Digitalna varnost ni IT tema. Je poslovna odgovornost.

Pravna in organizacijska vprašanja uporabe generativne umetne inteligence 

V prvem delu dogodka sta Eva Gostiša in Nejc Setnikar iz odvetniške pisarne Jadek & Pensa predstavila pravni okvir AI Acta, avtorskih pravic in varstva osebnih podatkov ter poudarila, da AI Act ne nadomešča obstoječe zakonodaje, ampak jo dopolnjuje. 

Uporaba AI orodja zato še ne pomeni tudi skladne uporabe podatkov. Podjetja pogosto ne vedo natančno, kateri podatki se vnašajo v modele, kam se shranjujejo, kdo je zanje odgovoren in ali se lahko kasneje pojavijo kot del generirane vsebine. 

Pri generativni umetni inteligenci se hitro odprejo vprašanja odgovornosti, lastništva vsebin in možnosti reproduciranja podatkov ali avtorsko zaščitenih del. Omenjen je bil primer GEMA proti OpenAI v Nemčiji, kjer poteka pravni spor glede uporabe avtorsko zaščitenih besedil pri treniranju modelov. 

In ravno tukaj se pokaže največji razkorak med pričakovanji podjetij in realnostjo tehnologije. Podjetja si želijo jasnih odgovorov glede uporabe podatkov, odgovornosti in lastništva vsebin, AI pa pogosto odgovori zgolj: »odvisno«. 

Razprava o umetni inteligenci se zato zelo hitro premakne iz področja regulative v precej bolj praktično vprašanje: koliko nadzora imajo podjetja sploh nad svojim digitalnim okoljem in ali imajo urejene osnovne procese, dostope ter varnostne prakse. 

Največje tveganje ni AI, ampak nepregledno digitalno okolje 

V drugem delu dogodka sem govoril predvsem o tem, kaj umetna inteligenca že danes pomeni za digitalno in informacijsko varnost podjetij. 

Pri tem se hitro pokaže zanimiv paradoks. Podjetja se ukvarjajo z AI strategijami, pravilniki in produktivnostjo, hkrati pa številna še vedno nimajo urejenih niti osnovnih varnostnih procesov. 

Največ težav namreč še vedno ne povzročajo napredni tehnični napadi, ampak slabe prakse, improvizacija in pomanjkanje pregleda nad lastnim digitalnim okoljem. 

V praksi to pomeni nepregledne dostope, deljenje gesel med zaposlenimi, infrastrukturo, ki nastaja po principu »samo da dela«, ter pomanjkljiv nadzor nad domenami, strežniki in ključnimi sistemi. Takšno okolje ni problematično samo z vidika varnosti, ampak tudi z vidika poslovne odgovornosti. Ko podjetje izgubi pregled nad dostopi, podatki in odgovornostmi, praviloma izgubi tudi možnost učinkovitega odziva ob incidentu. 

AI napadalcem omogoča hitrejše in bolj ciljane napade 

Umetna inteligenca večinoma ne ustvarja novih vrst napadov, ampak obstoječe napade poceni, avtomatizira in pospeši. Phishing sporočila niso več polna slovničnih napak in slabih prevodov. Generativni modeli omogočajo pripravo zelo prepričljive komunikacije v pravilni slovenščini, pogosto tudi v tonu konkretnega podjetja ali sodelavca. 

Podobno velja za zbiranje informacij o podjetjih. Iz spletnih strani podjetij, LinkedIna, zaposlitvenih oglasov, javno dostopnih objav in medijskih novic je danes mogoče zelo hitro pripraviti profil zaposlenih, organizacijske strukture, dobaviteljev ter tehnologij, ki jih podjetje uporablja. Kar je nekoč zahtevalo več dni raziskovanja, AI danes opravi v nekaj minutah. 

Pri tem je pomembno razumeti tudi širši kontekst digitalne varnosti: 

• daleč največji delež napadov se še vedno začne z e-pošto,  

• mala in srednja podjetja so bistveno pogostejša tarča napadov,  

• povprečen čas do odkritja vdora pa pogosto presega več mesecev. 
   
  (Vir: Verizon Data Breach Investigations Report 2025 ter IBM Cost of a Data Breach Report 2024.) 

Zato vprašanje ni več, ali podjetja uporabljajo AI. Večina ga že. Ključno vprašanje postaja predvsem, ali imajo podjetja dovolj urejene procese, da njegovo uporabo sploh lahko varno nadzorujejo. 

Digitalna varnost najpogosteje odpove pri osnovah 

Ko govorimo o digitalni varnosti, si veliko ljudi še vedno predstavlja predvsem tehnično zahtevne napade in kompleksne hekerske vdore. V praksi pa največ incidentov še vedno nastane zaradi osnovnih varnostnih pomanjkljivosti in slabih organizacijskih praks. 

