Ko je podjetje Anthropic v začetku aprila objavilo, da lahko njihov novi model umetne inteligence Claude Mythos samostojno najde varnostne ranljivosti v operacijskih sistemih in priljubljenih spletnih brskalnikih, je podjetje hkrati sprejelo še eno odločitev: model ne bo javno dostopen.
V istem mesecu sta bila kompromitirana AI startup Mercor, ocenjen na 10 milijard dolarjev, in Vercel, ena največjih platform v oblaku za razvoj aplikacij. V obeh primerih vstopna točka niso bila sofisticirana hekerska orodja, temveč vsakodnevna programska oprema, ki jo uporabljajo zaposleni.
Umetna inteligenca je postala nova realnost kibernetske varnosti
Napadi ne zahtevajo več velikih ekip, mesecev priprav in vrhunskih strokovnjakov. Umetna inteligenca pospešuje odkrivanje ranljivosti, avtomatizira ribarjenje podatkov in manjšim skupinam omogoča izvajanje napadov, ki so bili doslej skoraj nemogoči.
Podjetja v regiji Adria uporabljajo ista AI-orodja, iste knjižnice odprte kode in iste storitve v oblaku kot podjetja v Silicijevi dolini. Vendar večina regionalnih podjetij še nima osnovnih zaščitnih mehanizmov niti pokritih osnovnih postavk.
"Večina organizacij ni pripravljenih niti na napade brez pomoči umetne inteligence, kar je razvidno iz števila javno objavljenih incidentov. Ti objavljeni pa so le majhen del skupnega števila incidentov. Napadalci, ki ciljajo na posamezno žrtev, se prilagodijo njeni obrambi in ostanejo v sistemu več mesecev, preden jih kdo sploh opazi. Gre za tako imenovane napredne vztrajne grožnje, ki večinoma z lahkoto najdejo in kompromitirajo zahodne trge," pojasnjuje Hrvoje Englman, CISO podjetja Span.
Umetna inteligenca bo po njegovih besedah že tako slabo stanje le še poslabšala, saj bo skrajšala čas in znižala ovire, napadalcem omogočila skaliranje oziroma hkratne napade na več tarč ter zmanjšala raven strokovnega znanja, potrebnega za resen napad. "Znanje, ki je bilo danes redko in drago, je mogoče poceni kupiti ali preprosto pridobiti prek umetne inteligence," opozarja.
Bloomberg Adria
Prinašamo seznam ključnih vprašanj, ki jih mora vsak direktor zastaviti svoji IT-ekipi, ter nasvete, ki jih morate v svoje poslovanje začeti uvajati že danes.
AI pospešuje tempo napadov
Jasno je, da umetna inteligenca ni ustvarila kibernetskega kriminala, vendar z njeno uporabo kibernetski kriminal postaja hitrejši, močnejši in donosnejši za hekerje, ki se z njim ukvarjajo.
Napadalci lahko danes samodejno skenirajo internetno infrastrukturo, analizirajo kodo, ustvarjajo različne skripte in prilagajajo phishing sporočila posameznim zaposlenim, uporabnikom ali tistim, ki jih umetna inteligenca prepozna kot potencialno šibko točko.
Kar je prej zahtevalo ekipo strokovnjakov, lahko zdaj naredi nekaj ljudi s pomočjo javno dostopnih AI-modelov. "AI skrajšuje čas od odkritja ranljivosti do njenega izkoriščanja," pravijo na Uradu Vlade Republike Slovenije za informacijsko varnost, katerega direktor je Uroš Svete.
V Sloveniji so leta 2025 zabeležili prvi primer virusa z integriranim modelom LLM. Za pregled sistema in začetek širjenja napada je potreboval manj kot 45 minut. Pred nekaj leti so podjetja lahko z nameščanjem varnostnih popravkov čakala več tednov. Danes je to časovno okno bistveno krajše.
"Prakse mesečnega posodabljanja popravkov niso več veljavne. Danes govorimo o urah in največ nekaj dneh," pravi Englman iz Spana.
Težava niso več samo hekerji
Napada na Vercel in Mercor sta pokazala še eno spremembo: največje tveganje ni več le zunanji napadalec, temveč tudi orodja, ki jih zaposleni uporabljajo vsak dan. En dodatek za brskalnik, ena knjižnica odprte kode ali eno AI-orodje lahko postanejo vstopna točka za kompromitiranje celotnega podjetja.
Branko Džakula, direktor podjetja The Security Company, opozarja, da je nenadzorovana uporaba AI-orodij postala eno največjih varnostnih tveganj za podjetja.
