W obliczu dynamicznie zmieniającego się krajobrazu cyfrowego i eskalacji zagrożeń cybernetycznych, kwestia cyberbezpieczeństwa z problemu technicznego stała się strategicznym imperatywem biznesowym.
Pierwsza debata „Rzeczpospolitej” z cyklu CFO Roundtable, zorganizowana przy okazji nowego konkursu „Rz” dla dyrektorów finansowych CFO Excellence Awards, zgromadziła ekspertów, którzy dyskutowali m.in. o transformacyjnej roli dyrektorów finansowych (CFO) w zarządzaniu ryzykiem cybernetycznym. Przechodząc od nadzorców budżetu IT, CFO stają się kluczowymi partnerami w kształtowaniu odporności organizacji. Jak zatem firmy mogą skutecznie integrować zarządzanie ryzykiem cybernetycznym ze swoimi strategiami, edukować personel i postrzegać inwestycje w bezpieczeństwo jako fundamentalny element długoterminowego sukcesu, a nie jedynie koszt?
Ewolucja zarządzania ryzykiem
Paweł Czuryło, redaktor zarządzający „Rzeczpospolitej” otworzył debatę, podkreślając pilność tematu. Przywołał dane z raportu Global Security Outlook 2026, wskazujące, że 87 proc. firm boryka się z lukami w zabezpieczeniach związanych ze sztuczną inteligencją, co czyni ten obszar najszybciej rosnącym ryzykiem.
Joanna Dąbrowska, cybersecurity strategist w TrendAI, zwróciła uwagę na przełomową zmianę w podejściu do zarządzania ryzykiem, w dużej mierze wymuszoną przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
- Dotychczasowe podejście często opierało się na analizach jakościowych - obszernych, kilkunasto- czy kilkudziesięciostronicowych dokumentach opisowych, które z perspektywy podejmowania strategicznych decyzji miały ograniczoną wartość. Nowe regulacje nakładają obowiązek spojrzenia na ryzyko z szerokiej perspektywy, uwzględniając zarówno dynamicznie rozwijające się technologie, jak i zmienne środowisko biznesowe – wyjaśniała Dąbrowska. Podkreśliła, że zarządzanie bezpieczeństwem musi przyjąć formę procesu dynamicznego i ciągłego. Jako przykład tej zmiany dynamiki wskazała na wykorzystanie sztucznej inteligencji i chmury do identyfikacji podatności, gdzie automaty są w stanie wykryć setki luk w krótkim czasie, w tym te, które przez długi okres pozostawały niezauważone. Kontrastuje to ze średnim czasem „patchowania” (naprawiania podatności), który wynosi od 150 do 190 dni. - Zmierzenie się z nowymi technologiami wymaga całkowitej zmiany perspektywy i wdrożenia mechanizmów technologicznych umożliwiających realną ocenę wpływu zagrożeń – dodała.
Ciągłość działania jako priorytet strategiczny
Dla przedsiębiorstw produkcyjnych, takich jak Wedel, cyberbezpieczeństwo jest nierozerwalnie związane z utrzymaniem ciągłości operacyjnej. Piotr Hołownia, dyrektor technologii i transformacji cyfrowej w firmie Wedel, zaznaczył, że nadrzędnym celem wszystkich warstw zabezpieczeń jest zapobieganie przerwom w działaniu. - Cyberbezpieczeństwo nie jest już kwestią, którą zespół IT rozwiązuje wewnętrznie, kierując się intuicją. Zostało ono podniesione do rangi strategicznego priorytetu organizacji – stwierdził Hołownia.
Ekspert zwrócił uwagę na konieczność akceptacji określonego poziomu ryzyka oraz inteligentnego planowania inwestycji. - Nie można przeznaczyć nieskończonej ilości środków na działania prewencyjne i zabezpieczenia. Rozmowa przenosi się na inny poziom – analizy ryzyka i akceptacji inwestycji w obliczu rosnącej liczby ataków, takich jak ransomware (złośliwe oprogramowania, które blokuje dostęp do plików, systemu lub urządzenia np. poprzez szyfrowanie, a następnie atakujący żąda od ofiary okupu) które w coraz większej skali dotykają kolejne branże i wymuszają zwiększenie uwagi poświęcanej temu zagadnieniu w organizacji - mówił. Hołownia zaproponował również praktyczne podejście: „Warto poświęcić jeden dzień na warsztat - symulację w gronie kluczowych osób decyzyjnych w organizacji oraz zespołu IT i przećwiczyć scenariusz takiego ataku. Zastanowić się nad działaniami do podjęcia, gdyby firma rzeczywiście została zaatakowana. Zadać sobie pytania - czy posiadamy backup w chmurze (zdalnym systemie zewnętrznym dostępnym on-line), czy dysponujemy sprzętem i umiejętnościami umożliwiającym odzyskanie zasobów? To pozwala przejść z poziomu teoretycznych procedur na poziom realnego przygotowania”.
