Prowadzimy audyt bezpieczeństwa AI dla organizacji, które chcą korzystać z modeli językowych bez ryzyka utraty danych, naruszeń RODO i chaosu wokół shadow AI. Łączymy perspektywę regulacyjną, procesową i techniczną, żeby uporządkować korzystanie z AI w firmie.
Na pierwszej rozmowie omawiamy, z jakich narzędzi korzystają zespoły, jakie dane są przetwarzane i czy problem dotyczy polityk, konfiguracji czy architektury.
Najczęściej wtedy, gdy pracownicy już korzystają z AI, ale organizacja nie ma kontroli nad tym, jakie dane trafiają do modeli i na jakich warunkach są przetwarzane. To punkt, w którym trzeba uporządkować narzędzia, polityki, szkolenia i model techniczny pracy z AI.
Jeśli ważnym tematem jest też kontrola kosztów i dobór modeli, powiązaną usługą jest optymalizacja kosztów AI.
Sprawdzamy narzędzia, scenariusze użycia, typy danych i poziom ryzyka po stronie organizacji.
Przygotowujemy zasady korzystania z AI oraz uczymy zespoły, jak pracować bezpieczniej.
Pomagamy ocenić, kiedy wystarczy wariant enterprise, a kiedy lepsze będzie wdrożenie on-premise lub air-gapped.
Porządkujemy wymagania związane z RODO, AI Act i dokumentacją procesów z udziałem AI.
Wstępna diagnoza problemu i skali ryzyka.
Raport z rekomendacjami, priorytetami i planem działań.
Przygotowanie dokumentów, procedur i sposobu ich wdrożenia.
Pomoc przy konfiguracji narzędzi, wyborze modelu wdrożenia i zabezpieczeniach.
Warsztaty z bezpiecznej pracy z AI dla pracowników i liderów.
Identyfikujemy narzędzia, działy, procesy i typy danych związane z pracą z AI.
Sprawdzamy luki proceduralne, techniczne i organizacyjne oraz ich wpływ na biznes.
Przygotowujemy polityki, rekomendacje techniczne i model dalszego wdrożenia.
Pomagamy wdrożyć zasady i przeszkolić zespoły tak, by mogły z nich faktycznie korzystać.
Najwięcej wartości daje połączenie diagnozy realnego użycia AI z wdrożeniem prostych, egzekwowalnych zasad dla zespołów.
Firma z branży regulowanej, w której pracownicy zaczęli używać narzędzi AI do pracy na dokumentach i zapytaniach klientów.
Brakowało wiedzy, jakie dane trafiają do modeli i które narzędzia są bezpieczne dla organizacji.
Audyt użycia AI, rekomendacja konfiguracji narzędzi, polityka pracy z AI i szkolenie dla pracowników.
Organizacja odzyskuje kontrolę nad wykorzystaniem AI i może rozwijać use case’y w bardziej uporządkowany sposób.
To zależy od konfiguracji i typu danych. Wersje konsumenckie (darmowe) zazwyczaj wykorzystują dane do trenowania modeli, co może naruszać RODO przy danych osobowych. Wersje enterprise (ChatGPT Enterprise, Claude for Business, Azure OpenAI) oferują gwarancje nieużywania danych do treningu, umowy DPA i przetwarzanie w EU. Kluczowe jest: (1) wybranie właściwego planu, (2) podpisanie DPA, (3) przeszkolenie pracowników, jakie dane mogą wprowadzać.
Tak - modele open-source takie jak Llama 4, Mistral czy Qwen można uruchomić na własnym serwerze, całkowicie offline (air-gapped). Dane nigdy nie opuszczają infrastruktury firmy. Do wdrożenia potrzebny jest serwer z GPU (np. NVIDIA A100 lub kilka RTX 4090). Mniejsze modele (Phi-4, Mistral 7B) działają nawet na stacjach roboczych z jedną kartą graficzną.
AI Act to rozporządzenie UE regulujące wykorzystanie sztucznej inteligencji. Weszło w życie w sierpniu 2024, z okresami przejściowymi: zakazy zabronionych praktyk AI od lutego 2025, obowiązki dla modeli ogólnego przeznaczenia (GPAI) od sierpnia 2025, pełne przepisy dla systemów wysokiego ryzyka od sierpnia 2026. Firmy powinny już teraz przygotowywać się do zgodności.
Pod kątem prywatności danych - zdecydowanie tak, bo dane nie opuszczają infrastruktury. Pod kątem cyberbezpieczeństwa - to zależy od jakości zabezpieczeń serwera. Model lokalny wymaga odpowiedniego hardeningu, kontroli dostępu i monitoringu. Pomagamy zabezpieczyć całe środowisko, nie tylko sam model.
Tak, ale wymaga to starannego podejścia. Sektory regulowane (finansowy - DORA, medyczny - MDR, publiczny - NIS2) mają dodatkowe wymogi bezpieczeństwa. Najczęściej rekomendujemy architekturę hybrydową: model on-premise dla danych wrażliwych i regulowanych, model chmurowy (enterprise) dla danych o niższym ryzyku. Pomagamy zaprojektować rozwiązanie zgodne ze specyfiką branży.
To jeden z najczęstszych scenariuszy. Zamiast zakazywać (co nie działa - pracownicy i tak będą korzystać), rekomendujemy: (1) audyt - dowiedzieć się, kto, z czego i jak korzysta, (2) legalizacja - udostępnić zatwierdzone narzędzia z odpowiednią konfiguracją, (3) szkolenie - nauczyć bezpiecznych praktyk, (4) monitoring - wdrożyć DLP i logowanie. Zakaz bez alternatywy prowadzi do jeszcze większego shadow AI.
Pomożemy zidentyfikować ryzyka, przygotować zasady pracy z AI i dobrać model techniczny bezpieczny dla danych firmy.
Umów audyt bezpieczeństwa AIPo kontakcie wracamy z rekomendacją: assessment, audyt albo pakiet polityk i wdrożenia.