Spomni na primer Samsung Electronics, kjer so zaposleni prenašali zaupne informacije v OpenAI-jev ChatGPT brez nadzora nad tem, kje so podatki končali. "Večina napadov ni bila neposredno usmerjenih v sistem, temveč prek uporabniških računov brez večfaktorske avtentikacije," pravi Džakula in dodaja: "Večfaktorska avtentikacija, upravljanje identitet, nadzor dostopa in evidenca vseh javno dostopnih sistemov so postali minimalna, ne dodatna zaščita, vendar številna podjetja v regiji tega še vedno nimajo."
Iz Telekoma Slovenije opozarjajo, da ne obstaja enotna tehnologija, ki bi lahko poskrbela za kibernetsko varnost, temveč morajo podjetja zaščito obravnavati sistemsko, s strategijo, internimi politikami in standardi, kot sta ISO/IEC 27001 in ISO 22301. V praksi to pomeni, da varnost ne sme biti več odvisna od enega IT-administratorja ali enega protivirusnega programa, temveč od načina, kako je postavljena celotna organizacija.
Obenem poudarjajo, da lahko nekaj razmeroma preprostih ukrepov bistveno zmanjša tveganje napada, če se dosledno izvajajo. "Prvi je večfaktorska avtentikacija znotraj modela ničelnega zaupanja, kjer noben uporabnik ali naprava nista samodejno obravnavana kot zaupanja vredna, tudi če sta prisotna znotraj omrežja podjetja." Zato vse več podjetij prehaja na modele prijave FIDO2/passkeys, ki zmanjšujejo odvisnost od klasičnih gesel in otežujejo phishing napade.
Drugi pomembni element je stalno izobraževanje zaposlenih. Strokovnjaki poudarjajo, da umetna inteligenca omogoča ustvarjanje zelo prepričljivih phishing sporočil, zaradi česar se zaposleni ne morejo več zanašati zgolj na občutek, da je elektronsko sporočilo sumljivo. Zato morajo organizacije zaposlene redno usposabljati o tem, kako so videti nove oblike napadov ter kako delujejo postopki preverjanja identitete in finančnih zahtevkov.
Poseben poudarek je tudi na nadzoru odhodnega prometa in sistemih DLP, podprtih z umetno inteligenco, ki lahko prepoznajo, kdaj zaposleni poskušajo iz podjetja odnesti občutljive podatke ali jih vnesti v zunanje AI-storitve. To postaja še zlasti pomembno v času, ko zaposleni vsakodnevno uporabljajo ChatGPT, Claude, Gemini in druga AI-orodja.
Iz Telekoma Slovenije dodatno poudarjajo pomen popisovanja sistemov – "ne morete zaščititi tistega, česar ne poznate", kot opozarja njihova varnostna enota. Veliko podjetij danes nima popolnega pregleda nad vsemi strežniki, storitvami v oblaku, aplikacijami in napravami, povezanimi v omrežje, kar napadalcem pušča veliko število potencialnih vstopnih točk.
Na koncu cilj vseh teh ukrepov ni zgolj zaščita IT-infrastrukture, temveč ohranjanje zaupnosti, integritete in dostopnosti informacij, kar je osnova stabilnega in varnega poslovanja. "V dobi napadov, ki jih pospešuje umetna inteligenca, prav ta disciplina in doslednost pri izvajanju osnovnih varnostnih pravil postajata največja razlika med podjetji, ki lahko preživijo resen incident, in tistimi, ki bodo v zaščito začela vlagati šele po napadu," poudarjajo.
Kibernetska varnost ni več zgolj IT-tema
Direktiva EU NIS2 uvaja neposredno odgovornost uprav za kibernetska tveganja. Podjetja iz kritičnih in pomembnih sektorjev morajo imeti vzpostavljene zaščitne ukrepe, načrt odzivanja na incidente, postopke za zagotavljanje neprekinjenega poslovanja ter obveznost prijave resnih napadov v 24 urah. Prvo opozorilo je treba poslati v 24 urah, podrobnejše poročilo v 72 urah, končno poročilo pa v enem mesecu.
Za članice Evropske unije, kot sta Hrvaška in Slovenija, je to že zakonska obveznost. Hrvaška je NIS2 prenesla z novim zakonom o kibernetski varnosti, medtem ko je Slovenija leta 2025 zakon o informacijski varnosti uskladila z evropskimi pravili.
