Ljudski faktor ipak je potreban
AI danas dominira raspravama o budućnosti kibernetičke sigurnosti. Gotovo svaki proizvođač sigurnosnih rješenja obećava revoluciju
Reklamiraju sustave koji samostalno prepoznaju cyber sigurnost prijetnje, automatski reagiraju na ransomware napade i eliminiraju potrebu za ljudskom intervencijom.
Pitamo se koliko su ta obećanja realna u stvarnom svijetu, gdje su organizacije poput Bookinga pod napadom sve sofisticiranijih hakera?
Istina je znatno složenija od marketinških poruka. Dok AI doista donosi značajna poboljšanja u detekciji prijetnji i brzini odgovora, potpuno oslanjanje na automatizaciju može stvoriti lažan osjećaj sigurnosti.
Organizacije koje slijepo vjeruju AI sustavima i zanemaruju ono što nijedna tehnologija ne može zamijeniti, dakle ljudsku intuiciju, kritičko razmišljanje i sposobnost razumijevanja šireg poslovnog konteksta.
U ovom članku detaljno analiziramo trenutno stanje AI-a u kibernetičkoj sigurnosti, razmatramo njegova konkretna ograničenja i objašnjavamo zašto je ljudski faktor i dalje nezamjenjiv.
Cilj nam nije diskreditirati AI tehnologiju, već pružiti realnu sliku koja će vam pomoći da donesete informirane odluke o vlastitoj sigurnosnoj strategiji.
Taj pristup zagovaramo na našem portalu. Vjerujemo da samo organizacije koje razumiju i prednosti i ograničenja AI-a mogu izgraditi istinski otpornu obranu.
AI-a u kibernetičkoj sigurnosti
AI u obrani od kibernetičkih prijetnji
AI u kibernetičkoj sigurnosti više nije futuristički koncept, već svakodnevni dio posla.
Prema Gartnerovom izvještaju iz 2024. godine, više od 60 posto poduzeća srednje i velike veličine već koristi neki oblik AI-a u svojim sigurnosnim operacijama.
Ta brojka je do ove 2026. godine trebala premašiti 80 posto. Vidjet ćemo što će pokazati novo istraživanje. Ništa od navedenog ne čudi s obzirom na eksponencijalni rast kibernetičkih prijetnji.
Najčešće primjene AI-a u kibernetičkoj sigurnosti uključuju sljedeća područja:
Detekcija prijetnji u stvarnom vremenu predstavlja temeljnu primjenu. AI algoritmi analiziraju mrežni promet i korisničko ponašanje kako bi identificirali sumnjive aktivnosti brže nego što bi to mogao bilo koji ljudski analitičar.
Detekcija je posebno važna u kontekstu ransomware napada, gdje svaka sekunda odgode može značiti razliku između pravovremene izolacije i potpunog kompromitiranja sustava.
Analiza anomalija oslanja se na strojno učenje koje gradi bazne profile normalnog ponašanja sustava i korisnika te signalizira odstupanja koja mogu ukazivati na sigurnosni incident.
Ova tehnika pokazala se ključnom u otkrivanju naprednih prijetnji koje tradicionalni alati ne bi prepoznali.
Automatski odgovori na incidente putem SOAR platformi koriste AI za automatsku izolaciju zaraženih uređaja, blokiranje sumnjivih IP adresa ili pokretanje unaprijed definiranih procedura odgovora.
Filtriranje phishing poruka pomoću AI sustava analizira sadržaj, metapodatke i obrasce slanja e-pošte kako bi identificiralo i blokiralo phishing pokušaje prije nego stignu do krajnjeg korisnika.
Ključni alati i platforme koji integriraju AI uključuju SIEM sustave poput Splunka i IBM QRadara, EDR rješenja kao što su CrowdStrike Falcon i SentinelOne te XDR platforme koje objedinjuju podatke iz više sigurnosnih slojeva.
Darktrace, tvrtka specijalizirana za AI kibernetičku sigurnost, izvijestila je da njihov sustav u prosjeku identificira prijetnju unutar 12 sekundi od njezina pojavljivanja u mreži. Microsoft je pomoću AI tehnologije u programu Defender dnevno obradio više od 65 bilijuna sigurnosnih signala tijekom 2023. godine, što bi bilo potpuno nemoguće bez automatizacije.
No ovi impresivni rezultati često zasjenjuju drugu stranu priče. Vidimo ograničenja koja AI tehnologija još uvijek nije uspjela prevladati i koja svaka organizacija u Hrvatskoj mora razumjeti.
