Czy generatywna AI może pomóc w tworzeniu lepszych i bardziej realistycznych scenariuszy tabletop?

W poprzednim artykule analizowaliśmy, w jaki sposób sztuczna inteligencja staje się potężną i przerażającą bronią w rękach atakujących, tworząc zagrożenia takie jak deepfake czy adaptacyjne malware. Ta rewolucja technologiczna jest jednak mieczem obosiecznym. Ta sama generatywna AI (GenAI), która napędza nowe wektory ataków, może stać się nieocenionym sojusznikiem obrońców – zwłaszcza w fazie przygotowań do obrony.

Jednym z największych wyzwań i „wąskich gardeł” w budowaniu dojrzałego programu odporności jest stworzenie wartościowego, realistycznego i angażującego scenariusza tabletop. Dla większości zespołów bezpieczeństwa (persony CISO, CTO), które już teraz są przeciążone codziennymi obowiązkami, perspektywa spędzenia dni lub tygodni na badaniu taktyk TTPs i pisaniu kreatywnej narracji kryzysowej jest zniechęcająca. To właśnie tutaj GenAI wkracza jako „mnożnik siły” – potężny asystent, który może zautomatyzować 80% pracy, pozwalając ekspertom skupić się na tym, co najważniejsze: walidacji i facylitacji.

Jakie są największe wyzwania w tworzeniu dobrych scenariuszy tabletop?

Stworzenie naprawdę dobrego scenariusza ćwiczenia tabletop to zadanie znacznie trudniejsze, niż mogłoby się wydawać. Pierwszym i najbardziej oczywistym wyzwaniem są zasoby: czas, personel i pieniądze. Wiele organizacji, zwłaszcza z sektora MŚP, nie posiada dedykowanych, wieloosobowych zespołów GRC (Governance, Risk, Compliance). Obowiązek ten spada najczęściej na barki CISO lub dyrektora IT, który musi wygospodarować czas pomiędzy gaszeniem pożarów operacyjnych a planowaniem budżetu.

Drugim wyzwaniem jest ekspertyza. Napisanie płytkiego scenariusza („Mamy ransomware”) jest łatwe, ale bezwartościowe. Napisanie scenariusza, który realistycznie odwzorowuje taktyki, techniki i procedury (TTPs) współczesnej grupy APT, poprawnie interpretuje wymogi regulacyjne (jak NIS2 czy DORA) i precyzyjnie trafia w czułe punkty procesów biznesowych firmy, wymaga głębokiej wiedzy eksperckiej. Trzecim wyzwaniem jest skalowalność i trafność. Organizacja może potrzebować zupełnie innego scenariusza dla działu finansów (testującego deepfake), a innego dla zakładu produkcyjnego (testującego atak na OT). Ręczne tworzenie tak zróżnicowanego portfolio jest gigantycznym projektem. W rezultacie firmy albo testują się zbyt rzadko, albo – co gorsza – w kółko używają tego samego, przestarzałego scenariusza, który wszyscy znają na pamięć, a który nie wnosi już żadnej wartości diagnostycznej.

Czym jest generatywna AI (GenAI) w kontekście planowania ćwiczeń?

Generatywna Sztuczna Inteligencja (GenAI), taka jak duże modele językowe (LLM), to nowa kategoria narzędzi, które można wykorzystać do projektowania i automatycznego generowania złożonych treści, w tym scenariuszy ćwiczeń tabletop. Zamiast ręcznie pisać narrację, facylitator lub CISO może „poprosić” model AI o wygenerowanie kompletnego scenariusza na podstawie określonych wytycznych.

W tym kontekście GenAI działa jak wysoce wyspecjalizowany asystent lub partner do burzy mózgów. Zamiast zaczynać pracę od pustej kartki, organizator ćwiczenia otrzymuje w ciągu kilku minut niemal kompletny, wielomodułowy szkic scenariusza, zawierający opis sytuacji, dynamiczne „injecty” (niespodzianki) oraz listę pytań dla uczestników. Zmienia to fundamentalnie rolę człowieka w procesie. Zamiast być „autorem” i „badaczem” (co jest czasochłonne), człowiek staje się „redaktorem”, „weryfikatorem” i „reżyserem”. Wartość AI nie leży w zastąpieniu eksperta, ale w drastycznym skróceniu czasu potrzebnego na realizację zadania i podniesieniu jakości punktu wyjścia.

