (co często traktowane jest po macoszemu przez zarządy jako „zbędny wydatek”); kreowanie i wdrażanie w praktyce strategii (cyber)bezpieczeństwa i wreszcie – biorąc pod uwagę najgorszy scenariusz – reagowanie na incydenty.
Jeśli spojrzymy na dane, można zakładać, że większość firm wnioski wyciąga dopiero po fakcie. Raport firmy Vecto pokazuje, że ponad połowa z ankietowanych doświadczyła cyberataku (dokładnie 54,5 proc.), a mimo to tylko 33,6 proc. oceniła, że jest na to przygotowana.
Mimo niezbyt optymistycznych statystyk, pierwszą „odrobioną lekcją” może być stwierdzenie, że nieprzygotowanie komunikacyjne przyniesie szkody reputacyjne i prawne, stąd trzeba działać odpowiednio wcześniej. Oznacza to gotowe i przetestowane szablony oświadczeń dla prasy i klientów, transparentne relacje z organami regulacyjnymi oraz – co równie ważne, a może i najważniejsze – zdolność do tłumaczenia skomplikowanych technicznych zagadnień na język ryzyka biznesowego dla zarządu i rady nadzorczej. Błędem jest unikanie informacji lub – przeciwnie – nadmierne skupianie się na aspektach zrozumiałych jedynie dla cyberspecjalistów. Skuteczna komunikacja kryzysowa wymaga, by CISO – często we współpracy z działem PR i prawnym – zachował pełną kontrolę nad narracją, minimalizując spekulacje i budując zaufanie poprzez udowadnianie, że organizacja aktywnie zarządza incydentem i wyciąga z niego wnioski, dbając przede wszystkim o dobro klientów, partnerów i pracowników. Takie podejście pomoże uniknąć eskalowania sytuacji kryzysowej do której niestety dochodzi w wyniku braku przygotowania na najgorszy możliwy wariant.
Co ciekawe, raport „Veeam 2025. Ransomware trends and Proactive Strategies” pokazuje, że 69 proc. badanych przed atakiem ransomware twierdziło, że są na niego przygotowani, jednak już po wystąpieniu incydentu, ta liczba spadła o 20 proc. Dodatkowo, choć 98 proc. badanych uważało, że posiada odpowiednie procedury, to tylko 30 proc. uwzględniło w swoich scenariuszach jasno określoną strukturę decyzyjną.
Gotowość instytucji na czas wojny
Firmy i organizacje w obecnych czasach muszą brać pod uwagę także zagrożenie w postaci potencjalnego konfliktu zbrojnego, szczególnie w obliczu toczącej się wojny tuż za wschodnią granicą kraju.
Gotowość instytucji w tym zakresie wymaga gruntownego przygotowania – testowania i standaryzacji procedur reagowania na incydenty wysokiego ryzyka oraz zapewnienia ciągłości działania. W obliczu zagrożeń takich jak wspomniana wojna za naszymi granicami, masowe cyberataki na polską infrastrukturę krytyczną, akty sabotażu oraz zorganizowane kampanie dezinformacyjne, firmy i instytucje muszą wykraczać poza standardowe plany działania. Powinny regularnie przeprowadzać symulacje w postaci gier wojennych (wargaming), angażując najwyższe kierownictwo i zespoły zadaniowe, które byłyby odpowiedzialne za sprawdzenie odporności systemów w kontrolowanym środowisku, ale biorąc także pod uwagę ryzyko utraty kluczowych zasobów.
W takim scenariuszu wypracowane standardy powinny zawierać nie tylko procedury techniczne i przewidywany czas reakcji, ale też awaryjnej komunikacji wewnętrznej i zewnętrznej, a w przypadku takiej konieczności (w zależności od branży i rodzaju działalności) zarządzania łańcuchami dostaw w warunkach kryzysu oraz zabezpieczenia najważniejszych danych. Modelowym przykładem sprawnej migracji kluczowych informacji do chmury było przeniesienie rządowych zasobów Ukrainy w warunkach pierwszych dni wojny.
Zagrożenia hybrydowe, dezinformacja a zespoły zarządzania kryzysowego
Zespoły zarządzania kryzysowego w skład którego bezwzględnie powinien wchodzić CISO, powinny brać pod uwagę także takie wyzwania, jak zagrożenia hybrydowe czy dezinformacja, które mogą bezpośrednio wpłynąć nie tylko na reputację, ale i na działalność przedsiębiorstwa.
Współczesny kryzys rzadko ma charakter wyłącznie techniczny; często jest on wynikiem lub jest intensyfikowany przez celowe działania dezinformacyjne i operacje wpływu, stanowiące filar wojny hybrydowej.
Zespoły zarządzania kryzysowego muszą być przygotowane nie tylko na usunięcie skutków cyberataku, ale również na błyskawiczne zidentyfikowanie i zneutralizowanie towarzyszącej mu kampanii dezinformacyjnej, której celem może być np. podważenie zaufania do organizacji lub jej zarządu, wywołanie paniki wśród interesariuszy czy pracowników lub nawet manipulacja wynikami finansowanymi firmy.
Wymaga to integracji działań podejmowanych przez zarówno ekspertów ds. bezpieczeństwa (CISO), jak i komunikacji strategicznej, analizy mediów społecznościowych oraz prawników w ramach jednego zespołu, który pozostanie w ciągłej gotowości i będzie na bieżąco wymieniał informacje między jego członkami.
