12 pravil varne uporabe umetne inteligence v podjetju

13.07.2026

Umetna inteligenca spreminja način dela hitreje kot katerakoli tehnologija v zadnjih letih. Zaposlenim že danes prihrani veliko časa pri pisanju elektronske pošte, pripravi analiz, prevajanju, programiranju, povzemanju dokumentov, iskanju informacij in obdelavi podatkov.

Naslednji korak predstavljajo AI-agenti, ki ne bodo več samo pripravljali odgovorov, temveč bodo samostojno izvajali poslovne procese. Obdelovali bodo naročila, pripravljali pogodbe, odgovarjali strankam, dostopali do poslovnih sistemov ter sprejemali odločitve na podlagi razpoložljivih podatkov.

To je lahko velika poslovna prednost. Hkrati pa pomeni tudi eno največjih novih informacijskih in kibernetskih tveganj za podjetja.

Največja nevarnost ni umetna inteligenca sama, temveč njena uporaba brez pravil, nadzora in razumevanja posledic.

1. V AI ne vnašajte zaupnih poslovnih podatkov

V javno dostopna AI-orodja ne kopirajte pogodb, ponudb, finančnih podatkov, poslovnih načrtov, internih poročil, gesel, izvorne kode, podatkov o strankah ali drugih poslovnih skrivnosti.
En sam nepremišljen »kopiraj in prilepi« lahko pomeni, da občutljivi podatki zapustijo nadzorovano okolje podjetja.

Pred vsakim vnosom se vprašajte:

Ali bi lahko te podatke brez zadržkov objavili na javni spletni strani podjetja?

Če je odgovor ne, jih v javno AI-orodje praviloma ne smete vnesti.

2. Osebne podatke pred uporabo odstranite ali anonimizirajte

Imena, naslovi, telefonske številke, elektronski naslovi, zdravstveni podatki, kadrovske evidence in drugi osebni podatki so zaščiteni z zakonodajo o varstvu osebnih podatkov.

Preden dokument obdelate z umetno inteligenco, odstranite podatke, ki omogočajo identifikacijo posameznika. Kadar je mogoče, uporabite izmišljena imena, oznake ali anonimizirane podatke.

Namesto:

»Pripravi odgovor stranki Janezu Novaku, ki živi na naslovu …«

uporabite:

»Pripravi odgovor stranki glede reklamacije izdelka.«

Uporaba AI mora biti skladna z GDPR, internimi akti podjetja in dogovorjenimi pogoji obdelave podatkov.

3. Uporabljajte samo odobrena AI-orodja

Zaposleni pogosto uporabljajo brezplačna AI-orodja brez vednosti vodstva ali IT-oddelka. Takšna praksa se imenuje »Shadow AI« oziroma senčna uporaba umetne inteligence.
Podjetje zaradi tega ne ve:

  • katera orodja zaposleni uporabljajo,
  • kam se pošiljajo poslovni podatki,
  • kako dolgo se podatki hranijo,
  • ali se uporabljajo za nadaljnje učenje modelov,
  • kdo ima dostop do uporabniških računov.

Podjetje mora zato določiti seznam dovoljenih AI-orodij ter jasno opredeliti, za katere naloge se lahko uporabljajo.

Brezplačna različica znanega AI-orodja ni nujno primerna za obdelavo poslovnih podatkov.

4. Vsak odgovor umetne inteligence preverite

AI lahko pripravi zelo prepričljiv, vendar napačen odgovor. Takšne napake imenujemo halucinacije umetne inteligence.

Model si lahko izmisli:

  • zakonske določbe,
  • sodne odločbe,
  • tehnične funkcije,
  • statistične podatke,
  • strokovne vire,
  • reference,
  • imena izdelkov ali oseb.

Posebna previdnost je potrebna pri pravnih, finančnih, zdravstvenih, tehničnih in varnostnih vprašanjih.

AI naj pripravi osnutek, povzetek ali predlog. Končno vsebino mora pred uporabo vedno preveriti usposobljena oseba.

Odgovornosti za napačno odločitev ni mogoče prenesti na umetno inteligenco.

5. AI obravnavajte kot pomočnika, ne kot odgovorno osebo

Umetna inteligenca lahko pomaga pri delu, ne sme pa samostojno prevzeti odgovornosti za pomembne poslovne odločitve.

AI ne pozna nujno vseh okoliščin, poslovnih pravil, dogovorov s strankami ali zakonodajnih omejitev. Prav tako ne razume posledic svojih predlogov na enak način kot človek.

