Az MI által támogatott kibertámadások rohamos terjedése
Az MI-vel felturbózott adatlopások átlagosan 4,88 millió dollárba (mintegy 1,75 milliárd forintba) kerülnek egy szervezetnek – ebben még nincs is benne a jó hírnév romlása, a bírságok vagy az üzemzavar miatti veszteségek. Bár maga a támadás önmagában is óriási veszély, ma már a legnagyobb fenyegetés az, ha a szervezeti vezetők észre sem veszik a veszélyt. Csak az elmúlt évben 44%-kal nőtt a külsőleg elérhető rendszereket támadó incidensek száma, amelyek többségét MI-alapú sebezhetőségek okozták. Ezek a támadások valós időben tanulnak, alkalmazkodnak, fejlesztik magukat – nincs szükség emberi irányításra.
Miközben a fenyegetések hihetetlen ütemben alkalmazkodnak, a szervezetek 77%-a még az alapvető adat- és MI-biztonsági intézkedésekkel sem rendelkezik. A támadások sebessége és a védekezők felkészültsége közötti szakadék az egyik legnagyobb stratégiai hiba korszakunkban.
Az MI-korszak: a VUCA-tól a BANI szemléletig
Korábban a vezetők a VUCA (volatilis, bizonytalan, komplex, kétértelmű) koncepcióra alapoztak. Mostanra azonban a világ BANI-vá vált – törékeny (brittle), szorongáskeltő (anxious), nemlineáris (nonlinear), felfoghatatlan (incomprehensible) lett.
Törékeny, mert egy apró hiba is láncreakciót indíthat. Például a NotPetya zsarolóvírus 2017-ben 40 ezer számítógépet és 10 ezer szervert bénított le 40 percen belül a TNT Express globális hálózatában.
Szorongáskeltő, mert a vezetők folyamatosan válaszút előtt állnak: gyorsan kell dönteniük, de kevés és sokszor bizonytalan információval rendelkeznek.
Nemlineáris, hiszen már egy banális konfigurációs hiba is egész vállalatokat dönthet romba.
Felfoghatatlan, mert az MI logikája, működése, támadási módszerei gyakran „feketedoboz-szerűek”, így a hagyományos irányítási elvek nem érvényesülnek.
Vezetői válasz: új szemlélet és gyakorlati lépések
A vezetők dilemmákkal szembesülnek: az MI legyen gyors, de ne legyen meggondolatlan; legyen erős, de ne sérülékeny; terjedjen szét a szervezetben, de maradjon biztonságos és etikus. Ezeket a feszültségeket nem lehet kiiktatni, viszont a sikeres vezetők azok lesznek, akik ezekből előnyt kovácsolnak.
A túlélés kulcsa az ACTS (Action, Competency, Tie, Strengthen – Cselekvés, Kompetencia, Kapcsolat, Megerősítés) modell.
Első lépés: feltételezd, hogy a támadás elkerülhetetlen
A legrosszabb, amit tehetünk, ha abban bízunk, hogy „nálunk úgysem lesz baj”. Mindig a legrosszabbra kell felkészülni: zéró bizalmi architektúrákat alkalmazni, a hálózatokat elkülöníteni, manuális biztonsági mentést fenntartani, rendszeresen válságszimulációkat tartani.
A FedEx például a NotPetya-támadást aránylag jól vészelte át, mert vezetőik előre felkészültek – főként volt katonatisztek, akik higgadtan cselekedtek, működőképes manuális helyettesítő folyamatokkal. Bár 2023-ban az MGM Resorts egy 10 perces telefonos átverés után napokra lebénult: leálltak a kaszinók, szobafoglalások, digitális szobakulcsok, és csak ebben az esetben 36 milliárd forint veszteség érte őket – nem a technika hibája miatt, hanem mert a vezetők nem készültek fel arra az egyszerű helyzetre, hogy a technológia kudarcot vallhat.
Az MI-műveltség minden vezetőnek kötelező
Nem elegendő, hogy az IT-felelősök értsék az MI-t – minden vezetőnek ismernie kell a technológia előnyeit és veszélyeit. Érdemes fordított mentorprogramokat bevezetni, ahol a technológiában jártas fiatalok tanítják a felsővezetőket, és olyan munkatársakat keresni, akik képesek és hajlandók tanulni, nemcsak akik mindent tudnak.
Az MI-fejlesztéseket valódi üzleti célokhoz kell kötni
Sok vállalat futtat MI-projekteket, amelyek nem skálázhatók, csak látványos demók maradnak. Ezen változtatni kell: minden MI-befektetésnek kézzelfogható megtérüléssel és valós üzleti igénnyel kell bírnia.
Erős irányítás és etikai normák kialakítása
A cégeknek etikai irányelveket kell alkotniuk, MI-irányítási tanácsokat létrehozniuk, amelyekben az IT mellett más részlegek is képviseltetik magukat. Ezeknek a testületeknek rendszeresen vizsgálniuk kell a rendszerek igazságosságát, elfogultságát, és világos felelősségi rendszert kell kialakítaniuk már a baj bekövetkezte előtt.
Vezetői önellenőrzés: négy kulcskérdés
Vezetőként tedd fel magadnak: képes működni a céged 48 órán át digitális rendszerek nélkül? Manapság még van manuális megoldás vész esetére?
Elvégezte minden csúcsvezető az MI-biztonságról és -etikáról szóló valódi, alapos oktatást?
Az MI-telepítési terved tényleg az üzleti ellenállóképességet és nemcsak a növekedést helyezi előtérbe?
Képesek-e az embereid felelős döntést hozni adatok nélkül is, ha leállnak a modellek?
Ha bármelyikre nem a válaszod, akkor sürgősen meg kell tenni a szükséges lépéseket. A végső kérdés nem az, hogy lesz-e újabb támadás, hanem hogy fel vagy-e rá készülve.
