Gdy zewnętrzne mury obronne organizacji dojrzały, najkrótszą drogą do danych stał się ktoś, kto już jest w środku. Analiza Risk & Compliance Magazine pokazuje, dlaczego ryzyko wewnętrzne wymaga dziś nie kolejnego narzędzia, lecz dojrzałego ładu korporacyjnego.
Twój program insider-risk ma technologię. Czy ma też ład?
Wstęp
Ryzyko wewnętrzne (insider risk) przestało być marginesem agendy bezpieczeństwa. W artykule „Strengthening governance around insider risk” (Risk & Compliance Magazine, nr 55, 2026) Richard Summerfield argumentuje, że w miarę jak obrona przed atakami zewnętrznymi stawała się coraz bardziej wyrafinowana, względne znaczenie insiderów jako ścieżki dostępu do systemów i danych wzrosło. Publikacja przytacza badanie Fortinet i Cybersecurity Insiders (2025), według którego 77% organizacji doświadczyło incydentu utraty danych z udziałem insidera w ciągu ostatnich 18 miesięcy — i dla wielu nie był to epizod jednorazowy, lecz zjawisko powracające.
Dla audytorów i menedżerów systemów zarządzania to sygnał, że problem przesunął się z warstwy czysto technicznej do warstwy organizacyjnej: struktur, ról, kultury i nadzoru. Artykuł wskazuje, że skuteczna odpowiedź nie polega na zakupie kolejnego rozwiązania, lecz na osadzeniu programu zarządzania ryzykiem wewnętrznym w ładzie korporacyjnym — i to właśnie ten wątek czyni publikację interesującą z perspektywy normatywnej ISO.
Anatomia zagrożenia wewnętrznego
Kim jest insider — i dlaczego to zwykle nie sabotażysta
Publikacja definiuje insidera jako osobę wewnątrz organizacji lub z nią powiązaną, posiadającą autoryzowany lub uprzywilejowany dostęp do systemów i danych — pracownika, kontraktora, partnera biznesowego, a nawet klienta. Autor dzieli zagrożenia na dwie kategorie. Złośliwe polegają na świadomym nadużyciu dostępu w celu zakłócenia działania lub korzyści finansowej; bywają realizowane samodzielnie lub we współpracy z aktorami zewnętrznymi. Choć rzadsze niż oportunistyczne ataki typu wykorzystanie podatności, ich skutki bywają dotkliwe — raport IBM „Cost of a Data Breach 2024″ wskazuje, że incydenty ze złośliwym insiderem to najdroższa kategoria naruszeń, średnio 4,99 mln USD.
Znacznie częstsze są jednak zagrożenia niedbałe — nieumyślne, wynikające z braku świadomości, złej oceny sytuacji lub niedochowania procedur: phishing, obejście zabezpieczeń, zgubienie urządzenia, wysłanie danych do niewłaściwego odbiorcy, słabe hasła, brak uwierzytelniania wieloskładnikowego. Jak ujmuje to autor: „the greatest risk often arises from routine actions taken by ordinary employees”. Potwierdza to struktura przyczyn w badaniu Fortinet (2025), gdzie blisko połowa incydentów (49%) miała charakter przypadkowy lub niedbały, a kolejne 12% pozostało nieprzypisane. Skala strat bywa przy tym poważna — 41% respondentów wyceniło swój najpoważniejszy incydent na 1–10 mln USD, obejmując nie tylko remediację i przestoje, lecz także kary regulacyjne i utratę reputacji.
Katalizatory: praca zdalna, łańcuch dostaw i AI
Artykuł identyfikuje kilka sił, które zaostrzyły problem. Pierwszą jest decentralizacja pracy. Powołując się na dane Stanford Institute for Economic Policy Research, autor wskazuje, że liczba osób pracujących zdalnie przynajmniej raz w tygodniu wzrosła pięciokrotnie od 2019 roku, sięgając 42% siły roboczej. Modele rozproszone opierają się na sieciach domowych i urządzeniach prywatnych, przy słabszej ochronie niż w biurze — a pracownicy zdalni rzadziej przechodzą spójne szkolenia. Publikacja łączy to z niedoborem kompetencji: badanie (ISC)² odnotowało wzrost globalnej luki kadrowej w cyberbezpieczeństwie o ponad 25% w 2022 roku, przy niemal 70% organizacji zgłaszających braki specjalistów.
Drugim katalizatorem jest outsourcing i łańcuch dostaw ICT, który rozszerza ekspozycję poza tradycyjne granice organizacji. Trzecim — sztuczna inteligencja: autor zwraca uwagę zarówno na przekonujące podszywanie się pod kadrę kierowniczą (deepfake), jak i na systemy AI działające z rozległymi uprawnieniami. Do tego dochodzą napięcia geopolityczne i zagrożenia hybrydowe, w których insiderzy — świadomie lub nie — stają się kanałem działań o charakterze państwowym.