W jaki sposób GenAI obniża barierę wejścia dla zespołów o ograniczonych zasobach?

Główną korzyścią jest demokratyzacja dostępu do wysokiej jakości materiałów. Dotychczas organizacje o ograniczonych zasobach (np. sektor MŚP lub mniejsze podmioty objęte NIS2) miały trzy opcje: zrezygnować z testowania, przeprowadzić powierzchowny test wewnętrzny, albo zatrudnić drogich zewnętrznych konsultantów do samego napisania scenariusza. GenAI tworzy czwartą, wysoce efektywną kosztowo opcję.

GenAI „obniża barierę wejścia”, ponieważ redukuje dwa najcenniejsze zasoby – czas i pieniądze. Zadanie, które ekspertowi zajęłoby dni (research, pisanie, redakcja), model AI wykonuje w kilka minut. Dla organizacji, która nie ma budżetu na zewnętrznych konsultantów ani czasu własnego zespołu GRC, GenAI staje się narzędziem, które w ogóle umożliwia przeprowadzenie profesjonalnego ćwiczenia. Co więcej, tak niska bariera wejścia pozwala na zwiększenie częstotliwości testowania. Skoro koszt i czas stworzenia nowego scenariusza są bliskie zera, firma może pozwolić sobie na przeprowadzanie mniejszych, celowanych tabletopów co kwartał, zamiast jednego dużego rocznie. To bezpośrednio przekłada się na szybsze budowanie „pamięci mięśniowej” i realnej odporności.

Na czym polega „hiper-customizacja” scenariuszy przy użyciu GenAI?

To jest prawdziwa siła GenAI w tym zastosowaniu, wykraczająca daleko poza generyczne szablony (jak te oferowane przez CISA). „Hiper-customizacja” to zdolność do generowania scenariuszy, które są precyzyjnie „skrojone na miarę” dla unikalnego kontekstu danej firmy.

Zamiast ogólnego scenariusza „atak na serwer”, możemy poprosić AI o scenariusz, który uwzględnia specyfikę naszej organizacji. Możemy „nakarmić” model informacjami (oczywiście zanonimizowanymi) o naszej branży (np. „produkcja motoryzacyjna”), kluczowych systemach („naszym sercem jest system ERP na platformie SAP S/4HANA”), głównych regulacjach („musimy być zgodni z TISAX i NIS2”) oraz o profilu uczestników („testujemy współpracę CISO i Kierownika Produkcji”). Model AI potrafi wpleść te wszystkie specyficzne elementy w spójną narrację. W rezultacie scenariusz staje się natychmiast istotny (relevant) dla uczestników. Kiedy Kierownik Produkcji (persona z biznesu) słyszy w scenariuszu nazwę swojego systemu SCADA, jego zaangażowanie w ćwiczenie wzrasta stukrotnie. To sprawia, że dyskusja jest konkretna i dotyka realnych, a nie teoretycznych problemów.

Jakie „prompty” należy stosować, aby GenAI stworzyło naprawdę użyteczny scenariusz?

Skuteczność GenAI zależy w 100% od jakości poleceń (promptów). Zasada „garbage in, garbage out” (śmieci na wejściu, śmieci na wyjściu) jest tu absolutnie fundamentalna. Zlecenie AI zadania „Napisz scenariusz ransomware” wygeneruje bezwartościowy, generyczny tekst. Dobry prompt musi być szczegółowy i nadawać modelowi AI konkretny kontekst, rolę i format wyjściowy. Musi zawierać odpowiedź na pytania: Kto? Co? Jak? Dlaczego? i Dla kogo?

