- Rozwój AI sprawia, że narasta asymetria między atakującymi a broniącymi się w cyberprzestrzeni, a dezinformacja: tania, zautomatyzowana i coraz skuteczniejsza dzięki technologiom, wciąż nie jest traktowana przez biznes jako realne zagrożenie dla ciągłości działania.
- W czasie Europejskiego Kongresu Gospodarczego Artur Józefiak, wiceprezes, szef Centrum Usług Cyberbezpieczeństwa dla Europy Accenture w Polsce, wskazał, że "cyberbezpieczeństwo to praca na długie lata i kadry będą nam potrzebne".
- - Na dziś AI przede wszystkim pomaga ekspertom wykonywać ich pracę szybciej i sprawniej. Nie zastępuje ich, ale obniża próg wejścia dla nowych osób - ocenił.
- Jego zdaniem potrzebna jest dziś koordynacja działań, bo z perspektywy Polski brakuje nam jasnej polityki zwalczania dezinformacji.
Sztuczna inteligencja otwiera przed Polską nowe możliwości: od zwiększenia produktywności i przyspieszenia innowacji, po realne wzmocnienie cyberbezpieczeństwa. Jednocześnie to właśnie na poziomie decyzji strategicznych rozstrzyga się dziś, czy pozostaniemy jedynie „podwykonawcą kadr IT” dla innych gospodarek, czy zbudujemy własne, dojrzałe kompetencje w obszarze AI i bezpieczeństwa.
Kluczowe są nie tylko inwestycje w technologię, ale także odwaga i gotowość organizacji do zmiany sposobu pracy: redefinicji ról, przeszkolenia zespołów oraz włączenia AI w procesy biznesowe.
Równolegle rośnie obszar, o którym biznes w Polsce wciąż mówi za mało - dezinformacja. Dzięki narzędziom opartym na AI kampanie stały się tańsze, bardziej precyzyjne i skalowalne, a fałszywa narracja wokół produktów, branży czy pojedynczej firmy może realnie uderzyć w zaufanie klientów i ciągłość działania.
Tymczasem w wielu sektorach ten typ ryzyka nie jest systematycznie monitorowany ani traktowany na równi z klasycznymi incydentami cyberbezpieczeństwa. Pytanie nie brzmi już zatem czy AI będzie wykorzystywana do dezinformacji, ale czy polski biznes zdoła zbudować wspólne mechanizmy obrony, by nie tylko odeprzeć skutki takich ataków, ale im przeciwdziałać, zanim okażą się dla nich zbyt kosztowne: finansowo i pod kątem reputacji.
Okno możliwości dla Polski
Artur Józefiak, wiceprezes, szef Centrum Usług Cyberbezpieczeństwa dla Europy Accenture w Polsce, w ramach panelu rozmów: "EEC Talks. Cyfryzacja: technologie i kompetencje jutra" stwierdził, że dla Polski zaczyna się właśnie moment przełomowy i to teraz powinny zapadać kluczowe decyzje pod kątem wykorzystania AI jako narzędzia ataku lub obrony.
Artur Józefiak, wiceprezes, szef Centrum Usług Cyberbezpieczeństwa dla Europy Accenture w Polsce w czasie Europejskiego Kongresu Gospodarczego wskazał na zagrożenia związane z rozwojem AI. Fot: PTWP- Od 20 lat obserwuję rynek IT i biznes w Polsce i mogę powiedzieć, że otwiera się dla nas nowe okno możliwości. Mamy duży potencjał kadrowy, bo wszyscy wiemy, że Polska dobrze stoi kompetencjami IT. Sam potencjał ludzki i dostępność technologii nie są jednak jeszcze w pełni wykorzystane. Potrzebujemy strategicznych decyzji, które zdefiniują, jak będziemy tę technologię "wchłaniać". Obawiam się, żebyśmy nie powtórzyli tej samej ścieżki, jak z chmurą obliczeniową, tzn. nadmierna koncentracja na ryzykach może zablokować adopcję AI na dużą skalę - powiedział Józefiak.
Nie chodzi o pojedyncze proof of concept (sprawdzenie, czy pomysł ma praktyczne zastosowanie biznesowe - przyp. red.), ale o systemowe podejście, wbudowanie AI w procesy. World Economic Forum podkreśla, że czas robienia dowodów koncepcji się skończył; teraz trzeba budować procesy oparte na AI. Jeżeli nasze obawy będą nas tylko spowalniać, stracimy konkurencyjność - podkreślił.
