Umělou inteligenci v současnosti stále častěji zneužívají kybernetičtí útočníci k zefektivnění své nekalé činnosti. Věděli jste ale, že AI lze úspěšně využít i pro kybernetickou ochranu? Právě na toto téma se zaměřila druhá část našeho velkého rozhovoru s odbornicí na kyberbezpečnost Lucií Jahnovou a expertem na umělou inteligenci Lukášem Grossem.
Připomeňte si první část rozhovoru
Lucie, v první části rozhovoru jsme hovořili především o "útočném" využití AI. Můžeme ale umělou inteligenci využít i pro účely kybernetické ochrany? A pokud ano, tak jakým způsobem?
LJ: AI se pro obranu určitě využít dá. Dnes již mnoho firem využívá různé nástroje jako SIEM (Security Information and Event Management) nebo nástroje pro správu logů shromažďující velké množství dat. Umělá inteligence dokáže tato data v reálném čase analyzovat a identifikovat anomálie, které by mohly znamenat riziko. Navíc AI pracuje rychleji než člověk a dokáže zohlednit širší kontext – například propojit různé typy logů a předpovědět, zda se něco podezřelého může stát.
Samozřejmě to není dokonalé a AI je třeba nejprve rozpoznávání hrozeb naučit. Stále je tak potřeba lidský faktor, který ověřuje, zda AI vyhodnotila situaci správně, nebo zda jde jen o běžnou anomálii. Výhodou zde je, že AI zvládá zpracovávat obrovské množství dat a implementovat ochranná opatření rychleji než lidský mozek. Rovněž také dokáže čerpat data z databází NÚKIB a implementovat je do ochranných systémů rychlostí, které lidský faktor prostě není schopen.
Jak je to s legislativou v oblasti umělé inteligence, a na co by se zde firmy měly zaměřit především?
LJ: Legislativa v oblasti AI pokulhává a vždy bude pozadu za technologickým vývojem. Aktuálně máme v EU například AI Act, který stanovuje rámce pro bezpečné využívání AI, a některé ISO normy zaměřené na umělou inteligenci. Tyto dokumenty se zaměřují hlavně na oblasti, kde hrozí etické a bezpečnostní problémy – například ochrana osobních údajů nebo odpovědnost za rozhodnutí AI.
Nicméně to nejsou konkrétní návody, spíše jen rámcové pokyny k zamyšlení se nad riziky a dopady. Regulace nejsou samospásné a firmy by měly sledovat i další legislativní rámce, jako je GDPR nebo kybernetický zákon. Zde se sluší zmínit, že v České republice stále chybí jasné určení, který úřad vlastně bude problematiku AI zastřešovat. To je další z výzev, kterou budeme muset řešit.
Teď dotaz na vás oba. Pokud víme, že útočníci jsou před legislativou vždy o krok napřed, jak vidíte budoucnost umělé inteligence na straně útočníků i obránců?
LG: Pokud jde o jednotlivce, bude obrovskou výzvou edukace – tedy naučit lidi (včetně dětí), jak s umělou inteligencí žít. To rozhodně nebude jednoduché. Co se týče firem, což je naše hlavní zaměření coby Seyfor, vidím tu čtyři základní kroky, jakými se mohou firmy lépe připravit na současné i budoucí hrozby:
Zaprvé: firmy by měly testovat a simulovat napadení svých vlastních systémů – tzv. „red teaming“. Jde o to, aby si firmy samy ověřily, kde mají slabiny, a zjistily, co je třeba zlepšit, než je někdo skutečně napadne.
Za druhé, je potřeba mít v pořádku data. Firmy musí pravidelně kontrolovat, z jakých zdrojů jejich systémy čerpají, a zajistit, že ta data nejsou manipulovaná. Existuje známé pravidlo „garbage in, garbage out“ – pokud máte špatná vstupní data, budou k ničemu i vaše výstupy.
Třetím bodem je zavádění bezpečnostních standardů. Už zde zazněly zmínky o normách jako ISO 27001, GDPR nebo kybernetickém zákonu. My v Seyforu jsme například vytvořili systém „AI Governance“, který kombinuje technologické základy s legislativními závazky a poskytuje tak firmám komplexní ochranu.
