AI, agenci i shadow AI: nowe ryzyka wymuszają zmianę podejścia do bezpieczeństwa danych

Z Tomaszem Krajewskim, Senior Technical Sales Director – Eastern Europe w firmie Veeam, rozmawiamy o tym, jak zmienia się podejście do bezpieczeństwa danych w erze sztucznej inteligencji. Wskazujemy ryzyka związane z wykorzystaniem danych w środowisku firmowym, rozwój agentów AI i wyzwania ich kontroli, a także zjawisko shadow AI. Wyjaśniamy również istotę podejścia DSPM oraz możliwości rozwiązań Agent Commander i Veeam Data Cloud, które łączą ochronę backupu z kontekstem danych i kontrolą dostępu.

Jakie są dziś kluczowe wyzwania związane z zapewnieniem bezpieczeństwa danych biznesowych? W jaki sposób oferta Veeam odpowiada na potrzeby z nimi związane?

Wyzwań związanych z bezpieczeństwem danych jest coraz więcej, ponieważ stały się one jednym z najcenniejszych zasobów organizacji. Zasobem napędzającym procesy biznesowe i decyzje. Historycznie skupialiśmy się na tym, by dane przetrwały – nie padały ofiarą ransomware, nie były tracone przez awarie lub błędy ludzkie, i by można je było szybko odzyskać. Backup i odtwarzanie danych były i nadal są fundamentem.

Pojawił się jednak nowy wymiar – sztuczna inteligencja. Nie istnieje ona bez danych, a coraz więcej firm trenuje modele na własnych zasobach, przez co dane przestają być jedynie zasobem – stają się paliwem dla AI. To zmienia perspektywę: nie wystarczy już tylko chronić i odzyskiwać danych. Trzeba dokładnie wiedzieć, gdzie się znajdują, kto ma do nich dostęp, w jakim kontekście są wykorzystywane i czy spełniają wymagania regulacyjne. W tym miejscu pojawia się obszar Data Security Posture Management (DSPM).

Veeam, dotychczas kojarzony głównie z ochroną danych produkcyjnych i backupem, rozszerza dziś swoje podejście o kontekst danych i kontrolę dostępu – także w środowiskach AI. Ten kierunek wzmacnia przejęcie spółki Securiti AI, która wnosi kompetencje z obszaru DSPM. To dopiero początek integracji, ale kierunek jest wyraźny: bezpieczeństwo danych musi obejmować cały ich cykl życia – od momentu powstania, przez wykorzystanie, aż po backup i archiwizację.

Jaką rolę pełni platforma Veeam Data Cloud?

Nie jest to nowy obszar – od dawna oferowaliśmy backup dla Microsoft 365, ale w wersji lokalnej. Z czasem klienci zaczęli zwracać uwagę na prostą rzecz: skoro przechodzą do chmury, to nie chcą nic instalować lokalnie. Dlatego powstał Veeam Data Cloud w modelu Backup-as-a-Service – bez własnej infrastruktury, z ochroną środowisk takich jak Microsoft 365 czy Azure bezpośrednio w usłudze.

Druga kwestia to rosnąca świadomość rynku. Firmy coraz lepiej rozumieją, że Microsoft odpowiada za dostępność usługi, ale nie za same dane. Jeśli ktoś usunie plik czy zmieni dokument w SharePoincie, możliwości odzyskiwania są ograniczone.

Trzeci aspekt to koszty. Infrastruktura i sprzęt drożeją, m.in. przez rozwój AI i data center, więc model usługowy – z przewidywalnymi wydatkami – zaczyna być po prostu bardziej opłacalny.

Co było główną motywacją do uruchomienia lokalnego repozytorium VDC365 w Polsce?

Decyzja o uruchomieniu lokalnego repozytorium VDC365 w Polsce wynikała wprost z rozmów z klientami. Bardzo często pojawiało się pytanie: „Gdzie są nasze dane?”. Dla części firm lokalizacja poza krajem nie była problemem, ale dla wielu stanowiła barierę – głównie ze względu na regulacje wymagające, by dane lub ich kopie pozostawały w Polsce. Wcześniej nie mogliśmy tego zapewnić, dziś już tak – repozytorium działa lokalnie, w oparciu o infrastrukturę Microsoftu.

Oczywiście architektura chmury jest bardziej złożona – dane są replikowane i mogą pojawiać się w różnych lokalizacjach – ale kluczowe jest to, że zawsze istnieje lokalna kopia w Polsce. Można to nazwać „suwerennością w praktyce”: nie pełną izolacją, ale poziomem kontroli, który spełnia wymagania regulacyjne i daje firmom komfort korzystania z chmury.

