• Doświadczenia branżowe SAP

    • Jak osiągnąć najwyższy poziom cyberbezpieczeństwa w erze AI – praktyczne wskazówki eksperta

    Przekonaj się, jak Hicron buduje bezpieczne i przejrzyste środowisko AI dla zaawansowanych organizacji. Sprawdź praktyczne wskazówki naszych ekspertów SAP dotyczące skutecznej ochrony wdrożeń sztucznej inteligencji.
    Nasza oferta
    RISE with SAP
    Zobacz więcej

    Po tegorocznym SAP NOW pozostały nie tylko inspiracje, ale i konkretne wskazówki, z których może czerpać cała społeczność SAP. Jednym z najważniejszych tematów wydarzenia była sztuczna inteligencja – także w wystąpieniu naszego eksperta, Szymona Włochowicza, COO Hicron. Jego prezentacja o bezpiecznym wdrażaniu i wykorzystywaniu narzędzi AI spotkała się z ogromnym zainteresowaniem, dlatego przygotowaliśmy ten artykuł, bazując na jej kluczowych wnioskach.

    Chcesz wiedzieć, jak chronić swój biznes w erze AI i skutecznie wykorzystywać potencjał nowych technologii? Przeczytaj tekst i poznaj praktyczne rekomendacje naszego specjalisty!

    Profesjonalne przygotowanie pierwszym krokiem do skutecznego zabezpieczenia

    Sztuczna inteligencja stała się kluczowym elementem strategii biznesowych nowoczesnych organizacji. Jednak w pędzie za innowacyjnością i efektywnością często pomijane są fundamentalne kwestie bezpieczeństwa cybernetycznego. Wdrożenie i używanie narzędzi AI bez odpowiednio opracowanej strategii bezpieczeństwa może skutkować poważnymi naruszeniami danych, utratą tajemnic przedsiębiorstwa i narażeniem na zaawansowane cyberataki.

    AI wykracza poza tradycyjne mechanizmy ochrony i wymaga podejścia holistycznego, uwzględniającego specyficzne zagrożenia związane z uczeniem maszynowym, przetwarzaniem danych przez modele językowe oraz integracją sztucznej inteligencji z istniejącą infrastrukturą IT. Każde wdrożenie AI wprowadza nowe wektory ataku i punkty podatności, których zabezpieczenie wymaga dedykowanych środków oraz strategicznego podejścia.

    Skuteczne zabezpieczenie implementacji AI wymaga kompleksowej strategii obejmującej zarządzanie ryzykiem, politykę ochrony danych, mechanizmy kontroli dostępu oraz ciągłe monitorowanie. Koniecznie należy podkreślić, iż zapewnienie cyberbezpieczeństwa w kontekście AI to proces dynamiczny, czyli wymagający stałej adaptacji do nowych technologii i ewoluujących zagrożeń.

    Ewolucja pojęcia AI

    • Machine Learning (Uczenie maszynowe)

    Jest to technologia, która umożliwia systemom komputerowym uczenie się na podstawie danych bez konieczności programowania ich wprost. Algorytmy analizują wzorce w danych, aby podejmować decyzje lub przewidywać wyniki. Jest to fundament współczesnej sztucznej inteligencji, wykorzystywany w takich dziedzinach jak analiza danych, rozpoznawanie obrazów czy prognozowanie.

    • Generative AI oparte o LLM (Large Language Models)

    Generative AI to systemy zdolne do tworzenia nowych treści, takich jak teksty, obrazy czy dźwięki, na podstawie istniejących danych. Modele LLM, takie jak chat GPT, są wyspecjalizowane w przetwarzaniu języka naturalnego, generując odpowiedzi, które przypominają ludzką komunikację. Ich zastosowania obejmują chatboty, tłumaczenia językowe i tworzenie treści marketingowych.

    • Agentic AI

    Agnentic AI jest bardziej zaawansowaną formą AI, która działa autonomicznie, podejmując decyzje i realizując zadania w sposób przypominający ludzką inicjatywę. Takie narzędzia mogą samodzielnie planować, uczyć się i dostosowywać do zmieniających się warunków. Jest to krok w stronę bardziej samodzielnych systemów, które oferują użytkownikom możliwość wspierania złożonych procesów biznesowych.