V praksi to pomeni, da morajo podjetja iz energetike, bančništva, zdravstva, telekomunikacij, prometa in digitalne infrastrukture dokazati, da aktivno upravljajo kibernetska tveganja. Če tega ne storijo, lahko kazni dosežejo tudi do 10 milijonov evrov ali dva odstotka globalnih letnih prihodkov podjetja.
Poleg tega kibernetska varnost postaja del ESG- in upravljavskih standardov, ki jih trg pričakuje od podjetij.
Za Srbijo, Bosno in Hercegovino in Severno Makedonijo se NIS2 formalno sicer ne uporablja za domača podjetja, vendar se vse bolj prenaša prek trga. Če podjetje iz regije sodeluje z evropskimi bankami, korporacijami ali državnimi institucijami, bodo zahteve glede kibernetske varnosti prihajale prek pogodb, postopkov skrbnega pregleda in preverjanja dobaviteljev.
"Funkcija CISO je na zahodnih trgih pogosto del višjega menedžmenta, medtem ko jo pri nas še vedno obravnavajo kot tehnično IT-funkcijo, kar se mora spremeniti," so za Bloomberg Adria dejali na Uradu Vlade Republike Slovenije za informacijsko varnost.
To postaja pomembna razlika, saj kibernetska odpornost danes neposredno vpliva na sposobnost pridobivanja strank, zavarovanja, financiranja in velikih mednarodnih pogodb.
Koliko pravzaprav stane en incident
Največja težava pri kibernetskih napadih je le redko sama tehnična škoda. Strežnike je mogoče obnoviti, sisteme povrniti iz varnostnih kopij, infrastrukturo ponovno vzpostaviti. Pravi strošek so izgubljeni čas, zaupanje strank in izguba poslovanja.
Prekinitev poslovanja je pogosto najdražji del incidenta. Če se proizvodnja ustavi, logistika ne deluje ali zaposleni za več dni izgubijo dostop do sistemov, se izgube seštevajo veliko hitreje kot stroški same IT-obnove. Za podjetja, ki sodelujejo z velikimi naročniki, postanejo dodatna težava še pogodbene kazni, zamujeni roki in izguba prihodnjih poslov.
Koliko v povprečju stane resen incident podjetje s 50 milijoni evrov prihodkov? "Težko je dati natančno oceno, saj je odvisna od panoge, ravni varnosti in vrste incidenta. Vendar praksa kaže, da lahko skupni stroški znašajo od nekaj odstotkov do več deset odstotkov letnih prihodkov," pravijo na uradu, ki ga vodi Svete.
Ne gre za enkraten strošek, temveč za verigo stroškov. Neposredni stroški (forenzika, IT-ekipe, obnova sistemov, morebitna odkupnina) so le manjši del. Večji del izguba poslov, izpad prihodkov, izguba strank, pogodbene kazni, regulatorne globe in dolgoročna škoda za ugled. "Kazni se z novim zakonom dodatno povečujejo in se lahko navezujejo na odstotek celotnega prometa," pojasnjujejo na Uradu Vlade Republike Slovenije za informacijsko varnost.
Po podatkih SI-CERT so v Sloveniji leta 2025 obravnavali več kot šest tisoč incidentov, skupna prijavljena škoda zaradi spletnih prevar pa je presegla 40 milijonov evrov. Posamezni finančni učinki so lahko zelo specifični – povprečen phishing napad podjetje stane okoli 46 tisoč evrov, medtem ko lahko pri ciljanih napadih (BEC-prevare) zneski dosežejo 170 tisoč evrov ali več.
Podatki jasno kažejo, da največji finančni vpliv nima sama prevara, temveč prekinitev poslovanja – in prav to določa dejanski strošek incidenta.
Zneski so odvisni od vrste incidenta, časa odkritja, regulatornih posledic in posrednih učinkov. V slovenskem kontekstu je relativni vpliv pogosto večji kot v večjih gospodarstvih, pravijo na uradu za informacijsko varnost, saj imajo podjetja manj finančnih rezerv, so bolj odvisna od ključnih sistemov in imajo omejene možnosti notranje varnosti. Pri manjših podjetjih lahko vpliv preseže te meje in ogrozi obstoj poslovanja.
Evropa je imela že več primerov, ki kažejo, kako velike so lahko posledice. Eden največjih je bil napad hekerske skupine Conti na irski zdravstveni sistem HSE leta 2021. Napad je ohromil bolnišnice, laboratorije in zdravstvene storitve po vsej državi. Pregledi so bili odpovedani, zdravstveno osebje je delalo brez dostopa do digitalnih zapisov, država pa je več mesecev obnavljala infrastrukturo. Skupni stroški sanacije so bili ocenjeni na več kot 100 milijonov evrov.
