Sięgnij do ChatGPT, aby wzmocnić ochronę danych

Jak zaprojektować testy odporności, przygotować cykliczne szkolenia z bezpieczeństwa danych i regularnie informować o nowych zagrożeniach? Zrób to we własnym zakresie z pomocą AI.

Dostępny od sierpnia 2025 roku nowy model GPT-5 dorównuje albo przewyższa poziom wiedzy eksperckiej człowieka – tak przynajmniej twierdzi szef OpenAI. Czy także w zakresie cyberbezpieczeństwa? Na pytanie o to, jak wzmocnić ochronę danych, otrzymamy praktyczne wskazówki. ChatGPT zasugeruje zabezpieczenia techniczne, szkolenia personelu, tworzenie kopii zapasowych. Ale jego największą zaletą jest możliwość wzmocnienia wiedzy pracowników o tym, jak chronić dane – a wiemy ze statystyk, że za 80% skutecznych ataków hakerów odpowiada właśnie czynnik ludzki. Tę umiejętność ChatGPT można inteligentnie, ale ostrożnie, wykorzystać do poprawy poziomu cyberbezpieczeństwa.

Symulacje phishingu

Ataki z wykorzystaniem metod socjotechnicznych, czyli najczęściej phishing, są najczęstszą metodą wykorzystywaną przez hakerów. To od nich zaczyna się 90% skutecznych cyberataków. Wystarczy nieuważnie kliknąć na link w wiadomości e-mail albo SMS i hacker zyskuje dostęp do komputerów, blokuje je i żąda okupu. Jeszcze gorzej, gdy wykrada dane i upublicznia je w darknecie.

Dlatego każda organizacja powinna systematycznie badać, czy pracownicy potrafią rozpoznać fałszywe wiadomości. Do tego służą tzw. ataki symulowane. Taką wiadomość z łatwością przygotuje ChatGPT. Wystarczy poprosić o napisanie „maila typu phishing z NFZ albo dostawcy oprogramowania z informacją o zablokowaniu konta i prośbą o weryfikację tożsamości”. Mamy treść, teraz trzeba odpowiednio zaprojektować wysyłkę. Najlepiej sięgnąć do jednego z wielu dostępnych na rynku narzędzi do symulacji phishingu jak np. Microsoft Attack Simulator. Takich rozwiązań jest dużo i nie kosztują dużo. Narzędzia do symulacji ataków phishingowych od razu raportują, osoby z jakimi adresami e-mail kliknęły w link albo otwarły załącznik w mailu. Taką symulację można przeprowadzać regularnie traktując to w charakterze zabawy, aby pracownicy nie czuli niepotrzebnej presji kontroli.

Wirtualny trener dla pracowników

ChatGPT świetnie się sprawdza w charakterze interaktywnego trenera. Zalecanym rozwiązaniem jest stworzenie własnego modelu wytrenowanego na danych placówki, ale to już wyższa szkoła jazdy dla dużych podmiotów, które rozwijają modele działające lokalnie.

W przypadku małych placówek wystarczy uruchomienie bezpłatnego ChatuGPT i poproszenie go o wcielenie się w rolę eksperta cyberbezpieczeństwa w placówce medycznej i zadawanie pytań pracownikowi na np. podstawowym poziomie. W prompcie należy sprecyzować, że każda błędna odpowiedź powinna być korygowana i zadawana w podobny sposób ponownie i aby czat składał się z np. 10 sesji o długości 15 minut każda. W ten sposób ChatGPT sam planuje cały kurs.

Testy i system certyfikacji dla pracowników

Testowanie wiedzy pracowników trzeba dobrze przemyśleć, aby zachować równowagę. Tak, bezpieczeństwo danych jest kluczowe i będzie coraz ważniejsze, ale musi działać w tle. ChatGPT jest źródłem pomysłów, jak stworzyć wewnętrzny, zabawny i oryginalny system certyfikatów traktowanych mniej poważnie. Wszystko zależy od kultury organizacyjnej i hierarchii – w większej organizacji lepiej sprawdzi się sformalizowany system, który pozwoli śledzić postępy wzmacniania poziomu wiedzy z cyberbezpieczeństwa w dużej grupie pracowników; w mniejszej – nieformalne podejście.

ChatGPT jest wprost idealny do tworzenia testów z wiedzy o bezpieczeństwie danych. Wygeneruje pytania otwarte albo testy jedno- i wielkokrotnego wyboru. Przygotuje krótkie studia przypadków i pytania kontekstowe dopasowane do różnych ról w organizacji – od lekarzy i pielęgniarek do rejestratorek i księgowych. Przeprowadzane np. co kwartał testy mogą zawierać przykłady najbardziej aktualnych metod działania hakerów. Testy należy ocenić, przygotować raport słabych i mocnych stron pracownika i na koniec zaproponować indywidualny plan szkoleń.