Słaby prompt: „Napisz scenariusz tabletop.” Mocny prompt: „Jesteś ekspertem ds. cyberbezpieczeństwa i GRC z 20-letnim doświadczeniem. Twoim zadaniem jest stworzenie 3-modułowego scenariusza tabletop dla polskiej firmy z sektora finansowego (bank regionalny, ok. 1000 pracowników), która musi być zgodna z wymogami DORA i raportować do KNF. Scenariusz ma testować reakcję na atak na krytycznego dostawcę chmury (TPP), który obsługuje system bankowości mobilnej. Wygeneruj 3 'injecty’ (eskalujące w czasie) oraz listę 5 kluczowych pytań dla facylitatora do każdego modułu.”

Anatomia skutecznego promptu dla GenAI (Fiszka) Aby uzyskać wartościowy scenariusz, Twój prompt powinien zawierać 5 kluczowych elementów:

• Persona (Rola dla AI): „Jesteś ekspertem CISO / facylitatorem tabletop / specjalistą ds. DORA…”
• Kontekst (Profil firmy): „Dla polskiej firmy produkcyjnej (branża automotive, 500 osób)…”
• Specyfika (Technologia i Regulacje): „…która używa systemów OT/PLC i musi być zgodna z NIS2…”
• Cel (Co testujemy?): „…scenariusz ma testować współpracę i konflikt priorytetów między IT a OT…”
• Format (Struktura wyjściowa): „…stwórz 3-modułowy scenariusz z dynamicznymi 'injectami’ i listą pytań dla facylitatora.”

Jakie konkretne dane wejściowe są potrzebne do wygenerowania realistycznego scenariusza?

Dobry prompt to instrukcja. Ale aby scenariusz był „hiper-customizowany”, model potrzebuje paliwa, czyli danych wejściowych (oczywiście odpowiednio zanonimizowanych). Im lepszy „brief” dostanie AI, tym bardziej trafny będzie wynik.

Do wygenerowania realistycznego scenariusza warto przygotować następujące dane:

• Profil firmy: Branża, przybliżona wielkość, lokalizacje, kluczowe procesy biznesowe.
• Technologia: Kluczowe systemy (np. „System ERP oparty na SAP”, „Platforma chmurowa Azure”, „Systemy SCADA od Siemens”).
• Regulacje: Co jest głównym motorem zgodności? (np. „RODO”, „NIS2 – podmiot kluczowy”, „DORA”, „ISO 27001”).
• Uczestnicy: Jakie role będą brały udział w ćwiczeniu? (np. „CEO”, „CFO”, „CISO”, „Kierownik Produkcji”, „IOD”).
• Profil Ryzyka: Jakie są największe obawy firmy? (np. „atak na łańcuch dostaw”, „zatrzymanie produkcji”, „kradzież własności intelektualnej”).

Oczywiście, wiąże się to z kluczowym zastrzeżeniem. Nigdy nie należy wklejać poufnych, wewnętrznych danych firmy (prawdziwych schematów sieci, nazwisk, haseł) do publicznie dostępnych modeli AI. Należy używać danych zanonimizowanych i posługiwać się kategoriami (np. „główny dostawca chmury”, a nie jego nazwa).

Czy GenAI może pomóc w tworzeniu scenariuszy dla specyficznych branż, jak produkcja (OT) czy finanse (DORA)?

Tak, i jest to jedna z jego największych zalet. Modele GenAI zostały przeszkolone na gigantycznych zbiorach danych publicznych, które obejmują tysiące raportów branżowych, analiz zagrożeń, opisów standardów i tekstów regulacji. AI „rozumie” (w statystycznym sensie) specyfikę i żargon poszczególnych branż.

Można na przykład poprosić AI o wygenerowanie scenariusza konwergencji IT/OT dla zakładu produkcyjnego. Model, bazując na publicznej wiedzy o architekturze Purduę i znanych atakach (jak Stuxnet czy ataki na ukraińską sieć energetyczną), może zaproponować realistyczny wektor ataku, który przechodzi z sieci biurowej (IT) do sieci sterowania (OT) i uderza w sterowniki PLC. Może też od razu wpleść w to wymogi raportowania dla podmiotów kluczowych NIS2. Podobnie, dla sektora finansowego, można zlecić AI stworzenie scenariusza testującego zgodność z DORA. Model jest w stanie wygenerować scenariusz awarii kluczowego zewnętrznego dostawcy usług (TPP – Third Party Provider), co jest jednym z centralnych punktów DORA, i zaproponować pytania testujące procedury zarządzania ryzykiem stron trzecich oraz raportowania do KNF.

