AI už není budoucnost, ale jedná se o přítomnost. Každý den vidíme nové způsoby, jak umělá inteligence mění naše podnikání. Jenže s každou novou možností přichází i nová rizika. A kdo je nezvládne, může se pořádně spálit.
Explozivní adopce umělé inteligence (AI) v podnikání, která v letech 2023 až 2025 vzrostla o ohromujících 187 %, transformuje způsob, jakým organizace fungují. AI přináší bezprecedentní potenciál pro růst a inovace, avšak zároveň vytváří komplexní a naléhavé rizikové prostředí. Zatímco investice do AI rapidně rostou, výdaje na zabezpečení AI za stejné období vzrostly pouze o 43 %.
Proč řešit AI rizika právě teď?
Adopce umělé inteligence v byznysu exploduje a mění způsob, jak pracujeme. Čísla mluví jasně: každý čtvrtý kyberútok už nese "AI podpis", za půl roku vzrostly škodlivé e-maily poháněné generativní AI o 341 % a 88 % firem čelí více AI-powered bot útokům. FraudGPT na dark webu? Stojí pouhých 200 dolarů měsíčně.
Organizace se zároveň potýkají s fenoménem Shadow AI – 78 % lidí si používá vlastní AI nástroje pro firemní účely, ale jen polovina zaměstnanců považuje firemní pokyny pro AI za srozumitelné. Shadow AI je dramaticky nebezpečnější než klasické Shadow IT. Zatímco Shadow IT ohrozí hlavně interní systémy, Shadow AI může způsobit masivní únik citlivých dat do veřejných AI modelů, které se z nich učí.
Regulatorní tlak sílí. EU AI Act není jediný hráč na AI poli, ale společně s dalšími rámci či standardy (NIST AI Risk Management Framework, ISO/IEC 42001) vytváří prostředí, kde systematické řízení AI rizik není pouhé doporučení, ale stává se nutností. Organizace se zavedeným systémem řízení AI vykazují trojnásobně méně incidentů než firmy bez systematického přístupu.
Mapování rizik: Znáte svého nepřítele?
Abychom AI rizika zvládli, musíme jim nejdřív porozumět. MIT AI Risk Repository poskytuje systematickou klasifikaci více než 1600 AI rizik rozdělených do sedmi klíčových oblastí. MIT definuje riziko jako potenciálně škodlivý scénář složený ze tří prvků: entita + záměr + časování. Tento přístup pomáhá firmám lépe strukturovat svoje postupy.
MIT klasifikace rozčleňuje rizika do sedmi domén podle povahy dopadu na uživatele či společnost. Konkrétně se jedná o následující hlavní kategorie:
1. Diskriminace a toxicita (riziko, že AI bude posilovat nespravedlivé rozdíly nebo generovat závadný/urážlivý obsah),
2. Soukromí a bezpečnost (ohrožení soukromí získáním či únikem citlivých dat, zneužití zranitelností AI k prolomení bezpečnosti),
3. Dezinformace (šíření nepravdivých či zavádějících informací AI systémy),
4. Škodliví aktéři a zneužití AI (zneužití AI k disinformačním kampaním, sledování, kyberútokům, podvodům či dokonce vývoji zbraní),
5. Interakce člověk–počítač (rizika spojená s uživatelskou interakcí – např. přehnaná spoléhavost na AI, ztráta lidské kontroly nebo autonomie při rozhodování,
6. Socioekonomické a environmentální dopady (makro dopady AI na trh práce, koncentraci moci, nerovnosti či životní prostředí,
Bezpečnost, selhání a omezení AI systémů (vlastní technická rizika AI – systémy jednající v rozporu s lidskými cíli, získávající nebezpečné schopnosti, selhávající či neodolné vůči chybám, nebo postrádající transparentnost a vysvětlitelnost. Každá z těchto domén se dále dělí do konkrétnějších podkategorií (celkem 24 subdomén) pro detailnější klasifikaci.
Jaké kategorie rizik AI trápí firmy a poskytovatele AI v ČR?
Soukromí a bezpečnost dat (78,8 %) - narušení soukromí, úniky dat, zranitelnosti AI systémů
Dezinformace a manipulace (68,3 %) - nepravdivé informace, znečištění informačního prostoru
Bezpečnost a selhání AI systémů (50 %) - nedostatečná robustnost, transparentnost, interpretovatelnost
Škodlivé použití a zneužití (46,2 %) - kybernetické útoky, podvody, cílená manipulace
Systematické řízení: Tři pilíře úspěchu
Efektivní řízení AI rizik stojí na třech pilířích: dobrovolných rámcích, normách a závazných regulacích.
NIST AI Risk Management Framework
Americký NIST nabízí dobrovolný rámec postavený na čtyřech klíčových funkcích tvořících iterativní cyklus:
Govern - zavedení organizačních politik a procesů
Map - identifikace kontextu a specifických rizik
Measure - vyhodnocení rizikových charakteristik
Manage - implementace opatření ke zmírnění rizik
Uvedený rámec umožňuje flexibilní implementaci přizpůsobenou konkrétním potřebám organizace a typu AI systému.
ISO/IEC 42001:2023
První mezinárodní standard pro AI management systémy poskytuje certifikovatelný rámec založený na cyklu Plan-Do-Check-Act. Standard umožňuje organizacím prokázat systematické a odpovědné nakládání s AI, včetně možnosti nezávislého ověření třetí stranou.
