Raport Fastly dotyczący globalnych badań bezpieczeństwa i luka w zabezpieczeniach sztucznej inteligencji: Kiedy innowacje rozwijają się szybciej niż obronność – Zdjęcie: Xpert.Digital
Ostrzeżenie czy chwyt marketingowy? Co tak naprawdę kryje się za poważną luką w zabezpieczeniach sztucznej inteligencji?
Sztuczna inteligencja w biurze: ogromne ryzyko bezpieczeństwa, nad którym nikt nie ma kontroli
Szeroko dyskutowane badanie przeprowadzone przez dostawcę rozwiązań z zakresu cyberbezpieczeństwa Fastly bije na alarm, podając alarmujące liczby – od drastycznie wyższych kosztów szkód po miesiące przestoju w regionie DACH (Niemcy, Austria i Szwajcaria). Ale na ile ten ponury scenariusz jest uzasadnionym ostrzeżeniem, a na ile jedynie sprytnym chwytem marketingowym firmy, która czerpie ogromne zyski właśnie z tych obaw? Krytyczne spojrzenie za kulisy tego napędzanego strachem PR-u ujawnia, że prawdziwe ryzyko nie leży w samej technologii sztucznej inteligencji. To niekontrolowane rozprzestrzenianie się „sztucznej inteligencji” w biurach, rażący niedobór wykwalifikowanych pracowników oraz niepokojące błędne przekonanie, że innowacje można bezpiecznie wprowadzać bez kompleksowych struktur zarządzania. Czas na trzeźwą ocenę rzeczywistych luk w zabezpieczeniach kryjących się za powszechną euforią wokół sztucznej inteligencji.
Ci, którzy ostrzegają najgłośniej, sprzedają gaśnice – krytyczna ocena badania Fastly i prawdziwych słabości kryjących się za euforią związaną ze sztuczną inteligencją
Cyfryzacja gospodarki osiągnęła nowy poziom eskalacji wraz z rewolucją AI. Firmy, które określają się mianem AI-first – czyli te, które od samego początku integrują sztuczną inteligencję ze swoimi podstawowymi procesami i modelami biznesowymi – stają w obliczu paradoksu: technologia, która ma im dać przewagę konkurencyjną, jednocześnie czyni je bardziej podatnymi na ataki niż kiedykolwiek wcześniej. Czwarty raport Global Security Research Report, opublikowany przez Fastly Inc. w lutym 2026 r., przedstawia alarmujące dane: o 123 dni dłuższy czas odzyskiwania danych w regionie DACH (Niemcy, Austria i Szwajcaria), o 140,5% wyższe koszty szkód oraz niekontrolowany wzrost powierzchni ataku z powodu agentowych przepływów pracy i zdecentralizowanych przepływów danych. Zanim jednak te dane zostaną uznane za niepodważalną prawdę, warto przyjrzeć się bliżej źródłu przesłania, podstawom metodologicznym i głębszym przyczynom strukturalnym, które wykraczają daleko poza pojedyncze badanie.
Nadawca jako beneficjent: model biznesowy Fastly w kontekście własnych ostrzeżeń
Fastly Inc., spółka giełdowa z siedzibą w San Francisco, pozycjonuje swoją platformę chmury brzegowej jako rozwiązanie do dostarczania treści, obliczeń i, co najważniejsze, cyberbezpieczeństwa. W czwartym kwartale 2025 roku Fastly wygenerowało całkowite przychody w wysokości 172,6 mln USD, co oznacza wzrost o 23% rok do roku. Szczególnie godna uwagi jest dynamika w branży bezpieczeństwa: przychody z bezpieczeństwa wzrosły o 32% do 35,4 mln USD, stanowiąc obecnie 21% całkowitych przychodów. W całym roku 2025 przychody z bezpieczeństwa wyniosły 125,1 mln USD, z całkowitych przychodów wynoszących 624 mln USD. Fastly świętowało swój pierwszy w historii zyskowny rok obrotowy w 2025 roku.