Ograničenja umjetne inteligencije
Razumijevanje ograničenja AI-a nije znak skepticizma, već preduvjet za odgovornu implementaciju i tema koja bi trebala biti dio svake NIS2 radionice.
Pogledajmo pet ključnih područja u kojima AI sustavi pokazuju značajne slabosti:
1. Problemi s lažno pozitivnim rezultatima
Sigurno smo se svi susreli istim problemom. Kod automatizacije digitalne sigurnosti imamo visok udio lažno pozitivnih rezultata. Radi se o situacijama u kojima AI sustav pogrešno klasificira legitimnu aktivnost kao prijetnju.
Prema istraživanju Instituta Ponemon, prosječan Centar kibernetičke sigurnosti dnevno primi više od 11.000 sigurnosnih upozorenja, od kojih čak 45 posto čine lažno pozitivni rezultati.
Tada analitičari troše sate na istraživanje upozorenja koja se u konačnici pokažu neobičnima ali bezopasnim aktivnostima. Primjerice, zaposlenik koji radi u neuobičajeno vrijeme ili pristupa datotekama koje inače ne koristi.
Ovaj fenomen, poznat kao umor od upozorenja, dovodi do toga da sigurnosni timovi počinju ignorirati upozorenja.
33 posto sigurnosnih stručnjaka priznaje da ponekad zanemaruje upozorenja jer ih ima previše.
Fireeye
S druge strane, lažno negativni rezultati predstavljaju još veću opasnost. Riječ je o stvarnim cyber prijetnjama koje AI sustav propusti identificirati.
Sofisticirani napadači sve češće dizajniraju svoje napade upravo tako da zaobiđu AI detekciju. Koriste spore, postupne tehnike infiltracije koje ne stvaraju anomalije dovoljno izražene da ih algoritam prepozna.
2. Nema kontekstualnog razumijevanja
AI sustavi izvrsno obrađuju podatke, ali im nedostaje nešto fundamentalno razumijevanje konteksta.
Algoritam može prepoznati da se velika količina podataka prenosi izvan mreže, ali ne može razumjeti da je to dio odobrenog projekta migracije na novi oblak ili da financijski direktor legitimno pristupa osjetljivim dokumentima uoči godišnje revizije.
Ovaj nedostatak kontekstualnog razumijevanja posebno je problematičan tijekom organizacijskih promjena poput spajanja i akvizicija.
Zatim, u sezonskim varijacijama kada računovodstveni odjeli imaju potpuno drugačije obrasce aktivnosti na kraju kvartala te u kulturološkim razlikama specifičnima za hrvatsko tržište, gdje mnogi zaposlenici koriste privatne uređaje za poslovne zadatke.
Ljudski analitičar, za razliku od AI-a, razumije ove nijanse. Zna da IT administrator koji se prijavljuje na server u tri ujutro možda rješava kritični problem, a ne provodi zlonamjernu aktivnost.
Ova vrsta prosudbe zahtijeva razumijevanje ljudi, kulture i poslovnih procesa, dakle nešto što nijedan algoritam trenutno ne može replicirati.
3. Ranjivost na protivničke napade
Ironično, AI sustavi koji bi trebali štititi organizacije od kibernetičkih prijetnji i sami su ranjivi na napade. Stoga je strojno učenje postalo aktivno područje istraživanja i eksploatacije od strane napadača.
Trovanje podataka omogućuje napadačima da ubacuju manipulirane podatke u skup podataka za treniranje, čime postupno iskrivljuju sposobnost AI-a da ispravno klasificira prijetnje.
Izbjegavanje detekcije omogućuje napadačima da minimalnim modifikacijama svog zlonamjernog koda zaobilaze AI detekciju. Dodavanje nekoliko bajtova benignog koda ili promjena redoslijeda operacija može biti dovoljna da malver ostane nedetektiran.
Skylight Cyber je demonstrirao kako je moguće zaobići Cylance AI antivirus sustav u više od 90 posto testiranih slučajeva koristeći relativno jednostavne tehnike.
Organizacije koje se oslanjaju isključivo na automatiziranu zaštitu se trebaju brinuti u takvim situacijama.
4. Problem s treniranjem i podacima
Kvaliteta AI sustava izravno ovisi o kvaliteti podataka na kojima je treniran. U kontekstu digitalne sigurnosti, ovaj problem poprima nekoliko dimenzija koje su posebno relevantne za organizacije u Hrvatskoj i široj regiji.
Postoji inherentni problem pristrasnosti. Ako je AI sustav treniran pretežno na podatcima iz velikih sjevernoameričkih korporacija, njegova učinkovitost u drugačijem kontekstu, poput malih i srednjih poduzeća u Zagrebu ili široj regiji, može biti značajno smanjena.
