Odgrywają one szczególną rolę w sektorach strategicznych, gdzie bezpieczeństwo systemów informatycznych przekłada się bezpośrednio na stabilność operacyjną oraz zgodność z przepisami wynikającymi z krajowych i unijnych regulacji.

Security Operations Center (SOC) jest tworzone przez zespół ekspertów, prowadzących stały nadzór nad środowiskiem informatycznym organizacji. Ich głównym zadaniem jest monitorowanie i reagowanie na incydenty związane z bezpieczeństwem informacji. Do usług świadczonych przez SOC należą m.in. monitorowanie sieci, wykrywanie zagrożeń, reagowanie na incydenty oraz raportowanie ich przebiegu. W dobie powszechnej cyfrowej transformacji firm stanowią one istotny element tworzenia odporności organizacji na cyberzagrożenia.

Infrastruktura krytyczna i nowe wyzwania regulacyjne

Szczególnie istotną rolę SOC odgrywa w sektorach związanych z infrastrukturą krytyczną, a tym samym najbardziej narażonych na cyberataki. Chodzi o takie obszary jak energetyka, transport, służba zdrowia, finanse czy administracja publiczna. Co więcej, wraz z wejściem w życie dyrektywy NIS2, znacząco rozszerzyły się obowiązki związane z zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa w tych sektorach. Dla wielu podmiotów oznacza to konieczność wdrożenia stałego monitoringu, analizy zagrożeń oraz szybkiego reagowania na incydenty. W tym kontekście organizacje stają przed wyborem – budować własne, lokalne SOC, czy korzystać z usług tzn. wirtualnych centrów (virtual SOC). Te drugie oferują elastyczność, szybszy czas wdrożenia i niższe koszty, ale w niektórych przypadkach – zwłaszcza w sektorze publicznym i obronnym – posiadanie własnego SOC może być jedynym akceptowalnym rozwiązaniem.

Innowacyjne podejście do ochrony sieci

W swoim funkcjonowaniu Security Operations Centers wykorzystują nowoczesne technologie. Sztuczna inteligencja oraz automatyzacja procesów przyspieszają analizę danych, skracają czas reakcji i pozwalają przewidywać incydenty, zanim jeszcze się wydarzą. Narzędzia takie jak NetFlow, umożliwiające analizę przepływu informacji w sieciach, są dziś podstawą pracy analityków SOC pracujących w dojrzałych pod katem Cyber organizacjach. Dzięki nim można wykrywać nieautoryzowany ruch, anomalie sieciowe czy podejrzane wzorce komunikacji. Z kolei zastosowanie takich rozwiązań jak SOAR (Security Orchestration, Automation and Response) sprawia, że wiele zdarzeń jest rozwiązywanych niemal bez udziału człowieka.

Doświadczenia instytucji związanych z wojskiem, jak i wnioski z raportów takich, jak m.in. „Road to Cybersecurity” opracowanych przez Deloitte wskazują, że w człowiek pozostaje najważniejszym elementem – zarówno w podejmowaniu decyzji, jak i w ocenie kontekstu zdarzeń.

Jednak już teraz zdarzają się sytuacje, w których to sztuczna inteligencja gra pierwsze skrzypce. Dla przykładu, skrypty ze złośliwym oprogramowaniem napisane przez AI oraz kampania phishingowa kupiona jako usługa AI są zatrzymywane przez prawidłowo zaprogramowaną przy wykorzystaniu sztucznej inteligencji pierwszą linią SOC.

Ataki cyfrowe a świat fizyczny – monitoring systemów przemysłowych

Współczesne cyberzagrożenia coraz częściej wpływają na rzeczywistość poza światem wirtualnym. Przykładowo, systemy OT (operational technology), które sterują urządzeniami przemysłowymi, są coraz częściej obsługiwane za pośrednictwem Internetu, co zwiększa ich podatność na cyberataki. Dla SOC oznacza to konieczność monitorowania nie tylko sieci IT, ale również obsługiwanych za jej pośrednictwem elementów infrastruktury – od szlabanów, przez programy sterowania oświetleniem po systemy chłodzenia w przemyśle spożywczym. Przykładowo, zdalne zablokowanie wind czy podniesienie temperatury w chłodniach może skutkować poważnymi stratami finansowymi i zagrożeniem dla zdrowia. Monitorowanie w czasie rzeczywistym staje się więc nie tylko kwestią ochrony danych, ale również bezpieczeństwa operacyjnego firm.

Przyszłość SOC – więcej automatyzacji?

Nadchodzące lata przyniosą dalszą automatyzację procesów w realizowanych przez Security Operations Centers. Już dziś część analityków obawia się jednak, że nadmierna wiara w AI i automatyzację może prowadzić do błędów, które nie zostaną na czas wychwycone. Chociaż w Polsce rośnie świadomość wagi cyberbezpieczeństwa to nadal brakuje wielu elementów systemowych – szczególnie w ochronie infrastruktury krytycznej.

W tym kontekście należy podkreślić potrzebę stworzenia ogólnokrajowego systemu NetFlow, zbierającego i analizującego dane z różnych sektorów, co mogłoby znacząco usprawnić koordynację działań i przyspieszyć proces reagowania na zagrożenia. Bezpieczeństwo cyfrowe państwa to dziś nie tylko domena wojska czy służb specjalnych, ale wspólny wysiłek administracji, biznesu i sektora edukacji.

SOC przyszłości musi być zatem nie tylko technologicznie zaawansowany, mądrze zautomatyzowany, ale też silnie osadzony w realiach współpracy międzysektorowej i co najważniejsze zarządzany przez wykształcony personel.

Łukasz Jędrzejczak
Cyber & Defense Sector Director, Deloitte