Te dane są kluczowe dla zrozumienia raportu Global Security Research Report. Fastly sprzedaje dokładnie te produkty, które, według ich własnego raportu, są pilnie potrzebne: zapory sieciowe dla aplikacji internetowych, zabezpieczenia API, zarządzanie botami i ochrona przed atakami DDoS. Kiedy Marshall Erwin, dyrektor ds. bezpieczeństwa informacji w Fastly, stwierdza w badaniu, że ochrona aplikacji internetowych i API staje się narzędziami o znaczeniu krytycznym dla biznesu, w rzeczywistości rekomenduje produkty swojego pracodawcy. Nie oznacza to automatycznie, że dane są niedokładne, ale stwarza to strukturalny konflikt interesów, który należy uwzględnić podczas interpretacji. Firma, której najszybciej rozwijającym się segmentem działalności są rozwiązania bezpieczeństwa, ma interes ekonomiczny w jak najbardziej dramatycznym przedstawianiu zagrożeń bezpieczeństwa.
Ten rodzaj marketingu opartego na strachu nie jest rzadkością w branży cyberbezpieczeństwa. To ugruntowany schemat: dostawcy rozwiązań bezpieczeństwa publikują badania przedstawiające alarmujące scenariusze zagrożeń, jednocześnie oferując odpowiednie rozwiązania. Nie czyni to danych bezwartościowymi, ale sprawia, że krytyczna weryfikacja staje się niezbędna.
Badana metodologia: Co 2000 respondentów może faktycznie udowodnić
Badanie opiera się na ankiecie online przeprowadzonej wśród 2000 decydentów IT, którzy mają wpływ na decyzje dotyczące cyberbezpieczeństwa w dużych firmach z różnych branż. Ankieta została przeprowadzona w czwartym kwartale 2025 roku przez Sapio Research, firmę badawczą, która przeprowadziła badanie za pośrednictwem zaproszeń e-mailowych i ankiet online. W badaniu wzięło udział 200 uczestników z regionu DACH (Niemcy, Austria i Szwajcaria).
Kilka aspektów metodologicznych wymaga krytycznej analizy. Po pierwsze, liczebność próby: 200 respondentów z całego regionu DACH to stosunkowo niewielki przekrój, zwłaszcza gdy wyciąga się z niego konkretne wnioski dotyczące firm stawiających na AI i nie stawiających na AI. Podział próby na dwie podgrupy znacząco zmniejsza moc statystyczną każdej z nich. Wynik taki jak deklarowany zerowy wskaźnik wykorzystania AI wśród firm stawiających na AI w regionie DACH wydaje się mniej empiryczny, a bardziej artefaktem metodologicznym: firmy, które nie korzystają ze sztucznej inteligencji, nie mogą zgłaszać naruszeń związanych z AI, ale nie oznacza to, że te firmy są bezpieczniejsze.
Następnie, definicja kluczowego terminu: Co dokładnie sprawia, że firma jest firmą stawiającą na AI? Badanie definiuje ją jako firmę, która od samego początku integruje AI z podstawowymi procesami i ofertami, zamiast używać jej jedynie jako uzupełnienia. Definicja ta jest otwarta na interpretację i opiera się na samoocenie. Firmy, które określają się jako stawiające AI na pierwszym miejscu, są zazwyczaj większe, bardziej ambitne technologicznie i posiadają bardziej złożoną infrastrukturę IT. Już z tego powodu mają większą powierzchnię ataku, co może przynajmniej częściowo wyjaśniać wyższe koszty uszkodzeń i dłuższy czas odzyskiwania danych, bez konieczności łączenia AI z innymi czynnikami. Dowód korelacji nie jest tym samym, co dowód związku przyczynowo-skutkowego.
Co więcej, czasy odzyskiwania danych są samoocenami respondentów, a nie wartościami obiektywnie zmierzonymi. Pytanie o to, kiedy firma uważa się za w pełni odzyskaną, podlega subiektywnym kryteriom. Firmy stawiające na sztuczną inteligencję, ze względu na swoją większą złożoność technologiczną, mogłyby stosować bardziej rygorystyczne standardy pełnego odzyskiwania danych, co przynajmniej częściowo wyjaśniałoby zmierzoną różnicę wynoszącą 123 dni.
