Jest kilka ciekawych rzeczy, które wynikają z raportu WWF Global Cybersecurity Outlook 2026 (WEF_Global_Cybersecurity_Outlook_2026.pdf), ale dzisiaj napiszę o jednej: ryzyko nie siedzi tylko „w naszej sieci”. Siedzi w zależnościach.
W raporcie jest prosty obraz: cyfrowy łańcuch dostaw jest tak połączony, że naruszenie u jednego dostawcy potrafi przejść przez cały ekosystem – produkcję, operacje, klientów i… kolejnych dostawców. Problem w tym, że te zależności często nie są nawet porządnie zmapowane.
Co GCO 2026 mówi o kierunku, w którym idziemy?
Raport układa realia 2026 w kilka twardych trendów:
- AI przyspiesza wszystko – obronę i atak. Daje paliwo do automatyzacji, ale też do skalowania nadużyć. Organizacje nie wiedzą, gdzie AI ma dostęp.
- Geopolityka nie odpuszcza – wpływa na strategie obrony, łańcuchy dostaw i zaufanie między partnerami.
- Cyberprzestępczość działa jak biznes, a fraud rośnie, bo jest tani i skuteczny.
- Odporność (resilience) staje się językiem zarządu – nie „czy będzie incydent”, tylko „czy firma to wytrzyma”. Azymut chyba nie wytrzyma – Restrukturyzacja w hurtowni Azymut – Bankier.pl
I teraz najważniejsze dla mnie – łańcuch dostaw, którego nie widzisz. GCO 2026 opisuje dwa aspekty, które się nakładają:
- Opacity (brak widoczności) – firmy nie mają wglądu w „rozszerzony łańcuch”, czyli w praktyce w czwarte strony (dostawców naszych dostawców).
- Concentration risk (koncentracja) – zbyt duża zależność od kilku krytycznych dostawców/usług.
Raport podaje też mocny przykład „efektu domina”: incydent w systemach odprawy i boardingu używanych przez kilka dużych lotnisk w Europie (wrzesień 2025). Autorzy badania nazywają to relatywnie „minor breach”, a i tak skończyło się kaskadą opóźnień i odwołań lotów. I pada zdanie, które zostaje w głowie: co by było, gdyby podobny atak trafił w szpitale albo inną infrastrukturę krytyczną?
Do tego dochodzi liczba, której trudno nie zauważyć: 65% dużych firm wskazuje podatności stron trzecich i łańcucha dostaw jako największą barierę w budowie cyberodporności (wzrost z 54% w 2025).
Badanie identyfikuje wprost „top risks” w supply chain:
- inheritance risk (nie jesteś w stanie zapewnić integralności cudzych komponentów: software/hardware/usług),
- visibility (brak widoczności),
- concentration risk (koncentracja).
Notepad++ jako przykład „małego elementu”, który stwarza duży problem
To się idealnie spina z historią Notepad++: tam nie chodziło o „wielką platformę bankową”, a o zaufanie do mechanizmu aktualizacji i o to, że ktoś przejął fragment infrastruktury dostarczania aktualizacji potrafił podać złośliwy instalator wybranym ofiarom.
To jest dokładnie ten sam mechanizm, o którym mówi GCO 2026: jedna zależność, słaby punkt, a potem kaskada krytycznych zdarzeń.
Co z tego wynika „na jutro” (bez rewolucji)?
Bez mapy zależności nie ma zarządzania ryzykiem. A bez liczb nie ma priorytetów.
Trzy praktyczne kroki, które warto zrobić nawet w średniej firmie:
- Zacząć od krytycznych usług (nie od listy dostawców) i dopiero do nich dopinać dostawców + podwykonawców + hosting + kluczowe komponenty.
- Stale monitorować assety IT, zmiany w ekspozycji, wycieki, nietypowe aktualizacje, nowe zależności.
- Policzyć scenariusze: co się dzieje, gdy „update u dostawcy” staje się wektorem ataku. Tu wchodzi ilościowa ocena/wycena ryzyka, bo inaczej wszystko kończy się na intuicji.
Ocena ryzyka dotyczy nie tylko IT, ale także zespołów zakupowych. Czynnik cenowy jest ważny, ale też ważna może być (albo teraz już jest) ocena zaufania do dostawcy.
Skontaktuj się z autorem i umów na bezpłatną konsultację: https://outlook.office.com/book/Konsultacjewobszarzeaplikacjibiznesowych@ISCG.onmicrosoft.com/s/fKddgNyppECh3KThb8VNMw2?ismsaljsauthenabled