Dane: nowa waluta przestępczości
Mariusz Koczwara, sales director w ADP Polska, przedstawił alarmujące porównanie: handel skradzionymi danymi jest obecnie dwukrotnie bardziej dochodowy niż handel narkotykami, a jednocześnie nie wymaga skomplikowanej logistyki produkcji. - Dane mogą być wielokrotnie wykorzystywane do różnorodnych działań przestępczych. Ten problem nigdy się nie skończy – ostrzegał.
Koczwara zauważył, że pomimo deklaracji wielu firm o wysokim poziomie zabezpieczeń, wciąż brakuje wydzielonych pozycji budżetowych na cyberbezpieczeństwo. – 90 proc. zarządów, zapytanych o budżet na ten cel, odpowiada: „mamy coś tam w IT”. Dopóki nie zaczniemy traktować cyberbezpieczeństwa jako odrębnego obszaru, na który należy realnie przeznaczać środki, nie osiągniemy wyższego poziomu ochrony – mówił Koczwara. Jako przykład podał wysokie kary finansowe nakładane na globalnych gigantów (np. – firma z rynku HoReCa otrzymała 20 milionów kary za brak zabezpieczenia prostych danych o czasie pracy pracowników), co dowodzi, że każda informacja ma wartość dla przestępców. - Jeżeli właściciele procesów nie zrozumieją, że cyberbezpieczeństwo dotyczy każdego obszaru – od produkcji po back office – dane będą wyciekać bocznymi drzwiami – podkreślił.
Odpowiedzialność w globalnym łańcuchu dostaw
Maciej Kamiński, dyrektor zarządzający dywizji Memory w Samsung Electronics Polska, przedstawił perspektywę globalnej firmy technologicznej. Podkreślił, że w dobie polaryzacji rynków kluczowa staje się szczegółowa analiza całego łańcucha dostaw. - Produkt może być wyprodukowany w Europie, ale jego kluczowe komponenty mogą pochodzić z obszarów objętych ryzykiem. Niewiele firm dzisiaj to analizuje – zauważył Kamiński.
Samsung kładzie nacisk na transparentność i edukację, budując świadomość nie tylko w kontekście przetrwania ataku, ale przede wszystkim szybkiej odbudowy infrastruktury. - Nie chodzi tylko o to, by przetrwać, ale by faktycznie odbudować infrastrukturę od podstaw, mając dobrze przechowywane dane – wyjaśniał.
Kamiński wskazywał, że właściwe byłoby włączenie edukacji z zakresu cyberbezpieczeństwa w programie studiów biznesowych i inżynierskich, aby przygotować przyszłych pracowników do realiów cyfrowego świata. Zwrócił również uwagę na prozaiczne, lecz niezwykle istotne aspekty: - Czy dyrektor finansowy posiada dwa dyski o gigantycznych pojemnościach, zabezpieczone hasłem w sejfie, z którymi wyjdzie z płonącego budynku, aby odtworzyć biznes? O twardych kopiach kluczowych zasobów mówi się rzadko, a to one decydują o przetrwaniu organizacji – podkreślił Kamiński.
Suwerenność i rezyliencja: francuskie wzorce
Interesujący wątek do dyskusji wniosła Joanna Jaroch-Pszeniczna, dyrektorka generalna Francusko-Polskiej Izby Gospodarczej, przywołując przykład Francji, gdzie cyberbezpieczeństwo jest traktowane jako element suwerenności państwa. - Prezydent Macron zaapelował do rządu o przejście na system Linux. To jest właśnie dbanie o suwerenność i rezyliencję – mówiła.
We Francji wdrożono strategię integrującą sektor publiczny i prywatny, wprowadzając m.in. „paszport cyberbezpieczeństwa” dla małych firm. Ułatwia to mniejszym podmiotom wybór certyfikowanych dostawców i pozwala im stać się bezpiecznym ogniwem w globalnych łańcuchach dostaw. - Jeśli polska firma chce być dostawcą dla dużych graczy w Niemczech czy Francji, musi posiadać odpowiednie zabezpieczenia. Cyberbezpieczeństwo to dziś przewaga konkurencyjna – podkreśliła Jaroch-Pszeniczna. Zwróciła również uwagę na kluczową rolę dużego biznesu w „ciągnięciu za sobą” mniejszych podwykonawców poprzez szkolenia i pomoc we wdrażaniu systemów, co jest niezbędne dla odporności całej gospodarki.
Na zdjęciu od lewej: Mariusz Koczwara – Sales Director ADP Polska, Piotr Hołownia – Dyrektor Technologii i Transformacji Cyfrowej Wedel, Joanna Dąbrowska – Cybersecurity Strategist TrendAITM, Joanna Jaroch-Pszeniczna – Dyrektorka Generalna Francusko-Polskiej Izby Gospodarczej, Konrad Wardziński – Ekspert ABB Polska ds. cyberbezpieczeństwa, Maciej Kamiński – Dyrektor zarządzający Samsung Electronics Polska.
