AI je všude kolem nás a nevykazuje žádné známky ústupu. Do roku 2025 dosáhne globální adopce AI počtu 378 milionů uživatelů a trh bude mít hodnotu 244 miliard dolarů. Více než 61 % amerických dospělých použilo AI během prvních šesti měsíců roku 2025 a téměř každý pátý na ni spoléhá denně.
Generativní AI je však známá svými chybami, což brání jejímu plnému nasazení v sektorech, které vyžadují extrémní přesnost, nebo v regulovaných odvětvích, jako je zdravotnictví a finance. Ze stejných důvodů je třeba k AI řešením v oblasti kybernetické bezpečnosti přistupovat s vysokou mírou opatrnosti. Špatně implementovaná AI může vést k nadměrnému počtu falešně pozitivních událostí a oslabení ochrany soukromí uživatelů namísto posílení bezpečnosti dat.
Bohužel tyto skutečnosti nezpomalily dodavatele, kteří se chtějí svézt na vlně AI. Zaplnili své marketingové prezentace řešeními označenými jako AI — od detekce hrozeb a automatizace až po cloudové nabídky integrované s AI. Z pohledu bezpečnostních lídrů je otázkou, zda tato řešení nejsou jen další marketingovou bublinou, nebo zda skutečně významně zlepšují bezpečnostní postoj organizace. Dokonce znovu přebalili starší funkce jako AI. Například strojové učení se v kyberbezpečnosti používá již roky a tento starý nástroj je nyní výrazně prezentován jako „AI“.
V tomto článku si rozebereme podstatu a vysvětlíme, na co byste se měli jako bezpečnostní lídr zaměřit při hodnocení AI funkcí dodavatelů.
Když je AI jen marketing
Dodavatelé kyberbezpečnostních technologií často přejmenovali existující funkce na AI, aby využili současného trendu, aniž by přidali nové schopnosti. Mnoho adaptivních funkcí, jako je behaviorální analýza, vychází z technik strojového učení — například rozhodovacích stromů nebo clusteringu — které byly vyvinuty dávno před boomem AI v letech 2023–2025. Dodavatelé je nyní balí jako pokročilou AI, aby ladili s tržními očekáváními.
Dodavatelé také aktivně provádějí tzv. „agent washing“, tedy přeznačování existujících produktů jako agentních, přestože jim skutečné agentní schopnosti chybí, uvádí Gartner. Sedmdesát šest procent bezpečnostních profesionálů souhlasí, že trh s AI je přesycený hype.
Toto přebalování umožňuje dodavatelům zvyšovat ceny nebo přitahovat zákazníky očekávající vyšší úroveň bezpečnosti, ale funkce často nedělají víc než to, co zvládaly starší verze. V nejhorším případě dodavatel prodává zastaralý produkt a prezentuje jej jako nejmodernější řešení.
Ačkoli někteří dodavatelé skutečně integrují inovace, jako je deep learning, nedostatek transparentnosti ohledně detailů — například o modelech nebo datech použitých k tréninku — zamlžuje hranice. Kupující by měli požadovat důkazy o zlepšení, například snížení počtu falešně pozitivních událostí, aby se vyhnuli investicím do přeznačené zastaralé technologie.
„Vidíme slib detekce hrozeb založené na AI, ale většinou jde jen o základní porovnávání signatur s novou marketingovou nálepkou,“ říká Zbyněk Sopuch, CTO společnosti Safetica. „Další oblíbenou taktikou je nabízet chatovací roboty nebo ‘AI asistenty’, kteří jen znovu prezentují statické znalostní báze, ale reálně nesnižují pracovní zátěž analytiků. Klíčem je úplně změnit způsob přemýšlení a zaměřit se na skutečnou přidanou hodnotu — což ale dnes na trhu často nevidíme.“
Zbyněk Sopuch, CTO společnosti Safetica
Když AI problemy zhoršuje
Někteří dodavatelé integrují AI funkce, které pouze zesilují šum a množství signálů, čímž zahlcují týmy místo toho, aby řešili hlavní problémy. Nové nástroje pak vedou k únavě z množství alertů a dále zvyšují komplexitu ekosystému dodavatelů.
Existuje také rozdíl v vnímání: 71 % vedení tvrdí, že AI zvyšuje produktivitu, ale pouze 22 % SOC analytiků souhlasí. Jak uvedl jeden z analytiků: „Nejde o to, že nechceme AI používat. Jen jí nevěříme natolik, aby fungovala spolehlivě bez naší neustálé kontroly.“
„Špatně nastavená AI může zaplavit týmy falešnými poplachy, čímž vytváří únavu z alertů místo toho, aby ji snižovala,“ říká Sopuch. „Mnoho firem jednoduše ‘nasadí AI’ a považuje to za hotové, ale neuvažují o tom jako o začátku celého procesu.“
Zbyněk Sopuch, CTO společnosti Safetica
Samotná povaha AI může být problémem, například když zaměstnanci vkládají data do LLM systémů, jejichž nedostatečná ochrana soukromí může vést k neúmyslnému úniku dat. V případě ChatGPT je situace ještě vážnější, protože OpenAI je momentálně pod soudním nařízením trvale uchovávat všechny kopie konverzací uživatelů, a to i po jejich smazání.