    • AGI (Artificial General Intelligence)

    AGI to wizja sztucznej inteligencji, która dorównuje ludzkim zdolnościom intelektualnym, potrafiąc rozwiązywać różnorodne problemy w różnych dziedzinach. W przeciwieństwie do wyspecjalizowanych systemów, AGI ma zdolność do adaptacji i uczenia się w sposób uniwersalny. Choć jest to cel długoterminowy, AGI pozostaje w dużej mierze koncepcją teoretyczną, wymagającą przełomów technologicznych.

    Generative AI stanowi kolejny krok w rozwoju sztucznej inteligencji. Jest to zupełnie inna klasa systemów, niż poprzednie rozwiązania oparte o technologię Machine Learning. Z jednej strony narzędzia Generative AI to systemy, które w dużej mierze są systemami online, chmurowymi. Z drugiej strony natomiast są to systemy, które operują na bardzo dużych wolumenach danych i nie przypominają tak naprawdę ani systemu Machine Learningowego, ani standardowego systemu. Dlatego właśnie ich zastosowanie wymaga zupełnie odmiennego podejścia do bezpieczeństwa korporacyjnego oraz innego sposobu zarządzania tymi systemami w architekturze korporacyjnej przedsiębiorstw po to, aby zapewnić im odpowiednią ochronę. Z uwagi na to, że narzędzia Generative AI łączą elementy naśladowania ludzkiej inteligencji z chmurowymi rozwiązaniami oraz dużą ilością danych, są one zupełnie nowym konstruktem, który wymaga innowacyjnego spojrzenia na bezpieczeństwo. Taka zmiana standardów ochrony przedsiębiorstw będzie rozwijać się wraz z ewolucją narzędzi AI. Zarówno rozwiązania Agentic AI, jak i Artificial General Intelligence będą wymagały odmiennego podejścia, dlatego, że każdy z nich będzie wprowadzał zupełnie nową koncepcję.
    Szymon Wlochowicz
    Szymon Wlochowicz
    COO Hicron

    Główne, korporacyjne ryzyka cybersecurity w implementacji narzędzi AI

    Podczas swojego wystąpienia na tegorocznym SAP Now, Szymon Włochowicz zaprezentował listę kluczowych ryzyk korporacyjnych związanych z wykorzystaniem modeli AI. Lista ta została opracowana przez zespół ekspertów Hicron, specjalizujących się w badaniach nad sztuczną inteligencją. Spośród zidentyfikowanych ośmiu obszarów ryzyka, trzy z nich zostały szczegółowo omówione przez naszego przedstawiciela podczas prezentacji.

    Nieautoryzowane narzędzia AI (Shadow AI)

    Brak audytowalności

    Retencja danych przez dostawców

    Naruszenia praw autorskich

    Halucynacje modelu w procesach decyzyjnych

    Wyciek danych przez prompty

    Każde zapytanie (prompt) skierowane przez użytkownika do systemu AI niesie ze sobą ryzyko ujawnienia wrażliwych danych firmowych. Szczegółowe prompty mogą zawierać tajemnice przedsiębiorstwa, które podobnie jak w przypadku Shadow AI mogą być wykorzystywane do trenowania modeli i zwracania poufnych informacji pozostałym użytkownikom modeli AI. Dane przekazywane w promptach mogą być przechowywane przez dostawców AI przez nieokreślony czas, co zwiększa ryzyko naruszenia poufności i bezpieczeństwa informacji.

    Sytuacja użycia narzędzia AI, która może generować takie ryzyko:

    OPIS UŻYCIA NARZĘDZIA: Użytkownik wysyła polecenie do AI, w którego treści zawarta jest tajemnica przedsiębiorstwa, przykładowo: „Przygotuj prezentację na spotkanie z zarządem, w której przedstawisz następujący proces chemiczny…”.

    RYZYKO: Dane, które użytkownik przesłał w poleceniu do rozwiązania AI, mogą być wykorzystywane przez narzędzie do uczenia i rozwijania modelu LLM (Large Language Model). Może ono potencjalnie użyć tych informacji do generowania odpowiedzi dla innych firm, tym samym rozpowszechniając dane będące tajemnicą przedsiębiorstwa.

