AI neće čekati da tvrtke dovedu svoje politike u red

Pravna i organizacijska pitanja uporabe generativne umjetne inteligencije 

U prvom dijelu događaja Eva Gostiša i Nejc Setnikar iz odvjetničkog ureda Jadek & Pensa predstavili su pravni okvir AI Acta, autorskih prava i zaštite osobnih podataka te naglasili da AI Act ne zamjenjuje postojeće zakonodavstvo, nego ga nadopunjuje. 

Korištenje AI alata stoga samo po sebi ne znači i usklađenu uporabu podataka. Poduzeća često ne znaju točno koji se podaci unose u modele, gdje se pohranjuju, tko je za njih odgovoran i mogu li se kasnije pojaviti kao dio generiranog sadržaja. 

Kod generativne umjetne inteligencije brzo se otvaraju pitanja odgovornosti, vlasništva nad sadržajem te mogućnosti reproduciranja podataka ili autorski zaštićenih djela. Spomenut je bio primjer GEMA protiv OpenAI u Njemačkoj, gdje je u tijeku pravni spor oko uporabe autorski zaštićenih tekstova pri treniranju modelov. 

I upravo se ovdje pokazuje najveći raskorak između očekivanja poduzeća i realnosti tehnologije. Poduzeća žele jasne odgovore o uporabi podataka, odgovornosti i vlasništvu nad sadržajem, a AI često odgovori samo: »ovisi«. 

Rasprava o umjetnoj inteligenciji zato se vrlo brzo premješta s područja regulative na znatno praktičnije pitanje: koliko nadzora poduzeća uopće imaju nad svojim digitalnim okruženjem i imaju li uređene osnovne procese, pristupe te sigurnosne prakse. 

Najveći rizik nije AI, nego nepregledno digitalno okruženje 

U drugom dijelu događaja govorio sem ponajprije o tome što umjetna inteligencija već danas znači za digitalnu i informacijsku sigurnost poduzeća. 

Pri tome se brzo pokaže zanimljiv paradoks. Poduzeća se bave AI strategijama, pravilnicima i produktivnošću, a istodobno mnoga i dalje nemaju uređene ni osnovne sigurnosne procese. 

Najviše problema i dalje ne uzrokuju napredni tehnički napadi, nego loše prakse, improvizacija i manjak pregleda nad vlastitim digitalnim okruženjem. 

U praksi to znači nepregledne pristupe, dijeljenje lozinki među zaposlenicima, infrastrukturu koja nastaje po principu »samo da radi« te nedostatan nadzor nad domenama, poslužiteljima i ključnim sustavima. Takvo okruženje nije problematično samo s aspekta sigurnosti, nego i s aspekta poslovne odgovornosti. Kada poduzeće izgubi pregled nad pristupima, podacima i odgovornostima, u pravilu gubi i mogućnost učinkovitog odgovora na incident. 

AI napadačima omogućuje brže i ciljanije napade 

Umjetna inteligencija uglavnom ne stvara nove vrste napada, nego postojeće napade pojeftinjuje, automatizira i ubrzava. Phishing poruke više nisu pune gramatičkih pogrešaka i loših prijevoda. Generativni modeli omogućuju pripremu vrlo uvjerljive komunikacije na pravilnom slovenskom jeziku, često i u tonu konkretnog poduzeća ili kolege. 

Slično vrijedi i za prikupljanje informacija o poduzećima. Iz web stranica poduzeća, LinkedIna, oglasa za posao, javno dostupnih objava i medijskih vijesti danas je moguće vrlo brzo pripremiti profil zaposlenika, organizacijske strukture, dobavljača te tehnologija koje poduzeće koristi. Ono što je nekada zahtijevalo više dana istraživanja, AI danas obavi u nekoliko minuta. 

Pritom je važno razumjeti i širi kontekst digitalne sigurnosti: 

• daleko najveći udio napada i dalje počinje e-poštom,  

• mala i srednja poduzeća znatno su češća meta napada,  

• prosječno vrijeme do otkrivanja proboja često premašuje više mjeseci. 
   
  (Izvor: Verizon Data Breach Investigations Report 2025 i IBM Cost of a Data Breach Report 2024.) 

Stoga pitanje više nije koriste li poduzeća AI. Većina ga već koristi. Ključno pitanje postaje prije svega imaju li poduzeća dovoljno uređene procese da njegovu upotrebu uopće mogu sigurno nadzirati. 

