Cyberbezpieczeństwo w erze AI – szanse i zagrożenia

Dbanie o cyberbezpieczeństwo staje się integralną częścią rozwoju sztucznej inteligencji, która jednocześnie odgrywa kluczową rolę we wspieraniu działań na rzecz ochrony systemów cyfrowych. Wydawałoby się, że jest to duet idealny, ale jedynie dzięki odpowiednio wdrożonym rozwiązaniom w zakresie bezpieczeństwa, systemy AI mogą działać w sposób odporny na cyberataki.

Szanse i zagrożenia

Sztuczna inteligencja (AI) zrewolucjonizowała wiele aspektów technologii, a jej zastosowanie w cyberbezpieczeństwie przynosi ogromne możliwości. AI ma potencjał, by zrewolucjonizować również sektor ochrony przestrzeni wirtualnej, jednak jej skuteczność zależeć będzie od tego, jak będzie wdrażana i rozwijana – w końcu z jednej strony AI wspiera obronę przed zagrożeniami, a z drugiej coraz częściej te zagrożenia generuje.

Dzięki wykorzystaniu AI, reakcje na incydenty mogą być zautomatyzowane, co minimalizuje czas potrzebny do odpowiedzi na zgłoszenie. Systemy zasilane AI mogą automatycznie blokować złośliwe adresy IP, czy natychmiastowo izolować zainfekowane urządzenia w sieci. Natomiast, dzięki uczeniu maszynowemu (ML), możliwa jest analiza ogromnych ilości danych w czasie rzeczywistym i mogą być identyfikowane anomalie w ruchu sieciowym, mogące wskazywać na ataki, próby włamań czy wycieki danych. Ponadto, AI pomaga ograniczyć czynnik błędu ludzkiego, który bywa odpowiedzialny za wycieki danych i naruszenia bezpieczeństwa, przeprowadzając rutynowe zadania, takie jak analizowanie logów, wykrywanie phishingu czy ocena poziomu ryzyka aplikacji. Dla przedsiębiorstw oznacza to realne korzyści – szybsze reagowanie, mniejsze koszty obsługi incydentów i lepszą ochronę reputacji.

Oczywiście, AI nie jest niezawodna i nie można na niej nadmiernie polegać. Błędy w algorytmach, niewłaściwie dobrane dane lub brak aktualizacji mogą prowadzić do fałszywych alarmów lub ignorowania realnych zagrożeń.

Jak wiadomo, sztuczna inteligencja bywa również wykorzystywana do działań przestępczych.. Wyjątkową „popularnością” wśród cyberprzestępców cieszy się generatywna AI (np. deepfake, voice clone), która umożliwia tworzenie fałszywych komunikatów czy tożsamości o niezwykle wysokim stopniu wiarygodności. Coraz częstsze są ataki wspierane przez AI używaną do analizy algorytmów zabezpieczeń i znajdowania ich słabości, manipulowania danymi w celu przejęcia kontroli nad samymi modelami, zatruwania danych, czy na potrzeby ataków polegających na wprowadzeniu do modelu złośliwych danych w celu spowodowania niezamierzonego działania systemu. Nie bez znaczenia jest także ryzyko wycieku danych treningowych w procesie uczenia modeli.

Ramy prawne zastosowania AI w cyberbezpieczeństwie

Co prawda prawo dopiero nadrabia tempo rozwoju technologii, jednak Unia Europejska zbudowała już solidny fundament regulacyjny, który ma na celu ochronę przed zagrożeniami cyfrowymi i zapewnienie zrównoważonego rozwoju technologii AI. Mowa o dyrektywie NIS2, AI Act, akcie o cyberodporności, a na gruncie polskim – o projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (o którym więcej można przeczytać tutaj) definiuje obowiązki podmiotów kluczowych i ważnych dla bezpieczeństwa systemów IT w Polsce, zapewniając koordynację działań na poziomie krajowym. Dyrektywa NIS2 wprowadza jednolite standardy cyberbezpieczeństwa w Unii Europejskiej, zwiększając ochronę sektorów ważnych i kluczowych, w tym dostawców usług krytycznych. AI Act ustanawia ramy prawne dla rozwoju i wdrażania systemów AI, kładąc nacisk na bezpieczeństwo, przejrzystość i odpowiedzialność technologiczną, a akt o cyberodporności koncentruje się na zapewnieniu bezpieczeństwa produktów cyfrowych i ich oprogramowania.

Dyrektywa NIS2[1]

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (więcej o NIS2 można znaleźć tutaj), nakłania Państwa członkowskie do wprowadzania regulacji prawych, zachęcających do korzystania z innowacyjnych technologii, w tym sztucznej inteligencji, których stosowanie mogłoby poprawić skuteczność wykrywania i zapobiegania cyberatakom.

W motywach dyrektywy wprost wskazano, że podmioty kluczowe i ważne powinny przyjąć szeroki wachlarz podstawowych praktyk dotyczących cyberhigieny, a w stosownych przypadkach, aby poprawić swoje zdolności oraz wzmocnić bezpieczeństwo sieci i systemów informatycznych, dążyć do integracji technologii poprawiających cyberbezpieczeństwo, takich jak systemy oparte na sztucznej inteligencji lub uczeniu maszynowym. Podkreślono jednak, że stosowanie innowacyjnych technologii, w tym sztucznej inteligencji, powinno być zgodne z unijnymi przepisami o ochronie danych osobowych (m.in. uwzględniać dokładność, minimalizację, uczciwość, przejrzystość i bezpieczeństwo danych).