Umetna inteligenca ne spreminja le napadov, temveč tudi obrambo
Večina razprav o umetni inteligenci in kibernetski varnosti se osredotoča na hekerje. Vendar se ista tehnologija, ki jo danes uporabljajo napadalci, vse agresivneje uporablja tudi na obrambni strani.
Sodobni centri za varnostne operacije (SOC) ne delujejo več tako kot pred petimi leti. Namesto ekip analitikov, ki ročno pregledujejo tisoče opozoril dnevno, AI-sistemi danes samodejno analizirajo vedenje uporabnikov, omrežni promet in anomalije v sistemih.
Iz Telekoma Slovenije so za Bloomberg Adria povedali: "Naš Center za kibernetsko varnost in odpornost že uporablja AI-rešitve, ki omogočajo preventivno delovanje in visoko stopnjo avtomatizacije obrambe. Te rešitve prepoznajo grožnje, anomalije in sumljivo vedenje, še preden incident eskalira."
To je pomembna sprememba, saj količina podatkov, ki jih podjetja danes ustvarjajo, presega zmogljivosti človeških ekip. Velike organizacije imajo več deset tisoč naprav, storitev v oblaku, uporabniških računov in aplikacij. Brez avtomatizacije je skoraj nemogoče spremljati, kaj se dogaja v realnem času.
AI-sistemi danes lahko prepoznajo nenavadno vedenje zaposlenih, odkrijejo poskuse kraje identitete, analizirajo sumljive datoteke in samodejno blokirajo dostop do kompromitiranega računa. V velikih organizacijah prav ta hitrost odziva postaja ključna razlika med manjšim incidentom in resno prekinitvijo poslovanja.
Težava podjetij v regiji je, da veliko organizacij še nima niti osnovnega sistema spremljanja, kaj šele varnostnih operacij, podprtih z umetno inteligenco. Medtem ko velika zahodna podjetja vlagajo milijarde v avtomatizirano zaščito, so številna podjetja v regiji Adria še vedno odvisna od majhnih IT-ekip, ki se odzovejo šele, ko težava postane vidna.
Umetna inteligenca je danes orodje tako napadalcev kot branilcev. Napadalci jo uporabljajo za avtomatizacijo napadov in ustvarjanje prepričljivejših prevar, medtem ko branilci umetno inteligenco uporabljajo za analizo velikih količin podatkov, hitro odkrivanje groženj in razvoj naprednih zaščitnih mehanizmov.
Center za kibernetsko varnost in odpornost Telekoma Slovenije že uporablja rešitve, ki temeljijo na umetni inteligenci in omogočajo preventivno delovanje ter visoko raven avtomatizacije obrambe. Prepoznavajo grožnje, vključno z neposrednimi napadi in anomalijami v vedenju sistemov, ter omogočajo hitrejši odziv, še preden grožnje eskalirajo.
Posebna težava je premik "družbenega inženiringa" v scenarije, kjer se lahko lažni glas in video uporabljata za lažno odobravanje plačil ali spremembo bančnih podatkov, celo na ravni vodstva podjetij.
Na tehnični ravni umetna inteligenca ne pospešuje le skeniranja znanih ranljivosti, temveč tudi odkrivanje novih (0-day) prek analize kode, ustvarjanja testov in razvoja varnostne kode. Posledica je krajši časovni okvir med odkritjem ranljivosti in njenim izkoriščanjem.
"Na vprašanje, katera stran ima od umetne inteligence več koristi, ni jasnega odgovora – gre za dinamično tekmo med napadom in obrambo," sporočajo iz Telekoma Slovenije.
AI pospešuje tudi trg dela
Globalni trg se že vrsto let sooča s pomanjkanjem strokovnjakov za kibernetsko varnost, razvoj AI-orodij pa dodatno spreminja strukturo tega trga. Dela, ki so prej zahtevala velike ekipe analitikov, se danes vse bolj avtomatizirajo.
Sodobna AI-orodja danes lahko analizirajo dnevnike, klasificirajo incidente, pripravijo prva varnostna poročila in samodejno iščejo ranljivosti v kodi. To manjšim ekipam omogoča upravljanje bistveno večjih sistemov kot nekoč.
