Kad šef američke kiberobrane zalijepi povjerljive podatke u ChatGPT

28. siječnja 2026.
5 min čitanja
Državni službenik u uredu koristi chatbot umjetne inteligencije na prijenosnom računalu

Kad šef američke kiberobrane zalijepi povjerljive podatke u ChatGPT

1. Naslov i uvod

Zamislite ravnatelja hrvatske ili europske agencije za kibernetičku sigurnost kako povjerljive dokumente kopira u javni chatbot. U SAD‑u se upravo to dogodilo – i to prvom čovjeku CISA‑e, ključne agencije za kiberobranu.

Ovaj incident nije samo još jedan skandal iz Washingtona. To je ogledni primjer što se dogodi kad snažna nova tehnologija uđe u sustav koji nema prilagođena pravila, kulturu i alate. U nastavku analiziramo što se točno dogodilo, zašto je važno za Europu i regiju jugoistočne Europe te koje bi konkretne poteze sada trebale povući državne institucije i tvrtke.

2. Vijest ukratko

Ars Technica, pozivajući se na izvješća portala Politico, navodi da je vršitelj dužnosti ravnatelja američke agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Madhu Gottumukkala, prošlog ljeta učitao dokumente o državnim nabavama Ministarstva domovinske sigurnosti (DHS) u javnu verziju ChatGPT‑a.

Dokumenti nisu bili tajni, ali su bili označeni kao „samo za službenu uporabu“, što u DHS‑u znači osjetljive informacije koje ne bi smjele napustiti službene mreže. Učitavanje je, prema pisanju Ars Technice, aktiviralo sigurnosne sustave za detekciju mogućeg iznošenja podataka.

Većini zaposlenika DHS‑a pristup javnom ChatGPT‑u je blokiran; umjesto toga koriste interna AI rješenja poput „DHSChat“ koja rade unutar državne infrastrukture. Gottumukkala je ishodio posebnu dozvolu za korištenje ChatGPT‑a. Ministarstvo je otvorilo internu istragu, koja bi mogla rezultirati disciplinskim mjerama. Sve se događa u trenutku kad je CISA već pod povećalom zbog velikih rezova kadrova i političkih napetosti oko uloge agencije u zaštiti izbora.

3. Zašto je ovo važno

Ovo nije samo priča o jednoj nepažnji, nego ogledalo šireg problema s kojim se suočavaju i države i privatni sektor.

Prvo, simbolika je porazna. CISA je institucija koja ostatku svijeta drži predavanja o osnovnoj kibernetičkoj higijeni. Ako njezin prvi čovjek, s više od dvadeset godina iskustva u IT‑ju, bez razmišljanja lijepi osjetljive dokumente u javnu AI uslugu, kakvu disciplinu možemo očekivati u manjim i slabije opremljenim organizacijama?

Drugo, ovdje nije riječ samo o „jednom krivom kliku“. Kad podaci uđu u veliki jezični model, organizacija gubi stvarnu kontrolu. Ovisno o postavkama dobavljača, sadržaj se može zadržati, koristiti za poboljšanje modela ili isplivati u nekom budućem sigurnosnom incidentu. Čak i ako dobavljač obećava odvajanje podataka, rizik razotkrivanja dugoročno raste.

Treće, incident ogoljuje raskorak između političkih slogana o „modernizaciji uz pomoć umjetne inteligencije“ i operativne stvarnosti. DHS već ima vlastiti AI alat upravo zato da se ovakve situacije izbjegnu. Unatoč tome, ravnatelj CISA‑e traži iznimku za korištenje popularnog javnog alata. To nije inovacija nego klasični „shadow IT“ – ovaj put na vrhu organizacije.

Pritom je jasno tko dobiva, a tko gubi. Dobivaju ponuđači takozvanih suverenih ili lokalno instaliranih AI rješenja, koji sada imaju savršen primjer za svoje prezentacije državnoj upravi. Gubi povjerenje u CISA‑u kao partnera, i unutar SAD‑a i među saveznicima, uključujući europske države.