Bariery adopcji sztucznej inteligencji
Adopcja AI może natomiast wzbudzać niechęć pracowników - zarówno kadry zarządzającej, jak i tych niższego szczebla. Artur Józefiak ocenił, że z jednej strony istnieje obawa regulacyjna - czy nie utracimy kontroli nad danymi, czy nie będziemy łamać prawa, czy nie „oddajemy” IT poza organizację.
Dużo większym problemem jest to, że AI zmienia rolę człowieka. W firmach opartych na wiedzy widać bardzo wyraźnie, że mamy problem ludzki. Przykład: przy szerokim użyciu narzędzi do generowania kodu radykalnie zmienia się rola dewelopera. On już nie spędza 80 proc. czasu na pisaniu kodu, więc musi lepiej definiować wymagania, a potem testować i weryfikować. To wymaga innych kompetencji i innego stylu pracy - podkreślił.
Zdaniem eksperta nie wszyscy akceptują i będą akceptować nadchodzące zmiany. - Zaczynają się klasyczne problemy zarządzania zmianą: opór, niepewność ról, lęk o przyszłość. Technologia potrafi pokazać szybko wartość i wzrost produktywności, ale ludzie nie zawsze potrafią się dostosować i nie wiedzą, jak odnaleźć się w nowym modelu pracy. Nie widzę największego zagrożenia w masowej utracie miejsc pracy, ale w trudności przejścia do nowego modelu i nowych oczekiwań - dodał.
Sztuczna inteligencja jako narzędzie ataku i obrony
Przedstawiciel Accenture w Polsce zwrócił uwagę także na kwestię nowych zagrożeń, jakie generuje rozwój AI, która staje się zarówno narzędziem obrony, jak i ataku.
Sztuczna inteligencja tworzy nowe możliwości dla obu stron – i broniącej, i atakującej. W obronie AI coraz szerzej wykorzystujemy do automatyzacji, na przykład w SOC-ach oraz w analizie danych i wyszukiwaniu podatności. To już się dzieje, choć często nadal w trybie eksperymentów lub ograniczonych wdrożeń - skomentował Artur Józefiak.
Według niego problem w tym, że atakujący obecnie zyskują więcej niż bezpiecznicy. - Nie mają ograniczeń prawnych ani regulacyjnych, więc nie boją się, czy łamią prawo lub standardy użycia technologii. AI "zdemokratyzowała" i zmniejszyła koszty cyberataku. Dziś kampania dezinformacyjna, bardzo precyzyjnie targetowana - nawet na konkretne przedsiębiorstwo - stała się technicznie prosta i tania - mówił.
- Obrońcy muszą mieć pewność, że narzędzia działają wiarygodnie, jeśli wskaźnik poprawnie wykrytych incydentów nie sięga np. 95 proc., zespoły zostaną zalane fałszywymi alertami. Atakujący nie mają takiego kryterium; wystarczy im pewien poziom skuteczności. Dlatego dziś wciąż widzimy asymetrię i więcej zyskują atakujący niż broniący - objaśnił.
Zagrożenie dla cyberbezpieczeństwa nadchodzi?
Artur Józefiak stwierdził również, że w ostatnim czasie pojawiły się bardzo niepokojące informacje od producentów modeli językowych. Przykładem tego jest firma Anthropic, która nie udostępni publicznie nowego modelu, ponieważ w testach okazało się, że LLM był w stanie w ciągu kilku tygodni znaleźć tysiące nowych podatności typu zero‑day, w tym w oprogramowaniu istniejącym na rynku od kilkunastu czy kilkudziesięciu lat.
- Dziś część podmiotów z branży pracuje nad wspólnymi projektami testowania takich modeli, ale trzeba sobie jasno powiedzieć: wcześniej czy później rozwiązania o podobnych możliwościach trafią na rynek. I mam wrażenie, że w polskiej dyskusji o cyberbezpieczeństwie wciąż brakuje poważnego potraktowania tego wątku. W innych krajach powstają zespoły kryzysowe, które przygotowują organizacje na moment wejścia takich modeli do powszechnego użycia - podkreślił ekspert.
Kolejnym istotnym wątkiem z punktu widzenia rynku jest potrzeba kształcenia obecnych i przyszłych kadr ds. cyberbezpieczeństwa, bo wobec rosnącej skali zagrożeń, ale i poziomu skomplikowania ataków, będzie coraz więcej niezapełnionych stanowisk.
