Domů Novinky

Bezpečnost a data: Co firmy nejvíc podceňují při zavádění AI

Radek Štěpán 26. 02. 2026 0 zobrazení
pixels-AI
Novinky Vzdělávání Zajímavosti

Bezpečnostní rizika AI nejsou sci-fi. Jsou prozaická, přehlížená a velmi drahá, pokud na ně firma přijde pozdě.

Každý týden vznikají nové AI nástroje. Každý týden je někdo ve firmě začne používat a to bez vědomí IT oddělení, bez schválení managementu, bez jakékoliv analýzy toho, co se s firemními daty děje. Tento fenomén, označovaný jako „shadow AI“, se podle průzkumu Gartner z roku 2025 týká více než 65 % středních a velkých firem globálně. V Česku odhaduje Apertia Tech na základě vlastních implementačních zkušeností podobné číslo.

„Zaměstnanec si stáhne AI nástroj zdarma, nakopíruje do něj zákaznická data, smlouvu nebo interní report a dostane odpověď za deset sekund. Nikomu to neřekne, protože mu to ušetřilo hodinu práce. A management neví vůbec nic,“ popisuje David Strejc, zakladatel Apertia Tech, realitu, se kterou se setkává v českých firmách pravidelně.

Co se skutečně děje s daty

„Firmy řeší, jestli AI umí psát emaily. Zapomínají se ptát, kam ta data vlastně posílají,“ říká David Strejc.

Největší bezpečnostní riziko AI není útok zvenčí. Je to nekontrolovaný odchod dat zevnitř. Firmy investují do firewallů, antivirů a penetračních testů a následně jejich zaměstnanci dobrovolně vkládají citlivé informace do cloudových nástrojů třetích stran, jejichž podmínky zpracování dat nikdo nečetl.

Právní rámec je přitom jasný. GDPR vyžaduje, aby firma věděla, kde jsou její data, kdo k nim má přístup a jak jsou zpracovávána. Pokud zaměstnanec použije neautorizovaný AI nástroj ke zpracování osobních údajů zákazníků, firma nese plnou odpovědnost, bez ohledu na to, zda o tom věděla.

„Neznalost neomlouvá a v GDPR platí dvojnásob. Viděli jsme případ, kde firma přišla na to, že její obchodníci půl roku vkládali nabídky s cenami a jmény zákazníků do free AI nástroje s americkými servery. Právní analýza tohoto stavu trvala déle než celá původní AI implementace,“ říká Strejc.

David Strejc

David Strejc: Foto se svolením Davida Strejce

Pět věcí, které firmy nejvíce podceňují

Z praxe implementací Apertia Tech vyplývá pět opakujících se slepých míst, která management i IT oddělení přehlíží.

  1. Inventář AI nástrojů neexistuje. Firmy vědí, jaký software nakoupily. Nevědí, co jejich zaměstnanci používají dobrovolně a zdarma. Prvním krokem jakékoliv AI bezpečnostní politiky musí být audit skutečného stavu, a to bez trestání, ale s jasným výstupem.
  2. Podmínky zpracování dat nikdo nečte. Populární AI nástroje se liší zásadně v tom, zda používají uživatelská data k dalšímu tréninku modelů, jak dlouho data uchovávají a kde fyzicky leží servery. Tyto informace jsou veřejně dostupné, ale nikdo je systematicky nevyhodnocuje před nasazením.
  3. Přístupová práva jsou nastavena příliš volně. AI systémy napojené na firemní data potřebují přístup jen k tomu, co skutečně potřebují. Princip minimálních oprávnění, který IT bezpečnost hlásá léta, se při AI implementacích pravidelně porušuje ve jménu pohodlnosti.
  4. Hallucination risk v rozhodovacích procesech. AI modely s přesvědčivou jistotou generují nepravdivé informace. Pokud firma nasadí AI na podporu rozhodování bez mechanismů ověření výstupů, dříve nebo později přijme špatné rozhodnutí na základě přesvědčivě znějícího nesmyslu. Toto riziko je čistě procesní, ne technické.
  5. Plán pro incident neexistuje. Co firma udělá, když zjistí, že AI nástroj zpracovával data neoprávněně? Kdo to nahlásí, komu, do kdy a jak? GDPR vyžaduje nahlášení incidentu do 72 hodin. Firmy, které nemají tento proces připravený předem, ho nestihnou sestavit v krizi.

