Zabezpečení AI pro firmy: Jak znovu získat kontrolu

Když se zaměstnanci obracejí k neschváleným nástrojům umělé inteligence — známým také jako stínová AI (Shadow AI) — málokdy si uvědomují, že porušují pravidla pro kybernetickou bezpečnost. Většinou se prostě jen snaží dokončit svou práci rychleji.

Vloží kousek kódu do chatbotu. Požádají asistenta o shrnutí schůzky. Nebo nahrají tabulku, aby ji pomohl analyzovat.

Každý z těchto kroků však může nenápadně odhalit citlivá firemní data.

Bez řádné správy se tyto nástroje stávají skrytou bránou, kudy z organizace uniká duševní vlastnictví, finanční údaje a důvěrná komunikace.

Jakmile se tato data dostanou do externího systému, ztrácíte nad nimi kontrolu. Dnes si promluvíme o tom, jak ji díky firemnímu zabezpečení AI získat zpět.

Jak neschválená umělá inteligence funguje v reálném světě

Jeden z nejdiskutovanějších incidentů se odehrál v březnu 2023 ve společnosti Samsung.

Firma v té době dočasně zrušila zákaz používání ChatGPT. Během několika týdnů několik zaměstnanců neúmyslně vyneslo vysoce důvěrné informace.

V jednom případě inženýr vložil do chatbotu proprietární zdrojový kód, aby diagnostikoval chybu.

Další zaměstnanec nahrál interní kód ve snaze zlepšit jeho výkon.

Třetí zaměstnanec odeslal přepis důvěrné firemní schůzky, aby umělá inteligence vygenerovala shrnutí.

Každý z těchto dotazů obsahoval citlivé údaje. A protože mnoho veřejných systémů ve výchozím nastavení uchovává vstupy uživatelů, data se stala součástí interní datové sady platformy.

Výsledek byl alarmující. Proprietární informace společnosti Samsung — tedy obchodní tajemství vyvíjené roky výzkumu — byly fakticky předány externímu systému mimo kontrolu firmy.

Podobné incidenty ukazují, jak rychle se běžné pracovní návyky mohou změnit v závažná bezpečnostní rizika.

Problém však přesahuje individuální chyby. Týká se i samotných platforem.

Organizace, které spoléhají na spotřebitelské AI nástroje, přebírají rizika ekosystémů těchto nástrojů. Bezpečnostní chyby, nedostatky v návrhu a špatně pochopená nastavení soukromí mohou odhalit obrovské množství dat.

Další významný příklad se objevil v roce 2025, kedy selhání ochrany soukromí v ChatGPT odhalilo, jak křehké tyto systémy mohou být.

Platforma obsahovala funkci „Sdílet“, která uživatelům umožňovala generovat odkazy na jejich konverzace. Přepínač s označením „Zveřejnit tento chat“ určoval, zda se tyto konverzace mohou objevit ve veřejných výsledcích vyhledávání.

Design vypadal jednoduše. V praxi však způsobil zmatek.

Mnoho uživatelů se domnívalo, že sdílené odkazy jsou soukromé. Nebyly.

Vyhledávače nakonec indexovaly více než 4 500 konverzací. Kdokoli je mohl najít pomocí jednoduchého vyhledávání.

Tyto informace neukradli hackeři. Byly jednoduše vystaveny kvůli nepochopenému rozhraní.

Ve stejném roce jiná populární AI platforma s názvem DeepSeek ponechala jednu ze svých databází volně přístupnou. I když není známo, zda hackeři měli dostatek času na zneužití, mohli získat více než 1 milion řádků protokolů.

Ty zahrnovaly historii chatů uloženou v prostém textu, API klíče, a dokonce i backendová data. K extrakci všeho nebyla potřeba žádná autentizace — stačily jen základní znalosti SQL.

V roce 2026 pak výzkumníci z Oasis Security objevili kritický řetězec zranitelností v OpenClaw. Ten umožnil jakékoli webové stránce, kterou vývojář navštívil, tiše převzít plnou kontrolu nad AI agentem bez jakékoli interakce uživatele.

Protože agent měl neomezený lokální přístup a postrádal vymezené hranice, mohl napadený OpenClaw agent snadno zahájit laterální pohyb v síti a masivní exfiltraci dat.

Incident s OpenClaw představuje absolutní noční můru v podobě stínové agentní AI (Shadow Agentic AI). Jen si představte autonomní entitu s nadměrnými oprávněními a bez dozoru, kterou kompromitovali externí útočníci a která operuje tiše za firemním firewallem.

Lidský kapitál je klíčem k úspěchu

Technologie samy o sobě problém se stínovou AI nevyřeší. Kořenem problému je totiž lidské chování.

Pokud oficiální systémy působí pomale, omezují nebo jsou komplikované, lidé přirozeně hledají alternativy.

