Wdrażanie centrów operacji bezpieczeństwa (Security Operations Center) przyspiesza zarówno w Polsce, jak i na świecie. Składają się na to trzy czynniki. Pierwszy to regulacje. Dyrektywa NIS 2 i oczekiwana nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) nakładają na podmioty kluczowe i ważne obowiązki monitorowania bezpieczeństwa, które trudno spełnić bez zorganizowanego centrum operacyjnego. Drugi to kapitał publiczny. Część środków z Krajowego Planu Odbudowy przeznaczono na cyberbezpieczeństwo, w tym na budowę sektorowych centrów bezpieczeństwa. Popyt na konkretne wdrożenia jest największy właśnie tam, gdzie są dostępne środki.

– Największe zainteresowanie SOC obserwujemy wśród podmiotów uprawnionych do pozyskania środków z KPO poprzez programy finansujące cyberbezpieczeństwo. Są to głównie podmioty związane z wodociągami oraz szpitale. Branże wskazane w NIS 2 wyczekują na nowelizację UoKSC i aktualnie sondują rynek pod kątem ofert – mówi Dawid Zięcina, dyrektor działu technicznego w Dagma Bezpieczeństwo IT.

Trzeci czynnik to geopolityka. Trwający konflikt zbrojny za naszą wschodnią granicą bezpośrednio przekłada się na aktywność grup APT i wzrost liczby ataków na polską infrastrukturę krytyczną. To argument, który w rozmowie z decydentem często przemawia skuteczniej niż raport finansowy.

Efektywny SOC: jak połączyć ludzi i narzędzia

Z technicznego punktu widzenia SOC to nie produkt, lecz ekosystem wzajemnie zintegrowanych warstw, takich jak: SIEM (Security Information and Event Management), narzędzia do monitorowania sieci, systemy wykrywania i blokowania włamań (IDS/IPS), rozwiązania EDR (Endpoint Detection and Response) oraz platforma SOAR (Security Orchestration, Automation and Response). Kluczowa jest ich integracja, bo samo wdrożenie pojedynczych komponentów nie tworzy jeszcze sprawnego centrum.

Różnica między przestarzałym a nowoczesnym SOC jest mierzalna. W modelu reaktywnym, gdzie analityk czeka na alert, wykrycie incydentu w najbardziej optymistycznym wariancie zajmuje przeciętnie dwa dni. Choć w praktyce atakujący może przebywać w sieci przez tygodnie. Dobrze zintegrowany ekosystem (SIEM + EDR + SOAR) skraca ten czas do godzin, a wysoki stopień automatyzacji pozwala zejść nawet do minut.

Ewolucja SOC przebiega dziś pod presją dwóch trendów. Pierwszym jest upowszechnienie filozofii Zero Trust, zakładającej weryfikację każdego użytkownika i każdego urządzenia – niezależnie od tego, czy znajdują się wewnątrz, czy na zewnątrz sieci korporacyjnej. W środowiskach pracy hybrydowej i przy powszechnym korzystaniu z aplikacji SaaS tradycyjna „granica sieci” przestała istnieć. Zero Trust generuje jednak ogromne wolumeny danych: każde żądanie dostępu jest logowane, każde urządzenie oceniane. Bez odpowiedniej automatyzacji SOC może utonąć w strumieniu danych.

Drugi trend to AI i automatyzacja w warstwie analitycznej. Sztuczna inteligencja stopniowo przejmuje najbardziej żmudne zadania: segregację alertów, filtrowanie fałszywych alarmów, sugerowanie playbooków. Redukuje to zapotrzebowanie na analityków pierwszego poziomu (Tier 1), jednocześnie uwalniając ekspertów wyższego szczebla do pracy proaktywnej, polowania na zagrożenia i badania zaawansowanych wektorów ataku. Dla integratora oznacza to jedno: klienci będą oczekiwać platform z wbudowaną automatyzacją, nie kolejnej kolekcji osobnych narzędzi.

To tym ważniejsze, że skala narzędziowego chaosu w działach bezpieczeństwa jest poważna. Z badania Vectra AI z 2024 r. wynika, że 73 proc. praktyków SOC pracuje równolegle z ponad dziesięcioma narzędziami, a 45 proc. z ponad dwudziestoma. Przy czym aż 71 proc. obawia się, że pewnego dnia przeoczy prawdziwy atak.

Ekonomika wdrożenia: ludzie najdrożsi

Budowa własnego SOC to inwestycja rzędu 2–4 mln zł w pierwszym roku. Co ważne dla integratorów tworzących ofertę w tym zakresie: 50–70 proc. tego budżetu pochłaniają koszty osobowe. Dawid Zięcina wylicza, że w klasycznym modelu potrzeba co najmniej 11 osób o różnym poziomie kompetencji – i realnie tyle samo niezależnie od wielkości organizacji. Nie wszyscy jednak specjaliści zgadzają się z takim podejściem.

– Eksperci wyposażeni w kilka systemów detekcji muszą chronić organizację 24 godziny na dobę. Skala tej operacji, narzędzia i grupa specjalistów powodują, że wdrożenie SOC dla małej i dużej organizacji to podobny koszt. Różnica widoczna jest dopiero w koncernach, ponieważ tam zespoły muszą być jeszcze liczniejsze – mówi Artur Bicki, CEO Energy Logserver.

Na to wszystko nakłada się ogólnopolski deficyt kadrowy, szacowany na 10–15 tysięcy specjalistów ds. cyberbezpieczeństwa, którego konsekwencje odczuwają nawet największe organizacje.

– Polski rynek od kilku lat boryka się z deficytem wykwalifikowanych analityków SOC oraz inżynierów odpowiedzialnych za automatyzację i integrację. Skutkiem są rosnące koszty rekrutacji, presja płacowa oraz wysoka rotacja specjalistów. W takich warunkach utrzymanie stabilnego zespołu SOC staje się dla wielu organizacji wyzwaniem porównywalnym z samym wdrożeniem technologii – mówi Patryk Kwaśny, Sales Manager w Net Complex.