КИБЕРСИГУРНОСТТА ВЕЧЕ НЕ Е IT ТЕМА: КАК AI И NIS2 ПРОМЕНЯТ ОТГОВОРНОСТТА НА HR И РЪКОВОДСТВОТО

Дълго време киберсигурността се разглеждаше като техническа функция - зона на IT отдела, свързана със системи, защити и инфраструктура.

Днес тази логика вече не работи.

С развитието на изкуствения интелект и въвеждането на нови регулаторни изисквания като NIS2, киберсигурността се превръща в управленски въпрос, който засяга цялата организация.

И в този процес човешкият фактор излиза на преден план.

Как AI промени киберриска?

Само за последните месеци начинът, по който се случват кибератаките, се промени съществено.

Все по-често се наблюдават:

• AI генерирани phishing атаки с висока степен на персонализация;
• deepfake и vishing сценарии, които симулират реални хора и ситуации;
• използване на т.нар. „shadow AI“ - инструменти, внедрени от служители без контрол;
• автоматично генериран код, който създава нови уязвимости.

Общото между тези рискове е едно:
те не атакуват системата, а човека.

Защо забраните не работят?

Реакцията на много организации е да ограничат достъпа до нови технологии.

Но практиката показва, че това не води до реална защита.

Служителите продължават да използват AI инструменти - често извън контролираната среда на компанията.

Това създава скрит риск, който трудно може да бъде управляван чрез забрани.

Решението не е в ограничаването, а в управлението.

NIS2 и новата регулаторна реалност

С промените в Закона за киберсигурност и въвеждането на изискванията на NIS2 се разширява обхватът на организациите, които подлежат на контрол.

Въвеждат се:

• ясни категории „съществени“ и „важни“ субекти;
• конкретни мерки за управление на риска;
• задължения за докладване на инциденти в кратки срокове (24/72 часа);
• значителни санкции;
• лична отговорност на ръководството.

Киберсигурността вече не е само въпрос на добра практика.
Тя е въпрос на съответствие.

Какво означава това за HR?

HR се оказва в ключова позиция по няколко линии:

• управление на достъпите и ролите;
• обучение на служителите за новите рискове;
• изграждане на политики за използване на AI;
• участие в процесите по реакция при инциденти;
• координация между различните функции в организацията.

Когато киберсигурността зависи от поведението на хората, HR става част от защитата.

От технологии към култура на сигурност

Ефективната защита не се изгражда само чрез системи.

Тя изисква:

• ясни вътрешни правила;
• разбираеми политики;
• обучение и осъзнатост;
• последователно прилагане.

Организациите, които успеят да изградят такава култура, ще могат не само да отговорят на регулаторните изисквания, но и да намалят реалния риск.

Практическите аспекти на киберсигурността в ерата на AI, промените в Закона за киберсигурност и изискванията на NIS2 ще бъдат разгледани в онлайн обучението: https://expertevents.bg/seminar/cybersecurity-ai-nis2-june

Пълен календар на обученията: https://expertevents.bg/seminari/