Evropská rada pro systémová rizika (ESRB) zveřejnila varování, které se dá shrnout jednou větou: nejpokročilejší modely umělé inteligence začínají oslabovat kybernetickou odolnost finančního systému. Ve stejný den poslal bankovní dozor Evropské centrální banky dopis šéfům největších bank eurozóny, v němž stojí, že do konce října musí mít připravený plán, jak se před útoky poháněnými AI bránit. ESRB označila systémové kybernetické riziko za „závažné", a to poté, co ho ještě v březnu hodnotila jako „zvýšené".
Pokročilé AI modely
Řeč je o takzvaných frontier modelech, tedy o špičkových systémech umělé inteligence, které dokážou zásadně ovlivnit útočné i obranné operace v kyberprostoru. ESRB je popisuje jako zlom pro kybernetickou bezpečnost.
Zajímavé je, jak rada dvojznačnost celé věci pojmenovala. V dlouhodobém horizontu tyto modely nejspíš obranu posílí, jenže v krátkodobém a středním výhledu hrají do karet útočníkům, kterým umožňují odhalovat slabiny a vést útoky rychleji, ve větším měřítku a promyšleněji. Jinými slovy, technologie, která má jednou bránu chránit, ji teď spíš pomáhá prolamovat.
Konkrétní příklad zaznamenali experti na straně obrany. Pokročilé modely dokážou zpětně rozebrat bezpečnostní záplatu zhruba za třicet minut, což prakticky maže čas mezi vydáním opravy a chvílí, kdy útočník zneužije původní zranitelnost. Dřív měly banky na nasazení opravy celé dny. Teď na to mají doslova jen minuty.
Příkazy pro banky
Právě proto přišel dozor ECB s nezvykle konkrétním požadavkem. Dopis putoval k přibližně 110 bankám pod přímým dohledem centrální banky. Dle znění dopisu nejde o dočasný jev, ale o dlouhodobou proměnu hrozeb. Nové modely prý nepřinášejí zcela nové typy rizik, zato výrazně zvyšují rychlost a rozsah, v jakém se tato rizika projevují.
Od bank teď Frankfurt čeká několik věcí. Mají zrychlit záplatování softwaru, posílit obranu využívající samotnou AI a zpřísnit dohled nad dodavateli třetích stran. Z dlouhodobého hlediska pak modernizovat zastaralou infrastrukturu. Prioritou jsou systémy vystavené internetu, exponovaná technická aktiva a open source komponenty.
Hotový plán mají banky odevzdat svým společným dohledovým týmům do 31. října 2026. ECB s každou institucí plán probere a napříč sektorem provede srovnávací analýzu, aby odhalila společné slabiny i osvědčené postupy.
Aby banky získaly prostor, sáhl dohled i k ústupku. Pravidelný dotazník k IT rizikům, původně plánovaný na září, ECB odsouvá až na únor příštího roku a zvažuje úpravu dalších dohledových činností.
Temné scénáře
ESRB nezůstala u obecného varování a načrtla, jak by průšvih mohl vypadat. Popsala celou škálu, od postupné ztráty důvěry v menší banky přes špionáž podporovanou státy až po koordinované útoky na platební, zúčtovací a vypořádací systémy, které by navíc mohly umocnit dezinformační kampaně.
Rada také upozornila, že incidenty se dokážou bleskově šířit přes společné dodavatele technologií a sdílený software používaný napříč finančním sektorem. Stačí tedy prolomit jedno slabé místo u dodavatele, na kterém jsou závislé desítky bank.
A pak je tu důvěra, ta nejkřehčí surovina bankovnictví. ESRB varovala, že rozsáhlé kybernetické výpadky mohou nahlodat důvěru a spustit útoky na slabší instituce. V krajním případě prý u společností či zemí, které působí méně bezpečně.
Evropa je odkázaná na cizí technologie
Podle ESRB soustředění předních poskytovatelů AI mimo Evropskou unii vystavuje EU strategické závislosti a geopolitickým rizikům. Evropa zkrátka nemá vlastní špičkové modely a musí spoléhat na cizí firmy.
Kybernetické schopnosti některých systémů jsou považovány za tak silné, že přístup k nim byl omezen a banky eurozóny jsou z modelu Mythos od společnosti Anthropic aktuálně vyloučené. Evropské banky se tedy mají bránit nástrojům, k nimž samy nemají přístup, zatímco část amerických institucí takové omezení neřeší.
ECB proto tlačí na sdílení informací mezi evropskými bankami. Argumentuje, že společné sdílení poznatků o hrozbách může chybějící přístup k nejsilnějším modelům aspoň částečně vyvážit.
Zaznělo i téma, které teprve přijde. ECB upozornila, že kvantové počítače výrazně zasáhnou kybernetickou bezpečnost a přechod na postkvantové šifrování musí začít už teď. Této hrozbě chce později věnovat samostatný dopis.
Tři různé pohledy
Zajímavé je srovnání s ostatními centrálními bankami, které přišly se svým stanoviskem tentýž den. Frankfurt zvolil nejtvrdší tón.
Guvernér Bank of England Andrew Bailey označil varování ECB za „rozumné", sám ale slíbil méně direktivní přístup. Nejde prý o vydávání příkazů, ale o to sednout si k jednomu stolu a sdílet poznatky o zranitelnostech. Britové dlouhodobě bankám radí, aby obranu posílily, veřejné termíny ale nestanovují.
Ještě mírněji zněla americká centrální banka. Michelle Bowmanová z Fedu zdůraznila odpovědné zavádění AI, přiměřenost a „lehčí dohledovou ruku" u méně rizikových využití, přičemž se soustředila spíš na podporu inovací než na odezvu na systémové kybernetické hrozby.
Tři úřady, stejné riziko, tři odlišná tempa. Evropské banky teď mají čtyři měsíce na to, aby ukázaly, že to nejpřísnější z nich myslí vážně.
Zdroje: euronews.com, wmbdradio.com, reuters.com
