AI Act – Polityka projektowania, rozwijania i wdrażania systemów AI a normy bezpieczeństwa

AI Act to nowość na rynku regulacji prawnych. Rozwój systemów sztucznej inteligencji (AI) przyspiesza w każdej branży, od finansów i opieki zdrowotnej po infrastrukturę krytyczną. Wraz z dynamicznym wdrażaniem tych technologii rośnie potrzeba ujęcia projektowania i implementacji AI w ramy bezpieczeństwa.

Projektowanie systemów AI „secure by design”

Kluczowe zasady:

• Ocena ryzyka na etapie projektowym – identyfikacja zagrożeń już na poziomie architektury.
• Zasada najmniejszych uprawnień (PoLP) – systemy AI nie powinny mieć dostępu do danych i zasobów, których nie potrzebują.
• Explainable AI (XAI) – transparentność modeli AI wspomaga audytowalność i zarządzanie incydentami.

Projektowanie zgodne z tymi zasadami umożliwia zminimalizowanie powierzchni ataku i przygotowanie systemu do dalszych etapów walidacji.

Bezpieczeństwo w cyklu życia systemu AI

Systemy AI muszą być projektowane z myślą o ciągłym doskonaleniu i bezpieczeństwie operacyjnym:

• Bezpieczny proces trenowania: ochrona danych treningowych przed modyfikacją i manipulacją (np. poisoning).
• Walidacja i testowanie modeli: kontrola odporności na błędy, ataki typu adversarial i wycieki danych.
• Monitoring w czasie rzeczywistym: integracja z SOC i SIEM

Wdrażanie z zachowaniem zgodności regulacyjnej

AI Act:

• Wymaga klasyfikacji systemów AI według poziomu ryzyka.
• Nakłada obowiązki w zakresie dokumentacji technicznej, nadzoru nad danymi, przejrzystości i bezpieczeństwa.
• Systemy wysokiego ryzyka, takie jak scoring kredytowy czy AI w ochronie zdrowia, muszą spełniać rygorystyczne normy.

NIS2:

• Nakłada obowiązki na operatorów usług kluczowych i podmioty świadczące usługi cyfrowe.
• Wymaga implementacji środków zarządzania ryzykiem i zgłaszania incydentów.

DORA:

• Skierowana do sektora finansowego, rozszerza obowiązki dotyczące ciągłości działania systemów AI i testowania odporności cyfrowej, w tym testów typu TLPT.
• Nakazuje zarządzanie ryzykiem stron trzecich, co dotyczy również dostawców modeli AI.

Rola Security Operations Center (SOC) w ochronie systemów AI

SOC to kluczowy komponent monitorowania i reagowania na incydenty związane z AI. W praktyce oznacza to:

• Integrację źródeł logów modeli AI z SIEM i SOAR
• Zaawansowaną analizę incydentów, w tym różnicowanie false positives generowanych przez AI
• Zarządzanie podatnościami i ciągłą optymalizację modeli AI z perspektywy bezpieczeństwa

Blue Energy rozwija SOC zintegrowany z OT i IT, wspierający również środowiska hybrydowe oraz specyficzne dla branż jak logistyka czy infrastruktura.

Wyzwania organizacyjne i techniczne

• Brak specjalistów AI z wiedzą z zakresu cyberbezpieczeństwa
• Integracja AI z istniejącą infrastrukturą, np. sieci OT, EDR, systemy ERP
• Zarządzanie odpowiedzialnością i etyką – AI podejmujące decyzje musi mieć zdefiniowaną ścieżkę eskalacji i nadzoru człowieka

Dobre praktyki wdrażania

• Tworzenie rejestru systemów AI zgodnie z AI Act
• Prowadzenie audytów bezpieczeństwa i zgodności przed i po wdrożeniu systemu
• Zapewnienie ciągłej edukacji zespołów IT, DevOps i Data Science, oraz użytkowników końcowych w zakresie zagrożeń AI
• Współpraca z partnerami technologicznymi i SOC, którzy rozumieją specyfikę środowisk AI

Podsumowanie

AI staje się nie dodatkiem, lecz powoli standardem. Polityka projektowania, rozwijania i wdrażania systemów AI powinna być oparta o normy bezpieczeństwa, które chronią nie tylko dane, ale także reputację i ciągłość działania organizacji. Współpraca z doświadczonym partnerem technologicznym, to fundament skutecznej i zgodnej transformacji cyfrowej. Jeśli chcesz dowiedzieć się więcej o AI Act sprawdź również podstronę o usłudze.