4. Šira slika

Ako slučaj promatramo u povijesnom kontekstu, dobro se uklapa u obrazac koji vidimo pri svakoj većoj tehnološkoj promjeni.

Kad se pojavila pohrana u oblaku, zaposlenici su povjerljive dokumente spremali u privatni Dropbox. Kad su se raširile aplikacije za razmjenu poruka, državni se posao odrađivao preko komercijalnih chat aplikacija. Pametne narukvice i satovi otkrivali su lokacije vojnih baza jer su vojnici dijelili svoje rute trčanja.

Generativna umjetna inteligencija je sljedeći val, ali s bitnom razlikom: umjesto jednog „procurenog“ dokumenta imamo model koji na temelju više takvih dokumenata uči i dugoročno generira odgovore. To dugoročno povećava vrijednost svakog incidenta za napadače – od državnih aktera do industrijske špijunaže.

Regulatori i sigurnosne agencije u svijetu već pokušavaju odgovoriti. Talijanski nadzorni organ za zaštitu podataka je 2023. privremeno zaustavio rad ChatGPT‑a. Britanska agencija za kibernetičku sigurnost i europska ENISA objavile su smjernice koje javnim službenicima izričito ne preporučuju unošenje povjerljivih podataka u javne modele. Velike kompanije uvode „enterprise“ verzije LLM‑ova upravo zato što su zaposlenici već masovno koristili besplatne alate za obradu osjetljivih sadržaja.

Kod CISA‑e se incident preklapa i s unutarnjom krizom: velika otpuštanja, politički pritisci i sporni kadrovski potezi. U takvom okruženju sigurnosna kultura slabi, a pravila se doživljavaju kao fleksibilna – posebno za „odabrane“ na vrhu.

Za države regije, uključujući Hrvatsku, koje se u velikoj mjeri ugledaju na američke i europske standarde, ovo je jasan signal da ni najnaprednije institucije nisu imune na vrlo osnovne pogreške.

5. Europski i regionalni kontekst

Europska unija se nalazi u specifičnoj situaciji: s jedne strane snažno gura digitalnu transformaciju i uporabu AI u javnoj upravi, a s druge uvodi stroge okvire poput GDPR‑a, Direktive NIS2, Akta o digitalnim uslugama i budućeg Akta o umjetnoj inteligenciji.

Ti propisi zahtijevaju procjenu rizika, zaštitu podataka i odgovornije upravljanje tehnologijom. No oni sami po sebi ne odgovaraju na praktična pitanja: smije li službenik u Zagrebu zalijepiti nacrt ugovora u javni chatbot radi „brže obrade“? Smije li inženjer u jednoj splitskoj energetskoj tvrtki koristiti ChatGPT za analizu internih izvještaja? U mnogim organizacijama odgovor je prepušten improvizaciji.

Dio europskih institucija već je ograničio ili zabranio uporabu javnih LLM‑ova na službenim računalima. Drugi razvijaju interne asistente koji se izvršavaju u državnim ili europskim podatkovnim centrima. Ipak, iznimke za visoke dužnosnike su česte, a upravo one predstavljaju najveći rizik – što se jasno vidi u slučaju CISA‑e.

Za Hrvatsku i širu SEE regiju poruka je vrlo konkretna:

  • javni sektor treba jasne, pisane politike o uporabi javnih AI alata, uključujući popis podataka koje nikad ne smije završiti u takvim sustavima;
  • projekti „AI u državnoj upravi“ moraju biti povezani s obvezama iz NIS2 i nacionalnih strategija kibernetičke sigurnosti;
  • političko i upravno vodstvo mora biti dio rješenja, a ne iznimka od pravila.

Ovaj slučaj istodobno jača argument za europsku i regionalnu „digitalnu suverenost“: razvoj i uporabu modela koji se mogu pokretati lokalno ili u pouzdanim oblačnim okruženjima, tako da osjetljivi dokumenti ne moraju napuštati jurisdikciju EU.