Obrasci ransomware napada, konfiguracije sustava i tipovi prijetnji razlikuju se ovisno o geografiji, industriji i veličini organizacije.
Podaci za treniranje brzo zastarijevaju. Prema podatcima Instituta AV-TEST, dnevno se pojavljuje više od 450.000 novih uzoraka zlonamjernog softvera. AI model koji nije redovito ažuriran postaje sve manje učinkovit, stvarajući rastući jaz između svojih sposobnosti detekcije i stvarnog stanja prijetnji.
Mnoge organizacije nemaju dovoljno kvalitetnih podataka za treniranje specijaliziranih modela, što je posebno izražen problem u reguliranim industrijama poput zdravstva i financija, gdje podatci podliježu strogim regulativama poput GDPR-a.
5. Ne može predvidjeti zero day
Zero day ranjivosti i napadi koji do sada nisu bili poznati predstavljaju možda najveći izazov za AI u kibernetičkoj sigurnosti. Po svojoj prirodi, AI sustavi uče iz povijesnih podataka.
Kada se pojavi potpuno novi tip napada koji ne nalikuje ničemu u bazi znanja, AI ga može u potpunosti propustiti.
Kreativnost hakera daleko nadmašuje sposobnost AI-a da predvidi nepoznato. Napadači neprestano razvijaju nove tehnike, kombiniraju postojeće metode na neočekivane načine i iskorištavaju zero day ranjivosti u potpuno novim vektorima napada.
ENISA u svom godišnjem izvještaju naglašava da sposobnost prepoznavanja potpuno novih prijetnji i dalje primarno ovisi o iskustvu i intuiciji kvalificiranih sigurnosnih analitičara, čime potvrđuje da digitalna sigurnost vijesti o novim ranjivostima moraju pratiti upravo ljudi, a ne samo strojevi.
Ljudski faktor nezamjenjiv
Razumjeli smo ograničenja AI-a. Sada pogledajmo zašto ljudski faktor ostaje apsolutno ključan u kibernetičkoj sigurnosti.
Kritičko razmišljanje i intuicija
Iskusni cyber sigurnosni stručnjaci posjeduju nešto što nijedan algoritam ne može replicirati intuiciju razvijenu godinama iskustva.
Ta intuicija im omogućuje da prepoznaju kada nešto nije u redu čak i kada svi automatski sustavi pokazuju da je sve uredno.
Radi se o sposobnost prepoznavanja suptilnih obrazaca koji ne aktiviraju AI upozorenja.
Navest ćemo samo neke. Neobičan ton u e-pošti kolege, netipičan redoslijed pristupa sustavima ili jednostavno osjećaj da je neka aktivnost sumnjiva unatoč tome što formalno ne krši nijednu politiku.
Prema istraživanju Instituta SANS, više od 35 posto uspješno otkrivenih naprednih prijetnji inicijalno je identificirano zahvaljujući ljudskoj intuiciji, a ne automatskim sustavima.
Donošenje odluka u situacijama kada su podatci nepotpuni ili kontradiktorni zahtijeva kritičko razmišljanje koje AI sustavi jednostavno nemaju.
Kreativnost u odgovoru na prijetnje
Ako su napadači kreativni, obrana mora biti jednako kreativna.
Proaktivni threat hunting (aktivno traženje prijetnji unutar mreže) zahtijeva kreativno razmišljanje, postavljanje hipoteza i sposobnost razmišljanja poput napadača.
Organizacije koje provode aktivni threat hunting otkrivaju prijetnje prosječno 2,5 puta brže od onih koje se oslanjaju isključivo na automatsku detekciju.
Ljudski analitičari mogu razvijati nove metodologije obrane prilagođene specifičnim kibernetičkim prijetnjama, prilagoditi se novim taktikama napadača u stvarnom vremenu bez potrebe za ponovnim treniranjem modela.
Mogu i osmisliti kreativne honeypot strategije koje zbunjuju napadače te strateški planirati dugoročnu sigurnosnu arhitekturu uzimajući u obzir trendove u prijetnjama relevantne za hrvatsko tržište.
Poslovni kontekst i regulatorni okvir
Nijedan AI sustav ne razumije da je za vašu organizaciju gubitak pristupa sustavu za obradu narudžbi kritičniji od prekida sustava za internu komunikaciju.
Ljudi razumiju poslovne prioritete i mogu na temelju toga odrediti koji rizici zahtijevaju neposrednu pažnju.