Hkrati narašča pritisk na podjetja, ki nimajo strokovnjakov za kibernetsko varnost. V regiji je težava še izrazitejša zaradi odhoda kadrov na zahodne trge, kjer so plače in proračuni bistveno višji.
Posledica je, da imajo številna podjetja v regiji Adria danes malo varnostnih strokovnjakov, zunanje IT-storitve in zelo omejene zmogljivosti za 24-urno spremljanje incidentov. AI lahko delno pomaga zmanjšati ta razkorak, vendar le podjetjem, ki vlagajo v orodja, procese in usposabljanje zaposlenih.
"Avtomatizacija pomaga tudi podjetjem, ki se branijo, saj lahko svoje sisteme testirajo z istimi modeli in odkrijejo ranljivosti, še preden jih kdo izkoristi," pravi Branko Džakula.
Vendar obstaja tudi druga plat težave. Napadalci nimajo birokracije, nabavnih postopkov ali regulatornih omejitev. Eksperimentirajo lahko bistveno hitreje kot korporativni obrambni sistemi. To pomeni, da bodo morala podjetja v prihodnjih letih oblikovati povsem nove profile zaposlenih – ljudi, ki razumejo tako kibernetsko varnost kot AI-sisteme. Ta kombinacija bo postala eden najbolj iskanih in najdražjih profilov na trgu dela.
Bloomberg Adria
Kibernetsko zavarovanje postaja nov trg
V zadnjih letih je kibernetsko zavarovanje iz nišnega produkta preraslo v standardni del poslovanja velikih podjetij. Razlog je preprost: kibernetski incidenti so postali predragi, da bi jih podjetja lahko nosila sama.
Napadi danes povzročajo prekinitve poslovanja, regulatorne kazni, izgubo strank in večmesečne stroške sanacije. Zato vse več podjetij poskuša del tveganja prenesti na zavarovalnice.
Leta 2026 bo vpliv na kibernetsko zavarovanje za finančne direktorje vse bolj oprijemljiv: premije in pogoji kritja bodo vse bolj odvisni od dokazljivih mehanizmov nadzora (na primer zaščite identitete, odzivnih procesov, spremljanja in odkrivanja), torej od vlaganj v kibernetsko odpornost. Če podjetje teh kontrol nima ali jih ne izvaja dosledno, se tveganje poveča, premije zrastejo, pojavijo se izjeme pri kritju ali pa zavarovanje pod sprejemljivimi pogoji postane nedostopno. Odgovoren finančni direktor danes preverja, ali so vlaganja v kibernetsko varnost ustrezna in primerljiva s podobnimi organizacijami.
Poleg tega kibernetska odpornost vse bolj postaja del upravljavskih in ESG-poročil. Vlagatelji, banke in partnerji pričakujejo, da ima podjetje vzpostavljeno digitalno upravljanje tveganj, sposobnost odzivanja in zagotavljanja neprekinjenega poslovanja. V praksi to pomeni, da kibernetska varnost ni več zgolj IT-vprašanje, temveč element poslovne kredibilnosti, ki vpliva na kreditno sposobnost, pogoje financiranja in zaupanje na trgu.
Vendar ni dovolj zgolj kupiti police. Zavarovalnice danes preverjajo, ali podjetje uporablja večfaktorsko avtentikacijo, kako upravlja privilegirane dostope, ali ima načrt odzivanja na incidente in kako hitro namešča varnostne popravke. Če teh kontrol ni, premije rastejo, pojavijo se izjeme pri kritju ali pa zavarovanje postane predrago.
To še zlasti vpliva na podjetja v regiji, ki še nimajo razvitih varnostnih procesov. V praksi bodo številna podjetja šele prek zahtev zavarovalnic prvič ugotovila, kako ranljiva so. Umetna inteligenca položaj dodatno zapleta, saj povečuje število in hitrost napadov. Zavarovalnice zato spreminjajo svoje modele ocenjevanja tveganj, kibernetska varnost pa postopoma postaja podobna ocenjevanju požarne zaščite ali finančnega tveganja.
Za finančne direktorje to pomeni novo realnost: vlaganje v kibernetsko varnost ni več zgolj strošek IT-oddelka, temveč neposredno vpliva na ceno zavarovanja, dostopnost kritja in skupno operativno tveganje podjetja.
Kritična infrastruktura postaja najbolj ranljiva
Energetski sistemi, telekomunikacijska infrastruktura, vodovodna omrežja, tovarne in industrijski obrati so poseben problem. V nasprotju s sodobnimi sistemi v oblaku, ki jih je mogoče posodabljati vsakih nekaj dni, velik del kritične infrastrukture v regiji še vedno deluje na tehnologiji, stari 10, 15 ali celo 20 let.