Končno odločitev mora sprejeti človek predvsem pri:

  • zaposlovanju in odpuščanju,
  • odobravanju plačil,
  • sklepanju pogodb,
  • pravnih odločitvah,
  • obdelavi reklamacij,
  • ocenjevanju zaposlenih,
  • sprejemanju varnostnih ukrepov,
  • upravljanju dostopnih pravic.

Načelo človeškega nadzora mora veljati tudi takrat, ko je AI v večini primerov natančna.

6. Bodite pozorni na napade z vrivanjem navodil

Prompt injection je napad, pri katerem zlonamerna vsebina poskuša umetno inteligenco prepričati, naj ignorira prvotna navodila, razkrije podatke ali izvede nezaželeno dejanje.

Takšno navodilo je lahko skrito v:

  • elektronskem sporočilu,
  • dokumentu,
  • datoteki PDF,
  • spletni strani,
  • sliki,
  • tabeli,
  • komentarju v programski kodi.

Na primer, AI-agent lahko prejme dokument z navodilom, naj podatke iz sistema pošlje na zunanji elektronski naslov.

Zato AI ne sme avtomatično zaupati vsebini, ki jo obdeluje. Zunanje dokumente in spletne vsebine je treba obravnavati kot potencialno nevaren vhod.

7. AI-agentom dodelite najmanjše potrebne pravice

AI-agent, ki lahko dostopa do elektronske pošte, CRM-sistema, ERP-sistema, dokumentov ali bančnih podatkov, predstavlja bistveno večje tveganje kot običajen klepetalni pomočnik.

Vsak AI-agent mora imeti samo tiste pravice, ki jih nujno potrebuje za izvedbo konkretne naloge.

Agent za pripravo osnutkov elektronske pošte na primer ne potrebuje pravice za samostojno pošiljanje sporočil, brisanje pošte ali dostop do vseh poštnih predalov.

Pri uvajanju AI-agentov je treba upoštevati:

  • načelo najmanjših privilegijev,
  • večfaktorsko avtentikacijo,
  • ločevanje uporabniških in skrbniških računov,
  • potrjevanje pomembnih dejanj,
  • beleženje vseh aktivnosti,
  • omejevanje dostopa do podatkov,
  • možnost takojšnjega preklica pravic.

AI-agent ne sme dobiti več pooblastil, kot bi jih dobil običajen zaposleni na enakem delovnem mestu.

8. Ne uporabljajte AI za ustvarjanje ali obdelavo gesel

V umetno inteligenco ne vnašajte gesel, dostopnih ključev, varnostnih kod, API-ključev, digitalnih certifikatov ali podatkov za prijavo.

AI prav tako ni primeren upravljalnik gesel.

Za ustvarjanje in shranjevanje gesel uporabljajte odobren upravljalnik gesel. Gesla naj bodo dolga, unikatna in zaščitena z večfaktorsko avtentikacijo.

Posebej previdni bodite pri programski kodi. Zaposleni lahko v AI nehote prilepijo programsko kodo, ki vsebuje dostopne podatke do strežnikov, podatkovnih baz ali zunanjih storitev.

9. Preverite dokumente, povezave in kodo, ki jih pripravi AI

Umetna inteligenca lahko pripravi programsko kodo z varnostnimi ranljivostmi, zastarelimi knjižnicami ali nevarnimi funkcijami. Prav tako lahko predlaga napačne ukaze, spletne povezave ali konfiguracijske nastavitve.

Kode, ki jo pripravi AI, ne smemo brez pregleda uporabiti v produkcijskem okolju.

Potrebni so:

  • strokovni pregled kode,
  • varnostno testiranje,
  • preverjanje uporabljenih knjižnic,
  • preverjanje licenčnih pogojev,
  • testiranje v ločenem okolju,
  • pregled dostopov in dovoljenj.

Enako velja za datoteke, makre, skripte in ukaze, ki jih predlaga AI. Pred zagonom je treba razumeti, kaj bodo dejansko izvedli.

10. Ne zaupajte sporočilu samo zato, ker je napisano brezhibno

Napadalci z uporabo umetne inteligence ustvarjajo zelo prepričljiva phishing sporočila, lažne ponudbe, ponarejene račune, lažne profile zaposlenih ter sporočila brez slovničnih napak.

Slaba slovnica zato ni več zanesljiv pokazatelj prevare.