Dane globalne a dane dla regionu DACH: Uderzające rozbieżności
Godnym uwagi aspektem badania jest znaczna rozbieżność między wynikami globalnymi a danymi specyficznymi dla regionu DACH. Globalnie różnica w czasie odzyskiwania danych między firmami stawiającymi na AI i nie stawiającymi na AI wynosi 80 dni, przy czym koszty szkód są o 135% wyższe. Natomiast w regionie DACH różnica wynosi 123 dni, a koszty są o 140,5% wyższe. Różnica w wykorzystaniu AI jest jeszcze bardziej znacząca: globalnie 44% firm stawiających na AI deklaruje bezpośrednie wykorzystanie AI, w porównaniu z 6% firm niestawiających AI na AI. W regionie DACH odsetek firm stawiających na AI wzrasta do 49%, podczas gdy odsetek firm niestawiających AI spada do zera.
Porównanie kluczowych wskaźników efektywności (KPI) ujawnia istotne różnice między średnią globalną a regionem DACH (Niemcy, Austria i Szwajcaria). Różnica w czasie odzyskiwania danych po incydencie między firmami stawiającymi na AI i nie-AI wynosi 80 dni na całym świecie, ale 123 dni w regionie DACH. Koszty szkód są również wyższe dla firm stawiających na AI w regionie DACH i wynoszą 140,5%, w porównaniu ze średnią globalną wynoszącą 135%.
W 44% firm na całym świecie, stawiających na sztuczną inteligencję, sztuczna inteligencja była bezpośrednio wykorzystywana w atakach; w regionie DACH (Niemcy, Austria i Szwajcaria) odsetek ten był jeszcze wyższy i wynosił 49%. W przypadku firm, które nie stawiają na sztuczną inteligencję, problem ten wystąpił jedynie w 6% przypadków na świecie, a w regionie DACH (0%) nie odnotowano ani jednego takiego przypadku.
Globalnie 64% respondentów uważa scraping za czynnik kosztowy, podczas gdy w regionie DACH (Niemcy, Austria, Szwajcaria) odsetek ten wzrasta do 57%. Średni roczny koszt scrapingu wynosi około 348 000 USD na całym świecie i około 372 059 EUR w regionie DACH.
| Kluczowa postać | Światowy | Region DACH |
|---|---|---|
| Różnica w odzyskiwaniu: najpierw sztuczna inteligencja a bez sztucznej inteligencji | 80 dni | 123 dni |
| Wyższe koszty uszkodzeń AI-First | 135% | 140,5% |
| Bezpośrednie wykorzystanie sztucznej inteligencji (AI-First) | 44% | 49% |
| Bezpośrednie wykorzystanie sztucznej inteligencji (bez sztucznej inteligencji) | 6% | 0% |
| Scraping AI jako czynnik kosztowy | 64% | 57% |
| Średnie roczne koszty skrobania | ~348 000 USD | ~372 059 EUR |
Te rozbieżności rodzą pytania. Region DACH wydaje się być bardziej ekstremalny niż średnia światowa w niemal wszystkich kategoriach. Może to wynikać z cech charakterystycznych dla danego regionu, takich jak inny skład badanych firm, bardziej złożone otoczenie regulacyjne w Niemczech, Austrii i Szwajcarii, lub po prostu z wahań statystycznych przy próbie liczącej zaledwie 200 respondentów.
Co naprawdę kryje się za luką w zabezpieczeniach: Przyczyny strukturalne wykraczające poza narracje marketingowe
Niezależnie od uzasadnionej krytyki badania Fastly, nie można zignorować jednej centralnej tezy: wdrażanie sztucznej inteligencji (AI) przekracza możliwości bezpieczeństwa IT w wielu firmach. Zjawisko to potwierdzają liczne niezależne źródła, które nie mają porównywalnych interesów komercyjnych.
Barometr Ryzyka Allianz 2026, oparty na badaniu 3338 ekspertów ds. ryzyka z 97 krajów, ujawnia znaczącą zmianę w rankingach: sztuczna inteligencja awansowała z dziesiątego na drugie miejsce wśród globalnych zagrożeń biznesowych, ustępując jedynie cyberincydentom, które piąty rok z rzędu plasują się na szczycie listy. W Niemczech sztuczna inteligencja zajmuje czwarte miejsce, stanowiąc 26% wzmianek. Badanie Allianz wskazuje, że wdrażanie technologii często wyprzedza struktury zarządzania i regulacje, co nasila ryzyko prawne.
