Varnost AI v treh korakih – 1: odkritje

Domov » Blogi » Varnost AI v treh korakih – 1: odkritje

Zaradi radovednosti zaposlenih se uporaba umetne inteligence v organizacijah širi hitreje, kot ji večina uspe slediti. Ko ta uporaba poteka neopaženo, se pojavi nov izziv: Kako zaščititi nekaj, česar ne vidimo? Za obvladovanje tveganj, povezanih z umetno inteligenco, potrebujete pregled nad tem, kako se ta tehnologija dejansko uporablja.

Zaščita umetne inteligence se začne s tem, da vemo, kje se uporablja

Umetna inteligenca se je že uveljavila v večini organizacij. Ne prek velikih strateških odločitev ali uradnih programov, temveč prek pragmatične, vsakodnevne rabe.

Zaposleni uporabljajo javne storitve umetne inteligence za pisanje, analizo in strukturiranje informacij. Razvijalci uporabljajo pomočnike za pisanje kode. Analitiki kličejo modele prek API-jev v oblaku. Veliko tega poteka vzporedno z uveljavljenimi IT- in varnostnimi procesi.

Tu se pojavi “senčna umetna inteligenca” oz. “shadow AI”– ne kot kršitev pravil, ampak kot naravna posledica tega, da je tehnologija postala široko dostopna.

V tej seriji člankov opisujemo tri korake, ki se med seboj dopolnjujejo: odkrivanje, zaznavanje in zaščito.

  • Odkrivanje se osredotoča na to, kako se umetna inteligenca dejansko uporablja v organizaciji.
    Vključuje podatke o tem, katere storitve se uporabljajo, kje potekajo interakcije in za kakšne vrste informacij gre. Brez te osnove je naslednji korak nemogoč.
  • Zaznava ima fokus na prepoznavanju in validaciji rizične uporabe.
    Gre za razlikovanje med sprejemljivo rabo in odstopanji, ki zahtevajo ukrepanje.
  • Zaščita se osredotoča na vpeljavo ciljno usmerjene zaščitne mehanizme – osnovane na praksi in dejanskih tveganjih, ne zgolj na domnevah.
    To je zaščitni mehanizem.

Da bi lahko utemeljili uporabo umetne inteligence in uvedli učinkovite zaščitne mehanizme, morate najprej pridobiti jasno sliko o tem, kako se umetna inteligenca dejansko uporablja. Ta članek se osredotoča na zagotavljanje te preglednosti – ki je podlaga tako za oceno tveganj kot tudi za prihodnje zaščitne ukrepe.

Vidnost neposredno v brskalniku uporabnika

Velik del današnje uporabe umetne inteligence poteka tam, kjer se odvija vsakdanje delo: v brskalniku. Do storitev generativne umetne inteligence in funkcij umetne inteligence v orodjih v oblaku dostopamo neposredno prek spleta, pogosto brez namestitve ali lokalnega sledenja.

Zagotavljanje preglednosti na tem področju pomeni razumevanje uporabe umetne inteligence v realnem času – v trenutku, ko pride do interakcije. To omogoča vpogled v to:

  • kateri uporabnik komunicira s katero storitvijo umetne inteligence,
  • kakšna dejavnost se izvaja, in
  • v kakšnem kontekstu poteka uporaba.

Ko je na tej ravni zagotovljena preglednost, prometa ni treba šifrirati in ga nato za analizo ponovno sestavljati. Vpogled se pridobi pred šifriranjem, kar v primerjavi s povsem omrežno analizo zagotavlja večjo natančnost, manj težav v zvezi z zasebnostjo in manjši vpliv na uporabniško izkušnjo.

To je zelo učinkovit način za razumevanje, kako ljudje uporabljajo umetno inteligenco, zlasti pri javnih spletnih storitvah in orodjih SaaS.