A čtvrtý bod? Vzdělávání. Pokud nebudeme vzdělávat lidi v oblasti hrozeb – ať už jde o deepfake, phishing nebo další hrozby – nedokážeme se posunout vpřed. Nestačí přitom hodinové školení jednou ročně. Lidé musí dostávat pravidelné informace o aktuálních rizicích, i kdyby měla firma týdně uspořádat minikurz na 20 minut a v něm zhodnotit, co se povedlo a kam se ochrana posouvá.
Máte kromě toho i nějaké další doporučení?
LG: Určitě se vyplatí i větší spolupráce s institucemi, jako například právě NÚKIB. Firmy díky tomu lépe pochopí rizika – o to více v situaci, kdy se klidně můžeme brzy dočkat například i zneužití biometrických údajů nebo softwaru pro rozpoznávání tváře. Představte si třeba útočníka, který dokáže zkopírovat údaje o mém otisku prstu, nebo udělat virtuální kopii mého obličeje. To se dnes považuje za neprolomitelnou ochranu, ale i díky AI nakonec k prolomení dojde.
Pokud ale mají firmy spolupracovat s úřady, znamená to, že legislativa je v pořádku?
LJ: Legislativa zejména u nás pokulhává. V Česku například máme Národní strategii pro umělou inteligenci, která požaduje, aby do roku 2030 vznikl orgán zodpovědný za kybernetickou bezpečnost a související metodické pokyny. Vláda se ale doposud nedohodla, pod jaký úřad by tento orgán měl vlastně spadat. Národní strategie má na starosti ministerstvo průmyslu a obchodu, ale oblast AI přesahuje jeho kompetence – AI přeci jen zasahuje i do oblastí jako zdravotnictví, finance a další.
Samozřejmě probíhají různé konference a konzultace s odborníky. Zde ale zase chybí nějaký sjednocující rámec, který by nastavoval pomyslné mantinely a téma AI by pozvednul. Do té doby už budou mít firmy umělou inteligenci napevno začleněnou do svých procesů a legislativa je teprve bude dohánět. V tom horším případě se bude vytvářet za pochodu – a umíme si představit, jak náročné a zdlouhavé bude najít dostatek odborníků schopných a ochotných se tomuto tématu věnovat na úrovni státní správy.
A jak to bude do budoucna? Zlepší se to, zhorší, nebo zůstane stejné?
LJ: Ráda bych řekla, že se to zlepší. Zkušenosti s implementací regulací jako GDPR nebo kybernetického zákona bohužel ukazují, že vymahatelnost pravidel je nízká. To znamená, že pachatelé se často ničeho nebojí.
LG: A tak tomu bylo vždycky. Útočníky nebrzdí žádná legislativa a jejich využití umělé inteligence tím pádem směřuje vpřed daleko rychleji.
Co byste tedy čtenářům vzkázali na závěr rozhovoru?
LJ: Čekají nás velké výzvy. Klíčové bude, jaké etické hodnoty AI přijme a kdo je jí vštípí. Také je potřeba vyřešit právní odpovědnost – kdo ponese zodpovědnost za škodu způsobenou AI, pokud bude mít schopnost se učit a jednat samostatně? A kde je vlastně hranice mezi odpovědností tvůrce umělé inteligence a tím, co se daná AI sama naučila? To jsou otázky, které doposud nejsou dořešeny a bude velmi zajímavé sledovat hledání odpovědí. Určitě si ale nemůžeme myslet, že AI zmizí nebo bude zakázána, to už dnes není reálné.
LG: Přesně tak. AI nezmizí, stejně jako by nikdo nezakázal elektřinu jen proto, že může být nebezpečná. Je to nástroj, který slouží jak temné straně, tak té světlé. Budoucnost AI v kyberbezpečnosti má obrovský potenciál, ale musíme být připraveni na to, že její využití útočníky bude stále sofistikovanější. Naší výhodou může být spolupráce a sdílení zkušeností, což nám umožní rychleji reagovat na nové hrozby.
Lucie a Lukáši, díky moc za vaše odpovědi a názory, a mnoho zdaru do budoucna!