Raport IBM „Cost of a Data Breach Report 2025”, oparty na analizie rzeczywistych incydentów bezpieczeństwa, dostarcza dalszych informacji. Podczas gdy globalny średni koszt naruszeń danych spadł do 4,44 mln USD, incydenty związane z tzw. „shadow AI” kosztowały średnio 4,63 mln USD, czyli o 670 000 USD więcej niż typowe incydenty. Incydenty związane z „shadow AI” stanowią już 20% wszystkich naruszeń danych. Szczególnie alarmujący jest fakt, że 97% firm, które doświadczyły naruszenia bezpieczeństwa związanego ze sztuczną inteligencją, nie posiadało odpowiednich mechanizmów kontroli dostępu do sztucznej inteligencji.
Raport CrowdStrike Global Threat Report 2026 dokumentuje 89-procentowy wzrost liczby ataków z wykorzystaniem sztucznej inteligencji w porównaniu z rokiem poprzednim. Atakujący wykorzystują sztuczną inteligencję do celów takich jak rozpoznanie, kradzież tożsamości i ukrywanie swoich działań. Złośliwe komunikaty zostały wstrzyknięte do generatywnych narzędzi sztucznej inteligencji w ponad 90 firmach. Czas wybicia, czyli czas od pierwszego dostępu do ruchu w sieci, w niektórych przypadkach skrócił się do mniej niż 30 minut.
Shadow AI: niewidzialna epidemia w firmach
Jednym z najważniejszych czynników stojących za problemami bezpieczeństwa firm stawiających na AI nie jest autoryzowane użycie AI, ale nieautoryzowane. Shadow AI, czyli korzystanie z narzędzi AI bez zgody lub nadzoru działu IT, osiągnęło skalę, której większość kadry kierowniczej nie docenia.
Dane są jednoznaczne: 98% wszystkich organizacji zatrudnia pracowników korzystających z nieautoryzowanych aplikacji, w tym narzędzi AI. Prawie 90% wykorzystania AI w firmach pozostaje niewidoczne dla organizacji. Badanie Gartnera przeprowadzone wśród 175 pracowników wykazało, że 57% z nich korzysta z osobistych kont GenAI w pracy. Jedna trzecia przyznała się do przesyłania poufnych informacji do nieautoryzowanych narzędzi. Ilość danych firmowych skopiowanych lub przesłanych do narzędzi AI wzrosła o 485% między 2023 a 2024 rokiem. W latach 2024-2025 przepływ danych pracowników do usług GenAI wzrósł trzydziestokrotnie.
Problem leży nie tyle w złych zamiarach, co w strukturalnym konflikcie motywacyjnym. Pracownicy korzystają z narzędzi AI, ponieważ chcą być bardziej produktywni. Sześćdziesiąt procent pracowników zgadza się, że korzystanie z nieautoryzowanych narzędzi AI jest warte ryzyka bezpieczeństwa, jeśli pozwala im pracować szybciej. Stawia to bezpieczeństwo IT przed dylematem: restrykcyjne środki jedynie spychają ich użycie jeszcze głębiej w podziemia, a liberalne podejście dodatkowo zwiększa powierzchnię ataku.
Tylko 17% firm wdrożyło mechanizmy kontroli technicznej, które mogą faktycznie zapobiec przesyłaniu poufnych danych do narzędzi AI. 63% nie ma żadnych formalnych polityk zarządzania AI. Zaledwie sześć% firm posiada zaawansowaną strategię bezpieczeństwa AI. Dane te pokazują, że problem nie leży przede wszystkim w samej technologii, ale w ogromnym deficycie w zakresie zarządzania.
🎯🎯🎯 Skorzystaj z bogatej, pięciokrotnej wiedzy eksperckiej Xpert.Digital w ramach jednego kompleksowego pakietu usług | BD, R&D, XR, PR i optymalizacja widoczności cyfrowej
Skorzystaj z bogatej, pięciokrotnej wiedzy specjalistycznej Xpert.Digital w ramach kompleksowego pakietu usług | Badania i rozwój, XR, PR i optymalizacja widoczności cyfrowej — Zdjęcie: Xpert.Digital
Xpert.Digital posiada dogłębną wiedzę z różnych branż. Pozwala nam to opracowywać strategie dopasowane do indywidualnych potrzeb i wyzwań konkretnego segmentu rynku. Dzięki ciągłej analizie trendów rynkowych i monitorowaniu rozwoju branży, możemy działać proaktywnie i oferować innowacyjne rozwiązania. Połączenie doświadczenia i wiedzy specjalistycznej generuje wartość dodaną i zapewnia naszym klientom zdecydowaną przewagę konkurencyjną.
Więcej informacji tutaj:
Paradoks miliarda dolarów: dlaczego rekordowe wydatki na bezpieczeństwo sztucznej inteligencji zmniejszają bezpieczeństwo Twojej firmy
Problem wykwalifikowanych pracowników: przemysł, który nie jest w stanie zaspokoić własnego popytu
Luka w zabezpieczeniach w integracji sztucznej inteligencji pogłębia się z powodu chronicznego niedoboru wykwalifikowanych specjalistów. Globalna branża cyberbezpieczeństwa zmaga się z niedoborem 4,8 miliona wykwalifikowanych pracowników. W samych Stanach Zjednoczonych brakuje 225 000 specjalistów średniego szczebla. Sytuacja się nie poprawia: w Ameryce Północnej i Europie liczba pracowników zajmujących się cyberbezpieczeństwem wręcz się zmniejszyła.
Szczególnie problematyczny jest aspekt jakościowy tego niedoboru. Według badania ISC2 z 2025 roku, 59% ankietowanych specjalistów zgłosiło krytyczną lub znaczącą lukę kompetencyjną w swoich organizacjach, co stanowi wzrost o 44% w porównaniu z rokiem poprzednim. Bezpieczeństwo AI zostało wskazane jako najpilniej potrzebna umiejętność (41%), a następnie bezpieczeństwo w chmurze (36%). Wpływ tego niedoboru jest bezpośrednio mierzalny: 88% specjalistów zgłosiło co najmniej jedną negatywną konsekwencję braku kompetencji w swojej organizacji. Jedna czwarta stwierdziła, że pracownikom przydzielane są zadania przekraczające poziom ich przeszkolenia.
Ten niedobór umiejętności wyjaśnia znaczną część ustaleń badania Fastly. Kiedy firmy integrują sztuczną inteligencję (AI) ze swoimi procesami, nie dysponując personelem, który mógłby modernizować architekturę bezpieczeństwa w tym samym tempie, nieuchronnie pojawia się rosnąca luka. Problemem nie jest brak bezpieczeństwa AI, ale raczej brak osób, które potrafią ją zabezpieczyć.
Wymiar ekonomiczny: Wydatki na bezpieczeństwo osiągnęły rekordowy poziom, ale są niewłaściwie przydzielane?
Reakcja świata biznesu na rosnące zagrożenia znajduje odzwierciedlenie w rosnących inwestycjach. Gartner prognozuje, że globalne wydatki na bezpieczeństwo informacji osiągną 240 miliardów dolarów do 2026 roku, co stanowi wzrost o 12,5% rok do roku. W porównaniu ze 193,5 miliarda dolarów w 2024 roku, oznacza to wzrost o prawie 47 miliardów dolarów w ciągu zaledwie dwóch lat. Sam rynek bezpieczeństwa opartego na sztucznej inteligencji ma wzrosnąć z 49 miliardów dolarów w 2025 roku do 160 miliardów dolarów w 2029 roku.
Jednak sama wysokość wydatków niewiele mówi o ich skuteczności. Niepokojące odkrycie z badania Thales z 2025 roku pokazuje, że w 52% przebadanych firm wydatki na bezpieczeństwo AI pochłaniają istniejące budżety na bezpieczeństwo. Oznacza to, że środki na ochronę systemów AI nie są alokowane dodatkowo, lecz przekierowywane z budżetu przeznaczonego na tradycyjne środki bezpieczeństwa, takie jak ochrona danych w chmurze i zarządzanie tożsamościami. Ta realokacja tworzy nowe luki w zabezpieczeniach w innych obszarach.
Dane IBM dostarczają wnikliwego kontrargumentu. Firmy, które w pełni integrują sztuczną inteligencję i automatyzację ze swoją architekturą bezpieczeństwa, oszczędzają średnio 1,9 miliona dolarów na każdym incydencie, przy średnich kosztach wynoszących 3,62 miliona dolarów w porównaniu z 5,52 miliona dolarów w przypadku firm bez takich inwestycji. Paradoks jest uderzający: ta sama technologia, która jednocześnie tworzy nowe powierzchnie ataku, oferuje najskuteczniejszą obronę, pod warunkiem, że zostanie wdrożona z odpowiednimi mechanizmami kontroli.
