Umelá inteligencia mení kybernetickú bezpečnosť verejnej správy rýchlejšie, než stíhame nastavovať pravidlá. Najväčšie riziko zatiaľ neprichádza od útočníkov, ale z bezhlavého nasadzovania nástrojov a neuváženého nakladania s dátami. Štát hľadá rovnováhu medzi užitočným pomocníkom a novou plochou útoku.
AI vo verejnej správe: pomocník aj hrozba
Panelisti sa zhodli, že dnešné využívanie AI skôr znižuje bezpečnosť, a to najmä kvôli spôsobu implementácie. Opakuje sa vzorec „tieňového IT“: úradníci siahajú po verejne dostupných službách a bez rozmyslu do nich vkladajú interné dokumenty či osobné údaje, často mimo EÚ. Riziko nie je len v úniku, ale aj v tom, že sa informácie môžu v odpovediach modelov nepriamo vrátiť iným používateľom.
Falošný pocit bezpečia môže vyvolať aj „lokálne“ nasadenie. Ak úrad pustí jazykový model u seba, no zapne mu prehliadanie webu a prístup k interným súborom, otvára dvere rovnako široko. Problém teda nestojí len na tom, kde model beží, ale aké oprávnenia a prepojenia mu dáme. Bez jasných hraníc a kontrol ide o nový, málo zmapovaný povrch rizika.
Prvé pravidlá a čo ešte chýba
Niektoré rezorty už konajú: ministerstvo vnútra má interné usmernenia a v princípe zakazuje používať generatívnu AI na interné dáta, prístup z pracovnej siete je obmedzený a výnimky podliehajú pravidlám. V Európe viaceré úrady ochrany osobných údajov odporučili či priamo zakázali generatívne nástroje vo verejnej správe, kým nebude jasné, kam údaje putujú a ako sa s nimi narába. Kľúčové je jasne pomenovať, čo je povolené, čo nie a za akých podmienok.
AI governance sa na národnej úrovni ešte len doťahuje. Rysuje sa rozdelenie kompetencií: centrálna koordinácia, kyber a bezpečnostné štandardy pod Národným bezpečnostným úradom a ochrana súkromia pod úradom pre ochranu osobných údajov. Nestačí však „papier“ – prax potrebuje spoločné metodiky, testovanie AI komponentov a dohľad nad tým, ako sa s dátami pracuje. Inak budú pravidlá obchádzané cez súkromné zariadenia a neoficiálne nástroje.
Od kódu po kvantá: čo to znamená v praxi
AI dnes zrýchľuje tvorbu kódu a preklady medzi programovacími jazykmi, no výstupy treba dôsledne kontrolovať. Modely často reprodukujú chybné vzory, ne„učia sa“ z pokynov počas jedného sedenia a zabúdajú na predchádzajúce opravy, ak nie sú v kontexte. Bez revízie a bezpečnostného testovania tak vznikajú zraniteľnosti priamo pri vývoji. V budúcnosti môžu viac pomôcť agenti viazaní na presne definované funkcie a dáta.
Veľkou témou je aj príchod postkvantovej kryptografie. Štát už robí prípravy: nové čipové platformy, odporúčania k algoritmom a postupný prechod v súlade s EÚ a NATO. Nejde však len o „vymenenie algoritmu“ – dotkne sa to identít, kariet, šifrátorov aj interoperability systémov a pôjde o dlhoročný proces. A čo chrániť prednostne? Nielen tajné informácie, ale aj dostupnosť a integritu služieb, keďže výpadky a šifrovanie systémov spôsobujú obrovské škody.
V trojuholníku ľudia – technológie – procesy je najťažšie posilniť ľudský faktor. Technológiu kúpite a proces prepíšete rýchlejšie, než vychováte a udržíte kvalifikovaný tím. Panel upozornil aj na slabú vyvoditeľnosť zodpovednosti vo verejnej správe, čo podkopáva bezpečnostné snahy. Kým toto nezmeníme, AI bude skôr zväčšovať trhliny, než prinášať bezpečné zrýchlenie agendy.
