Raport Specjalny | Cyberbezpieczeństwo | Upowszechnienie AI gruntownie zmieniło podejście do ochrony danych

Dynamiczny rozwój AI stwarza nowe możliwości, ale i zagrożenia. Wskutek rozwoju deep fake tracą na znaczeniu zarówno dotychczasowe modele zabezpieczeń, w tym zdalnej weryfikacji tożsamości, jak i regulacje w zakresie e-uwierzytelniania. Na ile nowe przepisy rangi krajowej i europejskiej, jak AI Act, odpowiadają na zagrożenia wynikające z posługiwania się nowymi technologiami przez zorganizowaną cyberprzestępczość?

– Zacznę od kwestii oczywistej: żaden akt prawny nie jest panaceum na problemy związane z rozwojem przestępczości. Gdyby tak było, to kodeks karny byłby w stu procentach skuteczny, a wiemy, że tak nie jest. Dotyczy to tym bardziej AI Act, który co do zasady nie jest dedykowany ograniczaniu przestępczości, choć oczywiście jego zapisy w pośredni sposób oddziałują na ten obszar. AI Act to regulacja dla dostawców i twórców sztucznej inteligencji, a jej największą wartością jest stworzenie siatki pojęć i definicji, których wcześniej brakowało w obrocie prawnym. Oczywiście definicje te nie zawsze odpowiadają postrzeganiu sztucznej inteligencji przez informatyków, być może wymagają pewnych korekt, ale jako prawnik cieszę się, że po prostu są. Z punktu widzenia cyberbezpieczeństwa znacznie donioślejszą rolę odgrywają takie przepisy, jak NIS2 czy DORA, które wprost formułują określone obowiązki banków w zakresie cyberodporności czy bezpieczeństwa w sieci. W oparciu o te regulacje banki muszą robić testy penetracyjne i zewnętrzne. Są podmiotami wysokiego ryzyka, zatem powinny jeszcze silniej niż dotychczas zwiększyć poziom ochrony przed atakami zewnętrznymi.

Trendem równoległym do wzmacniania odporności cyfrowej rynku finansowego i zwiększonej ochrony konsumenta na tym rynku jest sukcesywne otwieranie rynku finansowego, najpierw w oparciu o dyrektywę PSD2, a już niebawem na podstawie pakietu PSD3/PSR. Czy te, niejako przeciwstawne nurty, są możliwe do pogodzenia, a może, biorąc pod uwagę skalę zagrożeń ze strony cyberprzestępców, warto rozważyć zasadność forsowania rozwiązań podyktowanych głównie komfortem konsumentów?

– Otwieranie rynku finansowego bez uszczerbku dla jego odporności cyfrowej wydaje się być godzeniem ognia z wodą. Dlatego tak doniosłego znaczenia nabiera inteligentne, zrównoważone podejście, w ramach którego uwzględniony zostanie zarówno aspekt bezpieczeństwa, kluczowy dla całego rynku finansowego, jak i komfort użytkowników. Balansowanie między innowacyjnością a bezpieczeństwem wymaga stałej ewaluacji zagrożeń i dostosowywania regulacji, aby nie hamować innowacji, jednocześnie zapewniając wysoki poziom ochrony konsumentów. Przypomnę, że działania na rzecz bezpieczeństwa klientów indywidualnych w sieci obejmują nie tylko tworzenie kolejnych systemów ochronnych, ale również edukację konsumentów. Taki obowiązek nakłada skądinąd na banki dyrektywa NIS2, na podstawie której instytucje finansowe powinny przekazywać swym klientom wiedzę nie tylko na temat klasycznych fraudów, ale także przestępstw dokonywanych w sferze cyfrowej. W październiku br. powinna zostać już przyjęta i uchwalona ustawa o cyberbezpieczeństwie, określająca bardzo szerokie obowiązki sektora w zakresie podnoszenia kompetencji cyfrowych klientów, a wynikające choćby z normy ISO 27000.

Uważam, że nie należy ...