AI Act[2]

Unijne rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji weszło w życie 1 sierpnia 2024 r., jednak będzie miało zastosowanie dopiero od 2 sierpnia 2026 r. (więcej o AI Act tutaj).

Aby zapewnić poziom cyberbezpieczeństwa odpowiedni do ryzyka, dostawcy systemów AI wysokiego ryzyka, na podstawie AI Act, powinni wdrożyć odpowiednie środki zabezpieczeń. Powinny one obejmować różnorodne mechanizmy kontroli bezpieczeństwa, które pozwolą na skuteczne zapobieganie zagrożeniom oraz reagowanie na potencjalne incydenty. W stosownych przypadkach należy również uwzględnić infrastrukturę technologii informacyjno-komunikacyjnych (ICT), na której opiera się działanie systemu. Dzięki temu możliwe jest pełniejsze podejście do ochrony zarówno samego systemu AI, jak i całej infrastruktury.

Akt o cyberodporności (Cyber ​​Resilience Act – CRA) [3]

Nowe rozporządzenie, które weszło w życie 10 grudnia 2024 r., a stosowane w całości będzie dopiero od dnia 11 grudnia 2027 r., wprowadza zharmonizowane wymogi dotyczące cyberbezpieczeństwa, które będą obowiązywać na wszystkich etapach wytwarzania produktów cyfrowych: od projektowania, poprzez opracowywanie, produkcję, aż po wprowadzanie ich na rynek. Celem tego aktu jest ujednolicenie przepisów w krajach członkowskich Unii Europejskiej, co ma na celu zwiększenie bezpieczeństwa w przestrzeni cyfrowej i wyeliminowanie niezgodności regulacyjnych pomiędzy państwami.

Regulacje te będą dotyczyć wszystkich produktów, które bezpośrednio lub pośrednio łączą się z innymi urządzeniami lub sieciami (z pewnymi wyjątkami), takich jak sprzęt elektroniczny i oprogramowanie. Jednym z kluczowych wymagań będzie obowiązek umieszczania oznakowania CE na produktach, aby potwierdzić, że spełniają one standardy nowego rozporządzenia w zakresie bezpieczeństwa cybernetycznego, zdrowia oraz ochrony środowiska.

Akt o cyberodporności ma również na celu wsparcie konsumentów, umożliwiając im dokonywanie świadomych wyborów podczas zakupu i korzystania z produktów zawierających elementy cyfrowe. Dzięki nowym regulacjom użytkownicy będą mogli lepiej ocenić poziom cyberbezpieczeństwa oferowany przez dany produkt.

Jak odpowiednio przygotować się na wdrożenie systemów opartych na sztucznej inteligencji?

Aby maksymalnie wykorzystać możliwości AI, przedsiębiorstwa muszą stosować podejście wielowarstwowe, jednocześnie będąc świadomymi zarówno możliwości, jakie daje AI, jak i zagrożeń, które niesie. Z perspektywy bezpieczeństwa prawnego, przy wdrażaniu systemów opartych na sztucznej inteligencji kluczowe jest obecnie:

1. Inwestowanie w badania i rozwój systemów, zgodnie z obowiązującym prawem – regularna aktualizacja modeli AI i testowanie ich podatności na ataki, jednocześnie mając na uwadze regulacje i wymogi prawne w tym zakresie.
2. Przeprowadzanie regularnych audytów – regularne przeglądy pozwalają ocenić skuteczność systemów, zgodność z założeniami operacyjnymi oraz przestrzeganie norm prawnych.
3. Łączenie AI z tradycyjnymi metodami ochrony – AI powinna wspierać, a nie zastępować inne strategie bezpieczeństwa.
4. Uwzględnianie AI w politykach bezpieczeństwa i RODO – polityki powinny obejmować jasno określone zasady dotyczące gromadzenia, przetwarzania, przechowywania i usuwania danych, zgodnie z obowiązującymi przepisami.
5. Wdrażanie zasad „AI governance” – dokumentowanie sposobu działania systemów, ich danych treningowych i decyzji.
6. Zapewnienie, że dostawcy narzędzi AI spełniają wymagania w zakresie cyberbezpieczeństwa.
7. Określenie odpowiedzialności umownej w przypadku incydentów z udziałem systemów AI.
8. Szkolenie personelu – ludzie nadal odgrywają kluczową rolę w interpretacji wyników generowanych przez AI i reagowaniu na nietypowe sytuacje.

Szansa na nową kulturę bezpieczeństwa

AI może być bardzo skutecznym narzędziem dla zapewniania bezpieczeństwa organizacji, o ile będzie wdrażana i stosowana w odpowiedzialny i transparentny sposób, w ramach obowiązujących regulacji prawnych.

Mimo, że niektóre regulacje prawne będą stosowane dopiero od 2026, czy nawet 2027 roku, warto już teraz rozważyć wdrożenie odpowiednich systemów i dostosowanie działalności przedsiębiorstw do tych przepisów. Dla firm oznacza to konieczność inwestowania nie tylko w technologie, ale i w świadomość prawną, etyczną i organizacyjną.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)Tekst mający znaczenie dla EOG (Dz. U. UE. L. z 2024 r. poz. 1689).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz. U. UE. L. z 2024 r. poz. 2847).