Rosnące wydatki na cyberbezpieczeństwo nie przekładają się na poczucie kontroli nad środowiskami chmurowymi. Z najnowszego raportu Cloud Security Report 2026 firmy Fortinet wynika, że aż dwie trzecie przedsiębiorstw nie ma dziś zaufania do swojej zdolności wykrywania i neutralizowania zagrożeń w chmurze w czasie rzeczywistym.
To o tyle zaskakujące, że nakłady na bezpieczeństwo chmury systematycznie rosną i stanowią już ponad jedną trzecią budżetów przeznaczanych na ochronę IT. Jednocześnie jednak 59 proc. organizacji nadal ocenia swoją dojrzałość w tym obszarze jako niską.
Zdaniem analityków Fortinet źródłem tego paradoksu jest rosnąca złożoność środowisk chmurowych, określana jako „luka złożoności chmury” (cloud complexity gap). Oznacza ona narastającą rozbieżność między tempem rozwoju infrastruktury IT a zdolnością firm do skutecznego zarządzania jej bezpieczeństwem.
Skala wyzwania jest znacząca. Już 88 proc. przedsiębiorstw działa w środowiskach hybrydowych lub wielochmurowych, a ponad połowa korzysta z co najmniej trzech dostawców chmury dla kluczowych obciążeń. Każdy dodatkowy dostawca to kolejne konfiguracje, uprawnienia i przepływy danych, które trzeba monitorować i zabezpieczać.
Problem pogłębia rosnąca liczba narzędzi bezpieczeństwa oraz niedobór specjalistów. Blisko 70 proc. firm wskazuje na rozproszenie rozwiązań i ograniczoną widoczność jako główną barierę skutecznej ochrony chmury. Jednocześnie 74 proc. organizacji mierzy się z brakiem wykwalifikowanych ekspertów ds. cyberbezpieczeństwa, a 77 proc. obawia się utrzymującej się luki kompetencyjnej.
W praktyce oznacza to, że zespoły IT pracują w trybie reaktywnym, przetwarzając ogromne wolumeny alertów generowanych przez różne, słabo zintegrowane systemy. Zamiast koncentrować się na ograniczaniu ryzyka, specjaliści poświęcają czas na analizę powiadomień i ręczne łączenie danych o zagrożeniach.
Największe wyzwania operacyjne dotyczą dziś zarządzania tożsamością i dostępem (77 proc.), błędów konfiguracji usług chmurowych (70 proc.) oraz ekspozycji danych (66 proc.). Mniejsze, choć wciąż istotne znaczenie mają kwestie związane z bezpieczeństwem AI oraz zagrożeniami wewnętrznymi i ukierunkowanymi atakami.
Firmy próbują przeciwdziałać tym problemom poprzez automatyzację. Już 90 proc. organizacji wykorzystuje ją w procesach bezpieczeństwa chmury, jednak najczęściej ma ona ograniczony zakres. Ponad jedna trzecia stosuje jedynie podstawowe mechanizmy, takie jak generowanie alertów, a ok. 40 proc. korzysta z narzędzi wspieranych przez AI do priorytetyzacji zagrożeń. W pełni autonomiczne systemy reagowania wdrożyło zaledwie 11 proc. badanych.
W efekcie automatyzacja nadal pełni głównie funkcję wspierającą, a zespoły bezpieczeństwa muszą ręcznie analizować incydenty i koordynować działania naprawcze.
Coraz więcej firm zaczyna też kwestionować dotychczasowe podejście do architektury bezpieczeństwa. Jak wynika z raportu, niemal dwie trzecie przedsiębiorstw, projektując dziś strategię od nowa, wybrałoby jedno zintegrowane rozwiązanie zamiast wielu wyspecjalizowanych narzędzi.
Kluczowe znaczenie przy wyborze platform bezpieczeństwa mają obecnie: szeroki zakres ochrony, integracja i orkiestracja działań oraz automatyzacja połączona z zapewnieniem zgodności regulacyjnej. Wskazuje to na rosnącą potrzebę budowania spójnego obrazu ryzyka w coraz bardziej rozproszonych środowiskach chmurowych.