Weryfikacja i aktualizacja procedur bezpieczeństwa i polityk reagowania na incydenty

Każda placówka powinna mieć – choć w praktyce jest zupełnie inaczej – politykę ochrony danych i reagowania na incydenty. Najczęściej trafia ona na dno szuflady, bo nikt nie ma czasu, aby ją regularnie przeglądać i aktualizować. Ale i tutaj świetnie sprawdzi się ChatGPT. Po wczytaniu dokumentu opisującego politykę bezpieczeństwa (bez podawania danych placówki), AI sprawdzi, czy zawiera on wszystkie niezbędne punkty i podpowie, jak ją udoskonalić. Jeśli w międzyczasie pojawiły się nowe wytyczne, można wprost poprosić ChatGPT o odpowiednie zaktualizowanie procedur.

To samo dotyczy polityki reagowania na incydenty – ta zmienia się w raz z rozwojem placówki i dojrzewaniem cyfrowym. Przykładowo, jeśli podmiot przeszedł na pełną elektroniczną dokumentację medyczną, za tym muszą iść odpowiednie korekty w dokumentach opisujących, co robić w przypadku ataku. Kiedyś to zadanie było żmudne i wymagało przeglądu całych dokumentów. Dzisiaj w kilka sekund zrobi to za nas ChatGPT.

Co więcej, ChatGPT może wykryć niespójności z RODO, EU AI Act a nawet z dyrektywą NIS2 i interpretacjami, które opublikowano już w tym zakresie. Po wczytaniu Ustawy o Krajowym Systemie Cyberbezpieczeństwa i dostępnych wytycznych, ChatGPT krok po kroku przygotuje do audytów zewnętrznych.

Symulator sytuacji kryzysowej

Scenariuszy ataków hakerskich może być wiele: zablokowanie systemów kontrahenta, przykładowo laboratorium wykonującego badania albo firmy cateringowej, groźba publikacji wrażliwych danych pacjentów itd. Jak reagować w takiej sytuacji? Udany atak hakerski to duży stres dla organizacji i w takim przypadku trzeba działać szybko i zgodnie z góry zaplanowanym harmonogramem. Każdy musi wiedzieć co robić, musi być jasne, kto za co odpowada, aby atak nie stał się zagrożeniem dla zdrowia i życia pacjentów. Do tego służą symulacje sytuacji kryzysowych. Może je wygenerować ChatGPT, testując opcje, których czasami nawet nie możemy sobie wyobrazić, a przez które przeszły inne placówki zdrowia.

ChatGPT jako doradca ds. bezpieczeństwa i twórca newslettera

Według statystyk Centrum e-Zdrowia, tyko co trzecia placówka posiada wewnętrzną komórkę ds. bezpieczeństwa danych. Rzeczywistość jest taka, że zadania z tym związane są delegowanie do działu IT (jeśli jest) albo osoby z działu organizacji. Z danych Centrum e-Zdrowia wynika, że 30 proc. podmiotów nigdy nie opublikowało dokumentu polityki cyberbezpieczeństwa.

Cyberochrona nie jest wyłączną kompetencją i często tonie w masie innych obowiązków. Dlatego ChatGPT może być tymczasową pomocą – cyfrowym doradcą. Potrafi naprawdę wiele – zaplanuje harmonogram wdrażania wymagań związanych z dyrektywą NIS2, streści długie raporty i rekomendacje, stworzy plan szkoleń. Od czego zacząć? Od eksperymentowania z wymienionymi zadaniami.

Jeszcze kilka lat temu samodzielne przygotowanie newslettera wewnętrznego o nowych zagrożeniach i z krótkimi praktycznymi radami dla personelu wymagałoby przynajmniej jednego dnia pracy. Dziś zrobi to AI. Ale w pracy z ChatGP obowiązuje ważna zasada: AI nie może uzyskać dostępu do danych pacjentów. Wszystkie wczytywane do modelu dokumenty należy pozbawić danych adresowych (optymalne są modele działające lokalnie). Nowy model GPT-5 nadal, choć rzadziej, halucynuje, dlatego w kwestii cyberbezpieczeństwa najlepiej stosować go do mniej strategicznych zadań jak wspomniane testy czy symulacje phishingu, a kwestie technicznych i organizacyjnych zabezpieczeń pozostawić ekspertom.

Czytaj także: Cyberatak! Jak się chronić i regować? Rady CSIRT i Policji