Velik del napadov se še vedno začne z e-pošto. Ne zaradi napredne tehnologije, ampak zaradi enega napačnega klika, nepreverjene priponke ali prepričljivega sporočila, ki deluje legitimno. Prav zato postajajo zaščita elektronske pošte, večfaktorska avtentikacija in osnovna varnostna ozaveščenost zaposlenih minimalni standard. 

Pomemben problem ostajajo tudi dostopi. Podjetja pogosto dobro vedo, kako nekomu omogočiti dostop do sistema, precej manj pa razmišljajo o tem, kako in kdaj dostop pravilno ukiniti. Ob menjavi zaposlenih, agencij ali zunanjih izvajalcev tako v sistemih pogosto ostajajo aktivni računi, za katere nihče več ne ve, da obstajajo. 

Podobno velja za upravljanje domen, strežnikov in infrastrukture. Mnoga podjetja še vedno nimajo jasnega pregleda nad tem, kdo: 

• je registrant domene,  

• kdo upravlja DNS zapise in  

• kdo ima administratorske pravice nad ključnimi sistemi. 

Dokler vse deluje, to običajno ni problem. Težava nastane šele ob incidentu, menjavi izvajalca ali izgubi dostopa. 

Pri varnosti se zato največkrat ne pokaže problem tehnologije, ampak problem organizacije. 

Varnost ni tehnična funkcija, ampak organizacijska kultura 

Ena največjih napačnih predstav o digitalni varnosti je, da gre predvsem za tehnično področje, s katerim se ukvarja IT oddelek. V praksi pa se največ razlik med podjetji pokaže predvsem pri organizaciji, procesih in kulturi odgovornosti. 

Tehnologija sama po sebi namreč še ne zagotavlja varnosti. Tudi najboljši sistemi ne pomagajo veliko, če podjetje nima pregleda nad dostopi, če zaposleni uporabljajo ista gesla za več različnih storitev ali če se ključni procesi izvajajo brez jasnih pravil in odgovornosti. 

Podobno kot pri varnosti v gorah tudi pri digitalni varnosti ni dovolj samo dobra oprema. Pomembno je predvsem, kako podjetje razmišlja, kako sprejema odločitve in kako pripravljeno je na nepredvidljive situacije. 

Velik problem ostajajo tudi varnostne kopije. Številna podjetja sicer verjamejo, da imajo backup urejen, precej manj pa jih dejansko preverja, ali je podatke mogoče tudi uspešno obnoviti. Varnostna kopija, ki je podjetje nikoli ni preverilo ali testno obnovilo, pogosto odpove ravno takrat, ko jo podjetje najbolj potrebuje.  

Podobno velja za posodobitve in upravljanje ranljivosti. Napadalci danes pogosto ne iščejo novih lukenj v sistemih, ampak izkoriščajo stare in že dolgo znane ranljivosti, ki jih podjetja niso pravočasno odpravila. Redno posodabljanje sistemov zato ni več tehnična podrobnost, ampak osnovna digitalna higiena. 

Na koncu se skoraj vedno pokaže enak vzorec. Največ težav ne povzroča pomanjkanje tehnologije, ampak pomanjkanje preglednosti, odgovornosti in jasno definiranih procesov. 

In ravno zato digitalna varnost danes ni več samo IT tema. Postaja vprašanje poslovne odgovornosti celotne organizacije. 

Zaključek 

AI danes ni več samo tema inovacij, produktivnosti ali razvoja novih storitev. Vedno bolj postaja tema odgovornosti. 

Pravne. Organizacijske. Varnostne. 

Večina podjetij umetno inteligenco že uporablja, pogosto precej bolj, kot si mislijo sami. Zato to ni več vprašanje prihodnosti, ampak vprašanje odgovornega upravljanja podatkov, dostopov in poslovnih procesov. 

Največje tveganje danes ni, da podjetja AI ne bodo uporabljala. Največje tveganje je, da ga bodo uporabljala hitreje, kot ga razumejo, medtem ko bodo napadalci njegove možnosti zelo dobro znali izkoristiti. 

Tehnologija se pri tem ne bo upočasnila. Podjetja pa bodo morala bistveno hitreje vzpostaviti jasna pravila, odgovornosti in osnovno digitalno higieno, če bodo želela umetno inteligenco uporabljati varno, odgovorno in dolgoročno vzdržno. 

In ravno zato digitalna varnost danes ni več samo IT tema. Postaja del poslovnega upravljanja, organizacijske kulture in odgovornosti celotne organizacije.