EU AI Act
Evropská regulace používá rizikově založený přístup rozdělující AI systémy do čtyř kategorií podle míry rizika - od zakázaných aplikací po systémy s minimálním rizikem. Podstatně se liší od předchozích standardů tím, že se primárně zaměřuje na ochranu práv a bezpečnost občanů, nejen na rizika pro organizace.
Quick Wins: Začněte ještě dnes
Nemusíte hned budovat komplexní systémy řízení AI rizik. Začněte s těmito pěti kroky, které zvládnete za pár týdnů:
1. Určete odpovědnou osobu a tým. Ustanovte AI "koordinátora" - osobu nebo tým odpovědný za koordinaci AI aktivit. Může to být role spojené s dalšími rolemi anebo samostatná role.
2. Proveďte důkladnou inventuru AI. Zmapujte všechny AI systémy, procesy a data včetně shadow AI. Typická zjištění zahrnují neřízené využívání externí AI, chybějící inventarizaci a nedostatečnou znalost uživatelů.
3. Zaveďte systém evidence a schvalování. Implementujte jednoduchý proces pro evidenci a schvalování nových AI nástrojů. Předejdete tak nekontrolovanému rozšiřování problematických řešení.
4. Vytvořte a zaveďte zásady užití AI. Definujte základní pravidla pro bezpečné používání AI nástrojů. Zaměřte se na ochranu citlivých dat a firemního know-how.
5. Proškolte zaměstnance. 70-80 % AI incidentů vzniká z neznalosti, nikoliv technického selhání. Investice do školení je tedy klíčová.
PDCA cyklus pro AI rizika
V rámci systematického řízení AI rizik je však vhodné použít klasický Plan-Do-Check-Act cyklus, ale s kratšími iteracemi:
Plan - Identifikujte rizika a naplánujte opatření
Do - Implementujte opatření a testujte je
Check - Monitorujte účinnost a sbírejte data
Act - Upravte strategie na základě zjištění
Při řízení AI rizik musíme PDCA kolečkem „točit rychleji" - zatímco tradiční risk management pracuje v ročních cyklech, u AI potřebujeme měsíční až týdenní iterace.
Na základě analýzy rizik je vhodné navrhnout a zavést tři skupiny opatření mezi něž patří například následující:
Organizační opatření
Multidisciplinární týmy s jasně definovanými rolemi
Zapojení vrcholového vedení a bezpečnostních expertů
Alokace adekvátních zdrojů pro řízení rizik
Procesní opatření
Analýza dopadů a rizik AI řešení
Data governance a bezpečný SDLC
Pravidelné audity a kontrola souladu s regulacemi
Technická opatření
Průběžné testování a validace modelů
Mechanismy pro rychlé odstavení problémových AI systémů
Systémy pro detekci a prevenci útoků na AI modely
Konkrétní opatření můžete čerpat například z NIST. Rámec definuje 56 obecných opatření pro minimalizaci AI rizik, pro generativní AI dokonce 400 specifických opatření. Klíčové je najít vhodný mix přizpůsobený vašemu prostředí.
Víceúrovňový monitoring AI rizik
AI rizika se vyvíjejí rychleji než tradiční rizika, proto je nutné implementovat monitoring na třech úrovních.
Úroveň 1 - Real-time: Výpadky, anomálie, bias, dostupnost
Úroveň 2 - Týdenní: Trendy, zranitelnosti, incidenty, regulace
Úroveň 3 - Měsíční: Analýza hrozeb, update opatření, strategie
Častější analýza běžných vs AI rizik je klíčová. Zatímco tradiční rizika hodnotíme ročně až čtvrtletně, AI rizika vyžadují měsíční až týdenní monitoring.
Praktické tipy pro implementaci systematického řízení rizik AI
Začněte malými kroky. AI risk management "kolečko se točí rychleji"
Používejte vhodný mix opatření. Kombinujte technická, procesní a organizační řešení
Buďte "v obraze". Sledujte AI newslettery, testujte nástroje, zapojte se do komunit
Diskutujte AI rizika. Sdílejte poznatky, nejen úspěchy ale především "faily"
Využívejte osvědčené zdroje jako MIT AI Risk Repository nebo NIST AI Risk Management Framework. Důležité je rovněž neustále testovat AI nástroje a služby prakticky, teoretické znalosti nestačí.
Budoucnost řízení AI rizik
Rychlost adopce AI překonává všechny dosavadní technologie. Zatímco adopce internetu trvala více než 20 let, cloudu více než 10 let, AI dosáhla masového trhu za pouhé dva roky. Rámce pro řízení rizik AI sice existují, ale organizace je zatím příliš často nevyužívají, buďto nemají konkrétní postupy anebo využívají interně vytvořené metodiky často navázané či vycházející ze stávajících procesů.
Klíčovými pilíři úspěšného řízení AI rizik (dle průzkumu) jsou strategické řízení a podpora ze strany vedení, agilní přístup a důkladné testování a validace.
Chcete se dozvědět více o praktickém řízení AI rizik? Připojte se na online webinář 4. září 2025 v 18:00 CEST, kde Jiří Diepolt představí výsledky průzkumu řízení AI rizik v ČR a nabídne praktické tipy.