Ma to też wymiar regionalny. W Europie Środkowo-Wschodniej takich lokalizacji jest niewiele, a dla wielu krajów Polska jest po prostu bliżej niż Frankfurt czy Amsterdam.

Widać też dojrzewanie podejścia klientów w naszym regionie. Najpierw jest ostrożność i testowanie, a potem przychodzi moment przyspieszenia. Tak było z wirtualizacją – i dokładnie to samo dzieje się dziś z Microsoft 365, adopcja gwałtownie rośnie.

W jaki sposób ta lokalność danych wpływa na bezpieczne wdrażanie AI, szczególnie w kontekście egzekwowania zasad dostępu przez agentów AI?

Ma to duże znaczenie na kilku poziomach. Utrzymywanie zarówno danych, jak i modeli AI w regionie Poland Central ogranicza przepływ danych i ułatwia egzekwowanie wymogów jurysdykcyjnych oraz polityk bezpieczeństwa.

Druga kwestia to wydajność – AI najlepiej działa blisko danych, na których operuje. Nazywamy to „grawitacją danych”. Jeśli wszystko jest w jednym środowisku, eliminujemy konieczność przesyłania dużych wolumenów informacji, które często stają się wąskim gardłem.

Kluczowa jest jednak kontrola dostępu. Gdy dane, modele i systemy funkcjonują w jednym ekosystemie, dużo łatwiej egzekwować polityki dostępu – i to nie tylko wobec użytkowników, ale też agentów AI. Jest to istotne, bo agenci działają szybciej, automatycznie i często mają szersze uprawnienia.

Dlatego lokalność danych to nie tylko kwestia regulacji, ale realna przewaga w kontekście bezpieczeństwa i kontroli nad tym, jak AI korzysta z danych.

Jakie są specyficzne wymagania w zakresie bezpieczeństwa danych przy trenowaniu modeli AI?

Ciekawe jest to, że AI nie stworzyło nowych problemów, tylko uwidoczniło i spotęgowało te, które istniały od dawna. Firmy od lat gromadziły dane, często bez pełnej wiedzy, kto ma do nich dostęp, gdzie są przechowywane i w jakim kontekście są wykorzystywane. W momencie, gdy zaczęliśmy trenować modele AI na tych zasobach, brak kontroli stał się po prostu bardziej widoczny.

Model uczy się na wszystkim, co mu dostarczymy. Jeśli trafiają do niego nieuporządkowane lub wrażliwe dane, może je „wchłonąć” i później odtwarzać, co rodzi ryzyko naruszeń prywatności i problemów regulacyjnych, np. w kontekście RODO czy NIS2.

Największym wyzwaniem jest jednak nieodwracalność tego procesu. W klasycznych systemach można dane poprawić lub usunąć, natomiast w modelach AI „oduczenie” informacji jest trudne i często wymaga ponownego trenowania od podstaw. Dlatego kluczowe stają się: kontrola dostępu, klasyfikacja danych i świadomość ich użycia jeszcze przed etapem treningu.

W tym miejscu koncepcja DSPM staje się fundamentem. Podejście rozwijane m.in. przez Securiti AI pozwala budować kontekstową mapę danych – pokazującą, gdzie się znajdują, jak są powiązane i czy ich wykorzystanie jest zgodne z regulacjami.

Problem bardzo często leży bowiem nie w pojedynczych zbiorach danych, ale w ich zależnościach. Osobno mogą nie stanowić ryzyka, ale w połączeniu – np. z danymi osobowymi – tworzą realne zagrożenie. I właśnie te konteksty trzeba umieć wychwycić, zanim dane trafią do modelu AI.

Czy można to porównać do zaawansowanej, „głębokiej” wyszukiwarki danych?

To porównanie jest tylko częściowo trafne, bo nie oddaje w pełni tego, z czym mamy do czynienia. Mówimy raczej o aktywnej warstwie analitycznej nad danymi, opartej o tzw. Data Command Graph. System w sposób ciągły analizuje różne repozytoria i nakłada na nie polityki – zarówno wewnętrzne, jak i regulacyjne, jak RODO.

Kluczowe jest tu nie tylko to, kto ma dostęp do danych i czy ten dostęp jest poprawny, ale też czy sam kontekst ich użycia ma sens. Zdarza się, że formalnie wszystko się zgadza, a mimo to dane trafiają do miejsc, w których nie powinny się znaleźć – na przykład w katalogu ofert handlowych pojawia się dokument o zupełnie innym, wrażliwym charakterze.