    ZAPOBIEGANIE RYZYKU: Chcąc zapobiec takiemu ryzyku należy zwiększać świadomość użytkowników na temat zagrożenia, jakie niesie ze sobą użytkowanie narzędzi AI, wprowadzić zasady AI Governance w przedsiębiorstwie oraz korzystać tylko ze sprawdzonych dostawców narzędzi AI.

    Transgraniczne transfery danych

    W przypadku korzystania przez przedsiębiorstwa z narzędzi AI zdarza się, że dochodzi do wycieku danych poza jurysdykcję organizacji. Niesie to ryzyko niezgodności z przepisami RODO oraz utraty kontroli nad danymi klientów. Modele AI  często hostowane w innych krajach niż lokalizacja macierzystych systemów przedsiębiorstwa, a w związku z tym podlegają odmiennym regulacjom prawnym. Kwestia ta wymaga szczególnej uwagi przy wyborze i integracji narzędzi AI.

    Sytuacja użycia narzędzia AI, która może generować takie ryzyko:

    OPIS UŻYCIA NARZĘDZIA: W celu opracowania rekomendacji dla handlowców dotyczących postępowań z klientami, firma korzysta z zewnętrznych narzędzi AI, które mają dostęp do danych firmowych. W tym procesie są one przekazywane do modeli LLM znajdujących się w innych krajach, podlegających odmiennym systemom prawnym.

    RYZYKO: Przekazywanie danych do modeli LLM w innych jurysdykcjach może prowadzić do naruszenia przepisów dotyczących ochrony danych, takich jak RODO, oraz utraty kontroli nad danymi klientów. Dodatkowym zagrożeniem jest możliwość niewłaściwego konfigurowania modeli danych, co może zwiększyć ryzyko wycieku lub nieautoryzowanego dostępu.

    ZAPOBIEGANIE RYZYKU: Chcąc zminimalizować ryzyko, należy zabezpieczyć wykorzystywane narzędzia od strony prawnej oraz korzystać wyłącznie ze sprawdzonych dostawców technologii AI.

    Eskalacja uprawnień w systemach AI

    Przy nieodpowiednim zabezpieczeniu przedsiębiorstw pojawiają się też sytuacje  niezamierzonego udostępniania przez systemy AI danych osobom nieuprawnionym. Odbywa się to zarówno poprzez mechanizmy agregacji i podsumowywania danych, jak i w wyniku celowych ataków cybernetycznych z wykorzystaniem technik nadużycia promptów.

    Sytuacja użycia narzędzia AI, która może generować takie ryzyko:

    OPIS UŻYCIA NARZĘDZIA: Pracownik średniego szczebla zwraca się do wewnętrznego systemu AI o przygotowanie prezentacji z danymi dotyczącymi widełek wynagrodzeń kadry menedżerskiej lub o historyczne dane płacowe, do których nie powinien mieć dostępu.

    RYZYKO: Niewłaściwie skonfigurowane AI, zintegrowane z systemem HR, może udostępnić poufne informacje osobom nieuprawnionym, nie respektując poziomów dostępu. Dodatkowym zagrożeniem są próby obejścia zabezpieczeń przez odpowiednio sformułowane prośby (prompt hacking), przykładowo: podawanie się za osobę uprawnioną. Dodatkowe skomplikowanie sytuacji może w tym przypadku polegać na prośbach użytkowników o udostępnienie agregatów danych (raporty, analizy, podsumowania). Problem może być też zwielokrotniony w momencie przeprowadzania prób zastosowania technik ataku na modele LLM.

    ZAPOBIEGANIE RYZYKU: Należy wdrożyć precyzyjną klasyfikację dokumentów i poziomów dostępu oraz mechanizmy kontroli uprawnień na poziomie AI. System powinien być odporny na techniki wymuszania informacji poprzez prompty, a korzystanie z narzędzi AI powinno odbywać się jedynie przez ich renomowanych dostawców.