Przemysł pod szczególnym nadzorem
Konrad Wardziński, ekspert ABB Polska ds. cyberbezpieczeństwa, skoncentrował się na ochronie systemów sterowania procesami przemysłowymi w sektorach kluczowych, takich jak energetyka czy chemia. - Straty w sektorze produkcyjnym wynikające z zatrzymania linii są gigantyczne, nie wspominając o trudnej do wyceny utracie reputacji – wskazał.
Wardziński posłużył się metaforą słonia, którego różne osoby dotykają z zawiązanymi oczami, myląc trąbę z wężem, a kieł z szablą. - Nikt nie widzi całości. Język rozmowy o cyberbezpieczeństwie musi być zrozumiały dla wszystkich – nie oczekujmy od CFO specjalistycznej wiedzy technicznej, ale komunikujmy się językiem ryzyka i wpływu na biznes – podkreślił ekspert ABB. Zwrócił uwagę na problematyczne postrzeganie wydatków: - Dyrektor finansowy, który traktuje cyberbezpieczeństwo w kategoriach inwestycji, to wciąż „jednorożec”. Większość organizacji nadal postrzega to jako koszt. Tymczasem średni koszt cyberataku na świecie wynosi obecnie około 4,5 miliona dolarów. Wardziński podkreślił także rolę dostawców zewnętrznych – serwisantów czy firm sprzątających – którzy mogą stać się nieświadomym źródłem wycieku, jeśli nie zostaną włączeni w kompleksową strategię bezpieczeństwa.
Edukacja i „cyfrowe BHP”
Uczestnicy debaty byli zgodni: szkolenia z cyberbezpieczeństwa powinny stać się tak naturalnym elementem wdrożenia pracownika, jak szkolenia BHP. Joanna Dąbrowska zauważyła, że najczęściej celem ataku jest „najsłabsze ogniwo”, czyli nieświadomy pracownik, którego dane łatwo pozyskać z mediów społecznościowych za pomocą narzędzi takich jak Claude i wykorzystać do przygotowania skutecznego scenariusza wniknięcia do organizacji.
Maciej Kamiński podniósł ważny problem zacierania się granic między sferą prywatną a służbową, zwłaszcza w przypadku korzystania z jednego urządzenia do obu celów. - Wpuszczamy niepożądane osoby bocznymi drzwiami do naszych organizacji, np. przez social media na telefonach służbowych. To dotyka emocji pracowników i otwiera drogę do zasobów firmy – ostrzegał. Mariusz Koczwara dodał, że jest zwolennikiem radykalnego rozdzielania tych dwóch światów, pomimo potencjalnego oporu ze strony pracowników.
Rola CFO w nowej rzeczywistości biznesowej
Podsumowując dyskusję, paneliści podkreślili ewolucję roli dyrektora finansowego. Joanna Jaroch-Pszeniczna zauważyła, że po doświadczeniach z raportowaniem ESG, CFO naturalnie przejmuje odpowiedzialność za coraz szersze obszary strategiczne, w tym koszty energii i ogólną odporność organizacji. - Dyrektor finansowy musi pełnić rolę strategiczną, ponieważ organizacja funkcjonuje w skomplikowanym, wzajemnie powiązanym świecie – mówiła.
Eksperci zaapelowali również o wsparcie dla sektora MŚP, który stanowi trzon polskiej gospodarki, a często nie posiada zasobów na samodzielne budowanie zaawansowanych systemów obronnych. Mariusz Koczwara zastanawiał się, jak skutecznie zachęcić mniejszych pracodawców do dbania o cyberbezpieczeństwo, zanim dojdzie do poważnych incydentów. Joanna Jaroch-Pszeniczna odpowiedziała, że dla firm dążących do wzrostu i ekspansji na rynki zagraniczne, bezpieczeństwo nie powinno być jedynie obowiązkiem ustawowym, lecz świadomym wyborem budującym przewagę konkurencyjną. Maciej Kamiński dodał, że walka o marżę i przetrwanie w MŚP jest brutalna, dlatego niezbędna jest debata publiczna na temat systemowych zachęt dotyczących cyberbezpieczeństwa.
Debata CFO Roundtable zorganizowana przy okazji nowego konkursu „Rzeczpospolitej” dla dyrektorów finansowych – CFO Excellence Awards – wskazała jednoznacznie: cyberbezpieczeństwo to nie tylko kwestia technologiczna, lecz przede wszystkim element kultury organizacyjnej, świadomego zarządzania ryzykiem i strategicznego planowania. Inwestycja w odporność cyfrową, wsparta zrozumiałą komunikacją między działem IT a zarządem, stanowi dziś jedyną drogę do zapewnienia firmie bezpiecznej przyszłości w nieprzewidywalnym świecie.