Ti sistemi so bili zasnovani za stabilnost in neprekinjeno delovanje, ne pa za hitro prilagajanje novim varnostnim grožnjam.
Srđanu Babiću, vodji oddelka za informacijsko varnost v podjetju Cyber Gate Defense iz Beograda, smo zastavili vprašanja o pripravljenosti institucij v regiji Adria na kibernetske napade, in odgovoril je tako:
Pomembno je jasno razlikovati med dvema vrstama kibernetskih napadov – med tistimi, pri katerih se umetna inteligenca uporablja za konstruiranje in raziskovanje ene ali več ranljivosti, ter tako imenovanimi napadi, ki jih poganja umetna inteligenca, kjer je celoten proces napada avtomatiziran in voden z računalniško močjo umetne inteligence.
Srđana Babića smo vprašali, ali so institucije v regiji pripravljene na kibernetske napade.
"Da in ne. Da, kajti napadi, zasnovani s pomočjo umetne inteligence, so v porastu že več kot štiri leta, z nadaljnjim razvojem tehnologije pa pričakujemo njihovo eksponentno rast. Preprečevanje takšnih napadov bo precej odvisno od tega, kako bodo svetovne vlade regulirale in omejile neetično uporabo AI-modelov ter širjenje odprtokodnih rešitev. Trenutni fokus kibernetske varnosti je zagotavljanje suverenosti podatkov, nadzor nad njihovo izpostavljenostjo in neprekinjeno spremljanje, vključno z delovanjem varnostnih operativnih centrov, aktivnim iskanjem groženj, zaščito blagovnih znamk in implementacijo sistemov vab. Po drugi strani pa so napadi, ki jih poganja umetna inteligenca, pri katerih se računalniška moč uporablja za izvajanje napadov, veliko redkejši in jih najpogosteje povezujemo z APT-skupinami oziroma akterji, ki jih sponzorirajo države. Takšni napadi so veliko bolj sofisticirani in zahtevajo resno infrastrukturo za njihovo izvedbo. Težava je, da številnih industrijskih in infrastrukturnih okolij ni mogoče preprosto "znova zagnati" zaradi varnostne posodobitve. Energetski sistemi, proizvodne linije ali telekomunikacijska omrežja pogosto delujejo 24 ur na dan in vsak izpad pomeni finančno izgubo ali tveganje za delovanje celotnega sistema. Z drugimi besedami – ali imamo zmogljivosti za odkrivanje, prepoznavanje in ustrezen odziv na takšne aktivnosti?"
Pripravljenost je rezultat analize tveganj in neprekinjenega ocenjevanja trendov ter groženj glede na raven implementiranih varnostnih kontrol. To pa zahteva institucionalno pripravljenost za sprejem potrebne zakonodaje, standardov upravljanja, ter njihovo izvajanje in stalno izboljševanje. Prav to je po Babićevih besedah najšibkejša točka vseh držav regije Adria – in ne le njih. Podoben primanjkljaj institucionalnega okvira in zmogljivosti za izvajanje kibernetske varnosti je opazen po vsem svetu.
Z vidika institucionalne pripravljenosti za podporo kibernetski varnosti so med državami regije Adria vidne velike razlike, prav tako med pripravljenostjo javnega sektorja in poslovnih organizacij. Podatki nacionalne pripravljenosti na kibernetsko varnost in indeksa pripravljenosti na umetno inteligenco ponujajo osnovni vpogled v to, kaj so države začele uvajati ali implementirati pri upravljanju in regulaciji tega področja. Vendar je jasno, da gre bolj za začetne poskuse regulacije kot za njihovo dejansko in dosledno izvajanje.
Upravljanje podatkov in informacij ter varnost kot temeljno načelo kibernetske varnosti in ključni prispevek k pripravljenosti na umetno inteligenco so verjetno najšibkejši člen v tej verigi delovanja in so v teh razpravah pogosto zanemarjeni. Zelo malo držav, če sploh katera, ima nacionalni zakon o podatkovni suverenosti, ki opredeljuje kritične podatke, ki potrebujejo dostop in zaščito skozi koncept podatkovne suverenosti. Takšni predpisi dejansko oblikujejo potrebe in ukrepe kibernetske varnosti ter določajo, katere podatke in informacije je treba zaščititi pri odprti, javni uporabi umetne inteligence. "To, kar trenutno vidimo, je v nekaterih primerih urejeno s splošno uredbo EU o varstvu podatkov (GDPR), ki pa jo pogosto napačno razlagajo kot uredbo o zasebnosti (PII)," pojasnjuje Babić.
