Riešenia Aegis Odvetvia Postrehy Ceny Spoločnosť Požiadať o posúdenie
Príklad hodnotenia — fiktívna organizácia Iba na ilustračné účely Telekomunikácie

Správa o Bezpečnosť AI

NordTel Communications S.A. — európsky telekomunikačný operátor

Dátum posúdenia
Q1 2026
Typ hodnotenia
OASAT 2
Zamestnanci
~6,800
Hodnotiteľ
OneCompliant .r.o.
Poznámka: Spoločnosť NordTel Communications S.A. je fiktívna organizácia vytvorená na demonštračné účely. Všetky zistenia, hodnotenia a odporúčania majú iba ilustratívny charakter. Skutočné hodnotenia klientov zostávajú prísne dôverné v súlade s platnými povinnosťami v oblasti ochrany osobných údajov a dôvernosti.
Zhrnutie

Celkové hodnotenie Riadenie AI : Vysoké Risk

OASAT spoločnosti NordTel Communications vykonané OASAT odhalilo významné Riadenie AI vo všetkých šiestich kontrolných oblastiach. Zavádzanie umelej inteligencie predbehlo jej riadenie – v jednotlivých obchodných jednotkách bolo zistených 23 neschválených nástrojov umelej inteligencie, ktoré sa aktívne používajú, pričom chýbajú kontroly počas prevádzky, nie je zabezpečená audit a existuje podstatné riziko porušenia predpisov podľa zákona EÚ o umelej inteligencii, NIS2 a nariadenia GDPR. V troch kľúčových oblastiach je potrebné prijať okamžité nápravné opatrenia ešte pred uplynutím regulačných termínov.

CelkovéRisk Riadenie AI
NízkaStrednáVysokáKritický
72 / 100 — Vysoké Risk. Je potrebné bezodkladné prijatie opatrení zo strany vedenia.
3
Kritické zistenia, ktoré si vyžadujú okamžité opatrenia
7
risk , ktoré si vyžadujú prijatie opatrení do 30 dní
23
Zistené aktívne používanie neschválených AI
4
Regulačné rámce s vystavením podstatným medzerám
Risk domén

Hodnotenia Risk zrelosti vo všetkých šiestich OASF .

Každá oblasť bola posúdená na základe OASF rámca OASF a ohodnotená z hľadiska risk a úrovne vyspelosti riadenia. Úroveň vyspelosti sa hodnotí na stupnici od 1 do 5: 1 = ad hoc, 2 = vo vývoji, 3 = definovaná, 4 = riadená, 5 = optimalizovaná.

Doména Risk Doba splatnosti Kľúčová medzera
Správa údajovOASF Kritické 1,4 / 5 Neexistuje žiadna policy klasifikácie údajov v oblasti umelej inteligencie. PII zákazníkov PII do externých veľkých jazykových modelov bez kontroly alebo anonymizácie.
Riadenie modeluOASF Kritické 1,2 / 5 Neexistuje žiadny register schválených modelov. V 8 obchodných jednotkách sa aktívne používa 23 neschválených AI .
Prístup a identitaAI Vysoká 2.1 / 5 Interakcie s umelou inteligenciou nie sú viazané na identitu. Chýba integrácia jednotného prihlásenia (SSO) s nástrojmi umelej inteligencie. Neexistuje audit spájajúca využívanie umelej inteligencie s konkrétnymi osobami.
Prevádzková bezpečnosťOASF Vysoká 1,8 / 5 Žiadne obranné mechanizmy proti vstrekovaniu príkazov. Žiadne monitorovanie nepriateľských vstupov. Žiadny model hrozieb AI.
Audit dodržiavanie predpisovOASF Kritické 1,0 / 5 Žiadne zaznamenávanie interakcií s umelou inteligenciou. Žiadny audit . Nie je možné preukázať súlad s článkom 12 zákona EÚ o umelej inteligencii ani s článkom 30 nariadenia GDPR.
Reakcia na incidentyOASF Stredná 2,4 / 5 Všeobecný proces riešenia incidentov existuje, neobsahuje však žiadne kategórie incidentov, postupy ani postupy eskalácie AI.
Hlavné zistenia

Kritické arisk , ktoré si vyžadujú okamžitú pozornosť.

