Tijekom panela ‘Inovacije, sigurnost i cyber izazovi u AI eri’ raspravljalo se o tome kako Europska unija ulaže milijarde u podatkovne centre i razvoj umjetne industrije (AI), no stroga pravila i rastuće prijetnje u cyber prostoru stvaraju potrebu za pronalaženjem balansa između inovacija, zaštite podataka i obrane od kibernetičkog napada. Marina Blažević, direktorica poslovne prodaje u Telemachu, Ratko Drča, direktor u Deloitteovom Odjelu poslovnog savjetovanja i Dražen Pranić, glavni direktor za informatičku sigurnost u AirCashu raspravljali su kako pronaći optimalan odnos između tehnološkog napretka, sigurnosti i tržišne konkurentnosti.
Kad se spomene umjetna inteligencija, ljudi prvo pomisle na inovacije, kad se spomene kibernetička sigurnost, svi prvo pomisle na probleme, dok u stvarnosti ova dva pojma idu ruku pod ruku.
Polovina bez plana
Oko 50 posto poslovnih ljude nema plan za incidente na polju kibernetičke sigurnosti, pokazala su pojedina istraživanja. Inovacije u tehnologiji napreduju impresivnom brzinom, no ta činjenica jednako tako ostavlja kibernetičku sigurnost na pomalo klimavim nogama. Kibernetički napadi sve su sofisticiraniji, a oko 60 posto incidenata uzrokuje ljudska greška.
Aircash ima više od milijun korisnika, no e-plaćanje i e-transakcije iznimno su osjetljivi podaci. Upitan kako vidi AI, Pranić je kazao: “AI je i prilika zato što je izvanredna tehnologija koja omogućava analizu velike količine podataka i precizno detektiranje prijetnji. Danas brojne kompanije, uključujući Aircash, koriste takve alate kako bi pravovremeno prepoznale prijetnje i u tome AI vidim kao priliku. Ono gdje je AI prijetnja je u činjenici da ga danas koriste i hakeri. Sva vodeća istraživanja pokazuju da hakeri koriste AI alate da bi imali bolje “phishing” napade, da bi kreirali “deepfake” sadržaj ili unaprijedili maliciozni kod. Naravno i Google i OpenAI ih pokušavaju maknuti, no oni se uporno vraćaju.”
Blažević je kazala kako je u Telemachu, ali i na hrvatskom tržištu općenito, vidljivo da se svijet drastično promijenio. Primjećuje kako se o kibernetičkoj sigurnosti puno raspravlja, no u gradnji otpornijih poslovnih modela u oblaku i dalje smo daleko ispod prosjeka Europske unije.
“Pogotovo mala i srednja poduzeća su još daleko od ostatka EU, no Hrvatska se polako mijenja i svi trošimo jako puno energije, od telekoma do kompanija, sistem integratora koji se s tim bave, tako da možemo reći da se situacija mijenja, ali još uvijek je potrebno više da kulturološki i društveno vidimo gdje je naša odgovornost i da osvijestimo što znači sigurnost. Pokušavamo što više to predočiti korisnicima”, kazala je Blažević i dodala: “Problem koji pokušavamo osvijestiti kod kompanija je da kibernetičku sigurnost vide samo kao trošak. Nije riječ o trošku, već o investiciji u budućnost, točnije ulaganju u sigurnost.”
Smisleni propisi
U kompanijama je uvijek pitanje budžeta, no Blažević naglašava kako umjetna inteligencija više nije samo IT pitanje, nego pitanje svih. Zbog sve veće ovisnosti o digitalnim sustavima, kompanije se suočavaju s pritiskom da usklade svoje poslovanje s novim europskim propisima o digitalnoj sigurnosti. DORA (Digital Operational Resilience Act) je europska regulativa koja osigurava da financijske institucije mogu sigurno i neprekidno poslovati čak i u slučaju kibernetičkih napada ili IT kvarova. Propisuje stroge zahtjeve za zaštitu podataka, upravljanje rizicima i nadzor pružatelja IT usluga. DORA ima veze s umjetnom inteligencijom jer tvrtke koje koriste AI u financijskom poslovanju moraju osigurati da ti sustavi budu sigurni, pouzdani i otporni na digitalne prijetnje. Drča DORA-u ne gleda čisto kao jedan pravni akt, već je ona dio jednog europskog zakonskog paketa u koje se ubrajaju i Akt o podacima, što je zakon Europske unije koji određuje tko smije koristiti podatke i na koji način, te Akt o umjetnoj inteligenciji koji postavlja pravila da umjetna inteligencija bude sigurna, poštena i pod kontrolom ljudi.