Digitalna sigurnost najčešće zakaže na osnovama 

Kada govorimo o digitalnoj sigurnosti, mnogi i dalje zamišljaju ponajprije tehnički zahtjevne napade i kompleksne hakerske proboje. U praksi, međutim, većina incidenata i dalje nastaje zbog osnovnih sigurnosnih nedostataka i loših organizacijskih praksi. 

Velik dio napada i dalje počinje e-poštom. Ne zbog napredne tehnologije, nego zbog jednog pogrešnog klika, neprovjerenog privitka ili uvjerljive poruke koja djeluje legitimno. Upravo zato zaštita elektroničke pošte, višefaktorska autentikacija i osnovna sigurnosna osviještenost zaposlenika postaju minimalni standard. 

Značajan problem ostaju i pristupi. Poduzeća često dobro znaju kako nekome omogućiti pristup sustavu, ali znatno manje razmišljaju o tome kako i kada taj pristup ispravno ukinuti. Pri promjeni zaposlenika, agencija ili vanjskih pružatelja usluga tako u sustavima često ostaju aktivni računi za koje više nitko ne zna da postoje. 

Slično vrijedi za upravljanje domenama, poslužiteljima i infrastrukturom. Mnoga poduzeća i dalje nemaju jasan pregled nad time tko: 

• tko je registrant domene,  

• tko upravlja DNS zapisima i  

• tko ima administratorska prava nad ključnim sustavima. 

Dok god sve radi, to obično nije problem. Problem nastaje tek pri incidentu, promjeni pružatelja usluga ili gubitku pristupa. 

Zato se kod sigurnosti najčešće ne pokazuje problem tehnologije, nego problem organizacije. 

Sigurnost nije tehnička funkcija, nego organizacijska kultura 

Jedna od najvećih zabluda o digitalnoj sigurnosti jest da je riječ ponajprije o tehničkom području kojim se bavi IT odjel. U praksi se, međutim, najviše razlika među poduzećima vidi upravo u organizaciji, procesima i kulturi odgovornosti. 

Tehnologija sama po sebi ne jamči sigurnost. Ni najbolji sustavi ne pomažu mnogo ako poduzeće nema pregled nad pristupima, ako zaposlenici koriste iste lozinke za više različitih usluga ili ako se ključni procesi provode bez jasnih pravila i odgovornosti. 

Slično kao kod sigurnosti u planinama, ni kod digitalne sigurnosti nije dovoljna samo dobra oprema. Važno je prije svega kako poduzeće razmišlja, kako donosi odluke i koliko je pripremljeno na nepredvidive situacije. 

Velik problem ostaju i sigurnosne kopije. Mnoga poduzeća vjeruju da im je backup uređen, no znatno ih manje doista provjerava može li se podatke i uspješno obnoviti. Sigurnosna kopija koju poduzeće nikada nije provjerilo ili testno obnovilo često zakaže upravo tada kada je poduzeću najpotrebnija.  

Slično vrijedi za ažuriranja i upravljanje ranjivostima. Napadači danas često ne traže nove propuste u sustavima, nego iskorištavaju stare i odavno poznate ranjivosti koje poduzeća nisu na vrijeme otklonila. Redovito ažuriranje sustava stoga više nije tehnička pojedinost, već osnovna digitalna higijena. 

Na kraju se gotovo uvijek pokaže isti obrazac. Najviše problema ne uzrokuje manjak tehnologije, nego manjak preglednosti, odgovornosti i jasno definiranih procesa. 

I upravo zato digitalna sigurnost danas više nije samo IT tema. Postaje pitanje poslovne odgovornosti cijele organizacije. 

Zaključak 

AI danas više nije samo tema inovacija, produktivnosti ili razvoja novih usluga. Sve više postaje tema odgovornosti. 

Pravne. Organizacijske. Sigurnosne. 

Većina poduzeća umjetnu inteligenciju već koristi, često znatno više nego što sami misle. Zato to više nije pitanje budućnosti, nego pitanje odgovornog upravljanja podacima, pristupima i poslovnim procesima. 

Najveći rizik danas nije da poduzeća neće koristiti AI. Najveći je rizik da će ga koristiti brže nego što ga razumiju, dok će napadači njegove mogućnosti znati vrlo dobro iskoristiti. 

Tehnologija se pri tome neće usporiti. Poduzeća će morati znatno brže uspostaviti jasna pravila, odgovornosti i osnovnu digitalnu higijenu ako žele umjetnu inteligenciju koristiti sigurno, odgovorno i dugoročno održivo. 

I upravo zato digitalna sigurnost danas više nije samo IT tema. Postaje dio poslovnog upravljanja, organizacijske kulture i odgovornosti cijele organizacije.