Architekci innowacji czy zakładnicy postępu? Jak bezpiecznie nawigować w erze AI według TrendAI [raport]

Firma TrendAI opublikowała raport „Securing the AI-Powered Enterprise: Governance Gaps, Visibility Challenges and Rising Risk”, w którym ujawnia, że organizacje na całym świecie forsują wdrażanie sztucznej inteligencji pomimo ewidentnych i znanych zagrożeń dla bezpieczeństwa oraz zgodności. Z dokumentu wyłania się obraz nowoczesnego biznesu działającego w stanie wysokiego napięcia: z jednej strony mamy euforyczny wyścig o rynkową przewagę, z drugiej – niebezpiecznie rozrastającą się lukę w nadzorze.

Nadrzędny problem trafnie diagnozuje Rachel Jin, Chief Platform & Business Officer w TrendAI:

Organizacjom nie brakuje świadomości ryzyka, brakuje im warunków do zarządzania nim. Kiedy wdrażanie jest podyktowane presją konkurencyjną, a nie dojrzałością ładu organizacyjnego, dochodzi do sytuacji, w której AI jest osadzana w krytycznych systemach bez mechanizmów kontrolnych niezbędnych do bezpiecznego zarządzania nią.

Presja, która zaślepia: Głos liderów

Obecnie sztuczna inteligencja nie jest już technologiczną ciekawostką, lecz fundamentem operacyjnym – większość organizacji przyznaje, że AI jest już osadzona w ich procesach decyzyjnych. Ta masowa adopcja odbywa się jednak pod dyktando ogromnej presji, często ignorującej głos rozsądku działów bezpieczeństwa. Według raportu, aż 66% respondentów przyznaje, że odczuwa nacisk ze strony kierownictwa lub dynamiki rynkowej, by przyspieszyć wdrażanie AI, nawet jeśli zgłaszane są konkretne obawy dotyczące bezpieczeństwa. Jeden na siedmiu decydentów określa te obawy jako „ekstremalne”, ale mimo to zostają one zignorowane, by dotrzymać kroku konkurencji.

Eksperci ostrzegają, że takie podejście prowadzi przy okazji do powstawania zjawiska „Shadow AI” – pracownicy, chcąc sprostać celom wydajnościowym, korzystają z zewnętrznych modeli bez wiedzy działów IT, co sprawia, że organizacje tracą kontrolę nad tym, gdzie wędrują ich wrażliwe dane.

„Ryzyko związane z AI powinno być zarządzane na poziomie zarządu. To nie jest tylko kwestia technologiczna czy cyberbezpieczeństwa. To ryzyko biznesowe – zauważa Jonathan Lee, Director of Cybersecurity Strategy w TrendAI.

Widzialność i luka w prawie: Działanie po omacku

Największym wyzwaniem dla kadry kierowniczej jest obecnie brak pełnego obrazu sytuacji. Choć wielu menedżerów deklaruje pewność co do swoich systemów, dane rzucają na to inne światło: 22% decydentów IT otwarcie przyznaje, że ma jedynie częściową widoczność wdrożeń AI w swojej organizacji. Bez tej wiedzy AI staje się „czarną skrzynką”, której wyniki przyjmujemy bezkrytycznie.

Kolejnym krytycznym punktem jest brak przygotowania formalnego. Wdrażanie technologii drastycznie wyprzedza tworzenie zasad jej bezpiecznego użytkowania:

• Aż 64% decydentów biznesowych raportuje jedynie umiarkowaną pewność co do swojego zrozumienia ram prawnych regulujących AI.
• Aż 53% badanych organizacji przyznaje, że wciąż jest na etapie opracowywania wewnętrznych polityk dotyczących AI, mimo że narzędzia te są już w użyciu.

Sztuczna inteligencja nie jest już eksperymentem. Jest już operacyjna, osadzona w procesach biznesowych, a wiele organizacji wciąż nie ma widoczności potrzebnej do właściwego zarządzania nią – podkreśla Jonathan Lee, Director of Cybersecurity Strategy w TrendAI.

Nowe oblicze zagrożeń: AI-Driven Attacks i problem stronniczości (Bias)

Sztuczna inteligencja to potężne narzędzie również w rękach hakerów. Napastnicy już teraz wykorzystują AI do automatyzacji rekonesansu, tworzenia niemal perfekcyjnych kampanii phishingowych oraz szybszego wyszukiwania luk w zabezpieczeniach. Dzięki AI cyberprzestępcy pokonują bariery językowe i kulturowe, co pozwala im atakować regiony, które wcześniej były dla nich niedostępne.