Vse to prinaša težavo za regijo, kjer ima velik del infrastrukture omejene proračune za modernizacijo in premalo strokovnjakov za kibernetsko varnost. Medtem ko velika zahodna podjetja vlagajo milijarde v zaščito kritičnih sistemov, številne organizacije v regiji Adria še vedno poskušajo vzdrževati zastarelo infrastrukturo z minimalnimi vlaganji.
Posledica je, da napadalci danes pogosto ne iščejo popolne ranljivosti, temveč za ogrožanje veliko večjega sistema zadostuje že en zastarel strežnik, nezaščiten oddaljeni dostop ali slabo segmentirano omrežje, kar ima lahko ogromne posledice za ljudi, podobno kot v primeru incidenta na Irskem.
Globoki ponaredki niso več futuristični
Do nedavnega je bilo phishing napade večinoma mogoče zlahka prepoznati. Slaba angleščina, slovnične napake in generična sporočila so bili pogosto prvi signal, da nekaj ni v redu. To se hitro spreminja.
Razvoj lokaliziranih AI-modelov omogoča ustvarjanje popolnoma prepričljivih sporočil v lokalnih jezikih, brez slovničnih napak ter z lokalnimi izrazi in kontekstom. Z drugimi besedami, AI danes lahko napiše elektronsko sporočilo, ki zveni, kot da ga je poslal sodelavec iz iste pisarne ali partner, s katerim podjetje sodeluje že leta.
To je velika težava za regijo, kjer zaposlene že leta učijo prepoznavati phishing prav prek "slabega jezika" in sumljivih formulacij.
Iz Telekoma Slovenije opozarjajo, da se organizacije prav zato ne morejo več zanašati zgolj na izobraževanje zaposlenih, temveč morajo uvesti dodatne tehnične in proceduralne kontrole: zaščito identitete, odkrivanje anomalij, zaščito DMARC/SPF/DKIM za elektronsko pošto ter dodatna preverjanja finančnih zahtevkov in sprememb podatkov o dobaviteljih.
Orodja za ustvarjanje globokih ponaredkov zvoka in videa danes omogočajo simulacijo glasu članov uprave ali finančnih direktorjev v realnem času. Nekaj minut javno dostopnega zvočnega ali videogradiva zadostuje, da AI-modeli ustvarijo zelo prepričljivo imitacijo.
"Globoki ponaredki glasu in videov se lahko uporabljajo za lažno odobravanje plačil ali spremembo bančnih podatkov, celo na ravni menedžmenta," opozarjajo iz Telekoma Slovenije.
Takšni napadi niso več teoretičen scenarij. Po svetu je bilo že zabeleženih več primerov, ko so zaposleni izvedli denarna nakazila prek videoklica ali glasovnega sporočila, saj so verjeli, da je na drugi strani direktor podjetja.
Napadalci danes lahko analizirajo profile na LinkedInu, interne hierarhije, javne nastope izvršnih direktorjev in komunikacijski slog zaposlenih, nato pa ustvarijo sporočila, prilagojena točno določeni osebi.
To pomeni, da klasično izobraževanje zaposlenih samo po sebi ni več dovolj. Podjetja morajo spremeniti svoje postopke odobravanja plačil, preverjanja identitete in finančne procedure. Če je mogoče spremembo bančnega računa ali nujno denarno nakazilo odobriti zgolj na podlagi enega elektronskega sporočila ali klica, ima podjetje že resen varnostni problem.
Kaj bi morali storiti izvršni direktorji v regiji
Prva odločitev, ki jo mora sprejeti izvršni direktor, je, da kibernetske varnosti ne obravnava več kot tehnični problem IT-sektorja, temveč kot poslovno tveganje. Če napad ustavi prodajo, proizvodnjo, logistiko ali dostop do podatkov o strankah, posledic ne bo reševala le IT-ekipa, temveč celotno podjetje. V takšnem trenutku so vključeni finance, pravna služba, kadrovski oddelek, podpora uporabnikom, odnosi z javnostmi in uprava. Zato kibernetska varnost danes vse bolj postaja del upravljanja tveganj, enako kot finančna, regulatorna ali operativna tveganja.