W obliczu rosnącej liczby treści dezinformacyjnych w sieci, kluczowe jest opracowanie scenariuszy reagowania również na operacje wpływu przeprowadzane za pomocą np. siatek trolli czy botów. Skuteczne zarządzanie kryzysem hybrydowym powinno polegać na jednoczesnym kontrolowaniu sfery operacyjnej i narracyjnej i tym samym budowaniu spójnej strategii obrony.
Współpraca z cyberwojskiem. Budowa cyberlegionu
Nowoczesna organizacja, charakteryzująca się wysokim poziomem cyfrowej odporności powinna brać także pod uwagę współpracę z cyberwojskiem i aktywny udział w budowaniu krajowego Cyber Legionu, czyli inicjatywy, której celem jest gromadzenie i wykorzystanie kompetencji cyfrowych rezerwistów, ekspertów z sektora prywatnego oraz entuzjastów cyberbezpieczeństwa na potrzeby obrony państwa.
W ten sposób firmy mogą wykorzystywać potencjał swoich ekspertów, ale i stawiać na budowanie ich doświadczenia poprzez wymianę wiedzy z innymi specjalistami w tej dziedzinie. Tym samym, zainteresowane podmioty mają szansę zwiększać poziom umiejętności obronnych kraju, co przekłada się bezpośrednio na podnoszenie zdolności organizacji do odpierania i reagowania na zagrożenia w cyberprzestrzeni.
Realizacja i aktywny udział w tej inicjatywie jest bardzo ważna dla zapewnienia bezpieczeństwa zarówno w czasie pokoju, jak i w sytuacji eskalacji konfliktu. Rola CISO w sektorze prywatnym i publicznym powinna polegać na aktywnym włączaniu się w budowę Cyber Legionu, co przekłada się na odporność biznesową i operacyjną całego kraju.
Z kolei wzmocnienie współpracy cywilno-wojskowej stanowi fundament realnej odporności w obliczu konfliktów hybrydowych. Koncepcja ta wymaga zacieśnienia partnerstwa między infrastrukturą krytyczną sektora prywatnego i publicznego a Wojskami Obrony Cyberprzestrzeni, co dzięki programowi działającemu od maja br. ma szansę na realizację.
CISO jako kluczowy element odporności organizacyjnej
CISO jako kluczowy element odporności organizacyjnej musi zintegrować zarządzanie cyberbezpieczeństwem nie tylko z polityką IT, ale przede wszystkim z nadrzędnymi planami przedsiębiorstwa. Jego rola ewoluowała – z technicznego strażnika, do strategicznego doradcy zarządu, który tłumaczy ryzyka w cyberprzestrzeni na język biznesowy i finansowy. Kluczowe jest zatem pełne zintegrowanie funkcji CISO z planami ciągłości działania oraz reagowania. W praktyce powinno oznaczać to, że CISO współtworzy i regularnie prezentuje zarządowi strategię cyberbezpieczeństwa organizacji, która jest bezpośrednio powiązana z koncepcją biznesową i celami długoterminowymi, w tym finansowymi. Jednocześnie dba o mechanizmy komunikacji i przygotowanie zarządu na różne scenariusze, również te, które biorą pod uwagę nawet poważne czy krytyczne incydenty.
Tym samym cyberbezpieczeństwo nie będzie traktowane jako koszt, a jako niezbędny czynnik dojrzałego, świadomego wyzwań przedsiębiorstwa, który umożliwi przetrwanie w trudnych czasach i będzie warunkiem sukcesu biznesowego.
CISO jako architekt cyfrowej odporności od A do Z
Podsumowując, rola CISO ewoluowała: od technicznego menedżera do strategicznego doradcy zarządu, który na co dzień musi funkcjonować w porozumieniu i blisko osób decyzyjnych, a w sytuacji zarządzania kryzysem – zostać wysłuchany i przejąć odpowiedzialność, kiedy wymaga tego stojące przed organizacją wyzwanie.
Takie podejście oznacza integrację i bliską współpracę z zarządem, tj. włączenia CISO do procesu strategicznego planowania i współodpowiedzialności za ciągłość działania organizacji. Cyberbezpieczeństwo musi być elementem każdego krytycznego procesu biznesowego, a nie dodatkowym „kosztem”, jak niestety często nadal jest traktowane w wielu firmach.
Potrzebne są również testy i symulacje kryzysowe w organizacjach, przy zaangażowaniu najwyższego kierownictwa, w celu skrócenia czasu reakcji i zapewnienia sprawnego procesu podejmowania decyzji w warunkach presji czasu i niepewności. Dlatego nie jest przesadą stwierdzenie, że odporność instytucji na współczesne kryzysy jest mierzona gotowością – nie tylko proceduralną czy techniczną, ale i zdolnością do szybkiej i transparentnej komunikacji – z CISO na czele, koordynującym wysiłki przedsiębiorstwa, we współpracy z administracją państwową (jeśli wymaga tego sytuacja), a nawet z wojskiem – w obliczu potencjalnego konfliktu.
O roli CISO w organizacji, komunikacji strategicznej, bezpieczeństwu państwa w obliczu współczesnych wyzwań będą rozmawiali eksperci w czasie Kongresu Bezpieczeństwo Polski. Total Security w dniach 18-19 listopada w Warszawie. Agenda spotkania jest dostępna pod linkiem: Agenda – Total Security.