Równie niebezpiecznym, choć często bagatelizowanym ryzykiem, jest AI Bias (stronniczość algorytmów). Modele AI mogą zawodzić w niszowych zadaniach lub wykazywać brak świadomości kulturowej, co rodzi ogromne ryzyko reputacyjne. Przykłady z badań są uderzające:

• Systemy AI poproszone o wygenerowanie obrazów dla populacji muzułmańskiej potrafią błędnie wstawić produkty niezgodne z ich tradycją (np. mięso wieprzowe), co może wywołać natychmiastowy skandal wizerunkowy.
• W testach językowych AI wykazała kuriozalne różnice w interpretacji płci – pytana po rosyjsku o pola w formularzu potrafiła zasugerować 20 różnych płci, podczas gdy po angielsku było ich tylko 5.
• Modele mają też tendencję do generowania niemal identycznych twarzy (brak różnorodności), gdy zostaną zawężone do specyficznych, niszowych zapytań.

Atakujący już używają AI do pokonywania barier językowych, rozumienia kultury, precyzyjniejszego profilowania celów i szybszego działania. Obrońcy nie mogą sobie pozwolić na ignorowanie tego faktu – podkreśla Vladimir Kropotov, Principal Threat Researcher w TrendAI.

Paradoks „Kill Switcha”

Wraz z przechodzeniem do systemów autonomicznych (Agentic AI), które według 55% firm będą podejmować decyzje samodzielnie w ciągu dwóch lat, pojawia się pytanie o ostateczną kontrolę. Choć 68% organizacji uważa, że systemy AI powinny mieć mechanizm szybkiego wyłączenia, tylko 29% posiada obecnie taką zdolność techniczną.

Co ciekawe, mimo deklarowanej potrzeby kontroli, tylko 20% respondentów aktywnie wspiera wprowadzenie ścisłych protokołów „kill switch”, podczas gdy blisko połowa pozostaje w tej kwestii niepewna. Wynika to z obawy, że jeśli AI zostanie zbyt głęboko zintegrowana z krytycznymi procesami, jej nagłe wyłączenie może stać się „wyłącznikiem dla całego biznesu”.

Wyłącznik bezpieczeństwa (kill switch) brzmi uspokajająco, ale jeśli krytyczne procesy nie mogą działać bez AI, wyłączenie jej może stać się wyłącznikiem dla samego biznesu – zauważa Vladimir Kropotov, Principal Threat Researcher w TrendAI.

Pięć kroków do bezpiecznego przywództwa

Aby zasypać lukę w bezpieczeństwie, TrendAI rekomenduje liderom pięć filarów strategicznych:

1. Ład AI (Governance) od pierwszego dnia: Zdefiniowanie struktur zarządzania przed skalowaniem wdrożeń i wyznaczenie właścicieli ryzyka.
2. Pełna odkrywalność (Discovery): Uzyskanie wglądu w to, gdzie systemy AI operują i jakie dane przetwarzają.
3. Platformowe podejście do bezpieczeństwa: Konsolidacja narzędzi wokół jednej platformy, co pozwala monitorować AI w chmurze i na punktach końcowych.
4. Proaktywna obrona przed AI: Wzmocnienie monitorowania pod kątem nietypowych zachowań i identity misuse powiązanych z atakami AI.
5. Zgranie Zarządu z Techniką: Ryzyko AI to ryzyko biznesowe – odpowiedzialność za nie musi spoczywać na najwyższym szczeblu zarządzania.

Wyłania się tu wniosek, iż innowacja bez nadzoru to lekkomyślność. Dla odmiany organizacje, które połączą odwagę we wdrażaniu AI z dyscypliną w zarządzaniu ryzykiem, nie tylko zabezpieczą swój biznes, ale zyskają zaufanie klientów, które będzie najcenniejszą walutą przyszłości.

Metodologia raportu:

Prezentowane dane pochodzą z globalnego badania zleconego przez TrendAI i przeprowadzonego przez Sapio Research. Analiza objęła głosy 3 700 decydentów biznesowych oraz IT (ITDM i BDM) z organizacji zatrudniających powyżej 250 pracowników. Respondenci pochodzili z kluczowych regionów gospodarczych: APAC (Azja i Pacyfik), EMEA (Europa, Bliski Wschód i Afryka) oraz Ameryki Północnej. Badanie miało na celu zidentyfikowanie luk w zarządzaniu, widzialności i bezpieczeństwie podczas gwałtownej adopcji systemów AI.