AI systémy jsou hodnotné cíle
Podnikové AI platformy zpracovávají e-maily, finanční data, smlouvy a osobní informace. Připojují se k desítkám externích služeb a provádějí automatizované akce. To z nich dělá atraktivní útočnou plochu — kompromitovaný AI agent s přístupem k vašemu CRM, e-mailu a finančním systémům může způsobit větší škodu než tradiční únik dat. Přesto mnoho nasazení AI přistupuje k bezpečnosti jako k druhotné záležitosti.
V ESKOM.AI je bezpečnost zabudována do architektury naší AI platformy od prvního dne. Každá vrstva — od síťového přístupu po oprávnění jednotlivých agentů — se řídí principy obrany do hloubky.
Síť a infrastruktura
Všechny platformové služby komunikují přes soukromou VPN s end-to-end šifrováním. Žádná služba není přímo vystavena veřejnému internetu. Komunikace mezi službami využívá soukromé IP adresy a externí přístup je řízen přes reverzní proxy s povoleným výčtem IP adres. Infrastruktura běží na dedikovaném hardwaru — žádné sdílené cloudové instance, kde by hlučné sousedy mohly umožnit útoky postranními kanály.
Každý soubor nahraný do systému nebo jím generovaný prochází antivirovým skenováním před vstupem do zpracovatelského řetězce. Tím se zachytí malwarem nakažené přílohy v e-mailech, infikované dokumenty z externích integrací a potenciálně škodlivá data v požadavcích API.
Ochrana dat a soulad s GDPR
Zpracování osobních údajů prostřednictvím AI modelů vytváří expozici vůči GDPR. Naším řešením je Anoxy — specializovaná služba anonymizace PII, která zachycuje data před tím, než dosáhnou jakéhokoli LLM. Anoxy detekuje a maskuje osobní identifikátory v reálném čase a nahrazuje je reversibilními tokeny. LLM zpracovává anonymizovaná data a původní hodnoty jsou obnoveny pouze v konečném výstupu viditelném oprávněným uživatelům.
- Automatická detekce PII napříč 15+ typy entit
- Reversibilní tokenizace — anonymizace pro zpracování, de-anonymizace pro výstup
- Auditní protokolování — každá anonymizační událost je zaznamenána s časovým razítkem, typem entity a žádajícím agentem
- Konfigurovatelná citlivost — různé úrovně anonymizace pro každého agenta a každou kategorii dat
Bezpečnost aplikací a audit
Naše platforma se řídí pokyny OWASP Top 10 v3 napříč všemi API endpointy. Zahrnuje to validaci vstupů, kódování výstupů, ověřování přes podnikový SSO, řízení přístupu na základě rolí (RBAC) a omezení rychlosti. Každý agent pracuje pod principem nejmenšího oprávnění — HR agent nemá přístup k finančním datům a DevOps agent nemůže číst e-maily vedoucích pracovníků.
Každá akce v systému generuje neměnnou auditní stopu: který agent akci provedl, k jakým datům přistoupil, který LLM byl použit a jaký výstup byl vyprodukován. Když agent učiní rozhodnutí, můžete sledovat celý řetězec uvažování zpět k původnímu vstupu. Pro podniky hodnotící AI platformy je naše doporučení jednoduché: pokud dodavatel nedokáže podrobně vysvětlit svůj bezpečnostní model, pravděpodobně žádný nemá.