Prosječni sigurnosni operativni centar (SOC) danas dnevno primi oko 10 000 upozorenja. Za svako bi trebalo 20 do 40 minuta temeljite analize, no i potpuno popunjeni timovi uspiju obraditi tek oko 22 % njih. Više od 60 % timova priznalo je da su ignorirali upozorenja koja su se naknadno pokazala ključnima.
Sve veći pritisak i manjak stručnjaka doveli su do pomaka: rutinski zadaci analitičara prve linije – inicijalna trijaža, obogaćivanje i eskalacija – pretvaraju se u softverske funkcije. Nadzirani AI agenti preuzimaju glavninu posla, a ljudski stručnjaci pomiču fokus na složenije istrage i procjene rubnih slučajeva, čime se vrijeme reakcije skraćuje s sati na minute.
Međutim, Gartner predviđa da će se do kraja 2027. otkazati više od 40 % projekata agentičkog AI-a zbog nejasne poslovne vrijednosti i nedostatnog upravljanja. Ugradnja ljudske intuicije i jasnih pravila ključna je kako autonomija ne bi postala kaos.
Zašto stari model puca
Sindrom izgaranja hara SOC-ovima s više nepovezanih sustava koji izbacuju proturječne alarme. Istovremeno, provalnici ubrzavaju: prosječno „probijanje” danas traje svega 51 sekundu, a 79 % upada odvija se bez zlonamjernog softvera – oslanjaju se na krađu identiteta i tehnike „življenja od sustava”. Ručna trijaža, dizajnirana za satne cikluse, jednostavno ne stiže pratiti napade „brzinom stroja”.
CISO Matthew Sharp slikovito upozorava: „Napadači već koriste AI da napadaju strojnom brzinom. Organizacije se ne mogu braniti ljudskom brzinom.”
Bounded autonomy – podjela rada čovjek-stroj
Model koji uspješno skraćuje vrijeme reakcije oslanja se na ograničenu autonomiju. AI agenti automatski provode trijažu i obogaćivanje, dok ljudi odobravaju akcije izolacije kad je ozbiljnost visoka. Graf-baze podataka dodatno pomažu jer povezuju događaje u mreži, omogućujući agentima da prate cijeli put napada, ne samo pojedinačne alarme.
Rezultati su mjerljivi: u pojedinim implementacijama AI je postigao više od 98 % podudarnosti s odlukama iskusnih analitičara i smanjio ručni rad za preko 40 sati tjedno – bez pada točnosti.
Širenje agentičkog pristupa izvan sigurnosti
Analitičari očekuju da će višestruki AI agenti u detekciji prijetnji do 2028. skočiti s 5 % na 70 % primjena. Trend se prelijeva i na druge IT domene. Veliki dobavljači poput ServiceNowa i Ivantija već najavljuju rješenja koja isti princip donose na servisne deskove, obećavajući 24/7 podršku bez proporcionalnog rasta broja ljudi. Pilot-programi kreću početkom 2026.
Tri zlatna pravila upravljanja autonomijom
- Precizno odrediti koje kategorije upozorenja agenti smiju rješavati samostalno.
- Definirati događaje koji uvijek zahtijevaju ljudsku provjeru bez obzira na razinu povjerenja.
- Jasno propisati eskalacijske putove kad sigurnost modela padne ispod praga.
Put naprijed
Stručnjaci savjetuju početi s radnim tokovima gdje potencijalni neuspjeh ima mali domet: automatska trijaža phishinga, resetiranje lozinki i provjera poznatih zloćudnih pokazatelja. Nakon 30 dana uspoređuju se odluke AI-a s ljudskima i tek se potom širi autonomija.
U doba kada su autonomni napadi nova svakodnevica, ograničena autonomija u SOC-u više nije luksuz nego preduvjet otpornosti.