Novica

Certifikat ISO/IEC 27001:2022 kot potrditev naše zavezanosti informacijski varnosti

10. Mar 2026
Z veseljem sporočamo, da smo po uspešnih ISO presojah tudi za certifikacijski cikel od leta 2026 do 2029 pridobili certifikat ISO/IEC 27001:2022, ki ga je […]
Preberi več

Kaj storiti, če preglednost brskalnika ni na voljo

Preglednost brskalnika ni vedno mogoča ali zadostna, umetna inteligenca pa se uporablja tudi v okoliščinah, kjer sploh ni interakcije prek nadzorovanega brskalnika. To lahko vključuje:

  • klicanje umetne inteligence prek API-jev v razvojnih okoljih,
  • avtomatizirane delovne tokove in komunikacijo med sistemi, in
  • agente umetne inteligence, ki izvajajo celotne procese brez človeškega “vmesnika”.

Kadar preglednosti ni mogoče ustvariti prek brskalnika, jo je treba vzpostaviti prek širših tehničnih mehanizmov, ki lahko opazujejo promet ne glede na to, od kod izvira. To vključuje:

  • prepoznavanje vzorcev prometa, povezanih z umetno inteligenco, prek DNS in razvrščanja aplikacij,
  • nadzor in analizo prometa prek varnih spletnih vrat (SWG), in
  • selektivno dešifriranje šifriranega prometa, kadar je to potrebno za razumevanje vsebine, pozivov ali API-klicev.

V tem primeru dešifriranje ni uporabljeno kot orodje za pregledovanje vsega prometa, ampak kot način razumevanja specifičnih interakcij, kjer bi sicer manjkal kontekst. Gre za širšo in bolj splošno obliko preglednosti, ki pa postane bistvena, kadar uporabe AI ni mogoče neposredno spremljati v brskalniku.

Ko agenti umetne inteligence delujejo samostojno

Preglednost mora zajemati tudi primere, v katerih AI-klicev ne sprožajo človeški uporabniki, temveč sistemi delujejo samostojno. To lahko vključuje:

• AI-agente, ki avtomatizirajo procese odločanja,

• stroje in storitve, ki komunicirajo z zunanjimi modeli, in

• procese v ozadju, ki sprožajo AI-obdelavo.

V tem primeru morajo mehanizmi, ki zagotavljajo preglednost, biti sposobni slediti komunikaciji ne glede na identiteto, lokacijo ali transportni sloj. To pomeni, da morajo biti varnostne funkcije prisotne tako v bližini mesta, kjer uporabnik deluje, kot tudi centralno v omrežju, kjer sistemi komunicirajo.

Jure Planinšek Vodja skladnosti in pravne službe
Blog

Kaj mora menedžer vedeti o kibernetski varnosti

Razdalja med slabim vodjo in hekerskim incidentom je krajša, kot si misli večina menedžerjev. Kmalu bo leto dni, kar jim odgovornost za lastno organizacijo nalaga […]
Preberi več

Od vpogleda do opolnomočene odločitve

Zagotavljanje preglednosti nad uporabo umetne inteligence ni rešitev za en sam izziv. Je predpogoj in temelj za vse, kar sledi. Ko organizacija razume, kako se umetna inteligenca uporablja, se razprava preusmeri s predpostavk na dejstva. To vam omogoča:

  • prepoznati dejanska tveganja,
  • ugotoviti, kateri primeri uporabe zahtevajo upravljanje,
  • razumeti, katere vrste podatkov so izpostavljene, in
  • določiti, kateri varnostni ukrepi morajo imeti prednost.

Da bi ta preglednost ostala koristna dolgoročno, mora biti tudi sledljiva. Z beleženjem interakcij, povezanih z umetno inteligenco, organizacije pridobijo preglednost, nadzor in sledljivost – tako za neprekinjeno analizo kot za odzivanje na incidente ali naknadno pregledovanje.

Brez jasne slike realnosti postane obvladovanje tveganj bodisi površno ali, v najslabšem primeru, povsem neučinkovito. Šele ko obstaja preglednost – tako v danem trenutku kot skozi čas – lahko organizacija preide k smiselnemu ocenjevanju tveganj in nato k izvajanju ciljnih zaščitnih ukrepov.

Ko je ta temelj vzpostavljen, postane naslednje vprašanje neizogibno: Kdaj se legitimna uporaba umetne inteligence spremeni v dejansko tveganje?

Tukaj se začne naslednji korak – Zaznava.

Preberite 2. korak – Zaznava