Jakie są główne ograniczenia i ryzyka polegania na scenariuszach wygenerowanych przez AI?

Poleganie na GenAI bezkrytycznie jest receptą na katastrofę. Największym ryzykiem jest to, że scenariusz będzie zawierał błędy merytoryczne lub „halucynacje AI”. Model AI nie „rozumie” świata; jest zaawansowanym statystycznie narzędziem do przewidywania następnego słowa. Może wygenerować scenariusz, który jest technicznie niemożliwy, pomieszać wymogi różnych regulacji lub zaproponować nierealistyczne rozwiązania.

Drugim ryzykiem jest generyczność. Jeśli prompt jest zbyt prosty, scenariusz będzie powierzchowny i oparty na banałach, nie wnosząc żadnej wartości diagnostycznej. Może też być zbyt „hollywoodzki” – widowiskowy, ale nieprawdopodobny w realiach danej firmy. Trzecim, kluczowym ryzykiem jest bezpieczeństwo danych. Jak wspomniano, wprowadzanie wrażliwych, poufnych danych firmy do publicznych modeli GenAI jest krytycznym incydentem bezpieczeństwa samym w sobie. Korzystanie z tych narzędzi wymaga żelaznej dyscypliny w zakresie anonimizacji danych wejściowych lub korzystania z zamkniętych, prywatnych instancji AI (co oferują dostawcy chmurowi lub rozwiązania on-premise).

Dlaczego rola ludzkiego eksperta w weryfikacji scenariusza AI jest absolutnie kluczowa?

To jest sedno sprawy i najważniejszy wniosek. AI jest narzędziem do stworzenia szkicu – nie jest autorem gotowego produktu. Rola ludzkiego eksperta – czy to wewnętrznego CISO, czy doświadczonego konsultanta (jak ekspert nFlo) – jest nie tylko kluczowa; jest absolutnie niezbędna. Jest gwarantem jakości i bezpieczeństwa.

Zgodnie z fundamentalną wartością nFlo – „Wiedza Poparta Doświadczeniem” – musimy pamiętać, że AI posiada ogromną wiedzę teoretyczną, ale nie ma grama realnego doświadczenia. AI nigdy nie reagowało na prawdziwy incydent o 3 nad ranem. Nie rozumie niuansów kultury organizacyjnej ani presji biznesowej. Rolą ludzkiego eksperta jest wzięcie wygenerowanego przez AI szkicu i przeprowadzenie jego brutalnej walidacji:

• Weryfikacja merytoryczna: Czy ten wektor ataku ma sens? Czy te procedury są realistyczne? Czy AI nie „halucynuje”?
• Dostosowanie do kontekstu: Czy ten scenariusz pasuje do naszej kultury organizacyjnej? Czy trafia w nasze realne, a nie teoretyczne „punkty bólu”?
• Ustalenie priorytetów: Czy scenariusz na pewno testuje to, co jest teraz dla nas najważniejsze (np. zgodność z NIS2)?

AI oszczędza ekspertowi 80% czasu na pisanie, co pozwala mu skupić 100% swojej uwagi na 20% pracy, która decyduje o sukcesie: na walidacji, dopasowaniu i – co najważniejsze – profesjonalnej facylitacji ćwiczenia.

Jakie są kolejne kroki po wygenerowaniu scenariusza przez AI?

Załóżmy, że mamy już szkic scenariusza wygenerowany przez AI i pozytywnie zweryfikowany przez ludzkiego eksperta. To dopiero początek drogi. Scenariusz to nie ćwiczenie. Kolejne kroki to przełożenie tej narracji na działający warsztat.