Agentyczna sztuczna inteligencja: kolejny poziom eskalacji powierzchni ataku
Choć badanie Fastly dokumentuje obecny stan rzeczy, kolejna eskalacja już majaczy na horyzoncie. Agentyczna sztuczna inteligencja (AI), czyli autonomiczne systemy AI, które samodzielnie wykonują zadania, uzyskują dostęp do baz danych i komunikują się między systemami, jest uznawana przez 48% ekspertów ds. cyberbezpieczeństwa za najważniejszy wektor ataku w 2026 roku. Ryzyko to przewyższa zatem zarówno zagrożenia związane z deepfake’ami, jak i inne zagrożenia związane ze sztuczną inteligencją.
Podstawowy problem: każdy agent AI wdrożony w środowisku korporacyjnym generuje tożsamość inną niż ludzka, która wymaga dostępu do API i uwierzytelniania między maszynami. Tradycyjne systemy zarządzania tożsamością zostały zaprojektowane do uwierzytelniania ludzi, a nie maszyn. Jeśli zespół marketingowy używa agenta AI do automatyzacji analityki kampanii, potrzebuje dostępu do CRM, platformy e-mail, baz danych klientów i interfejsów API reklam – czterech różnych systemów, z których każdy ma własne wymagania uwierzytelniające. Pomnóż to przez liczbę zespołów testujących podobne narzędzia, a zobaczysz, jak szybko powierzchnia ataku może wymknąć się spod kontroli.
W grudniu 2025 roku projekt Open Web Application Security Project (OWASP) opublikował swoją pierwszą listę 10 najlepszych aplikacji opartych na agentach, sporządzoną przez ponad 100 ekspertów ds. bezpieczeństwa z branży, środowiska akademickiego i administracji publicznej. Rzeczywiste ataki, takie jak EchoLeak i ForcedLeak, z krytycznymi wynikami CVSS odpowiednio 9,3 i 9,4, pokazują, że nie są to jedynie teoretyczne scenariusze. Zagrożenie ze strony zainfekowanych agentów, które autonomicznie replikują i eksfiltrują dane, jest już rzeczywistością.
Wyścig między atakującymi i obrońcami: strukturalna nierównowaga
Problemy bezpieczeństwa związane z transformacją AI-first ostatecznie odzwierciedlają fundamentalną nierównowagę strukturalną. Sztuczna inteligencja obniża koszty i bariery wejścia dla atakujących szybciej, niż obrońcy są w stanie dostosować swoje środki zaradcze. Generatywna sztuczna inteligencja umożliwia tworzenie przekonujących kampanii phishingowych w ciągu kilku minut zamiast dni. Czas potrzebny na stworzenie przynęty phishingowej został drastycznie skrócony. Szesnaście procent wszystkich naruszeń danych wiąże się obecnie ze złośliwym wykorzystaniem narzędzi AI przez atakujących, przy czym 37 procent z nich to kampanie phishingowe generowane przez AI, a 35 procent to ataki deepfake.
Po stronie obronnej brakuje nie tylko personelu, ale także szybkości. Chociaż średni czas odzyskiwania danych skrócił się z 7,34 miesiąca w 2024 r. do 6,08 miesiąca w 2025 r., czyli o 17%, poprawa ta została osiągnięta głównie dzięki przeglądom po incydentach (52% organizacji) oraz automatyzacji działań reagowania (43%). Podstawowe problemy architektoniczne, w szczególności brak przejrzystości w zakresie wdrażania sztucznej inteligencji i przepływów danych, nadal występują.
Prawdziwe przyczyny: Cztery problemy systemowe
Podstawowe przyczyny problemów z bezpieczeństwem transformacji opartej na sztucznej inteligencji można sprowadzić do czterech systemowych wad, które wykraczają daleko poza to, co omówiono w badaniu Fastly.
Pierwszym problematycznym aspektem jest organizacyjne rozdzielenie innowacji od bezpieczeństwa. W wielu firmach projektami AI zarządzają jednostki biznesowe lub zespoły ds. innowacji, podczas gdy bezpieczeństwo IT jest traktowane jako drugorzędny proces kontroli. Badanie pokazuje, że 51% firm stawiających na AI zgłasza brak jasności co do tego, kto odpowiada za reagowanie na incydenty, w porównaniu z 23% firm, które nie stawiają AI na pierwszym miejscu. To zamieszanie jest symptomem braku struktur zarządzania, które uwzględniałyby bezpieczeństwo AI jako integralną część strategii AI.
