W 2026 roku cyberbezpieczeństwo zaczyna przypominać to, o czym od lat pisał Taleb. Systemy zbyt gładkie, zbyt zoptymalizowane i zbyt „smart” stają się kruche. Nie brakuje narzędzi, dashboardów ani raportów. Brakuje czegoś innego: akceptacji faktu, że żyjemy w świecie czarnych łabędzi, a nie ładnych wykresów ryzyka.
Iluzja kontroli
Większość firm wchodzi w 2026 rok z poczuciem, że ma temat „ogarnięty”.
Jest strategia, są procedury, jest slajd z napisem „NIS2 – in progress”. Wszystko wygląda racjonalnie, dopóki rzeczywistość nie przypomni, że atakujący nie czytają waszych regulaminów.
Niestety takie podejście to klasyczna iluzja, w której mylimy złożoność dokumentów ze zrozumieniem ryzyka. Im więcej regulator wymaga tabelek, tym bardziej zarządy wierzą, że ryzyko „zostało zarządzone”. Tymczasem prawdziwe wektory ataku pojawiają się tam, gdzie nikt ich nie uwzględnił w macierzy ryzyka, a najgroźniejsze incydenty przychodzą gdzieś z boku – od podwykonawcy, małego dostawcy, przypadkowego konta serwisowego, o którym dawno zapomniano. System jest kruchy nie dlatego, że nie ma zabezpieczeń. Jest kruchy, ponieważ te zabezpieczenia budują fałszywe poczucie bezpieczeństwa.
AI, czyli wzmocnienie głupoty, mądrości i atakujących
Sztuczna inteligencja jest narzędziem, które wzmacnia to, co już jest – zarówno mądrość, jak i głupotę. Organizacje, które nie rozumieją własnych procesów, próbują je zoptymalizować za pomocą AI, bo wszyscy tak robią. W efekcie powstają jeszcze bardziej skomplikowane systemy, których działania nikt nie potrafi wyjaśnić, ale wszyscy im ufają, bo tak mówi certyfikat i materiały reklamowe producenta. Z drugiej strony, przy dobrze opisanym celu biznesowym użycia AI, może ono zadecydować o zdobyciu przewagi konkurencyjnej.
W tej całej układance mamy jeszcze napastników. Oni nie muszą pisać raportów, nie martwią się zgodnością z NIS2. Mogą natomiast spokojnie używać AI do automatycznego szukania najsłabszych ogniw (mały podmiot w łańcuchu dostaw), generowania metod socjotechnicznych dopasowanych do konkretnej osoby czy orkiestracji tysięcy ataków w tym samym czasie.
AI, to nie jest „nowe zagrożenie”. To akcelerator skracający czas od odkrycia luki do momentu, gdy ktoś ją ktoś wykorzysta.
Regulacje, chronią czy stwarzają kruchość?
Regulacje typu NIS2 czy AI Act są potrzebne, ale ich efekt uboczny jest dokładnie taki jak opisany w pierwszym akapicie. Tworzą wrażenie, że świat jest przewidywalny, że ryzyko można „opanować” czekistą. W praktyce, firmy uczą się najpierw „jak nie podpaść” regulatorowi, a dopiero potem „jak przetrwać incydent”, powstają papierowe zabezpieczenia w postaci dokumentacji, która wygląda imponująco, dopóki nie trzeba jej zastosować przy ataku w niedzielę o 3 w nocy.
Zamiast pytać „czy jesteśmy zgodni z DORA, NIS2, RODO (i co tam jeszcze nam przychodzi do głowy)?”, zadajmy sobie pytanie: „Co się stanie, jeśli jutro stracimy połowę systemów? Kto podejmie decyzje? Co umiemy zrobić bez automatyki?” To jest dokładnie to, czego większość firm boi się sprawdzać w praktyce.
Rzeczywista odporność zamiast cybermagii
Racjonalna organizacja nie próbuje zbudować „nieprzeniknionego” systemu cyberbezpiczeństwa. Buduje natomiast taki, który jest w stanie znieść uderzenia (małe incydenty) bez spektakularnej katastrofy i uczy się z tych małych incydentów, zamiast je zamiatać pod dywan. Ma wbudowane marginesy bezpieczeństwa i nie tylko plan B, ale również C i D – wykraczający poza nadmiarową infrastrukturę. Ma plany, które obejmują również decyzyjność w sytuacji kryzysowej.
W praktyce oznacza to kilka brutalnie prostych zasad:
- Ćwicz kryzys, zanim przyjdzie – nie jako ćwiczenie e-mailowe, ale realną symulację odcięcia/ załamania systemu, w której trzeba podejmować realne decyzje biznesowe, ponosić skutki tych decyzji i działać pod presją.
- Traktuj dostawców jak swoje najsłabsze ogniwo – bo bardzo często nim są.
- Załóż, że ważna część twoich danych już wyciekła – pytanie brzmi: co się wtedy dzieje z twoim modelem biznesowym?
- Nie ufaj narzędziom, których działania nikt nie potrafi wytłumaczyć – szczególnie, jeśli mają w nazwie „AI” i „next-gen”.
To nie jest pesymizm. To higiena myślenia w świecie, w którym nieprzewidywalność jest codziennością, a nie terapią szokową raz na dekadę.
Pamiętajmy, że uśpiona czujność jest ulubionym sprzymierzeńcem atakujących.
Autor:
Dariusz Czerniawski,
Ekspert ds. Cyberbezpieczeństwa i Governance w KIGC