    Dziesięć kluczowych zagrożeń technicznych systemów AI

    Wdrażając w struktury organizacji nowe narzędzie wyposażone w sztuczną inteligencję, należy przeanalizować je pod kątem niebezpieczeństw, jakie ich używanie może potencjalnie wygenerować. W Hicron wyodrębniliśmy zespół specjalistów odpowiedzialnych za prace nad rozwiązaniami AI oraz ich integrację z SAP. Jego członkowie pracują jednak w szerszym podejściu, które zaowocowało zidentyfikowaniem potencjalnych ryzyk związanych z wdrażaniem narzędzi sztucznej inteligencji. W trakcie wystąpienia nasz ekspert przedstawił checklistę przygotowaną przez wspomniany zespół.

    Zawiera ona dziesięć kluczowych zagrożeń technicznych, które należy uwzględniać przy projektowaniu i wdrażaniu rozwiązań AI w organizacjach:

    1. Nieograniczona konsumpcja zasobów
    2. Wstrzyknięcie promptu (Prompt Injection)
    3. Ujawnianie informacji poufnych
    4. Niewłaściwe zarządzanie wyjściami
    5. Słabości wektorów i osadzeń
    6. Mylne informacje
    7. Wycieki promptów systemowych
    8. Nadmierna sprawczość
    9. Zatruwanie modelu danych
    10. Kontrola łańcucha dostaw.

    AI Governance Framework jako fundament bezpieczeństwa

    Przy tak wielu poważnych zagrożeniach wynikających z nieodpowiedzialnego korzystania z narzędzi AI przedsiębiorstwa coraz częściej rozważają możliwości zabezpieczenia się przed nimi. Dlatego coraz więcej z nich decyduje się na wprowadzenie AI Governance Framework. Stanowi ono podstawę skutecznego zarządzania bezpieczeństwem systemów sztucznej inteligencji. Składają się na nie formalne dokumenty jasno określające sposób wprowadzania narzędzi AI.

    Ten framework obejmuje następujące kluczowe obszary:

    Data Governance

    Polega na precyzyjnej klasyfikacji danych, wdrażaniu mechanizmów kontroli dostępu oraz monitorowaniu przepływu danych przez systemy AI. Wskazuje także konieczność stosowania polityk jednoznacznie określających, które dane mogą być wykorzystywane przez narzędzia AI.

    Risk Management

    To podejście zakłada przeprowadzanie regularnych audytów bezpieczeństwa, testów penetracyjnych i opracowanie procedur reagowania na incydenty związane z AI. W tym zakresie rekomendowane jest także wdrożenie mechanizmów automatycznego wyłączania systemów przy wykryciu anomalii.

    Legal Aspects

    Ten element strategii wskazuje na uwarunkowania prawne wdrożeń AI, takie jak wymogi RODO, transparentność algorytmów, oraz szczególna uwaga wobec kwestii własności intelektualnej w kontekście modeli generatywnych.

    Integration & Adoption

    Ten aspekt zakłada bezpieczną integrację AI z istniejącymi systemami oraz systematyczne szkolenia użytkowników zostały przedstawione jako kluczowe kroki w skutecznej strategii bezpieczeństwa.

    Tworzenie dokumentów polityk AI Governance nie jest łatwym procesem, natomiast warto pamiętać, iż dostawcy technologii często oferują solidne wsparcie w tym zakresie. Takie wsparcie oferuje także firma SAP. Na stronie producenta poświęconej SAP Lean IX zamieszczono AI Governance Hub. Jest to przestrzeń, w której zgromadzono informacje i rekomendacje dotyczące stworzenia zabezpieczeń AI Governance w przedsiębiorstwie, a także zbiór linków do materiałów zewnętrznych, w których ten koncept został dokładnie opisany i zaprezentowany.
    Szymon Wlochowicz
    Szymon Wlochowicz
    COO Hicron

    Rola narzędzi Enterprise Architecture w bezpieczeństwie AI

    Prezentacja Szymona Włochowicza szczegółowo ukazała, jak rozwiązania klasy Enterprise Architecture, na przykład SAP LeanIX, mogą stanowić fundament skutecznej strategii bezpieczeństwa wdrożeń AI. Narzędzie to oferuje nie tylko możliwość centralnej inwentaryzacji wszystkich komponentów środowiska IT, ale także pozwala na dynamiczne zarządzanie architekturą systemową w skali całej organizacji.