Pierwszym krokiem jest walidacja biznesowa. CISO lub ekspert nFlo musi przedstawić zarys scenariusza kluczowym interesariuszom biznesowym (np. Kierownikowi Zakładu, jeśli to scenariusz OT). Musi uzyskać od nich potwierdzenie: „Tak, to jest realistyczny problem, który nas dotyczy”. Bez tego „kupienia” tematu przez biznes, zaangażowanie będzie niskie. Drugi krok to przygotowanie materiałów. Surowy tekst scenariusza trzeba przekształcić w profesjonalne materiały szkoleniowe, o których mówiliśmy we wcześniejszych artykułach. Należy stworzyć prezentację (slajdy) dla facylitatora, podręczniki sytuacyjne dla uczestników, listę „injectów” i arkusze dla ewaluatorów. Co ciekawe, GenAI może również znacząco pomóc w szybkim wygenerowaniu szkiców tych materiałów. Trzeci krok to już właściwy proces: zaplanowanie sesji, zaproszenie uczestników, profesjonalne przeprowadzenie ćwiczenia przez doświadczonego facylitatora oraz zebranie bezcennych wniosków do Raportu po Ćwiczeniu (AAR). AI pomaga w przygotowaniu, ale nie zastępuje procesu.

Czy sztuczna inteligencja może w przyszłości pełnić rolę dynamicznego facylitatora?

To jest fascynujący i bardzo prawdopodobny kierunek rozwoju „Tabletop 2.0”. Obecnie facylitator (człowiek) prowadzi grupę przez statyczny, z góry napisany scenariusz. Nawet jeśli wprowadza „niespodzianki”, są one wcześniej zaplanowane.

Wyobraźmy sobie jednak „Dynamicznego Facylitatora AI”. W takim modelu AI prezentuje początkowy problem. Następnie, słucha dyskusji i decyzji podejmowanych przez uczestników w czasie rzeczywistym. Na ich podstawie, AI dynamicznie generuje kolejny 'inject’, który jest bezpośrednią konsekwencją ich działań. Jeśli zespół zdecyduje się na odcięcie serwera, AI może natychmiast odpowiedzieć: „Wasza decyzja o odcięciu serwera A spowodowała nieprzewidzianą awarię systemu B, od którego zależał. System B jest teraz martwy. Co robicie?”. Taki model byłby znacznie bardziej realistyczny, nieprzewidywalny i stanowiłby prawdziwy „sparing” dla zespołu kryzysowego. Wymaga to jednak bardzo zaawansowanych modeli AI, ale jest to logiczny, kolejny krok w ewolucji tej metodyki, który już teraz jest technicznie możliwy do zrealizowania.

W jaki sposób nFlo łączy automatyzację AI z wiedzą ekspercką, aby wzbogacić swoje usługi tabletop?

W nFlo nie postrzegamy AI jako zastępstwa dla naszych konsultantów. Postrzegamy je jako potężne narzędzie w ich rękach, które pozwala nam świadczyć usługi szybciej, taniej i na wyższym poziomie personalizacji. Jest to idealne połączenie naszej oferty „AI i Automatyzacja” z naszymi fundamentalnymi usługami doradczymi w zakresie cyberbezpieczeństwa.

Wykorzystujemy GenAI, aby drastycznie skrócić fazę przygotowawczą. Pozwala nam to błyskawicznie generować dla naszych klientów hiper-spersonalizowane scenariusze, które są precyzyjnie dopasowane do ich unikalnej sytuacji: branży (np. produkcja, finanse), pilnych wymogów regulacyjnych (NIS2, DORA) oraz specyfiki technologicznej (IT/OT). Jednak nasza prawdziwa wartość, zgodna z filozofią nFlo, pojawia się w drugim kroku. Nasi eksperci ds. GRC i cyberbezpieczeństwa biorą ten wygenerowany przez AI szkic, weryfikują go w oparciu o swoje doświadczenie z realnych incydentów, a następnie profesjonalnie facylitują całe ćwiczenie. Klient otrzymuje w ten sposób to, co najlepsze z obu światów: szybkość i skalę automatyzacji AI oraz głęboką wiedzę, gwarancję jakości i bezcenne doświadczenie ludzkiego eksperta.