Blog

NIS2 розшифровується як Директива ЄС про мережеві та інформаційні системи, друга редакція. Вона набрала чинності 17 жовтня 2024 року після дворічного вікна для транспозиції й вимагає приблизно від 160 000 європейських організацій упровадити заходи з управління ризиками кібербезпеки, які включають навчання персоналу. Керівні органи несуть персональну відповідальність за затвердження та проходження цього навчання.

Якщо ви відповідаєте за безпеку всередині суттєвого чи важливого субʼєкта, питання навчання більше не є абстрактним. Аудитори і національні компетентні органи тепер очікують задокументованих доказів того, що персонал і керівництво пройшли навчання, що зміст відображає актуальні загрози, а керівництво залучене, а не спостерігає збоку.

Новий аудитор сідає навпроти менеджерки з обслуговування клієнтів і ставить одне запитання: «Де знайти політику прийнятного використання електронної пошти?». Менеджерка дивиться на екран, відкриває інтранет і тихо визнає, що не впевнена, який із трьох документів є чинним. Її компанія саме проходить другу стадію аудиту ISO 27001.

Ця розмова повторюється, з невеликими варіаціями, на кожній сертифікації ISO 27001. Це не провал комплаєнсу. Це провал обізнаності, і він коштує організаціям реальних сертифікатів, коли аудитори вирішують, що система менеджменту інформаційної безпеки існує на папері, але не на практиці.

SCORM цього року виповнюється 25 років. Стандарт оголошують мертвим щонайменше раз на два роки з 2015 року, і щоразу ринок корпоративних LMS відповідає тим, що продовжує постачати його як опцію за замовчуванням.

Якщо ви обираєте платформу навчання у 2026 році, питання щодо SCORM є реальним. Ви хочете знати, чи залишиться формат підтримуваним через пʼять років, чи пропонують новіші стандарти на кшталт xAPI або cmi5 значущі переваги, і чи здатна ваша LMS їх справді читати.

Коротка відповідь: SCORM не мертвий, не замінений і не збирається залишати корпоративний стек навчання в цьому десятилітті. Довша відповідь має застереження.

Ваш CFO приєднується до Zoom-дзвінка і просить фінансову команду перевести 25 мільйонів доларів. Обличчя виглядає правильно. Голос збігається. Через сорок хвилин справжній CFO дізнається, що нічого не планувалося. Шахрайство Arup на початку 2024 року розвивалося саме так, бо детекція їх не врятувала. Жоден плагін Zoom не позначив діпфейк. Жоден аудіоаналізатор не впіймав клон.

З цього випливає очевидне питання: чи здатний ШІ виявляти діпфейк-відеодзвінки у реальному часі? І якщо інструменти існують, чому Arup втратив 25 мільйонів доларів?

Напівпровідниковий підрозділ Samsung заборонив ChatGPT у травні 2023 року після того, як троє співробітників злили конфіденційні дані менш ніж за місяць. Один інженер вставив пропрієтарний вихідний код, щоб налагодити помилку. Інший надіслав нотатки з внутрішньої наради для генерації конспекту. Третій завантажив виміри виробництва чипів, щоб отримати розрахунок виходу. Кожен із них намагався робити свою роботу швидше. Кожен залишив копію комерційної таємниці Samsung на сервері OpenAI.

За кілька тижнів Apple, JPMorgan, Bank of America, Verizon, Amazon, Goldman Sachs та Deutsche Bank додали свої обмеження. Розрахунок був однаковим у кожній компанії. Продуктивний виграш був реальним, але реальним був і ризик того, що співробітники перетворюють споживчі інструменти ШІ на канал виводу даних, який ніхто не санкціонував.

Через два роки заборони помʼякшилися до політик, а політики помʼякшилися до прогалин у навчанні. Більшість співробітників досі не розуміють, що відбувається з текстом, який вони вставляють у вікно ШІ-чату. Це суть OWASP LLM02 — ризику розкриття чутливої інформації, який посідає друге місце в OWASP Top 10 для LLM-застосунків.