    Kompleksowa inwentaryzacja narzędzi AI

    SAP LeanIX umożliwia precyzyjne katalogowanie narzędzi i modeli AI, zarówno autorskich, jak i zewnętrznych. Dzięki temu organizacja uzyskuje pełną, aktualną mapę rozwiązań AI funkcjonujących w obrębie firmy, co w praktyce ogranicza ryzyko powstawania zjawiska Shadow AI i nieautoryzowanych wdrożeń.

    Zaawansowane mapowanie zależności między AI a systemami organizacji

    System pozwala wizualizować powiązania pomiędzy narzędziami AI oraz istniejącą infrastrukturą i procesami. Umożliwia to szybką identyfikację potencjalnych punktów podatności – na przykład newralgicznych interfejsów wymiany danych lub niedostatecznie zabezpieczonych integracji. SAP LeanIX daje także możliwość przypisania konkretnych właścicieli do zasobów AI, co wzmacnia odpowiedzialność za ich bezpieczeństwo.

    Monitorowanie i kontrola dostępu AI do danych organizacji

    SAP LeanIX wspiera bieżący monitoring przepływu danych poprzez rejestrowanie oraz analizowanie dostępów i uprawnień narzędzi AI. Takie podejście doprowadza do ograniczania ryzyka nieautoryzowanego dostępu do danych krytycznych.

    Planowanie transformacji i ewolucji AI

    Za pomocą SAP LeanIX możliwe jest nie tylko dokumentowanie aktualnej architektury, ale również planowanie rozwoju AI w aspektach bezpieczeństwa. Platforma pozwala tworzyć harmonogramy wdrożeń, weryfikować kompletność mechanizmów ochrony oraz symulować wpływ zmian architektonicznych na całą organizację.

    Wsparcie procesów compliance i audytu

    SAP LeanIX dostarcza raporty kluczowe dla celów audytorskich i zgodności z przepisami, takimi jak RODO (GDPR). Narzędzie pozwala śledzić ścieżki przetwarzania danych oraz dokumentować działania kontrolne, co znacząco zwiększa transparentność i ułatwia przygotowanie do obowiązkowych audytów bezpieczeństwa.

    SAP LeanIX stanowi nieocenione wsparcie w budowaniu bezpiecznego, przejrzystego oraz zgodnego z regulacjami środowiska AI w organizacjach o wysokim poziomie dojrzałości technologicznej.

    Implementacja bezpiecznego AI z Hicron

    Bezpieczne wdrażanie sztucznej inteligencji wymaga nie tylko znajomości technologii, ale przede wszystkim strategicznego podejścia i dogłębnej wiedzy eksperckiej. W Hicron dysponujemy wspomnianym wcześniej, dedykowanym zespołem specjalistów AI, który na co dzień stosuje wszystkie przedstawione w artykule praktyki, zapewniając naszym Klientom najwyższy poziom bezpieczeństwa. Nasz zespół aktywnie pracuje już z narzędziami AI SAP u Klientów, realizując zaawansowane projekty wdrożeniowe. Jednym z przykładów naszych kompetencji jest kompleksowe testowanie narzędzia SAP Joule, gdzie dokładnie zweryfikowaliśmy jego bezpieczeństwo we wszystkich przypadkach użycia w modułach SAP SuccessFactors. Dzięki takiemu podejściu Hicron jest zaufanym partnerem, który nie tylko dostarcza innowacyjne rozwiązania, ale przeprowadza ich bezpieczną, kontrolowaną i zgodną z najwyższymi standardami korporacyjnymi implementację.

    Jeśli planujesz rozwijać technologie sztucznej inteligencji w swoim środowisku SAP i poszukujesz strategii zapewniającej pełne bezpieczeństwo infrastruktury, skorzystaj z wiedzy i doświadczenia ekspertów Hicron. Skontaktuj się z naszym zespołem, aby wspólnie zaplanować i zrealizować rozwój AI w sposób bezpieczny, zgodny z przepisami oraz dostosowany do indywidualnych potrzeb Twojej organizacji!

    Powiązane artykuły

    Ta strona używa plików cookie. Kontynuując korzystanie z tej witryny, zgadzasz się z naszą Polityką Prywatności.

    Wyrażam zgodę