Rozwiązaniem jest ład, nie kolejne narzędzie
Kluczowa teza publikacji brzmi: programy, które nieproporcjonalnie koncentrują się na technologii, a zaniedbują struktury organizacyjne i zarządzanie ryzykiem, mają trudność z oddzieleniem istotnych sygnałów od szumu. Technologia jest konieczna, ale niewystarczająca. Dojrzałe programy wymagają szerokiego zaangażowania zespołów — bezpieczeństwa, compliance, IT, HR, działu prawnego i ochrony prywatności — oraz wczesnego poparcia kierownictwa. Autor opisuje wyraźną zmianę sposobu myślenia: ryzyko wewnętrzne coraz częściej traktuje się jako dynamiczne wyzwanie bezpieczeństwa, a nie wąską kwestię zgodności. Stąd nacisk na bezpieczeństwo świadome zachowań (behaviour-aware): monitoring i analizę działań użytkowników względem ustalonej linii bazowej, z wykorzystaniem AI/ML do wykrywania odchyleń, ocenę ryzyka i automatyczne blokowanie działań wysokiego ryzyka. Publikacja podkreśla, że 72% badanych zwiększa budżety na programy insider-risk, inwestując w widoczność, analitykę i automatyzację, zanim dane opuszczą organizację.
Perspektywa norm ISO
Tezy artykułu układają się w spójny obraz, który normy ISO pozwalają zoperacjonalizować — od systemu bezpieczeństwa informacji, przez metodykę ryzyka, po ochronę prywatności monitorowanych pracowników.
ISO/IEC 27001:2022 — kręgosłup programu
Artykuł wskazuje, że insider to osoba z uprawnionym dostępem, a odpowiedź musi być systemowa — i tu ISO/IEC 27001:2022 dostarcza gotowej struktury. Klauzula 6.1 operacjonalizuje postulat „identyfikacji krytycznych ryzyk” jako formalną ocenę i postępowanie z ryzykiem. Załącznik A odpowiada punktowo na wątki źródła: zabezpieczenia A.6.1–A.6.6 (weryfikacja kandydatów, warunki zatrudnienia, świadomość i szkolenia A.6.3, postępowanie dyscyplinarne A.6.4, obowiązki po ustaniu zatrudnienia A.6.5, umowy o poufności A.6.6) adresują cały wymiar „zwykłego pracownika” i kultury; A.5.15/A.5.18 oraz A.8.2 (kontrola dostępu, prawa dostępu, dostęp uprzywilejowany) — nadużycie uprawnień; A.8.16 (monitorowanie aktywności) stanowi normatywną podstawę opisanego przez autora podejścia behaviour-aware; A.5.7 (threat intelligence) odnosi się do zagrożeń hybrydowych; a A.5.19–A.5.22 (relacje z dostawcami) — do insidera „przez łańcuch dostaw ICT”.
ISO 31000:2018 — metodyka dojrzałego programu
Publikacja opisuje rozwiązanie w kategoriach programu: identyfikacja ryzyk krytycznych, proaktywna detekcja, wczesna interwencja, równowaga. To język zarządzania ryzykiem, który ISO 31000:2018 porządkuje. Proces z klauzul 6.3–6.4 (kontekst, kryteria, identyfikacja i analiza ryzyka) pozwala zdefiniować scenariusze wysokiego ryzyka wewnętrznego; klauzula 6.5 — dobrać kontrole proporcjonalne; a 6.6 (monitorowanie i przegląd) odpowiada opisanej w artykule potrzebie kontroli adaptacyjnych, reagujących dynamicznie na zmianę kontekstu.
ISO/IEC 27701:2025 — równowaga między bezpieczeństwem a prywatnością
Autor stawia wyraźny warunek: monitoring musi być proporcjonalny, zgodny z prawem i spójny z wartościami organizacji. To domena systemu zarządzania informacjami o prywatności. ISO/IEC 27701:2025 (w edycji 2025 samodzielny standard) pozwala tak zaprojektować monitoring behawioralny, by nie przerodził się w nadzór naruszający prywatność — poprzez minimalizację danych, ograniczenie celu i przejrzystość. To zarazem naturalny most do RODO oraz, na gruncie polskim, do art. 22³ Kodeksu pracy regulującego monitoring pracowniczy.
Tło regulacyjne UE
Obserwacje autora wzmacnia kontekst unijny. Dyrektywa NIS2 (2022/2555), wdrażana w Polsce nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, w art. 21 nakłada na podmioty kluczowe i ważne środki obejmujące obsługę incydentów, bezpieczeństwo łańcucha dostaw ICT oraz higienę i szkolenia z cyberbezpieczeństwa — czyli dokładnie obszary opisane w artykule. Skalę problemu potwierdza też raport Verizon DBIR 2024, według którego udział aktorów wewnętrznych w naruszeniach wzrósł do 35% (z 20% rok wcześniej).
Praktyczne implikacje
Synteza tez źródła z normami prowadzi do kilku konkretnych kroków dla organizacji budującej program insider-risk:
- Zacznij od oceny ryzyka, nie od narzędzia — zdefiniuj scenariusze wysokiego ryzyka wewnętrznego (ISO 31000, kl. 6.4) i przełóż je na plan postępowania z ryzykiem oraz Deklarację Stosowania (ISO 27001, kl. 6.1).
