Rubrika: Blog

  • AI v cybersec: od historie po praktické využití – zápisky ze CyberEdu NIS2 Academy

    AI v cybersec: od historie po praktické využití – zápisky ze CyberEdu NIS2 Academy

    Závěr CyberEdu NIS2 Academy se nesl ve znamení mini konference s mnoha zajímavými přednáškami. Postupně Vám zde prostřednictvím stručných výpisků přiblížíme jejich obsah.

    První přednáška se týkala umělé inteligence a jejího reálného využití v kybernetické bezpečnosti.

    Příspěvěk Vitkora Tyúkose a Zbyňka Vallo byla rozdělena do dvou základních celků: 

    1. Regulační rámec, kterým Evropská unie reguluje použití systémů AI – tzv. AI Act
    1. Praktické využití AI systémů v kyberbezpečnosti

    Nejprve se ale krátce koukněme na historii vývoje umělé inteligence. AI zažívá velký boom a trochu demystifikovat některé mýty kolem ní se může hodit. 

    Historie umělé inteligence 

    V posledních letech se o AI hodně mluví – různí chatboti jsou momentálně velmi populární. Mnoho lidí si ale neuvědomuje, že pojem AI není vůbec nic nového

    Ve skutečnosti byl poprvé zaveden už v roce 1956, tedy téměř před 70 lety. A ani chatboti nejsou novinkou – první chatbot, i když samozřejmě neporovnatelný s dnešními modely, vznikl už v roce 1966

    Matematika a technologie, která pohání umělou inteligenci, je tedy s námi už dlouhá desetiletí. Jak dlouho myslíte, že trvalo, než program porazil nejlepšího šachového hráče světa? Stalo se tak v roce 1996, kdy šachový šampion Garry Kasparov prohrál proti AI modelu. 

    Možná si říkáte, že šach není tak zajímavý, co něco pokročilejšího. Podívejme se tedy na pokročilejší technologie, jako je rozpoznávání tváří. Efektivně jsme ho dokázali vyvinout až v roce 2014

    Další důležitý milník přišel v roce 2017, kdy Google publikoval architekturu transformerů. Tato technologie stojí za dnešními modely, jako je například GPT, a zrychlila vývoj AI do dnešní podoby. 

    Evropská unie si uvědomila, že vývoj AI je velmi rychlý a že je potřeba ho nějakým způsobem regulovat.  

    AI Act a regulace AI v EU 

    Evropská unie vytvořila regulační rámec, který řeší kyberbezpečnost a rizika spojená s AI. 

    Legislativní akty se dělí na dvě hlavní skupiny: 

    1. Organizační regulace – např. NIS 2 (zaměřená na organizace) nebo DORA (zaměřená na finanční sektor). 
    1. Regulace produktů a služeb – například AI Act, který reguluje umělou inteligenci v EU. 

    Většina z nás souhlasí, že je potřeba rozvoj AI nějakým způsobem regulovat, protože AI zažívá masivní boom a její využití se rozšiřuje. 

    AI se začíná dostávat do oblastí, které mohou být eticky problematické. Například čínská AI sledující zaměstnance, která automaticky odečítá hodiny, když zaměstnanec dělá něco jiného než práci. Myslíte, že tohle by mělo být regulováno? Asi ano. 

    Evropská unie určila čtyři klíčové oblasti regulace AI: 

    • Etika 
    • Diskriminace 
    • Zdraví 
    • Bezpečnost 

    AI Act zavádí technologicky agnostickou definici AI a stanovuje pravidla pro vývoj, uvedení na trh a používání AI systémů

    Kategorizace AI systémů podle rizika: 

    1. Zakázané AI systémy – např. AI pro detekci emocí na pracovišti. 
    1. Vysoce rizikové systémy – např. AI pro přijímací řízení na školy. 
    1. Systémy s povinností transparentnosti – např. AI generující deepfakey. 
    1. Minimální riziko – např. AI pro detekci spamu. 

    Na koho AI Act dopadá? 

    • Na všechny provozovatele AI v EU i mimo EU, pokud jejich systémy ovlivňují evropské uživatele. 
    • Na všechny entity v distribučním řetězci – dovozce, poskytovatele, distributory. 

    A jedná se o nařízení, tudíž není potřeba transpozice do českého práva.

    Životní cyklus řízení AI v organizaci 

    1. Definovat – Určet, co je umělá inteligence a jak ji organizace používá. 
    1. Zmapovat – Proveďte inventarizaci AI systémů používaných ve vaší organizaci. 
    1. Zhodnotit – Kategorizujte AI rizika podle dopadu a pravděpodobnosti. 
    1. Vyvinout – Nastavte zásady, postupy, standardy a směrnice pro řízení AI. 
    1. Ustanovit – Určete role a odpovědnosti pro správu AI ve firmě. 
    1. Rozšířit – Zahrňte řízení rizik třetích stran, kybernetických hrozeb a ochranu osobních údajů. 
    1. Implementovat – Zavádějte kontrolní mechanismy napříč životním cyklem AI. 
    1. Monitorovat – Průběžně sledujte fungování AI a aktualizujte pravidla. 

    AI a kyberbezpečnost 

    Hrozby spojené s AI: 

    • Deepfake podvody – např. generální ředitel žádající účetní o převod peněz. 
    • Únik citlivých dat – např. 12 000 API klíčů nalezených v trénovacích datech. 
    • Lidský faktor – většina úniků dat je způsobena zaměstnanci. 