Dlatego określeniem lepszym niż „wyszukiwarka” jest „tablica kontrolna”, która automatycznie wychwytuje anomalie względem przyjętych zasad i jasno wskazuje, gdzie potrzebna jest reakcja. Co istotne, nie jest to jednorazowy audyt, tylko proces ciągły – przejście od reaktywnej kontroli do stałego monitorowania kontekstu danych.

Czy te procesy działają w czasie rzeczywistym?

Nie jest to pełny „real-time” w sensie milisekund, bo system musi najpierw przetworzyć dane i zbudować kontekst. W praktyce system zapewnia niemal ciągły monitoring, a czas reakcji liczony jest w godzinach, a nie dniach. To znacząco mniej niż w tradycyjnych podejściach, gdzie wykrycie incydentu zajmuje często kilka dni. Ma to też znaczenie regulacyjne, bo organizacje działają w określonych ramach czasowych na reakcję. W efekcie nie jest to natychmiastowe działanie, ale wystarczająco szybkie, by mówić o bieżącym monitorowaniu danych.

Jak działa Agent Commander i jakie są jego kluczowe funkcjonalności?

Jest to w pewnym sensie nadzorca dla systemów agentowych. Rozwiązanie Veeam Agent Commander łączy zrozumienie kontekstu danych z kompetencjami w zakresie backupu i odtwarzania. W środowiskach, gdzie działają agenci AI – przenoszący, modyfikujący czy usuwający dane, często z szerokimi uprawnieniami – Agent Commander monitoruje ich działania i rozumie, jak dane powinny wyglądać oraz kto powinien mieć do nich dostęp.

Jeśli wykryje odchylenie od polityk, Agent Commander może precyzyjnie cofnąć zmiany albo przywrócić system do ostatniego, poprawnie działającego stanu. Dobrym przykładem jest Microsoft 365 – zniknięcie danych z SharePointa zostaje potraktowane jako anomalia i uruchamia proces odtworzenia.

W ten sposób domykany jest cykl: system wie, jak dane powinny wyglądać, wykrywa zmiany i przywraca właściwy stan. Ma to szczególne znaczenie w świecie automatyzacji, gdzie błędy wynikają nie ze złej intencji, tylko z bezrefleksyjnego działania agentów AI.

Czy agenci AI narażają dane nieświadomie, czy wynika to raczej z ich nieprawidłowego wytrenowania?

Tak, agenci AI działają nieświadomie, ale problem jest szerszy i wynika z projektowania oraz konfiguracji systemów. Agenci realizują instrukcje od ludzi, które często są zbyt ogólne i nie biorą pod uwagę pełnego kontekstu organizacyjnego.

Przykładowo, jeśli agent ma usunąć dane starsze niż dwa lata, nie oceni, czy są one krytyczne dla innego działu. Wykona polecenie dokładnie tak, jak zapisano, automatycznie i bez refleksji.

Problem nie sprowadza się więc tylko do „wytrenowania”, ale też do sposobu projektowania i braku kontroli – organizacje często nie wiedzą nawet, ilu agentów działa w ich środowisku. Stąd potrzeba narzędzi, które zapewniają widoczność i kontrolę nad ich działaniami, takich jak Agent Commander.

Coraz częściej zdarza się też, że pracownicy samodzielnie korzystają z narzędzi AI bez wiedzy i zgody organizacji…

To zjawisko określa się jako „shadow AI”. Jeśli organizacja nie zapewnia własnych narzędzi, pracownicy sięgają po publiczne rozwiązania, jak ChatGPT, poza jakąkolwiek kontrolą firmy.

Problemem jest często brak świadomości ryzyka – dane wprowadzane do takich systemów mogą zostać przez nie przetworzone i potencjalnie ujawnione w innym kontekście. Dlatego firmy budują własne środowiska AI, ale to z kolei wymaga ścisłego zarządzania danymi i dostępem, bo inaczej ryzyko pojawia się wewnątrz organizacji, np. przy danych płacowych.

W tym miejscu istotną rolę odgrywa DSPM, które pozwala egzekwować zasady dostępu, a Agent Commander działa jako dodatkowa warstwa kontroli – wykrywa anomalie i może cofać działania agentów, gdy przekroczą ustalone granice.

Im większe możliwości dajemy użytkownikom dzięki AI, tym bardziej potrzebna jest kontrola nad tym, jak z nich korzystają – bo skala ryzyka rośnie wraz ze skalą możliwości.

Czy wdrożenie Agent Commandera oznacza, że problem można uznać za zamknięty?

Żadne pojedyncze rozwiązanie nie zamyka tematu bezpieczeństwa. Agent Commander – podobnie jak DSPM – to ważna warstwa kontroli nad danymi i działaniami agentów AI, pozwalająca wykrywać anomalie i przywracać dane. Nadal pozostaje jednak obszar, którego nie da się w pełni zautomatyzować – człowiek.