To znamená, že dlouhodobé řešení musí zahrnovat nejen technologie, ale také firemní kulturu, školení a organizační uspořádání.

Mnoho společností stále považuje umělou inteligenci za pouhý doplněk produktivity. V tomto pojetí je AI jen dalším softwarem vrstveným na stávající procesy.

Tento přístup však opomíjí širší souvislosti. Umělá inteligence mění způsob, jakým se pracuje. Pokud organizace pouze „přilepí“ AI k zastaralým pracovním postupům, výsledkem jsou jen malé zisky v efektivitě doprovázené mnohem většími riziky.

Zaměstnanci začnou experimentovat na vlastní pěst. Testují externí nástroje a nahrávají do nich interní dokumenty. Stínová AI se začíná šířit.

Zabránění tomuto výsledku vyžaduje změnu v tom, jak firmy řídí své talenty.

Lídři v oblasti technologií nemohou tento problém vyřešit sami. Aktivní roli musí hrát i personální oddělení (HR).

V mnoha společnostech získávají ředitelé pro data (Chief Data Officers) stále větší vliv v rámci vedení. Jak uvádí společnost Forrester, tito manažeři stále častěji podléhají přímo generálnímu řediteli (CEO), namísto aby působili v rámci technických oddělení.

Tato změna odráží širší chápání: datová strategie je obchodní strategií.

Přesto je stejně důležité sladit datovou strategii s rozvojem zaměstnanců.

Právě zde se spolupráce mezi Chief Data Officerem a personálním ředitelem (CHRO) stává klíčem k zabezpečení firemní AI.

Společně mohou vést celofiremní transformaci zaměřenou na tři priority:

1. Zaprvé: Organizace musí investovat do AI gramotnosti. Mnoho zaměstnanců používá nástroje AI, aniž by chápali, jak fungují. Nemusí vědět, že dotazy mohou odhalit citlivá data nebo že výstupy mohou být chybné či nepravdivé. Školicí programy musí tyto skutečnosti řešit. Zaměstnanci potřebují odborné znalosti v oblasti odpovědného používání, včetně pravidel zabezpečení AI dat, omezení modelů a etické stránky věci.
2. Zadruhé: Organizace musí přehodnotit své pracovní postupy. Místo toho, aby firmy nechávaly pracovníky u izolovaných experimentů, měly by integrovat firemní AI nástroje přímo do oficiálních systémů a procesů. Tím se sníží pokušení vyhledávat externí nástroje. Pokud je schválená platforma uživatelsky přívětivá a výkonná, zaměstnanci jí přirozeně dají přednost.
3. Zatřetí: Společnosti musí budovat důvěru. Lidé s větší pravděpodobností dodržují pravidla správy dat, když rozumí jejich důvodu. Pokud se zaměstnanci cítí při používání schválených nástrojů jistě a věří, že jim tyto nástroje skutečně pomohou, je mnohem méně pravděpodobné, že se uchýlí ke stínové AI.

Zabezpečení AI pro firmy: Alternativy ke spotřebitelským nástrojům

Úplný zákaz nástrojů stínovou AI nevymýtí. Zaměstnanci budou možnosti umělé inteligence vyhledávat i nadále, pokud nebudou dostupné v rámci oficiálních systémů.

Jedinou dlouhodobou strategií je poskytnout bezpečné firemní alternativy, jejichž používání je snazší než u neschválených nástrojů.

Právě zde představují řešení integrované platformy.

Dnešní firemní ekosystémy propojují správu identit, kontrolu řízení (governance), monitorování a funkce AI do jediného prostředí. Vaši zaměstnanci získají výkonného asistenta, zatímco vy si udržíte plnou kontrolu nad daty a přístupem.

Dvě platformy ukazují, jak tento přístup funguje v praxi: Google Workspace a GitLab.

Společně tvoří bezpečný AI stack, který podporuje duševní práci, vývoj aplikací i autonomní systémy.

Google Workspace: Gemini

Namísto opouštění pracovního prostředí využívají uživatelé funkce AI přímo v Gmailu, Dokumentech, Tabulkách, Prezentacích, Meetu a dalších aplikacích. Díky tomu nemají potřebu přenášet data do externích nástrojů.

Zabezpečení AI pro firmy je součástí samotné architektury, protože Gemini je integrováno do Google Workspace — využívá tedy všechny jeho nativně zabezpečené funkce. Navíc bez výslovného svolení nepoužívá dotazy, odpovědi ani prakticky žádný jiný obsah k trénování externích modelů. Zákaznická data zůstávají v rámci kontrolovaného tenanta vaší organizace.