“Kad se pogleda cijeli taj paket on je silan, ali kada ga se čita, u biti je jako smislen. Mislim da organizacije trebaju biti svjesne tih rizika, ali nisu se bolje pozabavile s njima. Nijedan dio regulative nije napisan bez nekog pokrića. Možda je najteži trenutak te zahtjeve preslikati na svoje poslovanje i razumjeti kako živjeti s tim očekivanjima. Prvenstveno, trebamo se prilagoditi tim postulatima, a potom postati pametniji i stvarno ih prihvatiti. Treba u svakoj svojoj poslovnoj odluci živjeti u skladu s tim pravilima, a često se pokaže da ako ne idemo u skladu s pravilima, vrlo vjerojatno smo na tragu loše odluke”, rekao je Drča.
Gdje je povrat?
Direktor u Deloitteovom Odjelu poslovnog savjetovanja kazao je kako je jedan od najvećih izazova uvjeriti da će im umjetna inteligencija donijeti povrat ulaganja jer u razgovoru s klijentima svjedoči kako se često spominje da AI puno košta, troši puno energije i pravi primjeri primjene se za AI još traže.
“Prirodno je da se kompanije još teško odlučuju za veće iskorake u AI jer, ako cijeli svijet još nije nešto testirao i nije se uvjerio da će dobiti povrat ulaganja, teško ga je onda zagovarati na određenim procesima. Imali smo razgovore, analize i radionice, ali moramo razumjeti da biznis sve uglavnom gleda kroz računicu i pitanje imaju li povrat ulaganja ili ne”, pojasnio je Drča i dodao: “Sad je trenutak kad moramo postati pametniji kako definirati primjer primjene. Prema našim globalnim analizama najveći povrat i najveći iskorak u korištenju AI-ja upravo je u kibernetičkoj sigurnosti.”
Druga važna moguća primjena je praćenje prijevara na razini transakcija u sustavima za nadzor. To se odnosi na sve slučajeve koji prolaze kroz sustav i koji se mogu analizirati. Tradicionalno, za rješavanje takvih problema koristili su se veliki skupovi javno dostupnih podataka i ručno provjeravali potpisi kako bi se utvrdilo je li nešto sumnjivo. Danas moderna rješenja prate ponašanje korisnika, što je upravo područje u kojem se primjenjuje umjetna inteligencija. Za digitalne kompanije je posebno važno biti otporan na “deepfake”, lažne dokumente, lažne identitete i pokušaje skrivenog predstavljanja jer uvođenje (onboarding) prevaranta u aplikaciju može stvoriti velik problem. Upravo zato u tim procesima aktivno se koristi AI za detekciju i prevenciju prijevara.
“Gledamo primjere gdje baš može potencijalno biti velik problem, a gdje čovjek ne može toliko dobro prepoznati prijetnju. No, naravno, ljudski faktor ostaje kao korektiv”, rekao je Pranić.
Najzastupljeniji ‘phishing’
Panelisti su kazali kako su nedavno izašle najnovije analize hakerskih napada na području Europske unije za ovu godinu i najzastupljenija vrsta napada je “phishing”, a čak 80 posto te vrste napada napravljeno je korištenjem umjetne inteligencije.
“AI kao tehnologija za provođenje i orkestraciju napada je definitivno tu. Na mala vrata ulazi da AI sustavi počinju proširenje površine napada, što je također kritično i o tome moramo razmišljati. O ranjivosti umjetne inteligencije, pogotovo kad se uzme u obzir što sve ide s AI sustavima”, izjavio je Drča.
U jednom drugom nedavnom istraživanju kao velika ranjivost ispostavio se nedostatak resursa jer je očit nedostatak ljudi s kompetencijama za oblak i umjetnu inteligenciju. Panelisti se slažu kako su svi u stručnim krugovima svjesni rizika i prijetnji ove vrste, no ključno je ulagati u stručne ljude na tom polju. Blažević je naglasila važnost ulaganja u kibernetičku sigurnost i umjetnu inteligenciju, da kompanije to više ne smiju gledati kao trošak i voditi se samo povratom ulaganja, već je imperativ razmišljati dugoročno. Prema njezinom mišljenju, dužnost i obaveza je investicije u AI promatrati kao ulaganje u sigurnost i opstanak tvrtke. Blažević vjeruje kako će AI uskoro biti osnova da tvrtka može funkcionirati. Drča je pojasnio kako se među stručnjacima u sektoru vodi rasprava kako riješiti problem proširene površine napada, primjerice ako se netko infiltrira u startu neki AI sistem. Jasno je da ulaganje u ljude, tehnologiju i sigurnost više nije opcija, nego strateški temelj za otpornost i dugoročni uspjeh tvrtki u digitalnom dobu.