Vsako nenavadno zahtevo je treba preveriti po drugem komunikacijskem kanalu, zlasti kadar gre za:

  • spremembo bančnega računa,
  • nujno plačilo,
  • ponastavitev gesla,
  • pošiljanje zaupnih dokumentov,
  • nakup darilnih kartic,
  • spremembo podatkov dobavitelja,
  • zahtevo direktorja ali poslovnega partnerja.

Posebno tveganje predstavljajo AI-generirani glasovi, videoposnetki in lažne videokonference. Tudi znan glas ali obraz ni več vedno dokaz identitete.

11. Preverjajte kakovost podatkov, na katerih temelji AI

Odločitve umetne inteligence so odvisne od podatkov, ki jih prejme. Če so podatki napačni, zastareli, pristranski ali zlonamerno spremenjeni, bodo napačni tudi rezultati.

Takšno tveganje imenujemo zastrupljanje podatkov oziroma data poisoning.

Podjetje mora vedeti:

  • iz katerih virov AI črpa podatke,
  • kdo lahko te podatke spreminja,
  • kako se preverja njihova kakovost,
  • kdaj so bili podatki posodobljeni,
  • ali je mogoče ugotoviti izvor odgovora.

Za pomembne poslovne odločitve je treba uporabljati preverjene in nadzorovane podatkovne vire. AI ne sme samostojno graditi odločitev na nepreverjeni spletni vsebini.

12. Vzpostavite AI-politiko in redno izobražujte zaposlene

Varna uporaba umetne inteligence se ne začne z nakupom tehnologije, temveč z jasnimi pravili.

Podjetje mora pripraviti politiko uporabe AI, ki najmanj določa:

  • katera AI-orodja so dovoljena,
  • katere podatke je dovoljeno obdelovati,
  • katerih podatkov ni dovoljeno vnašati,
  • kdo odobrava nova AI-orodja,
  • kako se preverjajo AI-odgovori,
  • kako se uvajajo AI-agenti,
  • kako se prijavi incident,
  • kdo je odgovoren za nadzor,
  • kako se beleži uporaba,
  • kakšne so posledice kršitev pravil.

Pravila morajo biti kratka, razumljiva in prilagojena dejanskemu delu zaposlenih.

Samo podpis pravilnika ni dovolj. Zaposleni potrebujejo redna izobraževanja, praktične primere in simulacije resničnih tveganj.

Najpomembnejša tveganja uporabe AI

Med največja tveganja sodijo:

  1. nenamerno razkritje poslovnih skrivnosti,
  2. iztekanje osebnih podatkov,
  3. napačni ali izmišljeni odgovori,
  4. napadi z vrivanjem navodil,
  5. preveliko zaupanje v AI,
  6. napredne phishing prevare,
  7. AI-agenti s previsokimi privilegiji,
  8. uporaba neodobrenih AI-orodij,
  9. zastrupljanje podatkov,
  10. ranljiva programska koda,
  11. kraja identitete z ustvarjenim glasom ali videom,
  12. avtomatizacija kibernetskih napadov.

Kaj mora storiti podjetje?

Podjetja morajo uporabo AI upravljati enako resno kot uporabo drugih poslovnih informacijskih sistemov.

To vključuje:

  • jasno AI-politiko,
  • klasifikacijo podatkov,
  • izbor odobrenih orodij,
  • tehnične omejitve in nadzor,
  • varno upravljanje uporabniških računov,
  • spremljanje uporabe AI,
  • ocenjevanje dobaviteljev,
  • redno varnostno testiranje,
  • človeški nadzor nad pomembnimi odločitvami,
  • načrt odzivanja na incidente,
  • redno izobraževanje zaposlenih.

Pri uvajanju AI-agentov je treba pred začetkom uporabe izvesti varnostno oceno, preveriti dostopne pravice ter opredeliti dejanja, ki zahtevajo potrditev človeka.

Umetna inteligenca lahko bistveno poveča produktivnost, izboljša kakovost dela in zaposlenim omogoči, da se posvetijo pomembnejšim nalogam. Toda enaka tehnologija lahko povzroči razkritje podatkov, napačne poslovne odločitve, pravne kršitve ali obsežen kibernetski incident.

Ključno vprašanje zato ni, ali bodo podjetja uporabljala umetno inteligenco. Večina jo že uporablja.

Pravo vprašanje je, ali jo bodo uporabljala nadzorovano, odgovorno in varno.

Redno ozaveščanje zaposlenih ni dodatno priporočilo. Je eden osnovnih varnostnih ukrepov sodobnega podjetja.

Objavljeno v IT-varnost, Umetna inteligencaOznake: