Dlaczego cyberbezpieczeństwo powinno być priorytetem na szczeblu zarządu w każdej firmie – perspektywa Serhija Michałapa

Cyberbezpieczeństwo nie jest już kwestią techniczną, która pozostaje drugorzędna, dzięki dzisiejszej, połączonej siecią sieci. To imperatyw zarządu. W miarę jak zagrożenia online stają się coraz bardziej wyrafinowane, a naruszenia bezpieczeństwa coraz bardziej kosztowne, firmy zdają sobie sprawę, że bezpieczeństwo cyfrowe musi być integralną częścią ładu korporacyjnego. Co jednak oznacza, że cyberbezpieczeństwo jest priorytetem na szczeblu zarządu i dlaczego wiele firm wciąż pozostaje w tyle?

Ekspert ds. cyberbezpieczeństwa, Serhij Michalap, uważa, że odpowiedź leży w nastawieniu. Z ponad dziewięcioletnim doświadczeniem na pierwszej linii frontu, w tym kierowaniem krajowymi operacjami cyberobrony i współzałożycielem startupu zajmującego się cyberbezpieczeństwem, Michalap osobiście doświadczył konsekwencji traktowania cyberbezpieczeństwa jako ćwiczenia z odhaczania punktów, a nie strategicznego filaru.

Michał rozpoczął karierę w 2016 roku jako analityk w ukraińskim Centrum Operacji Bezpieczeństwa Narodowego (SOC). Zajmując się reagowaniem na zaawansowane, trwałe zagrożenia (APT) skierowane przeciwko infrastrukturze rządowej i prywatnej, rozwinął dogłębną wiedzę na temat zachowań podmiotów stanowiących zagrożenie.

„Nie tylko identyfikowaliśmy złośliwe oprogramowanie” – wspomina Mikhalap. „Śledziliśmy motywy stojące za nim, mapowaliśmy długoterminowe cele przeciwników i sposób, w jaki infiltrowali łańcuchy dostaw”.

Do 2020 roku przeszedł do sektora komercyjnego, początkowo pracując jako specjalista ds. reagowania na incydenty, a następnie kierując zespołami SOC w globalnym dostawcy cyberbezpieczeństwa. Jego praca polegała na zbudowaniu od podstaw dwóch SOC, integracji automatyzacji, selekcji playbooków i całodobowego monitoringu. Wśród jego klientów znajdowały się firmy z branży fintech i technologii płatniczych, podlegające ścisłej kontroli regulacyjnej.

W 2024 roku Mikhalap współtworzył startup oferujący usługi bezpieczeństwa (security-as-a-service), skierowany do startupów i małych i średnich firm z branży kryptowalut, bankowości i technologii transakcyjnych. Jego zespół oferuje testy penetracyjne, DFIR (informatyka śledcza i reagowanie na incydenty), ocenę ryzyka oraz audyty bezpieczeństwa.

„Cyberbezpieczeństwo to nie tylko zapobieganie. To reagowanie, odzyskiwanie i zaufanie. A to zaufanie zaczyna się od przywództwa” – mówi.

Wpływ Michała nie pozostał niezauważony. W 2022 roku został uhonorowany ukraińską nagrodą „Znak Jakości” (Znak Jakości) za wyjątkowy profesjonalizm w dziedzinie cyberbezpieczeństwa. Kapituła nagrody doceniła jego pracę w zakresie reagowania na incydenty, strategicznego planowania obrony, szkoleń użytkowników i informatyki śledczej.

W 2023 roku został laureatem krajowej nagrody „Award for High Reputation”, która doceniła jego zaangażowanie w etyczne praktyki biznesowe, odpowiedzialność i jakość. Te wyróżnienia podkreślają jego wiarygodność jako lidera, który łączy rygorystyczne podejście techniczne z uczciwością.

Według Mikhalapa, umieszczenie cyberbezpieczeństwa w programie rady nadzorczej nie jest opcjonalne, lecz niezbędne. „Rady nadzorcze nadzorują ryzyko strategiczne. A w 2025 roku ryzyko cybernetyczne będzie ryzykiem strategicznym” – stwierdza.

Jednak wiele zarządów nie ma wystarczającej wiedzy, aby zrozumieć luki techniczne, nie mówiąc już o dopasowaniu bezpieczeństwa do celów biznesowych. To tworzy niebezpieczną lukę.

„Brak kompetencji cybernetycznych na najwyższych szczeblach prowadzi do błędnie przydzielonych budżetów, niedostatecznie przygotowanych planów reagowania i nadmiernego polegania na dostawcach” – ostrzega. „Cyberbezpieczeństwo należy traktować jak finanse czy prawo – dziedzinę z własnymi metrykami, językiem i odpowiedzialnością”.

Oręduje za regularnymi spotkaniami zarządu z dyrektorami ds. bezpieczeństwa informacji (CISO) lub zewnętrznymi ekspertami, ze szczególnym uwzględnieniem następujących kwestii:

• Obowiązki zgodności
• Gotowość do reagowania na incydenty
• Priorytety inwestycyjne dla odporności
• Aktualny krajobraz zagrożeń i trendy
• Aktywa krytyczne dla przedsiębiorstwa i ich narażenie

Mikhalap uważa, że postrzeganie cyberbezpieczeństwa w kontekście ciągłości działania firmy i ryzyka reputacyjnego pozwala zarządom lepiej zrozumieć jego wartość.

Powtarzającym się motywem w pracach Mikhalapa jest ukryty koszt bezczynności. „Naruszenie bezpieczeństwa nie tylko kosztuje. Podważa zaufanie. Ujawnia zaniedbania. Może zniweczyć pierwszą ofertę publiczną (IPO) lub transakcję fuzji i przejęć (M&A).

W branżach regulowanych konsekwencje są jeszcze poważniejsze. W grę wchodzą grzywny, pozwy sądowe i zakazy regulacyjne. „Ale większym problemem jest niekorzystna sytuacja konkurencyjna. Jeśli twoi rywale inwestują w odporność, a ty nie, musisz nadrabiać zaległości po wyrządzeniu szkód”.

Michał podkreśla, że zaangażowanie zarządu powinno iść w parze ze zmianą kulturową. Bezpieczeństwo nie może odnieść sukcesu w izolacji.

„Musimy obalić mit, że cyberbezpieczeństwo to problem IT. To odpowiedzialność każdego. Od działu HR, przez finanse, po zespoły produktowe – każda funkcja musi rozumieć swoją rolę w zarządzaniu ryzykiem cybernetycznym”.

Aby to wspierać, jego firma oferuje spersonalizowane moduły szkoleniowe, które dostosowują praktyki bezpieczeństwa do stanowisk pracy. Pomagają one również firmom symulować ataki, aby testować podejmowanie decyzji przez kadrę zarządzającą pod presją.

„Kiedy liderzy przechodzą przez symulowany scenariusz włamania, rozumieją stawkę. Zdają sobie sprawę, że nie chodzi tylko o zapory sieciowe. Chodzi o utratę reputacji, ryzyko prawne i przetrwanie firmy”.

Mikhalap podkreśla kilka praktyk, które wdrażają zarządy nastawione na nowatorskie podejście:

• Ryzyko cybernetyczne jako element zarządzania ryzykiem przedsiębiorstwa (ERM): integracja zabezpieczeń z szerszymi panelami ryzyka.
• Edukacja zarządu: organizowanie warsztatów lub sesji wprowadzających dla nowych członków.
• Niezależne oceny: zatrudnianie zewnętrznych ekspertów do przeprowadzania przeglądów dojrzałości.
• Planowanie scenariuszy: Przeprowadzanie ćwiczeń symulacyjnych dla zespołów kierowniczych i dyrektorów.
• Dostosowanie do budżetu: zapewnienie, że inwestycje w bezpieczeństwo są adekwatne do cyfrowego śladu firmy i stopnia narażenia na zagrożenia.

Zauważa, że zarządy nie muszą stać się ekspertami od cyberbezpieczeństwa. Muszą jednak zadawać właściwe pytania i oczekiwać jasnych, praktycznych odpowiedzi.

Myśląc o roku 2025 i kolejnych latach, Mikhalap dostrzega rosnącą potrzebę uwzględniania przez firmy strategii cybernetycznych w długoterminowym planowaniu. Wraz ze wzrostem skali i złożoności ataków ransomware, ataków opartych na sztucznej inteligencji i naruszeń łańcucha dostaw, priorytety zarządów muszą odpowiednio ewoluować.

„Cyberbezpieczeństwo nie polega już na obronie granic sieci. Chodzi o zarządzanie ryzykiem cyfrowym w całym przedsiębiorstwie. Chodzi o odporność. A wszystko zaczyna się od kierownictwa, które rozumie, co jest naprawdę zagrożone”.

Dla Serhija Michałapa przesłanie jest proste: cyberbezpieczeństwo powinno być w zarządach firm. Nie tylko w czasie kryzysu, ale jako element rutynowego nadzoru.

„Jeśli nie rozmawia się o cyberbezpieczeństwie na poziomie zarządu, naraża się organizację na ryzyko, zarówno techniczne, jak i wizerunkowe” – mówi. „Cyberbezpieczeństwo jest obecnie czynnikiem wspomagającym biznes. Zarządy, które dobrze to rozumieją, będą przewodzić z przekonaniem. Te, którym się to nie uda, zostaną w tyle”.

(Zdjęcie autorstwa Cliffa Hanga z Pixabay)