    A tři čísla, která mluví za vše:

    40 % úniků dat souvisejích s AI bude v roce 2027 způsobeno zneužíváním generativní umělé inteligence 12 000 API klíčů a hesel bylo nalezeno ve veřejných trénovacích datech pro LLM 80 % vývojářů obchází bezpečnostní politiky řídící využívání AI

    Co s tím? 

    Například:

    • Školení zaměstnanců o kyberbezpečnosti a AI. 
    • Používání bezpečnostních nástrojů jako Microsoft Defender for AI. 
    • Stanovení interních pravidel pro používání AI. 

    AI v praxi: Ochrana AI systémů 

    AI systémy mohou být nejen užitečné, ale také zranitelné vůči útokům. Například modely zpracovávající citlivá data mohou být cílem útočníků. 

    Příklady zneužití AI zahrnují: 

    • Jailbreak útoky na AI modely. 
    • Podvržené vstupy, které mění chování AI. 
    • Phishing založený na AI generovaném obsahu. (A krásný příklad jak je dnes jednoduché udělat falešnou hlasovou zprávu.)

    Pro ochranu AI systémů je nutné zavést: 

    • Monitorování modelů na podezřelé aktivity. 
    • Šifrování trénovacích dat
    • Pravidelné aktualizace bezpečnostních politik
  • Tři největší mýty kolem NIS2

    Tři největší mýty kolem NIS2

    NIS2 se vlnách je v médiích často skloňováno, obzvlášť když se blíží projednávání zákona o kybernetické bezpečnosti. Co ale NIS2 je? Jak připravit? Jaké povinnosti plynou podnikatelům z NIS2? Pojďme se podívat na tři nejčastější mýty, kterým manažeři stále věří a které jsou často zneužívány v marketingové komunikaci. Nezapomene ani na praktické tipy, jak zachovat klidnou hlavu.

    Mýtus 1: NIS2 klade požadavky přímo na společnosti

    NIS2 je směrnice EU a klade požadavky na členské státy, aby ji implementovaly do své legislativy. Na společnosti se vztahuje až národní zákon o kybernetické bezpečnosti, který z NIS2 vychází.

    Může být tedy NIS2 českým podnikatelům ukradená? Ano i ne.

    • Ano – NIS2 na české společnosti přímo nedopadá. Žádná „zlá EU“ nepřijde na kontrolu do firmy a nerozdá pokuty.
    • Ne – NIS2 dává podnikům indicie, co je čeká v budoucnosti, až bude směrnice do českého práva převedena.

    A ruku na srdce: Myslíte, že hackeři budou čekat, až bude platit nějaký zákon, vy budete mít čas se zákonu přizpůsobit, a teprve potom na vás zaútočí? Asi ne, že?

    V kybernetické bezpečnosti je klíčem prevence, nikoli reakce.

    Mýtus 2: NIS2 je jen bublina jako GDPR

    Řada lidí má pocit, že NIS2 je jen další regulací, která se ve skutečnosti nebude vymáhat a nebude mít žádný reálný dopad. To je však omyl. Připravovaný český zákon o kybernetické bezpečnosti, který implementuje NIS2, obsahuje konkrétní povinnosti pro statutární orgány a sankce za jejich neplnění. Oproti GDPR je legislativa mnohem přísnější a lépe vymahatelná než v případě GDPR.

    Mýtus 3: Existuje „krabičkové“ řešení, které pokryje požadavky NIS2/kyberzákona

    Bohužel. Nic takového neexistuje a existovat ani nemůže. Implementace vyžaduje komplexní přístup, který zahrnuje technologická řešení, procesy a lidské zdroje.

    Představte si svůj byznys jako poklad, který chráníte. A to včetně nástrojů, které k tomu využíváte. Myslíte, že dvě firmy budou mít zcela totožné poklady a nástroje? Těžko, že? Někdo na ochranu používá vodní příkop, někdo nedá dopustit na elektrický plot. A firmě s elektrickým plotem nové vodovodní potrubí moc nepomůže… Možná vyřeší občasný problém s přívodem pitné vody do kanceláří, což je rozhodně fajn, ale je to to klíčové? Nejsou tady důležitější naftové generátory pro případ, že vypadne (bude vypadnut) proud?

    Praktické tipy

    1. Nepanikařte. Nádech, výdech, jedeme dál.
    2. Zjistěte, zda a jak se vás bude nový zákon dotýkat.
      • Tip: při procházení vyhlášky se nezapomeňte zaměřit i na vedlejší činnosti. Fotovoltaika nebo bioplynová stanice jsou častí podezřelí, jak se můžete dostat pod regulaci, i když vyrábíte háčkované klobouky.
      • Tip 2: dejte si pozor i na propojení s jinými organizacemi.
    3. Proveďte GAP analýzu, abyste si udělali jasno, které požadavky zákona již plníte a kde máte prostor.
    4. Identifikujte správně aktiva, hrozby a zranitelnosti a proveďte analýzu rizik.
    5. Vypracujte plán implementace opatření.
    6. Vzdělávejte celou firmu počínaje managementem a konče uklízečkami.
    7. Externí pomoc může celý proces urychlit. Vyberte si spolehlivé konzultanty a dejte si pozor na „krabičková řešení“.

    Vyplatí se počkat na finální znění zákona?

    Ne.

    Tak jednoduché to je. Finální znění zákona nezmění vaše rizika, ani nesníží pravděpodobnost phishingu na vaši účetní. Čím dříve začnete, tím lépe pro vás.

    Kybernetické bezpečnost není jednorázový projekt, ale průběžný proces.

    MoyaKybeon – pomůže vám s řízením rizik, evidencí incidentů a dalšími procesy, které jsou klíčové pro splnění požadavků Zákona o kybernetické bezpečnosti, DORA a ISO 27 000.