Już dawno zauważono, że w branży cyfrowego bezpieczeństwa lepiej działa słowo „atak” niż „analiza”, a hasła o „nieuchronnym zagrożeniu” trafiają do wyobraźni szybciej niż dane o skuteczności zabezpieczeń. Paradoks polega na tym, że środowisko, które deklaruje dbałość o ochronę przed technikami manipulacyjnymi, samo doskonale opanowało sztukę grania na emocjach.

Producenci sprzętu i oprogramowania ochronnego od lat pielęgnują wizerunek cyfrowych proroków zagłady. W efekcie komunikacja na tym rynku koncentruje się wokół permanentnego stanu zagrożenia, a dostawcy funkcjonują w trybie wiecznej gotowości bojowej – oczywiście z corocznym odnowieniem licencji. Ich przekaz jest spójny, donośny i zawsze dramatyczny: nie chodzi o to, czy zostaniesz zaatakowany, ale kiedy. Raporty, webinary, konferencje – wszędzie ta sama nuta apokaliptycznej nieuchronności, z drobnym zastrzeżeniem, że rozwiązanie problemu leży akurat w portfolio tego czy innego dostawcy. Ale… gdyby wszystkie te „ostatnie linie obrony” działały tak doskonale, jak obiecują specjaliści, świat cyfrowych zagrożeń zniknąłby po pierwszej fali właściwych zakupów. A nie, wróć! Przecież cyberprzestępcy wymyślą nowe zagrożenia, ewentualnie zwiększą zakres swoich ataków APT… I tak w koło Macieju.

W tej sytuacji integratorzy wzięli na siebie rolę pośredników lęku. Powielają alarmistyczne narracje, wzmacniając je dodatkowymi, wziętymi z własnego doświadczenia historiami o „prawdziwych incydentach” i ubierając w język sprzedażowy, który idealnie trafia do menedżerów IT. Strach upraszcza proces decyzyjny – klient, który się boi, nie analizuje, tylko podpisuje. Po co liczyć ROI, skoro każdy dzień zwłoki może skończyć się kompromitacją? W efekcie wdrożenia często są pochodną emocji, a nie analizy potrzeb. Rozwiązania techniczne przestają być narzędziem zarządzania ryzykiem, a stają się swego rodzaju talizmanem przeciw złu.

Uczestnikami tej gry, chociaż często w nieuświadomiony sposób, są także klienci. W wielu firmach inwestycje w bezpieczeństwo traktuje się jako formę reputacyjnego ubezpieczenia. Chodzi nie tyle o skuteczność systemu, ile o dowód, że „coś zostało zrobione”. Kupuje się więc rozwiązania nadmiarowe, dublujące funkcje, trudne w integracji i rzadko w pełni wykorzystywane. Powstaje architektura złożona z puzzli, które razem nie tworzą spójnego obrazu. I choć z zewnątrz wygląda to imponująco, w praktyce bezpieczeństwo pozostaje powierzchowne.

I tu chcę wrzucić kamyczek do własnego ogródka, bo przecież nie bez winy są też media branżowe i analitycy. Artykuły i raporty często podsycają atmosferę niepokoju. Nagłówki w rodzaju „80 proc. firm padnie ofiarą cyberataku w ciągu roku” są powielane bez pytania o metodologię. W tle wciąż brakuje spokojnej rozmowy o priorytetach: co naprawdę stanowi ryzyko, a co jest tylko hipotetycznym zagrożeniem i jak odróżnić jedno od drugiego. W tym kontekście zapraszam do lektury najnowszego „Vademecum Rynku IT”, a szczególnie wywiadu z Adamem Haertle z portalu ZaufanaTrzeciaStrona.pl, który w idealny sposób pokazał, jak powinno się rozmawiać o cyberbezpieczeństwie.

Z perspektywy psychologii to zjawisko całkowicie przewidywalne. Strach jest reakcją pierwotną, a lęk przed utratą kontroli – jednym z najsilniejszych impulsów decyzyjnych, co „pomaga” w dokonywaniu szybkich, emocjonalnych zakupów. Systemy klasy EDR, XDR, NDR, SIEM, SOAR – im bardziej tajemniczo brzmi skrót, tym większe daje poczucie bezpieczeństwa. Problem w tym, że większość firm nie potrafi wykorzystać nawet połowy funkcjonalności tych rozwiązań. Brak poprawnej integracji, szkoleń czy świadomości dotyczącej procesów – wszystko to powoduje, że narzędzia techniczne działają tylko jako fasada odpowiedzialności.

W efekcie powstała pełnoprawna ekonomia strachu, w ramach której producenci sprzedają rozwiązania, resellerzy lojalność, a klienci kupują złudne poczucie kontroli. Wszyscy są zadowoleni, dopóki nic złego się nie dzieje. Gdy jednak dochodzi do incydentu, szybko okazuje się, że jego powodem nie był brak narzędzi, lecz brak kompetencji i spójnej polityki bezpieczeństwa, na podstawie której planowano i realizowano zakupy.

Ironia jest oczywista, o czym wspomniałem już na początku: branża, która ostrzega przed manipulacją i socjotechniką, sama stosuje te metody w przekazie marketingowym. Zamiast uczyć, jak działać świadomie, często woli podsycać niepokój. Ale czy można inaczej? Oczywiście. Można mówić o bezpieczeństwie w sposób dojrzały – nie jako o wiecznej walce z niewidzialnym wrogiem, ale jako o procesie zarządzania ryzykiem. Zamiast pytać, „czy nas zaatakują?”, warto pytać, „czy jesteśmy przygotowani, by zareagować?”. Zamiast sprzedawać rozwiązania na skróty, na-leży budować partnerstwa bazujące na audycie, analizie i transparentności. Zamiast mnożyć coraz trudniejsze w integracji rozwiązania techniczne, konieczne jest inwestowanie w procedury, szkolenia i świadomość pracowników.

Dla resellerów i integratorów to szansa, by stać się doradcami, a nie handlarzami strachu. Dla producentów – by wzmocnić wizerunek wiarygodnego, dojrzałego partnera, a nie dostawcy alarmów. Dla klientów – by wydawać pieniądze mądrzej, podejmując decyzje bazujące na danych, nie emocjach. W świecie, w którym strach stał się walutą, największym aktem odwagi może być spokojna rozmowa o faktach.

Krzysztof Jakubik Krzysztof Jakubik  

Redaktor prowadzący Vademecum rynku IT oraz dziennikarz CRN Polska.