Bezpečnostní oddělení jsou dlouhodobě personálně poddimenzovaná, počet bezpečnostních událostí roste a tlak na rychlost i správnost reakce se neustále zvyšuje. AI proto přirozeně vstupuje do hry jako nástroj, který má pomoci zvládnout objem a tempo práce. Praxe však ukazuje, že samotná přítomnost AI v nástrojích nedostatek expertů neřeší. Pokud není jasně určeno, jakou roli má AI a jakou lidé, dochází spíše k přesunu zátěže než k její redukci.

AI dnes v kyberbezpečnosti funguje ve dvou rovinách zároveň. Na straně obrany zrychluje analýzu dat, pomáhá s korelací událostí a dává expertům lepší přehled o tom, co se v infrastruktuře děje. Současně však stejná technologie snižuje bariéry pro útočníky – umožňuje jim vytvářet přesvědčivější phishing, efektivnější sociální inženýrství a rychlejší průzkum cílů. Právě tento dvojí efekt zvyšuje tlak na bezpečnostní týmy a klade ještě větší důraz na roli lidského úsudku.

Nejvyšší návratnost má AI tam, kde je problémem objem, repetitivnost a potřeba rychlé orientace v datech. Typicky jde o triage a prioritizaci bezpečnostních událostí v SOC (bezpečnostní operační centrum), korelaci logů napříč nástroji, rozpoznávání anomálií v síťovém provozu a identitách nebo zrychlení základní analýzy malwaru či podezřelých příloh. V praxi to znamená, že AI umí velmi rychle navrhnout, zda incident stojí za eskalaci, doplnit kontext a nabídnout prvotní hypotézu. To je přesně ten typ práce, který analytikům bere čas a energii, a přitom je z velké části mechanický.

Druhá oblast, kde AI dává smysl, je security copilot pro odborníky, který pomáhá s konfigurací bezpečnostních prvků, generováním dotazů do SIEM (monitorovacího softwaru), sumarizací incidentů do čitelné podoby pro management, nebo tvorbou prvních návrhů playbooků a dokumentací. AI zvedá produktivitu a zkracuje čas od detekce k rozhodnutí.

Třetí velmi praktická oblast je ochrana koncových uživatelů proti phishingu a podvodům. AI korelací informací (obsah, odesílatel, reputace, kontext komunikace, náhlé změny chování, čas odeslání atd.) dokáže snížit množství falešných poplachů a zvýrazní zprávy, které opravdu stojí za pozornost.

Limity AI v kyberbezpečnosti jsou z velké části stejné jako limity samotné AI – může halucinovat, může si být sebejistá v nesprávném závěru, a je citlivá na kvalitu vstupů. Bezpečnostní rozhodnutí ale není jen korelace dat. Je to kvalifikované rozhodnutí – co odstavit, co izolovat, jak minimalizovat dopad na byznys, jak postupovat vůči dodavateli, kdy a jak eskalovat. Tato rozhodnutí vyžadují hlubší porozumění, často jsou právně a reputačně citlivá, a nedají se bezpečně delegovat na model.

V praxi se osvědčuje rozdělit systém tak, aby AI dělala rychlou, objemovou a podpůrnou práci, ale rozhodnutí a odpovědnost zůstaly u lidí. AI funguje skvěle jako asistent vyšetřovatele, ne jako vyšetřovatel samotný.

Typicky zdravý model v SOC vypadá tak, že AI pomáhá s normalizací a korelací dat, s prvotní prioritizací alertů, se sumarizací incidentu a návrhem možných variant postupů. Analytik rozhoduje, co je skutečný incident, volí reakci a odpovídá za výsledek. Seniorní role (IR lead, threat hunter, architekt) definují detekční logiku, nastavují politiky, udržují playbooky a validují, že automatizace nedělá škody. Pokud se zapojí automatické blokace, tak je dobré je omezit na úzké, dobře testované scénáře s jasnými guardraily, a vždy mít možnost rychlého rollbacku.

U generativních AI aplikací, chatbotů nebo interních asistentů je rozdělení rolí podobné – model může navrhovat odpovědi a pomáhat obsluze, ale musí existovat lidské vrstvy kontroly a monitoring výstupů. 

Zatímco v jiných IT disciplínách generativní AI část práce skutečně přebírá, u kyberbezpečnosti se role expertů nemění, ale zpřesňuje. Bezpečnostní odborníci zůstávají mozky obrany – nastavují pravidla, definují detekční logiku, rozhodují o reakci a nesou odpovědnost za výsledek.

AI jim může pomoci zbavit se rutiny, ale nemůže převzít odpovědnost. Právě proto je důležité, aby firmy počítaly s tím, že s nasazením AI roste hodnota zkušených lidí, nikoliv naopak. Pokud se tento fakt ignoruje, dochází k paradoxní situaci – technologie má zvyšovat efektivitu, ale ve skutečnosti zrychluje odchody klíčových odborníků z oboru.

Z hlediska byznysu a řízení lidských zdrojů obecně ve firmách často panuje zavádějící představa, že by měla s rozvojem AI technologií přijít výrazná úspora v oblasti personálního obsazení. Běžným plánem je redukce stavů a úplné nahrazení juniorních zaměstnanců AI nástroji. Automatizace rutinních činností ale přitom dává firmám možnost rozvíjet kompetence členů týmu nebo měnit a rozšiřovat jejich kvalifikaci.

AI je v kyberbezpečnosti silným nástrojem, pokud se používá realisticky. Pomáhá tam, kde lidem bere rutinu, a selhává tam, kde má nahrazovat úsudek. Firmy, které chtějí z AI těžit dlouhodobě, by se neměly ptát jen na to, co automatizovat, ale také jak tím chránit své odborníky před přetížením a vyhořením.

Blízká budoucnost kyberbezpečnosti nebude čistě lidská ani plně řízená umělou inteligencí. Bude hybridní. A právě schopnost správně rozdělit role mezi AI a lidské experty rozhodne o tom, zda technologie přinese vyšší efektivitu a reakceschopnost, nebo naopak přidá nechtěnou komplexitu.