Drugim problemem jest brak technicznych mechanizmów kontroli w połączeniu z nadmiarem polityk. Dane wyraźnie pokazują, że środki zależne od człowieka, takie jak szkolenia (stosowane przez 40% firm), e-maile z ostrzeżeniami (20%) i pisemne polityki (10%), nie zapewniają żadnej udowodnionej ochrony. Jedynie mechanizmy kontroli technicznej – czyli automatyczne blokowanie, klasyfikacja danych w czasie rzeczywistym i ujednolicone platformy zarządzania – zapewniają wymierną ochronę. Jednak tylko 17% firm wdrożyło takie mechanizmy.
Trzecim problematycznym zjawiskiem jest migracja budżetu zamiast jego zwiększenia. Skoro 52% firm finansuje wydatki na bezpieczeństwo AI z istniejących budżetów, problem nie zostaje rozwiązany, a jedynie odroczony w czasie. Zabezpieczanie nowych systemów AI nie może odbywać się kosztem ochrony istniejącej infrastruktury. A jednak właśnie tak dzieje się w praktyce.
Czwartym negatywnym zjawiskiem jest pośpiech napędzany przez rynek. Presja konkurencji, aby szybko wdrażać sztuczną inteligencję, aby uniknąć pozostawania w tyle, prowadzi do pomijania lub skracania audytów bezpieczeństwa. Deweloperzy korzystają z agentowej sztucznej inteligencji z minimalnymi kontrolami bezpieczeństwa, w tym nieprzetestowanymi serwerami MCP typu open source i kodem generowanym za pomocą tzw. kodowania wibracyjnego. W rezultacie rośnie liczba podatnych na ataki infrastruktur.
Ramy regulacyjne: Ustawa UE o sztucznej inteligencji jako miecz obosieczny
Reakcja regulacyjna na wyzwania związane z bezpieczeństwem sztucznej inteligencji nabiera kształtów, ale niesie ze sobą szereg komplikacji. W związku z 59 nowymi przepisami dotyczącymi sztucznej inteligencji, które mają wejść w życie w 2024 roku, czyli ponad dwukrotnie więcej niż w roku poprzednim, firmy borykają się z idealną kombinacją luk w zabezpieczeniach, naruszeń przepisów i ryzyka konkurencyjnego. Ustawa UE o sztucznej inteligencji dodatkowo zwiększa presję i stwarza nowe problemy z odpowiedzialnością, szczególnie w odniesieniu do zautomatyzowanych procesów decyzyjnych.
Badanie Allianz podkreśla, że wiele firm postrzega obecnie sztuczną inteligencję nie tylko jako strategiczną szansę, ale także jako złożone źródło ryzyka operacyjnego, prawnego i reputacyjnego. W wielu przypadkach wdrażanie postępuje szybciej, niż ład korporacyjny, regulacje i kultura korporacyjna nadążają. Prawie 55% firm nie jest przygotowanych na przestrzeganie przepisów dotyczących sztucznej inteligencji.
Rozporządzenie rozwiązuje realne problemy, ale grozi pogłębieniem niekorzystnej sytuacji konkurencyjnej europejskich firm, jeśli koszty przestrzegania przepisów będą asymetrycznie spadać na innowacyjnych użytkowników sztucznej inteligencji. Firmy, które głęboko integrują sztuczną inteligencję i tym samym czerpią większe korzyści ekonomiczne, ponoszą również największe obciążenia związane z przestrzeganiem przepisów. Paradoksalnie, może to prowadzić do wolniejszego wdrażania sztucznej inteligencji przez europejskie firmy, bez zwiększania poziomu bezpieczeństwa, ponieważ atakujący nie przestrzegają europejskich przepisów.
Analiza kosztów i korzyści: ile tak naprawdę kosztuje AI-First
Trzeźwa analiza ekonomiczna strategii AI-first wymaga porównania wyższych kosztów bezpieczeństwa ze wzrostem produktywności. Badanie Fastly podkreśla stronę kosztową, ale w dużej mierze ignoruje korzyści. Firmy stawiające na AI-first są często bardziej innowacyjne, wydajne i konkurencyjne. Pytanie nie brzmi, czy integracja AI generuje koszty bezpieczeństwa, ale czy efekt netto pozostaje pozytywny.