Správci mají detailní přehled o tom, jak umělá inteligence pracuje s firemními informacemi. Mezi klíčové funkce správy patří:

• Datové regiony, které organizacím umožňují omezit, kde jsou data ukládána a zpracovávána, aby splnily požadavky na rezidenci a suverenitu dat.
• Pravidla důvěryhodnosti (Trust Rules), která brání sdílení citlivého obsahu mimo definované hranice organizace.
• Detailní administrátorské ovládací prvky určující, která oddělení nebo uživatelé mají přístup ke konkrétním funkcím AI.
• Integrovaná ochrana proti útokům typu „prompt injection“, která pomáhá zabránit škodlivým dotazům v extrakci citlivých informací.

Tyto funkce vám umožňují bezpečně nasadit generativní umělou inteligenci i v přísně regulovaných prostředích, včetně odvětví řídících se rámci HIPAA, GDPR a FedRAMP.

Pro zaměstnance zůstává práce jednoduchá a ochrana firemních dat pomocí AI je v ní přímo zabudována.

Mohou psát návrhy dokumentů, shrnovat schůzky, vytvářet prezentace nebo analyzovat tabulky pomocí několika dotazů, aniž by kdy opustili zabezpečené pracovní prostředí.

GitLab: Duo pro bezpečný vývoj

Týmy softwarového inženýrství patřily k prvním, kdo začal generativní AI využívat.

Vývojáři rychle zjistili, že AI asistenti jim mohou pomoci s laděním kódu, generováním funkcí a vysvětlováním neznámých frameworků.

Včasné přijetí však s sebou přineslo značné riziko.

Mnoho vývojářů začalo kopírovat proprietární kód do veřejných chatbotů, aby získali pomoc s řešením programátorských problémů. Z pohledu bezpečnosti bylo toto chování extrémně nebezpečné.

Zdrojový kód často obsahuje důvěrné algoritmy, přihlašovací údaje, interní API a architektonické detaily, které by útočníci mohli zneužít.

GitLab Duo byl navržen k vyřešení přesně tohoto problému.

Namísto spoléhání se na externí nástroje získají vaši vývojáři bezpečného AI asistenta pro kódování přímo v platformě GitLab. GitLab Duo se integruje do vaší CI/CD pipeline, což umělé inteligenci umožňuje pomáhat v průběhu celého životního cyklu vývoje softwaru.

Mezi jeho schopnosti patří:

• Návrhy a generování kódu
• Detekce a náprava zranitelností
• Bezpečnostní analýza během požadavků na sloučení (merge requests)
• Automatizovaná dokumentace a plánování
• Inteligentní sledování úkolů a plánování sprintů

Protože systém funguje v rámci prostředí GitLab, proprietární zdrojový kód nikdy neopustí infrastrukturu organizace.

To eliminuje rizika úniku dat spojená s veřejnými asistenty.

Na začátku roku 2026 GitLab tyto možnosti rozšířil o Duo Agent Platform. Ta nyní umožňuje nasazovat AI agenty, kteří aktivně pomáhají s vývojovými úkoly.

Tito agenti dokážou analyzovat repozitáře, navrhovat bezpečnostní opravy a pomáhat koordinovat vývojové procesy.

Důležité je, že GitLab podporuje také vlastní hostování AI modelů, což vám umožňuje spouštět úlohy umělé inteligence na soukromé infrastruktuře nebo v zabezpečených cloudových prostředích.

Pro společnosti, které podléhají přísným požadavkům na shodu s předpisy (compliance), je tato úroveň kontroly nezbytností.

Co je zabezpečení AI? Bezpečný výchozí bod

Jediným důvodem, proč někdo váhá s přechodem na firemní AI, je strach z narušení provozu.

Lídři se většinou obávají, že tento krok zpomalí operace, zahltí zaměstnance nebo bude vyžadovat rozsáhlé změny v infrastruktuře.

Strukturovaný bezpečnostní audit tyto obavy odstraňuje, protože prvním krokem je získání přehledu.

Naši certifikovaní specialisté na kybernetickou bezpečnost analyzují síťový provoz, používání aplikací a aktivitu koncových bodů, aby odhalili již používané neschválené nástroje.

Mnoho organizací je výsledky překvapeno. Zaměstnanci se často spoléhají na desítky různých aplikací umělé inteligence bez formálního schválení.

Audit odhalí, kde mohou být data již vystavena riziku, a poskytne jasný výchozí bod pro zlepšení správy a řízení.

Hlavním poselstvím zůstává, že AI je užitečný pomocník a není třeba se jí bát. Je však nejlepší držet se prověřených firemních platforem, které prošly specializovanými bezpečnostními prověrkami a mají čistou historii bez incidentů.

Když mají zaměstnanci přístup k bezpečným a výkonným nástrojům v rámci oficiálních systémů, motivace k používání stínové AI mizí.

Vaše organizace získá viditelnost. Vaši zaměstnanci získají na produktivitě. A vy, jako součást vedení, získáte jistotu v dalším směřování.