OASAT · Kritický
PII zákazníkov PII do externých modelov umelej inteligencie bez kontroly
Kritické

Pracovníci zákazníckeho servisu používajú ChatGPT ďalšie spotrebiteľské nástroje umelej inteligencie na prípravu odpovedí a zhrnutie sťažností, pričom uvádzajú celé mená zákazníkov, kontaktné údaje, čísla účtov a obsah komunikácie. Neexistujú žiadne kontroly údajov, ich redigovanie ani riadiace mechanizmy. Ide o aktívne porušenie nariadenia GDPR a nesúlad so zákonom EÚ o umelej inteligencii.

Článok 5 GDPR – Minimalizácia údajov Článok 32 GDPR – Bezpečnosť spracúvania Zákon EÚ o umelej inteligencii, článok 10 NIS2 21
OASAT · Kritický
Chýba audit umelej inteligencie — nie je možné predložiť dôkazy potrebné na splnenie regulačných požiadaviek
Kritické

V rámci organizácie neexistuje žiadne zaznamenávanie AI s AI . Ak to bude vyžadovať regulačný orgán alebo v prípade vyšetrovania porušenia ochrany údajov, spoločnosť NordTel nebude schopná preukázať, aké údaje boli spracované ktorým AI , kedy a kým. Ide o priame porušenie požiadaviek na vedenie záznamov podľa článku 12 AI EÚ AI a povinností týkajúcich sa záznamov o spracovaní podľa článku 30 nariadenia GDPR.

Zákon EÚ o umelej inteligencii, článok 12 Článok 30 GDPR NIS2 23 – Hlásenie incidentov
OASAT · Kritický
23 neschválených AI , ktoré sa aktívne využívajú v podnikoch
Kritické

Hodnotenie identifikovalo 23 rôznych AI , ktoré sa aktívne používajú v 8 obchodných jednotkách – žiadny z nich nebol schválený, vyhodnotený ani zaregistrovaný. Medzi tieto nástroje patria veľké jazykové modely (LLM) určené pre spotrebiteľov, asistenti na generovanie kódu, služby na sumarizáciu dokumentov a doplnky na zvýšenie produktivity AI. Tieto „tieňové“ AI v celej organizácii bez centrálneho prehľadu, kontroly alebo riadenia.

Zákon EÚ o umelej inteligencii, článok 9 – Risk OASF — Tieňová umelá inteligencia NIS2 21
OASAT · Vysoká
Údaje o konfigurácii siete zdieľané s asistentmi AI
Vysoká

Členovia tímu sieťových inžinierov využívajú asistentov pre programovanie založených na umelej inteligencii (GitHub Copilot, ChatGPT) na pomoc pri tvorbe skriptov pre automatizáciu siete. Posúdenie potvrdilo, že do zadávacích pokynov sa zahrňujú podrobnosti o topológii siete, konfiguračné parametre a schémy IP adresovania. To predstavuje nielen bezpečnostné risk potenciálne porušenie predpisov týkajúcich sa zákonného odpočúvania.

NIS2 21NIS2 – Bezpečnosť sietí GDPR, článok 32 OASF
OASAT · Vysoká
Chýba schopnosť reagovať na incidenty AI
Vysoká

Súčasný proces reakcie na incidenty spoločnosti NordTel nezahŕňa kategórie incidentov AI ani postupy na ich riešenie. V prípade narušenia bezpečnosti údajov AI, manipulácie s modelom alebo zlyhania riadenia nemá organizácia stanovený postup reakcie, postup eskalácie ani pripravenosť na oznámenie v lehote 72 hodín podľa GDPR.

Oznámenie podľa článkov 33 – 72h GDPR NIS2 23 OASF
OASAT · Vysoká
Medzerarisk v rámci zákona EÚ o umelej inteligencii – dva prípady použitia, ktoré neboli zohľadnené
Vysoká

Dva prípady využitia umelej inteligencie, ktoré boli identifikované v rámci posúdenia, budú pravdepodobne klasifikované akorisk prílohy III k zákonu EÚ o umelej inteligencii: hodnotenie úverovej bonity s využitím umelej inteligencie pri rozhodovaní o zmluvách s následným platením a správa sietí s využitím umelej inteligencie v oblasti kritickej infraštruktúry. Ani jeden z týchto prípadov neprešiel povinným posúdením zhody ani rámcom ľudského dohľadu, ktoré vyžaduje zákon EÚ o umelej inteligencii.

Príloha III AI EÚ AI Článok 14 AI EÚ AI – Ľudský dohľad AI EÚ AI , článok 17
Analýza medzier v právnych predpisoch

Súčasný stav súladu s platnými rámcami.