Dane IBM dostarczają tu ważnej wskazówki: firmy, które w pełni wdrażają sztuczną inteligencję i automatyzację, zmniejszają średnie koszty incydentów do 3,62 mln dolarów, w porównaniu z 5,52 mln dolarów w przypadku firm bez zabezpieczeń opartych na sztucznej inteligencji. Oszczędności rzędu 1,9 mln dolarów na incydent, w połączeniu z 80-dniowym skróceniem czasu wykrywania, dowodzą, że rozwiązanie nie leży w mniejszej ilości sztucznej inteligencji, ale w lepszym zarządzaniu nią.
Agentowa sztuczna inteligencja może zwiększyć produktywność od pięciu do dziesięciu razy. Ten ogromny wzrost wydajności należy porównać z dodatkowymi kosztami dłuższego czasu odzyskiwania danych i wyższymi kosztami szkód. Dla większości firm rachunek powinien być pozytywny, pod warunkiem jednoczesnej inwestycji w architekturę bezpieczeństwa. Prawdziwe ryzyko nie tkwi w samym wykorzystaniu sztucznej inteligencji, ale w iluzji czerpania korzyści z AI bez inwestowania w jej bezpieczeństwo.
Oportunizm czy uzasadnione ostrzeżenie: niuansowa ocena
Na pytanie, czy raport Fastly stanowi oportunistyczny marketing, czy uzasadnione ostrzeżenie, nie można odpowiedzieć w sposób binarny. Oba elementy są obecne, a ich waga zależy od perspektywy.
Raport ma charakter oportunistyczny, ponieważ pochodzi od firmy, która bezpośrednio czerpie zyski z niepewności, jaką generuje. Pozycjonowanie rozwiązań WAAP jako odpowiedzi na opisane problemy to ledwie zamaskowana reklama produktu. Dane specyficzne dla regionu DACH, ze względu na niewielką liczebność próby i uderzająco skrajne wartości w porównaniu ze średnią światową, należy interpretować z ostrożnością.
Jednocześnie raport stanowi uzasadnione ostrzeżenie, ponieważ fundamentalna teza, że wdrażanie sztucznej inteligencji wyprzedza modernizację zabezpieczeń, jest poparta licznymi niezależnymi źródłami. Barometr Ryzyka Allianz, raport IBM „Cost of a Data Breach Report”, raport CrowdStrikes Threat Report, raport BigID „AI Risk Report” oraz prognozy wydatków Gartnera rysują spójny obraz: powierzchnia ataku rośnie szybciej niż możliwości obrony.
Prawdziwe przyczyny problemów z bezpieczeństwem w firmach stawiających na AI są głębsze, niż sugeruje Fastly. Nie chodzi tu przede wszystkim o brak łatwo dostępnych produktów zabezpieczających, ale raczej o niedociągnięcia organizacyjne: nieodpowiednie struktury zarządzania, niewystarczającą liczbę pracowników, błędnie przydzielone budżety oraz kulturowe priorytetyzowanie szybkości nad bezpieczeństwem. Tych problemów strukturalnych nie da się rozwiązać poprzez zakup zapory sieciowej dla aplikacji internetowych, niezależnie od tego, jak bardzo są one potrzebne. Wymagają one fundamentalnej zmiany w sposobie, w jaki firmy planują, zatwierdzają i monitorują projekty AI. Problemem nie jest sama technologia. Problem leży w braku, a wręcz niezbędnej, gotowości do traktowania bezpieczeństwa jako równoprawnego partnera innowacji.
Twój globalny partner w zakresie marketingu i rozwoju biznesu
☑️ Naszym językiem biznesowym jest angielski lub niemiecki
☑️ NOWOŚĆ: Korespondencja w Twoim ojczystym języku!
Konrad Wolfenstein
Ja i mój zespół chętnie będziemy do Państwa dyspozycji jako osobisty doradca.
Możesz się ze mną skontaktować, wypełniając formularz kontaktowy tutaj wolfenstein@xpert.digital:lub po prostu dzwoniąc pod numer +49 7348 4088 965. Mój adres e-mail to
Nie mogę się doczekać naszego wspólnego projektu.
