AI sustavi su mete visoke vrijednosti
Enterprise AI platforme obrađuju e-poštu, financijske podatke, ugovore i osobne informacije. Povezuju se s desetinama vanjskih servisa i izvršavaju automatizirane radnje. To ih čini privlačnom površinom napada — kompromitirani AI agent s pristupom vašem CRM-u, e-pošti i financijskim sustavima može prouzročiti više štete od tradicionalnog proboja podataka. Ipak, mnogi AI deploymenti tretiraju sigurnost kao naknadnu misao, dodajući je nakon što je jezgra sustava izgrađena.
U ESKOM.AI-u, sigurnost je ugrađena u arhitekturu naše AI platforme od prvog dana. Svaki sloj — od mrežnog pristupa do pojedinih dozvola agenata — slijedi principe dubinske obrane. Evo kako pristupamo svakom sloju.
Mreža i infrastruktura
Sve usluge platforme komuniciraju preko privatne VPN mreže s end-to-end enkripcijom. Nijedna usluga nije izravno izložena javnom internetu. Komunikacija između usluga koristi privatne IP adrese (raspon 100.x.x.x), a vanjski pristup prolazi kroz reverse proxy s popisa dopuštenih IP adresa. Infrastruktura radi na namjenskom hardveru — bez dijeljenih cloud instanci gdje susjedni stanari mogu omogućiti bočnokanalne napade.
Svaka datoteka učitana u sustav ili generirana njime prolazi kroz antivirusno skeniranje prije ulaska u cjevovod obrade. To hvata malwareom opterećene privitke u e-porukama, zaražene dokumente iz vanjskih integracija i potencijalno zlonamjerne payloade u API zahtjevima. Osnovna je to mjera, ali jedna koju mnoge AI platforme potpuno preskače.
Zaštita podataka i GDPR usklađenost
Obrada osobnih podataka kroz AI modele stvara GDPR izloženost. Naše rješenje je Anoxy — namjenski servis za anonimizaciju PII koji presreće podatke prije nego što dosegnu bilo koji LLM. Anoxy otkriva i maskira osobne identifikatore (imena, e-mail adrese, telefonske brojeve, matične brojeve, adrese) u stvarnom vremenu, zamjenjujući ih reverzibilnim tokenima. LLM obrađuje anonimizirane podatke, a izvorne vrijednosti vraćaju se samo u konačnom izlazu, vidljivom samo ovlaštenim korisnicima.
- Automatska detekcija PII za 15+ vrsta entiteta
- Reverzibilna tokenizacija — anonimizirajte za obradu, de-anonimizirajte za izlaz
- Revizijsko bilježenje — svaki događaj anonimizacije bilježi se s vremenskom oznakom, vrstom entiteta i agentom koji je zatražio
- Konfigurabila osjetljivost — različite razine anonimizacije po agentu i po kategoriji podataka
Sigurnost aplikacije i revizija
Naša platforma prati smjernice OWASP Top 10 v3 kroz sve API krajnje točke. To uključuje validaciju unosa, kodiranje izlaza, autentikaciju putem enterprise SSO-a s sigurnom autorizacijom, kontrolu pristupa temeljem uloga (RBAC) i ograničavanje brzine. Svaki agent radi prema načelu najmanjih privilegija — HR agent ne može pristupiti financijskim podacima, a DevOps agent ne može čitati izvršne e-poruke.
Svaka radnja u sustavu generira nepromjenljivi revizijski trag: koji je agent izveo radnju, kojim podacima se pristupilo, koji LLM je korišten i kakav je izlaz produciran. Ovo nije samo za usklađenost — ključno je za otklanjanje pogrešaka, osiguranje kvalitete i odgovornost. Kada agent donese odluku, možete pratiti cijeli lanac zaključivanja natrag do originalnog unosa. Za poduzeća koja procjenjuju AI platforme, naša preporuka je jednostavna: ako dobavljač ne može detaljno objasniti svoj sigurnosni model, vjerojatno ga nema.