V rámci posúdenia boli porovnané súčasné Riadenie AI spoločnosti NordTel Riadenie AI so štyrmi príslušnými regulačnými rámcami. Položky v kolónke „Medzery“ predstavujú požiadavky, ktoré v súčasnosti nie sú splnené a predstavujú regulačné riziko.

AI EÚ AI

Čl. 9 — Neexistuje žiadny systém risk v oblasti umelej inteligencie
Čl. 10 — Chýbajúca správa údajov v AI
Čl. 12 — Neexistuje žiadne vedenie záznamov / audit
Článok 14 — Chýbajúci rámec pre ľudský dohľad
~
Článok 13 — Opatrenia na čiastočné zabezpečenie transparentnosti

NIST AI RMF

GOVERN — Žiadne Riadenie AI ani zodpovednosť
~
MAP — Čiastočná risk spojených s umelou inteligenciou (toto hodnotenie)
OPATRENIE — Žiadne risk ani sledovanie risk súvisiacich s umelou inteligenciou
SPRÁVA — Chýba risk a kontrolné mechanizmy v oblasti umelej inteligencie

NIS2

Čl. 21 — Bezpečnosť AI neboli zavedené
Čl. 21 — Bezpečnosť AI v dodávateľskom reťazci Bezpečnosť AI riešená
Čl. 23 — Neexistuje postup na hlásenie AI
~
Všeobecné bezpečnostné opatrenia, ktoré sa uplatňujú čiastočne

GDPR + AI

Článok 5 — V oblasti AI sa nevyžaduje minimalizácia údajov
Čl. 30 — Neexistujú žiadne záznamy o AI činnostiach AI
Čl. 32 — Žiadne technické opatrenia týkajúce sa Bezpečnosť AI
~
Čl. 33 — Existuje všeobecné oznámenie o porušení
Plán nápravných opatrení

Program riadenia podľa priorít – tri fázy.

V hodnotení sa odporúča štruktúrovaný trojfázový nápravný program, ktorý je zosúladený s regulačnými termínmi a risk operačných risk . Fáza 1 sa zameriava na bezprostredné kritické riziká. Fáza 2 buduje architektúru riadenia. Fáza 3 zavádza vynútiteľnosť počas prevádzky.

Fáza 1
Okamžité Risk
1.–6. týždeň
Zaviesť dočasné policy používania umelej inteligencie policy zablokovať LLM spotrebiteľských LLM k citlivým úlohám
Zaviesť základné zaznamenávanie AI pre obchodné jednotky pracujúce so zákazníkmi
Vykonajterisk podľa zákona EÚ o umelej inteligencii v súvislosti s umelou inteligenciou používanou na úverové hodnotenie a správu sietí
Zorganizovať školenie OASAP pre tímy zákazníckej podpory a sieťových inžinierov
Vytvoriť postup pre kontakt a oznamovanie AI súvisiacich s AI
Fáza 2
Architektúra riadenia
7.–16. týždeň
Zaviesť rámec OASF vo všetkých šiestich kontrolných oblastiach
Vytvoriť a zverejniť register schválených AI
Zaviesť policy klasifikácie údajov umelej inteligencie policy pravidlá ich spracovania
Vypracovať postupy riešenia incidentov AI pre všetky kritické kategórie
Komplexný program zvyšovania povedomia OASAP
Fáza 3
Vynucovanie počas behu programu
17.–26. týždeň
Nasadenie gateway umelej inteligencie Aegis gateway podnikového prístupového bodu k umelej inteligencii
Integráciapolicy OASF s kontrolnými mechanizmami Aegis
Aktivovať kompletné audit umelej inteligencie a vykazovanie v oblasti správy a riadenia
Prepojteaudit Aegis so systémom SIEM na účely nepretržitého monitorovania
Prvé hodnotenie úrovne vyspelosti riadenia — cieľová úroveň vyspelosti 3,5+ vo všetkých oblastiach

Ste pripravení zhodnotiť svoju Riadenie AI ?

Toto je ukážkové hodnotenie slúžiace na ilustračné účely. Skutočné OASAT je prispôsobené vašej organizácii – vášmu odvetviu, vášmu AI , vašim regulačným povinnostiam – a definuje rámec riadenia, ktorý Aegis zavádza do prevádzky. Pevná cena. Dodanie v priebehu niekoľkých týždňov.

Požiadajte o posúdenie Zobraziť ceny posúdenia