Până în anul 2026, abordarea „merge și așa” nu mai este potrivită în ceea ce privește instrumentele cu inteligență artificială utilizate în companii. Într-un singur an, numărul organizațiilor care afirmă că evaluează riscurile de securitate ale soluțiilor AI înainte de implementare a crescut semnificativ, indicând faptul că liderii consideră AI-ul ca pe o componentă critică a infrastructurii – una ce poate deschide oportunități, nu doar automatiza sarcini.
Transformarea are loc într-un context în care AI-ul nu mai reprezintă doar „chatbot-ul din browser”. Ne referim la asistenți de programare, agenți capabili să execute acțiuni, rezumate automate în e-mailuri, fluxuri de lucru conectate la date interne și aplicații sensibile. În alte cuvinte, AI-ul pătrunde din ce în ce mai mult în zone unde o scăpare minoră poate duce rapid la o breșă majoră de securitate.
Conform raportului „Global Cybersecurity Outlook 2026” al Forumului Economic Mondial (WEF), 64% dintre liderii intervievați afirmă că evaluează riscurile de securitate legate de uneltele AI înainte de implementare, comparativ cu 37% cu un an în urmă. Această creștere semnalează un mesaj clar: securitatea soluțiilor AI devine o condiție obligatorie pentru lansare, nu un aspect suplimentar de remediat ulterior.
De asemenea, datele indică presiuni mari: 94% dintre respondenți se așteaptă ca AI să fie principalul factor ce va genera schimbări în domeniul cybersecurității în 2026, iar 87% afirmă că vulnerabilitățile asociate AI-ului au crescut în 2025 mai mult decât orice alte categorii de risc. Practic, AI-ul accelerează atât sistemele de apărare, cât și cele de atac – iar companiile nu-și mai pot permite să rămână pasive.
Printre preocupări, „scurgerile de date” ocupă un loc important. În rapoartele WEF, expunerea involuntară a datelor prin GenAI este considerată o problemă majoră, într-o schimbare interesantă față de anul anterior, când „capabilitățile adversariale” erau mai frecvent menționate. Este important de menționat: multe organizații se tem nu doar de hackeri inteligenți, ci și de propriile procese care pot expune date sensibile în contexte nepotrivite.
Geopolitica și suveranitatea datelor devin componente esențiale
Dacă AI-ul accelerează „viteză” în activități, geopolitica schimă „tabla de joc”. Pentru al doilea an consecutiv, factorul geopolitic rămâne determinant în conturarea strategiilor de gestionare a riscurilor: 64% dintre organizații afirmă că iau în calcul atacuri motivate geopolitic, precum spionaj sau perturbarea infrastructurilor. De asemenea, organizațiile mari sunt mai reactive, fiind observată că 91% dintre cele mai mari companii și-au adaptat politicile de securitate din cauza instabilității geopolitice.
În Europa, discuția despre suveranitatea datelor devine concretă în deciziile legate de serviciile de cloud. Un sondaj Gartner evidențiază faptul că 61% dintre directorii IT și liderii din Europa de Vest intenționează să crească dependența față de furnizori locali de cloud, ca răspuns la presiunile geopolitice și temerile asociate controlului jurisdicțional asupra datelor. Pentru multe organizații, selecția furnizorului nu mai ține doar de preț și performanță, ci și de cine are acces legal la informații și în ce condiții.
Ghețul geopolitic nu rămâne doar în zona teoretică. Pe măsură ce tensiunile cresc, scenariile de atac se intensifică, de la DDoS-uri și campanii de influență, până la fraude cibernetice. Evenimentele globale de impact devin ținte tentante pentru atacatori, întrucât atrag atenția publicului și generează presiune operațională. Astfel, strategiile de securitate includ tot mai mult informții despre amenințări, colaborare extinsă și o prudență sporită în adoptarea AI.
Practici esențiale pentru o „reziliență cibernetică” minimă în utilizarea AI
Un contrast dificil în discuția despre securitatea AI este faptul că, deși rapoartele pot evidenția procentaje motivante, personalul de teren simte încă lipsa de control asupra situației. De multe ori, AI-ul este implementat rapid, de echipe diferite, în produse diverse, cu politici variate de acces la date.
Pentru a evita ca „securitatea AI” să devină doar un slogan, trebuie începute cu măsuri concrete. Începe prin evaluarea riscurilor înainte de integrare – analizează datele implicate, cine are acces, modul de logare și izolarea acestora. Testează scenarii de prompt injection și „exfiltrare de date” cu instrucțiuni malițioase ascunse în conținut aparent inofensiv (paginile web, e-mailuri, documente), mai ales dacă utilizezi agenți sau integrări cu permisiuni de executare a acțiunilor.
De asemenea, gestionează AI-ul ca pe un utilizator cu privilegii ridicate: limitează-i permisiunile, separă mediile, blochează date sensibile din prompturi cu politici și filtre tehnice, menține jurnalul de audit pentru solicitări și răspunsuri, și evită ca modelele sau pluginurile să acceseze direct sisteme critice fără controale (aprobare umană, limitarea ratei de utilizare, monitorizare). În cele din urmă, elaborează un plan pentru „ziua cea rea”: ce faci dacă un instrument AI scurge date sau execută o acțiune eronată? Reziliența constă în reducerea impactului, nu în presupunerea că incidentele nu se vor întâmpla.