Ovo je posebno relevantno u kontekstu NIS2 direktive, čija implementacija zahtijeva duboko razumijevanje poslovnih procesa i regulatornog okvira. NIS2 radionice koje se organiziraju u Zagrebu i širom Hrvatske naglašavaju upravo ovaj aspekt — usklađenost s regulativom zahtijeva ljudsku prosudbu o tome kako primijeniti zahtjeve direktive na specifičan poslovni kontekst svake organizacije.
Komunikacija i koordinacija
Učinkovit odgovor na cyber incident zahtijeva koordinaciju između tehničkih timova, menadžmenta, pravne službe, odjela za odnose s javnošću i regulatornih tijela.
AI može automatizirati tehničke korake odgovora, ali ne može voditi kriznu komunikaciju, koordinirati tim pod pritiskom ili donijeti strateške odluke o tome kako i kada obavijestiti pogođene strane.
NIST Cyber Security Framework izričito naglašava važnost ljudskog elementa u svim fazama upravljanja incidentima — od pripreme i identifikacije do obuzdavanja, iskorjenjivanja i oporavka.
AI-a i ljudska ekspertiza
Budućnost kibernetičke sigurnosti ne leži ni u potpunoj automatizaciji ni u odbacivanju AI-a,već u pametnoj kombinaciji.
Koncept čovjeka u petlji
Ovaj pristup podrazumijeva da AI sustavi rade kao prvi sloj obrade i filtriranja, dok ljudi donose konačne odluke o složenim ili visokorizičnim situacijama.
AI sustav obrađuje tisuće upozorenja, kategorizira ih prema ozbiljnosti i automatski rješava rutinske incidente, ali eskalira složene slučajeve ljudskim analitičarima koji razumiju kontekst.
Prema istraživanju Forrester Researcha, organizacije koje koriste ovaj pristup bilježe 40 posto manje propuštenih prijetnji u usporedbi s onima koje se oslanjaju isključivo na automatizaciju, uz istovremeno smanjenje opterećenja analitičara za 60 posto.
Raspodjela odgovornosti između AI-a i ljudi
AI preuzima prikupljanje i korelaciju sigurnosnih podataka iz svih izvora, inicijalnu trijažu i kategorizaciju upozorenja, automatski odgovor na poznate prijetnje poput blokiranja poznatog malvera te kontinuirano praćenje i baznu analizu ponašanja.
Ljudi preuzimaju složenu analizu naprednih prijetnji i zero day ranjivosti, donošenje strateških odluka o odgovoru na incidente, proaktivni threat hunting i istraživanje novih vektora napada, komunikaciju s dionicima i koordinaciju timova te kontinuirano poboljšanje i fino podešavanje AI modela.
Prema CISA-i, ovaj hibridni model može smanjiti prosječno vrijeme odgovora na incident za čak 50 posto, istovremeno poboljšavajući točnost detekcije i smanjujući umor analitičara od upozorenja.
Praktične preporuke
Na temelju svega navedenog, evo konkretnih koraka koje vaša organizacija može poduzeti danas kako bi ojačala svoju digitalnu sigurnost.
Investirajte u ljude, ne samo u alate.
Balansirajte budžet između tehnologije i ljudskih resursa. Česta greška je alocirati 80 posto sigurnosnog budžeta na alate, a samo 20 posto na ljude.
Razvijte hibridne procedure odgovora na incidente. Jasno definirajte koji scenariji zahtijevaju isključivo automatizirani odgovor, koji zahtijevaju ljudsku potvrdu prije akcije, a koji zahtijevaju potpuno ručno upravljanje.
Dokumentirajte ove procedure i redovito ih testirajte kroz simulacije, posebno za scenarije poput ransomware napada koji ciljaju organizacije u regiji.
Redovito procjenjujte učinkovitost AI sustava. Provodite kvartalne revizije točnosti detekcije, stope lažno pozitivnih i negativnih rezultata te prosječnog vremena odgovora. Usporedite performanse s razdobljima prije implementacije AI-a kako biste objektivno mjerili stvarnu dodanu vrijednost.
Pratite digitalna sigurnost vijesti i regulatorne zahtjeve. AI sustavi u kibernetičkoj sigurnosti često obrađuju osobne podatke zaposlenika i korisnika.
Osigurajte usklađenost s GDPR-om, NIS2 direktivom i drugim relevantnim regulativama. Pratite digitalna sigurnost vijesti iz pouzdanih izvora kako biste bili u tijeku s najnovijim prijetnjama i regulatornim promjenama.
I za kraj, osigurajte da vaš tim može učinkovito funkcionirati i bez AI podrške, barem u kratkoročnim kriznim situacijama.