Jeśli dane trafią poza organizację, np. do publicznego modelu AI, system wewnętrzny nie będzie w stanie tego zatrzymać. Dlatego kluczowa jest edukacja użytkowników i świadomość ryzyka.

Dopiero połączenie trzech elementów – narzędzi AI, mechanizmów kontroli oraz edukacji – daje realną kontrolę nad wykorzystaniem AI w organizacji.

Czy Agent Commander jest już dostępny w Polsce i czy uwzględnia polskie regulacje, takie jak KSC?

Agent Commander jest na etapie prezentacji i zapowiedzi. Pokazaliśmy go na RSAC 2026 w San Francisco, a więcej szczegółów planujemy ujawnić na konferencji VeeamON. Produkt nie jest jeszcze komercyjnie dostępny i nie ma daty premiery.

Rozwiązanie działa w oparciu o tzw. blueprinty, czyli modele zgodności i polityk bezpieczeństwa w ramach Data Command Graph. Agent Commander jest zgodny z najczęściej stosowanymi regulacjami (takimi jak RODO, NIS2 i DORA), a w kolejnych wersjach może zostać dostosowany także do lokalnych wymogów, takich jak KSC.

Idea pozostaje jednak ta sama: użytkownik może zapytać, czy dane spełniają wymagania regulacyjne, a system wskaże ewentualne niezgodności i obszary do poprawy.

Na rynku istnieją rozwiązania DSPM, które zajmują się analizą i klasyfikacją danych, ale trudno wskazać gracza, który łączy DSPM z backupem w jednym podejściu. To istotne, bo backupy to ogromne repozytoria danych – często traktowane jako „martwe”, a w rzeczywistości nadal zawierające informacje wrażliwe i regulowane, które mogą być odtwarzane i wykorzystywane w różnych kontekstach.

Nasza strategia polega właśnie na połączeniu kompetencji DSPM z doświadczeniem w backupie, tak aby objąć bezpieczeństwem cały cykl życia danych.

Na jakie, związane z bezpieczeństwem danych, kwestie warto zwrócić szczególną uwagę w kontekście AI?

Największym wyzwaniem w najbliższych latach będzie kontrola tego, na jakich danych uczymy modele AI. Te ogólne, takie jak ChatGPT, bazują na ogromnych zbiorach danych z internetu, ale w środowisku firmowym – gdzie mamy dane wrażliwe i regulowane przez RODO – takie podejście się nie sprawdza.

Jeśli model zostanie wytrenowany na niekontrolowanych danych, może „przyswoić” informacje, których nie powinien, a ich późniejsze usunięcie jest ekstremalnie trudne, bo wiedza jest rozproszona w parametrach. Dlatego kluczowe staje się to, na czym trenujemy AI i do czego ma ono dostęp.

Drugi obszar ryzyka to rozwój agentów AI i ich współpracy. Coraz częściej nie będzie to relacja człowiek–model, ale agent–agent, gdzie systemy samodzielnie delegują zadania i realizują procesy biznesowe, m.in. w oparciu o protokoły takie jak MCP. W takim ekosystemie kontrola staje się znacznie trudniejsza, a kluczowe pozostaje zarządzanie dostępem do danych – tym bardziej że modele nie „zapominają” w operacyjny sposób.

Jakie trzy kluczowe działania powinny dziś podjąć polskie firmy, aby bezpiecznie skalować AI i zachować kontrolę nad danymi?

Po pierwsze – nie bać się AI. Brzmi banalnie, ale jest kluczowe, bo użytkownicy i tak już z niego korzystają, często poza kontrolą organizacji. Jeśli firma nie zapewni bezpiecznej alternatywy, pracownicy sięgną po narzędzia zewnętrzne.

To klasyczny problem Shadow AI, analogiczny do wcześniejszego Shadow IT. Brak firmowego narzędzia oznacza brak kontroli nad danymi i realne ryzyko ich wycieku.

Po drugie, trzeba rozumieć podstawy działania AI: jak uczą się modele, skąd biorą dane i dlaczego dane są ich kluczowym elementem. Nie na poziomie eksperckim, ale wystarczającym, by świadomie oceniać ryzyka.

Po trzecie – kontrola agentów AI i automatyzacji. Wchodzimy w świat, w którym agentów będzie coraz więcej, będą działać autonomicznie i szybciej niż człowiek jest w stanie reagować. Kluczowe nie jest więc „czy ich używać?”, ale „do czego mają dostęp?” – bo to właśnie dostęp do danych decyduje o poziomie ryzyka.