Prvi korak je uvedba večfaktorske avtentikacije na vseh pomembnih sistemih in računih zaposlenih. To vključuje poslovno elektronsko pošto, storitve v oblaku, CRM, ERP, interna administrativna orodja in privilegirane administratorske račune. Večina resnih kompromitacij danes ni več posledica vdora v sistem v klasičnem smislu, temveč kraje identitete zaposlenih prek phishinga, razkritih gesel ali kompromitiranih naprav. Prav zato strokovnjaki menijo, da je večfaktorska avtentikacija najcenejši ukrep, ki lahko dramatično zmanjša tveganje. Telekom Slovenije priporoča tudi prehod na modele prijave FIDO2/passkeys, ki zmanjšujejo odvisnost od klasičnih gesel in otežujejo phishing napade.
Drugi korak je nadzor nad AI-orodji, ki jih uporabljajo zaposleni. V številnih podjetjih danes zaposleni uporabljajo ChatGPT, Claude, Gemini ali različne odprtokodne AI-modele brez kakršnegakoli nadzora podjetja. Težava ni le v tem, da lahko AI-orodja shranjujejo podatke, temveč tudi v tem, da zaposleni pogosto nevede vnašajo zaupne informacije, izvorno kodo, finančne podatke ali interne dokumente v zunanje sisteme. Branko Džakula opozarja, da je nenadzorovana uporaba AI-orodij postala eno največjih novih varnostnih tveganj za podjetja. Priporoča, da podjetja uporabljajo eno centralizirano AI-orodje za podjetja z jasnimi pravili dostopa in uporabe, namesto da vsaka ekipa uporablja različne javne storitve brez nadzora IT-sektorja.
Tretji korak je upravljanje dostopov in privilegijev zaposlenih. Veliko podjetij se še vedno sooča s situacijo, ko zaposleni več let ohranijo dostop do sistemov, ki jih ne potrebujejo več, medtem ko nekdanji zaposleni v določenih orodjih ostanejo aktivni še mesece po odhodu iz podjetja. Napadalci danes pogosto ne iščejo sofisticiranih ranljivosti, temveč kompromitirajo račun, ki že ima preveč pravic dostopa. Zato strokovnjaki vse bolj vztrajajo pri modelu "ničelnega zaupanja", kjer noben uporabnik ali naprava nima samodejnega zaupanja, tudi če je prisoten znotraj omrežja podjetja.
Četrti korak je redno posodabljanje sistemov in vodenje evidence vseh javno dostopnih storitev. Umetna inteligenca je drastično skrajšala čas med odkritjem ranljivosti in napadom. "Prakse mesečnega posodabljanja ne veljajo več. Danes govorimo o urah, največ dnevih, ki jih imate za odpravo težave," pravi Hrvoje Englman. Težava številnih organizacij v regiji je, da pogosto nimajo niti popolnega pregleda nad vsemi strežniki, domenami, storitvami v oblaku, aplikacijami in napravami, povezanimi v omrežje. Telekom Slovenije zato opozarja na pomen inventarja sistemov: "Ne morete zaščititi tistega, za kar sploh ne veste, da obstaja."
Peti korak je načrt odziva na incidente. Večina podjetij vlaga v preventivo, vendar le redki natančno vedo, kaj storiti, ko se napad dejansko začne. Izvršni direktor mora vedeti, kdo sprejema odločitve, če sistemi odpovejo, kdo komunicira s strankami, kdo se pogovarja z regulatorji, kako delujejo rezervni sistemi in kako hitro lahko podjetje nadaljuje poslovanje. Pri resnih incidentih hitrost odziva pogosto določa, ali bo škoda trajala nekaj ur ali več tednov.
Direktorju ni treba biti strokovnjak za kibernetsko varnost, mora pa prevzeti odgovornost za tveganje. Prva stvar, ki jo mora storiti že jutri, je, da skliče finančnega direktorja, tehničnega direktorja in osebo, odgovorno za varnost, ter postavi osnovna vprašanja: kje imamo večfaktorsko avtentikacijo, katera AI-orodja uporabljamo, kdo ima dostop do kritičnih sistemov, kaj je javno izpostavljeno na internetu in kaj bomo storili, če nas nocoj napadejo.
Prav tu se začne razlika med podjetji, ki kibernetsko varnost obravnavajo kot formalnost, in tistimi, ki razumejo, da je postala osnovni pogoj za stabilno poslovanje v dobi napadov, pospešenih z umetno inteligenco.
__
V sodelovanju z Ivano Raonić, Aleksandrom Lukićem, Igorjem Smilevskim in Mirom Soldićem.
.webp){kind=icon}