Cyberbezpieczeństwo to praca na długie lata i kadry będą nam potrzebne. Na dziś AI przede wszystkim pomaga ekspertom wykonywać ich pracę szybciej i sprawniej. Nie zastępuje ich, ale obniża próg wejścia dla nowych osób. AI może być „partnerem”: prowadzić, podpowiadać, przyspieszać naukę. Jeżeli ktoś chce się przebranżowić, nie musi już zaczynać od długiego szukania praktyk i powolnej nauki wszystkiego od zera. AI może przyspieszyć przygotowanie do pierwszej roli. Ale samo mechaniczne „pompowanie” kolejnych kadr nie rozwiąże problemu - zauważył Artur Józefiak.
Innym problemem jest skala zagrożeń w obszarze wyżej już wspomnianej dezinformacji - AI sprawia, że produkcja fałszywych informacji jest znacznie szybsza i tańsza.
- Skoro technologia zwiększyła skalę zagrożeń, to tej samej technologii musimy użyć, żeby z nimi walczyć. Żaden zespół nie przeanalizuje tak szybko ogromnych wolumenów danych i komunikacji, jak dobrze zaprojektowany system analityczny. Tak działają na przykład narzędzia klasy Palantir - wykonują tę samą pracę, którą wcześniej robiły wielkie zespoły analityczne. Palantir nie odkrył „nowej jakości” w sensie merytorycznym, ale radykalnie zredukował liczbę osób potrzebnych do tych analiz, tj. z kilkuset do kilkunastu osób. W podobny sposób powinniśmy myśleć o dezinformacji, cyberbezpieczeństwie i współpracy międzysektorowej. Technologia musi wzmacniać ludzi, a nie tylko dublować ich pracę - usłyszeliśmy.
Zdaniem Józefiaka wyzwaniem jest dziś brak narzędzi wspierających współpracę ponad poziomem pojedynczej organizacji, tj. sektorowo czy międzysektorowo.
- Musimy zacząć myśleć "w poprzek sektorów". Przykład: aby w naszym domu działało urządzenie zasilane prądem, zaangażowanych jest wiele podmiotów: od wytwórcy energii, przez operatorów sieci, po dostawców usług i sprzętu. Atak na jeden, wydawałoby się „techniczny” element, jak centrum danych czy określony serwer, potrafi przewrócić cały łańcuch dostarczania wartości. Dlatego nie możemy patrzeć tylko sektorowo: „to sprawa energetyki” albo „to dotyczy transportu”. Musimy mieć narzędzia i procesy, które pozwalają zarządzać ryzykiem na poziomie całego łańcucha, a nie wyłącznie pojedynczych firm - stwierdził.
W czasie Europejskiego Kongresu Gospodarczego odbyła się dyskusja: Walka z dezinformacją: potrzeba koordynacji
Dezinformacja jest dziś ryzykiem dla biznesu - z czego zdaniem Artura Józefiaka - niewiele osób zdaje sobie w ogóle sprawę.
Na poziomie biznesu, szczególnie w Polsce, temat dezinformacji wciąż prawie nie funkcjonuje. Można wymienić trzy sektory, które z racji doświadczeń wiedzą, czym jest dezinformacja. Po pierwsze farmacja - przez kryzys antyszczepionkowy. Po drugie telekomunikacja - z uwagi na bardzo negatywny PR wokół konkretnych technologii. Po trzecie energetyka - z uwagi na różne zmieniające się narracje wokół atomu, energii odnawialnej czy gazu - wskazał.
Jego zdaniem potrzebna jest dziś koordynacja działań, bo z perspektywy Polski brakuje nam jasnej polityki zwalczania dezinformacji, pod którą podpadałyby konkretne instytucje z jasno określonymi obowiązkami.
- Na końcu celem jest ochrona obywateli, biznesu i kapitału społecznego: zaufania do siebie nawzajem i do legalnych instytucji. Dobrze byłoby, gdyby powołano podmiot lub grupę podmiotów z wyraźnym mandatem do działania w tym obszarze - podsumował.
Realne efekty dezinformacji dla biznesu
W czasie Europejskiego Kongresu Gospodarczego zaprezentowano raport przygotowany przez Fundację IBRIS na zlecenie Grupy PTWP właśnie poświęcony tematyce "Dezinformacji jako ryzyku dla polskiego biznesu". Aż 86 proc. badanych uznaje ją za realne zagrożenie dla działalności firm.
Jednocześnie stwierdzono, że polski biznes nie nadąża w zakresie działań prewencyjnych, bo myśli o zagrożeniach jak w 2020 roku, podczas gdy dezinformacja jest już w roku 2030.