- Ustaw widoczność od startu — wdrażaj monitoring użytkowników, urządzeń i aplikacji w momencie uruchomienia, nie retrospektywnie (ISO 27001, A.8.16).
- Zagospodaruj czynnik ludzki — ciągła edukacja, weryfikacja, jasne warunki zatrudnienia i procedury po jego ustaniu (A.6.1–A.6.6).
- Zabezpiecz łańcuch dostaw — obejmij dostawców ICT relacjami zarządzanymi umownie (A.5.19–A.5.22), spójnie z wymogami NIS2.
- Zbalansuj bezpieczeństwo i prywatność — osadź monitoring w ramach PIMS (ISO 27701) i RODO, z przejrzystymi zasadami i regularnymi audytami.
- Zaangażuj zarząd — to on ustala apetyt na ryzyko i zatwierdza polityki; bez tego program pozostaje inicjatywą techniczną.
Podsumowanie
Artykuł Summerfielda prowadzi do wniosku, który brzmi nieoczywiście w świecie zafiksowanym na technologii: przewagę daje ład, nie kolejne narzędzie. Ryzyko wewnętrzne staje się bardziej dynamiczne, złożone i wplecione w codzienne operacje, łącząc błąd ludzki, złą wolę i manipulację zewnętrzną. Odpowiedzią jest połączenie proporcjonalnych kontroli organizacyjnych, technicznych i operacyjnych z silną kulturą, jasnym monitoringiem i adaptacyjnym nadzorem. Normy ISO — 27001, 31000 i 27701 — nie zastępują tej refleksji, lecz nadają jej strukturę: przekształcają dobre intencje w audytowalny, powtarzalny system.
Bibliografia:
- Summerfield, Richard. „Strengthening governance around insider risk”. Risk & Compliance Magazine (Financier Worldwide), nr 55, Jul–Sep 2026, s. 6–12.
- Fortinet & Cybersecurity Insiders. „2025 Insider Risk Report”. 2025.
- IBM. „Cost of a Data Breach Report 2024″. 2024.
- Stanford Institute for Economic Policy Research (SIEPR). Dane o pracy zdalnej. 2023.
- (ISC)². „Cybersecurity Workforce Study”. 2022.
- Verizon. „2024 Data Breach Investigations Report (DBIR)”. 2024.
- ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- ISO 31000:2018. Risk management — Guidelines.
- ISO/IEC 27701:2025. Privacy information management.
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2).
- Rozporządzenie (UE) 2016/679 (RODO).
FAQ: Zarządzanie ryzykiem wewnętrznym
Czym jest ryzyko wewnętrzne (insider risk)?
To zagrożenie pochodzące od osób z autoryzowanym lub uprzywilejowanym dostępem do systemów i danych — pracowników, kontraktorów, partnerów, a nawet klientów. Obejmuje zarówno działania złośliwe, jak i nieumyślne błędy. Według badania Fortinet (2025) 77% organizacji doświadczyło incydentu utraty danych z udziałem insidera w ciągu ostatnich 18 miesięcy.
Czym różni się insider złośliwy od niedbałego?
Insider złośliwy świadomie nadużywa dostępu dla korzyści lub zakłócenia działania — to najdroższa kategoria naruszeń (IBM 2024: średnio 4,99 mln USD). Insider niedbały działa nieumyślnie: phishing, zgubione urządzenie, wysyłka do złego odbiorcy. Choć mniej efektowny, jest znacznie częstszy — blisko połowa incydentów ma charakter przypadkowy lub niedbały.
Dlaczego sama technologia nie wystarcza?
Ponieważ programy skupione wyłącznie na narzędziach mają trudność z oddzieleniem istotnych sygnałów od szumu. Skuteczny program wymaga osadzenia w ładzie korporacyjnym: zaangażowania zarządu, współpracy zespołów bezpieczeństwa, compliance, IT, HR i działu prawnego oraz jasnych struktur decyzyjnych.
Jak normy ISO wspierają program insider risk?
ISO/IEC 27001:2022 dostarcza struktury systemu bezpieczeństwa informacji — od oceny ryzyka (kl. 6.1) po kontrolę dostępu (A.8.2) i monitoring aktywności (A.8.16). ISO 31000:2018 porządkuje metodykę programu ryzyka, a ISO/IEC 27701:2025 pozwala pogodzić monitoring z ochroną prywatności i wymogami RODO.
Jak pogodzić monitoring pracowników z ochroną prywatności?
Monitoring musi być proporcjonalny, zgodny z prawem i spójny z wartościami organizacji. System zarządzania prywatnością wg ISO/IEC 27701:2025 — poprzez minimalizację danych, ograniczenie celu i przejrzystość — pozwala prowadzić analizę behawioralną bez przekształcania jej w nadzór naruszający prywatność. To zarazem most do RODO i art. 22³ Kodeksu pracy.
Ekspert w zakresie systemów zarządzania ISO, MSUES, RODO, Compliance. Audytor, konsultant, trener.
