Incydent z platformą McHire to więcej niż kolejna wpadka IT – to ostrzeżenie dla polskich organizacji działających pod nowymi regulacjami DORA, NIS2 i AI Act.

‍

‍

Gdy certyfikaty nie wystarczą

‍

Paradox.ai, firma odpowiedzialna za system, posiadała certyfikaty SOC 2 Type II i ISO 27001. Mimo to podstawowe błędy jak domyślne hasła pozostały niezauważone. To kluczowy problem współczesnego zarządzania ryzykiem dostawców – certyfikaty dają fałszywe poczucie bezpieczeństwa, podczas gdy rzeczywiste luki czekają na odkrycie.

‍

‍

Konsekwencje finansowe? Miliardowe

‍

Dla McDonald's (przychody 25,92 mld USD w 2024) potencjalna kara RODO to ponad miliard dolarów – 4% światowych obrotów. AI Act dodaje kolejne 15 milionów euro lub 3% obrotów za naruszenia systemów wysokiego ryzyka, którymi są systemy rekrutacyjne.

‍

‍

Co to oznacza dla polskich firm?

‍

W dobie obowiązujących już regulacji cyberbezpieczeństwa, organizacje muszą wykraczać poza powierzchowną analizę certyfikatów dostawców. Konieczne są własne, niezależne audyty bezpieczeństwa systemów krytycznych – szczególnie tych wykorzystujących AI.

‍

‍

Incydent McHire pokazuje, że bezpieczeństwo musi być wbudowane w systemy AI od projektu. Jak podsumowuje jeden z ekspertów: „AI wzmacnia stare grzechy i wymyśla nowe. Jeśli wdrażasz chatboty, które dotykają danych klientów lub pracowników, budżetuj red team tak samo, jak budżetujesz wydatki na chmurę."

‍