Co management musí udělat a co IT nestačí

Bezpečnost AI není čistě IT problém. Je to strategické rozhodnutí managementu o tom, jaká míra rizika je pro firmu přijatelná a jak se bude řídit.

IT oddělení dokáže nastavit technické kontroly, například blokování neautorizovaných nástrojů, monitoring datových toků, šifrování. Ale nemůže samo rozhodnout, které AI nástroje jsou pro firmu přijatelné, jak se zaměstnanci mají o AI vzdělávat nebo co se stane, když někdo pravidla poruší.

„Bezpečnostní politika AI musí vzniknout na úrovni vedení, být komunikována jako hodnota firmy, nikoli jako seznam zákazů a mít konkrétního vlastníka, který ji živě udržuje. Dokument v šuplíku nestačí,“ říká Strejc.

Forrester předpovídá, že v roce 2026 přibude v evropských firmách role Chief AI Officer nebo AI Governance Lead jako standardní součást vedení. V Česku tato pozice zatím existuje výjimečně, tlak regulace, zejména v podobě EU AI Act, který nabývá plné účinnosti právě v tomto roce, ji postupně učiní nevyhnutelnou.

Praktická doporučení: kde začít dnes

„Nejbezpečnější firma není ta, která AI zakázala. Je to ta, která AI používá vědomě, s jasnými pravidly a s lidmi, kteří těm pravidlům rozumí,“ uvádí David Strejc.

Pro management: Zadejte interní audit AI nástrojů, které firma fakticky používá. Bez rozsudku, ale s výstupem. Výsledek vás překvapí.

Pro IT: Nastavte jasnou kategorizaci dat, tedy co smí do jakého nástroje, za jakých podmínek. Jednoduchá matice je lepší než komplexní politika, kterou nikdo nečte.

Pro HR a vzdělávání: Bezpečnost AI je součást digitální gramotnosti. Zaměstnanci, kteří rozumí rizikům, dělají lepší rozhodnutí, ne proto, že musí, ale proto, že chtějí.

Zdroje info: Autor, David Strejc

Náhledové foto: pixels-AI

# AI # bezpečnost # Byznys # Firma # Firmy # Podnikání
Pavel Blažek

Neuvěřitelný Blažek: Udávat Babiše do Bruselu je nesprávné

Předchozí příspěvek
Radek Štěpán

Peníze mě fascinují a zajímají. Něco o nich vím a rád se s vámi o vše podělím. Mimo jiné najdete v mých textech i zajímavé názory a komentáře, které pobaví a třeba i poučí.

Podobné příspěvky

Pavel Blažek

Neuvěřitelný Blažek: Udávat Babiše do Bruselu je nesprávné
Radek Štěpán
26. 02. 2026
Česko

„Montovna s roboty“: Česko vládne postkomunistické Evropě, ale na polskou „mozkovnu“ stále nemá
Petr Křenek
26. 02. 2026

Zficovatění, arogance a urážení novinářů. Nový styl tiskové konference vlády
Radek Štěpán
25. 02. 2026
trump

Trump má nejhorší čísla za celé století: A projev o stavu Unie to nespraví
Petr Křenek
25. 02. 2026
Markéta Šichtařová

Hrdinka Šichtařová: Od Babišova vyvěšování vlajek se distancuje
Radek Štěpán
24. 02. 2026
Alena Schillerová

Schillerová proti Babišovi? Nechce privatizaci nemocnic v Jihomoravském kraji
Radek Štěpán
24. 02. 2026