6. Pogled unaprijed

Realno je očekivati još sličnih incidenata, i u državama i u velikim kompanijama. Generativna AI postaje sveprisutna, a pritisak da se „nešto radi s AI‑jem“ često je jači od kapaciteta za sigurno upravljanje.

U SAD‑u će se rasprava vjerojatno fokusirati na osobnu odgovornost Gottumukkale, ali ključna je institucionalna dimenzija: hoće li DHS i CISA ovaj događaj iskoristiti za redefiniranje pravila, strože kontrole pristupa i obveznu edukaciju, ili će sve ostati unutar zidova kao još jedan neugodan incident.

U Europi i regiji vrijedi u idućih 12–24 mjeseca pratiti tri trenda:

  1. Usvajanje detaljnih politika uporabe AI u ministarstvima, agencijama i velikim organizacijama, uz redovitu obuku zaposlenika.
  2. Nabavu i razvoj internih LLM rješenja u javnom sektoru i kritičnim industrijama, idealno temeljenih na otvorenim modelima u EU infrastrukturi.
  3. Ugradnju „AI higijene“ u sigurnosne revizije i nadzor primjene NIS2, tako da neodgovorna uporaba javnih LLM‑ova postane službeno prepoznato sigurnosno riziko.

Otvorena ostaju pitanja: kako provjeriti tvrdnje dobavljača da su enterprise modeli doista odvojeni od javnih? Kako pratiti uporabu AI alata, a da se ne ugrozi privatnost zaposlenika? I što učiniti kada jednom doista procuri nešto osjetljivije od dokumentacije o javnoj nabavi – primjerice operativne sigurnosne informacije ili veće količine osobnih podataka?

Organizacije koje na ta pitanja krenu odgovarati sada imat će osjetnu prednost pred onima koje će reagirati tek kad se nađu na naslovnicama.

7. Zaključak

Curenje osjetljivih podataka iz CISA‑e u ChatGPT neugodno je za američku kiberobranu, ali ključna pouka je šira: ni najjače institucije još nisu ozbiljno uredile upravljanje generativnom AI. Za hrvatske i regionalne organizacije ovo je besplatna lekcija. Ili ćete definirati jasna i provediva pravila – za sve razine, uključujući vrh – ili ćete jednog dana gledati vlastite povjerljive dokumente kako „iskaču“ iz tuđeg modela. Pitanje je samo hoćete li učiti na tuđim ili na vlastitim greškama.

Komentari

Ostavite komentar

Još nema komentara. Budite prvi!

Povezani članci

Ilustracija proteinske pločice i medicinskih grafikona koji simboliziraju startupe dugovječnosti pod povećalom
Vijesti

Kad guru dugovječnosti postane teret: što slučaj Peter Attia znači za zdravstvene startupe

Slučaj Petra Attie pokazuje koliko su krhki gurujski modeli dugovječnosti i zašto će europski i regionalni okvir forsirati odgovornije pristupe.

5 min čitanja
Zračni prikaz malih poljoprivrednih parcela i drveća u Južnoj Aziji kao simbol projekata uklanjanja ugljika
Vijesti

Varaha i klimatski outsourcing: hoće li Globalni jug čistiti ugljik za europsku AI ekonomiju?

Indijski startup Varaha gradi platformu za uklanjanje ugljika u Globalnom jugu i cilja europske kupce suočene s klimatskim regulativama.

5 min čitanja
Francuski policijski kombiji ispred pariškog ureda X‑a tijekom racije zbog kibernetičkog kriminala
Vijesti

Racija u Parizu: kako je Grok X pretvorio u prvi veliki kazneni test za AI u Europi

Racija u uredu X‑a zbog Groka čini Europu prvim bojištem kaznene odgovornosti za AI platforme – s posljedicama i za regionalne startupe.

5 min čitanja

Ostani informiran

Primaj najnovije vijesti iz svijeta AI i tehnologije.