Nástroje pro koncové uživatele s prvky AI způsobily mnoho bezesných nocí profesionálům v kyberbezpečnosti. Ať už jde o Windows Recall pořizující snímky obrazovky každé akce uživatele, zbloudilé kódovací agenty, AI asistenty nahrávající a přepisující každé důvěrné jednání, nebo AI generovaný kód nasazený s chybami — firmy byly příliš uspěchané v uvádění nových nástrojů bez dostatečného testování, jen aby stihly trend.
Dodavatelé kyberbezpečnosti nejsou výjimkou. FOMO ohledně „nutnosti mít AI“ je všudypřítomné. Uspěchaná řešení založená na AI často vytvářejí zranitelnosti a bezpečnostní či rizikové aspekty AI funkcí bývají opomíjeny — pokud se vůbec zvažují. V takových případech může AI ve skutečnosti přispívat k rozšiřování útočné plochy organizace místo toho, aby ji pomáhala řídit.
Kde je AI opravdu užitečná
Při hodnocení dodavatelů, kteří propagují nebo předvádějí funkce poháněné AI, je důležité soustředit se na základní principy každého nákupního rozhodnutí.
„Při posuzování AI v produktu by se bezpečnostní lídři měli zaměřit na praktičnost,“ říká Libor Pazdera, Senior Technical Consultant ve Safetica. „AI zní vzrušující, ale pomáhá skutečně vašemu týmu, nebo mu přidává práci? Někteří dodavatelé používají výraz ‘poháněno AI’ jen proto, aby působili moderně, ale často jde o základní automatizaci. Ptejte se: Co AI dělá? Dokáže vysvětlit svá rozhodnutí? Šetří čas, nebo jen přidává alerty? AI by měla pomáhat, ne nahrazovat nebo mást. Pokud práci týmu usnadňuje, je to dobré znamení. Pokud působí jako záhada, pravděpodobně není připravena.“
Libor Pazdera, Senior Technical Consultant ve Safetica
Zvažte funkce, které poskytují automatizaci, a ptejte se, zda tato automatizace zvýší, nebo sníží produktivitu. Například automatizované akce založené na událostech mohou automaticky zablokovat uživatele kvůli jediné anomálii. Bez zásahu člověka, který posoudí úroveň rizika, to může vést k nadměrnému narušení provozu. Naopak automatizované blokování při vysoce rizikových anomáliích může rozhodnout o tom, zda bude útok zadržen, či nikoliv. Pochopení nuancí je zásadní při posuzování, zda je daná funkce pro vaši organizaci vhodná.
„Chytré“ funkce určené ke snížení „šumu“ mohou někdy vytvářet šum samy. Použití LLM jako filtru je potenciálním případem. V závislosti na datech použitých pro trénink a schopnosti adaptace může být model natolik dobře vytrénovaný, že dokáže identifikovat vysokou hrozbu a zároveň potlačit méně důležité alerty, což může týmu skutečně ušetřit čas.
Nejdůležitější otázkou je, zda přijetí AI posiluje tým. Požádejte dodavatele, aby vám ukázali, jak jejich nástroj zrychluje reakční dobu.
„Při hodnocení AI funkcí v řešení dodavatele by měli bezpečnostní lídři zaujmout vyvážený přístup,“ říká CISO Safetica Radim Travnicek. „Na jedné straně AI přináší významné benefity: může urychlit detekci, automatizovat opakující se úkoly a odhalit souvislosti, které by jinak zůstaly skryté.
Radim Travnicek, CISO ve Safetica
Nekupujte hype, kupujte výsledky
Je snadné podléhat hype kolem AI a cítit FOMO při jednání s dodavateli, zejména když prezentují své efektní ukázky.
Bez ohledu na prezentace požadujte od dodavatelů výsledky. Zeptejte se, kolik hrozeb nástroj zastavil díky AI a kolik bez ní. Případové studie a příklady použití jsou zde nesmírně užitečné — a pokud je firma nemá, znamená to, že funkce nebyly dostatečně prověřeny v reálném prostředí.
Když se budete méně soustředit na samotné funkce a více na výsledky, zajistíte, že se nenecháte chytit marketingem a budete přemýšlet komplexněji o tom, jak mohou funkce poháněné AI zapadnout do vašeho konkrétního oddělení.
Cílem je bezpečná organizace, ne organizace ve stylu Jamese Bonda s efektními gadgety, které však útočníky nezastaví.