Post by Sebastian Pelowski
Od pentestera do managera w energetyce - 20 lat w IT, 15 w cyber | IT Security Manager @ Polenergia | vCISO & doradztwo NIS2 / SOC 2 / ISO 27001 | OSCP, CISSP, MBA Energetyka
Wczoraj wróciłem z #SECURE 2026 w Muzeum Historii Polski z jedną liczbą w głowie. 1️⃣ 5️⃣ 2️⃣ procent. Tyle wyniósł wzrost zarejestrowanych incydentów w Polsce rok do roku. Marcin Dudek, kierownik CERT Polska, pokazał to podczas premiery raportu za 2025. Ponad ćwierć miliona incydentów. 9️⃣ 7️⃣ procent to oszustwa komputerowe. Złośliwe oprogramowanie w górę o 8️⃣ 1️⃣ procent. Usiadłem z tymi liczbami i zacząłem je tłumaczyć na język, którym rozmawiam z zarządami w energetyce. Bo prezes bloku energetycznego nie czyta raportu CERT. Prezes pyta o jedno: czy mój HMI wstanie jutro rano. Wicepremier Gawkowski w fireside chacie (Sylwia Czubkowska jak zwykle w formie 👏) powiedział rzecz, która w kontekście infrastruktury krytycznej ma cięższy ciężar gatunkowy niż zabrzmiała ze sceny. Że największą luką nie jest technologia, tylko kompetencje. Że człowiek zostaje najsłabszym ogniwem. I że nowelizacja ustawy o #KSC obejmie około 40 tysięcy podmiotów, z których wiele jeszcze nie wie, że jest na liście. Policzcie sami ilu z tych 40 tysięcy to dostawcy, integratorzy i utrzymaniowcy wpięci w sieci #OT spółek z sektora. Każdy z nich to potencjalna droga wejścia do waszego #SCADA. Najmocniejszy moment dnia był jednak inny. Panel sześciu dotychczasowych kierowników CERT Polska. Krzysztof Silicki, Miroslaw Maj, Piotr Kijewski, Przemek Jaroszewski, Sebastian Kondraszuk i Marcin Dudek na jednej scenie. Trzydzieści lat obrony polskiego Internetu w jednym rzędzie krzeseł. Słuchałem ich i myślałem o tym, jak zmienił się kontekst pracy #CISO. Trzy rzeczy, które zabieram dla zarządów spółek energetycznych z tego dnia: 🔸 Po pierwsze, 97 procent incydentów to oszustwa ukierunkowane na człowieka. Wasz największy CAPEX na firewalle nie zmieni tego, że referent w biurze zakupów kliknie w fakturę. Kampanie świadomościowe w spółkach z infrastrukturą krytyczną przestały być kosztem HR. Są kosztem ciągłości działania. 🔹 Po drugie, nowelizacja #KSC to nie jest kolejna tabelka do wypełnienia. To osobista odpowiedzialność zarządu. Premier Gawkowski mówił o karach wprost. 🔹 Po trzecie, ludzie z panelu CERT pokazali mi coś, czego nie ma w żadnym standardzie. Odporność buduje się dekadami. W energetyce mamy dekadę opóźnienia w stosunku do sektora finansowego. Nie nadrobimy tego kolejnym audytem. Dziękuję za owocne rozmowy, zbite piątki: Agnieszka Gawęcka-Kopytko, MBA, Przemysław Dęba, Adam Lange, Sebastian Pikur, Adrian Kapczyński, CISA, CISM, Ph.D., Jarosław Homa, PhD, MBA, Kamil Bączyk, Adam Marczynski. Dla tych z Was, którzy byli wczoraj w MHP: z jakim wnioskiem wyszliście? #cyberbezpieczenstwo #SECURE2026 #CERTPolska #energetyka #NIS2 #OTsecurity #CISO