30.06.2026

CyberSec Update#26: Tożsamość cyfrowa

Tożsamość cyfrowa to nowa granica cyberbezpieczeństwa

Wkrótce do kin wchodzi „Odyseja” Christophera Nolana, dlatego warto przypomnieć, w jaki sposób, po dziesięciu latach oblężenia, Grecy w końcu zdobyli Troję – Trojanie sami wpuścili ich do miasta. Również w cyberbezpieczeństwie coraz częściej okazuje się, że fortele i techniki socjotechniczne są najskuteczniejszym sposobem radzenia sobie z zabezpieczeniami.

Jeszcze niedawno cyberbezpieczeństwo kojarzono przede wszystkim z ochroną infrastruktury: sieci, serwerów, stacji roboczych, firewalli i systemów końcowych. Dziś coraz wyraźniej widać, że rzeczywistym punktem krytycznym nie jest już wyłącznie infrastruktura, lecz tożsamość cyfrowa.

Tożsamość zamiast systemu – zmiana perspektywy

W praktyce celem ataku coraz częściej nie jest „system” jako taki, ale konto użytkownika, sesja, token dostępowy, konto uprzywilejowane albo mechanizm uwierzytelniania. Innymi słowy – atakujący nie zawsze muszą przełamywać zabezpieczenia techniczne. Coraz częściej próbują po prostu zalogować się jako ktoś uprawniony.

To przesunięcie ma znaczenie nie tylko technologiczne, ale również prawne i organizacyjne. Jeżeli organizacja nie kontroluje, kto ma dostęp do danych i systemów, na jakiej podstawie, w jakim zakresie i przez jaki czas, to w praktyce nie kontroluje jednego z kluczowych obszarów ryzyka.

Tożsamość jako obszar ryzyka

Współczesne incydenty bezpieczeństwa bardzo często zaczynają się od przejęcia tożsamości. Może to być phishing, kradzież poświadczeń, przejęcie sesji, nadużycie tokenu OAuth, obejście MFA albo wykorzystanie nadmiarowych uprawnień.

Dlatego tradycyjny model oparty głównie na loginie i haśle coraz wyraźniej traci znaczenie. Problemem nie jest już tylko samo hasło, lecz cały cykl życia tożsamości: utworzenie konta, nadanie uprawnień, ich okresowa weryfikacja, zmiana zakresu dostępu, odebranie uprawnień po zakończeniu współpracy oraz monitorowanie nietypowych zachowań.

Z perspektywy bezpieczeństwa tożsamość cyfrowa staje się jednym z najważniejszych zasobów organizacji. Jeżeli dostęp jest źle zarządzany, nawet najlepsze zabezpieczenia infrastrukturalne mogą okazać się niewystarczające.

Perspektywa prawna: NIS2, KSC i RODO

Z perspektywy prawnej zarządzanie tożsamością nie jest już wyłącznie zadaniem działu IT. To element należytej staranności, systemu zarządzania bezpieczeństwem informacji oraz kontroli dostępu do danych i systemów.

W ramach NIS2 oraz znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa szczególnego znaczenia nabierają środki techniczne i organizacyjne związane z zarządzaniem ryzykiem. Kontrola dostępu, bezpieczeństwo zasobów, MFA, szkolenia, procedury reagowania na incydenty oraz nadzór nad kontami uprzywilejowanymi nie są dodatkiem do cyberbezpieczeństwa – są jego rdzeniem.

Podobnie wygląda to na gruncie RODO. Art. 32 wymaga wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka. W praktyce oznacza to, że administrator lub podmiot przetwarzający powinien umieć wykazać, iż dostęp do danych osobowych jest ograniczony, uzasadniony, kontrolowany i adekwatny do charakteru przetwarzania.

To właśnie tutaj spotykają się cyberbezpieczeństwo i compliance. Organizacja powinna nie tylko wdrożyć zabezpieczenia, lecz także być w stanie udokumentować, że są one proporcjonalne do ryzyka i realnie działają.

Co to oznacza w praktyce?

Dojrzałe zarządzanie tożsamością powinno obejmować co najmniej:

  • identyfikację kont kluczowych i uprzywilejowanych,
  • stosowanie zasady minimalnych uprawnień,
  • regularne przeglądy dostępów,
  • wdrożenie MFA lub rozwiązań bezhasłowych tam, gdzie jest to uzasadnione ryzykiem,
  • centralne zarządzanie tożsamością i dostępem,
  • monitoring nietypowych logowań i anomalii,
  • procedury onboardingu i offboardingu,
  • szkolenia pracowników dotyczące phishingu, przejęcia kont i bezpiecznego uwierzytelniania.

Największym błędem jest traktowanie tych działań jako technicznej formalności. W rzeczywistości są one częścią systemu zarządzania ryzykiem, a w razie incydentu mogą mieć znaczenie dowodowe.

Organizacja będzie musiała wykazać nie tylko to, że posiadała mechanizmy logowania, ale również to, że były one adekwatne, aktualne, skutecznie nadzorowane, a personel był przeszkolony z ich stosowania.

Wniosek – warto słuchać Kasandry

Tożsamość cyfrowa stała się nową granicą cyberbezpieczeństwa, ponieważ to ona decyduje dziś o tym, kto może wejść do systemu, do jakich danych uzyska dostęp, a także, gdy to już się stanie – do jakich działań będzie miał uprawnienia. 

Dlatego współczesne cyberbezpieczeństwo nie kończy się na ochronie infrastruktury. Ono zaczyna się od prawidłowego zarządzania tożsamością, dostępem i uprawnieniami.

W środowisku NIS2, KSC i RODO nie wystarczy już odpowiedzieć na pytanie: „Czy mamy zabezpieczone systemy?”. Coraz ważniejsze staje się pytanie: „Czy naprawdę wiemy, kto ma do nich dostęp i czy potrafimy to wykazać?”. Także dlatego, aby później żadna współczesna Kasandra nie mogła powiedzieć: „A nie mówiłam?”.

1 47 48 49 50 51 55

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera