Sztuczna Inteligencja 6 min czytania

Cumulo: brytyjska platforma SOC z AI i cyfrowym bliźniakiem

19 czerwca 2025 roku brytyjska firma e2e-assure ogłosiła premierę zaktualizowanej platformy Cumulo — pierwszego w Wielkiej Brytanii suwerennego, w pełni krajowego systemu klasy SOC-as-a-Service zbudowanego wokół sztucznej inteligencji i technologii cyfrowych bliźniaków. To zaskakujące nie dlatego, że ktoś połączył AI z cyberbezpieczeństwem — ale dlatego, że Cumulo robi to bez chmury zewnętrznego dostawcy, z dedykowanymi modelami AI dla każdego klienta osobno, i odpowiada wprost na wezwanie dyrektora GCHQ do stworzenia narodowej tarczy cybernetycznej. Pytanie, które nam się narzuca: czy to naprawdę przełom w ochronie infrastruktury krytycznej, czy bardzo dobrze opakowana ewolucja znanych rozwiązań?

Czym jest platforma Cumulo i co odróżnia ją od klasycznego SOC?

Cumulo to platforma operacyjna centrum bezpieczeństwa (Security Operations Center, SOC) zbudowana przez brytyjską firmę e2e-assure z siedzibą w Abingdon, zaprojektowana tak, by działać jako suwerenne, krajowe rozwiązanie — bez zależności od zagranicznych dostawców chmury obliczeniowej czy zewnętrznych modeli AI.

Klasyczny SOC opiera się na sekwencyjnym przeglądaniu alertów przez analityków: alert pojawia się, człowiek go ocenia, escaluje lub zamyka. Ten model zakłada, że atakujący porusza się wolniej niż zespół reagowania — założenie, które w 2025 roku coraz częściej okazuje się błędne.

Cumulo odwraca tę logikę. SIEM (Security Information and Event Management) pozostaje źródłem prawdy — deterministycznym, odpornym na manipulacje zapisem każdego zdarzenia — ale AI działa równolegle jako osobna warstwa analityczna, budując kontekst w czasie rzeczywistym, nie po fakcie.

Jak działa technologia cyfrowego bliźniaka w Cumulo?

Centralnym elementem architektury Cumulo jest cyfrowy bliźniak (digital twin) — wirtualna replika środowiska IT i OT każdego klienta, aktualizowana na bieżąco metodą pasywnego odkrywania zasobów. Oznacza to, że platforma nie ingeruje aktywnie w działające systemy podczas budowania swojego modelu.

Pasywne odkrywanie jest szczególnie cenne w środowiskach technologii operacyjnych (OT) — takich jak systemy sterowania w elektrowniach, wodociągach czy liniach produkcyjnych — gdzie aktywne testy penetracyjne mogą powodować realne awarie fizyczne. Cumulo pozwala symulować ataki na cyfrowej kopii, nie na żywym systemie.

Cyfrowy bliźniak umożliwia też identyfikację podatności przed ich wykorzystaniem przez atakującego. Platforma nie czeka na incydent — modeluje predykcyjnie, które elementy infrastruktury są najsłabiej chronione i najbardziej narażone na konkretne klasy zagrożeń.

Modele AI dedykowane dla każdego klienta

Każdy klient e2e-assure otrzymuje własny, wyizolowany model AI — wytrenowany na danych wyłącznie z jego środowiska. To istotna różnica w porównaniu z platformami, które korzystają ze wspólnego, uogólnionego modelu uczonego na danych wielu organizacji jednocześnie.

Podejście to zmniejsza ryzyko tzw. data leakage między klientami i pozwala modelowi lepiej rozumieć specyfikę konkretnej sieci: jej normalne wzorce ruchu, typowe zachowania użytkowników i urządzeń oraz charakterystyczne anomalie.

Redakcja IWD Partner: Pomysł suwerennego, krajowego SOC z dedykowanymi modelami AI przypomina trochę filozofię lokalnych serwerów sprzed ery chmury — tylko że tym razem argumenty za takim podejściem są znacznie mocniejsze niż dekadę temu. W kontekście rosnącej liczby ataków na infrastrukturę krytyczną sponsorowanych przez państwa (CISA odnotowała w 2024 roku wzrost takich incydentów o ponad 20% rok do roku), pytanie o suwerenność cyfrową przestaje być akademicką debatą. Zastanawiamy się jednak, czy model dedykowanych AI per klient jest skalowalny ekonomicznie dla mniejszych organizacji, które nie dysponują budżetami dużych korporacji.

Co to jest zero-day SOC i dlaczego to kluczowa innowacja?

Zero-day SOC to koncepcja wprowadzona przez Cumulo, oznaczająca zdolność do natychmiastowego zastosowania nowych informacji o zagrożeniach jako aktywnych reguł detekcji — bez opóźnienia wynikającego z ręcznego wdrażania aktualizacji przez zespół analityków.

W tradycyjnym SOC cykl wygląda następująco: pojawia się nowe zagrożenie, dostawca tworzy sygnaturę lub regułę, aktualizacja jest testowana, a następnie wdrażana — proces, który może trwać od kilku godzin do kilku dni. W tym oknie czasowym organizacja jest w praktyce niechroniona przed konkretnym atakiem.

Rob Demain, CEO e2e-assure, stwierdził w czerwcu 2025 roku: „Zagrożenia poruszają się szybciej, niż ludzkie przepływy pracy są w stanie nadążyć, pozostawiając zespoły bezpieczeństwa w tyle. Zbudowaliśmy Cumulo, by to zmienić — ciągle budując zrozumienie w miarę jak dane są generowane, przy jednoczesnym utrzymaniu ekspertów analityków w centrum podejmowania decyzji.”

Milisekundowe wykrywanie z człowiekiem w pętli

Platforma deklaruje wykrywanie znanych i nowych wskaźników kompromitacji (Indicators of Compromise, IoC) w czasie milisekund. Osiąga to przez połączenie modelowania predykcyjnego z lokalnymi modelami AI i nadzorem człowieka — analitycy z certyfikatem SC (Security Check) pozostają zaangażowani w każdą decyzję.

Architektura celowo unika pełnej autonomii AI. Twórcy Cumulo nazywają to strukturą „human in the loop” — AI rekomenduje i priorytetyzuje, ale nie podejmuje ostatecznych decyzji o reagowaniu bez akceptacji certyfikowanego analityka.

Dlaczego platforma Cumulo ma znaczenie dla bezpieczeństwa infrastruktury?

Cumulo odpowiada bezpośrednio na wezwanie Anne Keast-Butler, dyrektora GCHQ (Government Communications Headquarters), do stworzenia „nowej narodowej zdolności cyberobrony, która wbuduje zaawansowaną agentyczną AI w obronę cybernetyczną z prędkością maszyny” — ogłoszenie to pojawiło się w 2025 roku jako część szerszej brytyjskiej strategii cyberbezpieczeństwa.

Środowiska OT chronione przez Cumulo to nie abstrakcja — to systemy sterujące sieciami energetycznymi, wodociągami, zakładami produkcyjnymi i transportem. Według danych organizacji Claroty z 2024 roku, 75% organizacji z infrastrukturą OT doświadczyło co najmniej jednego cyberataku w ciągu poprzednich 12 miesięcy, a 45% z nich miało wpływ na fizyczne operacje.

Suwerenność platformy oznacza, że dane klientów nie opuszczają brytyjskiej jurysdykcji prawnej — co w kontekście regulacji takich jak NIS2 (Dyrektywa w sprawie bezpieczeństwa sieci i informacji) oraz sektorowych wymogów dla dostawców infrastruktury krytycznej ma wymiar nie tylko techniczny, ale i compliance’owy.

Cecha Tradycyjny SOC Cumulo (e2e-assure, 2025)
Czas detekcji nowych zagrożeń Godziny–dni (po wdrożeniu sygnatury) Milisekundy (zero-day SOC)
Model AI Wspólny lub brak Dedykowany per klient
Obsługa środowisk OT Ograniczona, często ryzykowna Pasywna, z cyfrowym bliźniakiem
Suwerenność danych Często chmura zewnętrzna Wyłącznie brytyjska infrastruktura
Rola człowieka Centralna, sekwencyjna Nadzorcza, wspomagana przez AI

Powiązane pojęcia z AI i uczenia maszynowego

  • Digital Twin (cyfrowy bliźniak) — wirtualna replika fizycznego systemu lub środowiska, aktualizowana w czasie rzeczywistym i używana do symulacji, analizy ryzyka i testowania bez ingerencji w oryginał.
  • Zero-day SOC — koncepcja centrum bezpieczeństwa zdolnego do natychmiastowego wdrażania nowych reguł detekcji na podstawie świeżej wiedzy o zagrożeniach, eliminując okno podatności między odkryciem zagrożenia a jego blokowaniem.
  • SIEM (Security Information and Event Management) — system agregujący i korelujący logi i zdarzenia z całej infrastruktury IT w celu wykrywania anomalii i incydentów bezpieczeństwa.
  • OT (Operational Technology) — technologie sterujące procesami fizycznymi w przemyśle, energetyce i infrastrukturze krytycznej, historycznie izolowane od sieci IT, a coraz częściej z nimi łączone.
  • Human in the loop — architektura systemów AI zakładająca obowiązkowy nadzór i zatwierdzenie przez człowieka przed podjęciem kluczowych działań, ograniczająca pełną autonomię algorytmu.

Na podstawie materiałów źródłowych.