Přejít na hlavní obsah
CIAD

Český institut pro AI a data

CIAD Český institut pro AI a data · Praha

Firmy nasazují AI. Kdo ji audituje?

Nezávislý ústav pro bezpečnostní audity AI systémů, webových aplikací a dat. Testy, ne sliby.

Audity. Bezpečnost. Vzdělávání.
01

Bezpečnostní audity

02

Otevřená edukace

03

Vzdělávání pro firmy

6 oblastí auditu 0–100 skóre rizika 5 dní na výsledek
Poptat audit Newsletter

6

paralelních AI auditorů

výkon · SEO · bezpečnost · GDPR · UX · obsah

×3

vícestupňová verifikace

eliminace false positives, ne první hit

0

vendor bias

nezávislí na AI vendorech, testy, ne sliby

re-audit v ceně

oprava se ověří, nález se neuzavírá naslepo

Poradní rada:

MFF UK · PF UK · CIIRC ČVUT

S čím pracujeme

  • Google
  • OpenAI
  • Anthropic
  • Meta
  • Microsoft
  • Mistral AI

Modely a platformy, se kterými v auditech a testech pracujeme. Uvedené názvy jsou ochrannými známkami příslušných vlastníků, nejde o partnerství ani doporučení. CIAD je nezávislý a od výrobců AI nepřijímá finance.

01

Metodický rámec

Jak pracujeme
a co nikdy neděláme.

  1. 01

    Testy, ne sliby.

    Každé tvrzení o AI podkládáme testem. Každé riziko konkrétním rozborem. Každý předpis skutečným příkladem.

  2. 02

    Znalosti zdarma.

    Edukační obsah, checklisty i praktické návody zveřejňujeme bez paywallu a bez registrace. Komerční audity a školení za úhradu, transparentní ceny po úvodním rozhovoru.

  3. 03

    Žádný sponzor. Žádný konflikt.

    Nepřijímáme peníze od firem, které hodnotíme. Žádná reklama. Žádné sponzorované akce.

  4. 04

    Opraveno, ne jen nalezeno.

    Audit, školení, checklist, nasazená změna. Práce, kterou nikdo nepoužije, neexistuje.

Číst manifest →

02

Proč teď

Pravidla se píšou
právě teď.

Umělá inteligence je tam, kde byl kdysi internet: mění se každý měsíc a píše si vlastní pravidla za pochodu. Co bylo bezpečné loni, dnes platit nemusí. Útočníci se učí rychleji, než většina firem stačí reagovat.

Technologie

Terč, který se hýbe

Nové modely, nové zranitelnosti každý měsíc. Bezpečnost AI není jednorázové razítko, ale stav, který se musí ověřovat průběžně.

EU AI Act

Zákon už běží

Zákaz vybraných systémů platí od roku 2025. Povinnosti pro vysoce rizikovou AI nabíhají do 2026: klasifikace, dokumentace, řízení rizik. Jinak hrozí sankce.

NIS2 · ČR

Tisíce firem nově v režimu

Od září 2025 platí v Česku nový zákon o kybernetické bezpečnosti (264/2025 Sb.). Mnoho firem nově spadá pod povinnosti, o kterých zatím neví.

03

Oblasti auditu

Bezpečnostní audity
webů, AI systémů
a databází.

A / 01–03 · nezávislé audity

A / 01

Web & aplikace

Každá zranitelnost na povrchu je cestou dovnitř.

  • · OWASP Top 10: kompletní pokrytí
  • · Bezpečnostní hlavičky a CSP analýza
  • · SSL/TLS konfigurace a certifikátový řetěz
  • · Supply chain a závislosti třetích stran

Auditní zpráva · nápravný plán · re-audit

A / 02

AI / LLM systémy

Bezpečnost AI jako měřitelná, ověřitelná vlastnost.

  • · Prompt injection a jailbreak testy
  • · Bezpečnost RAG systémů a halucinace
  • · Agentní smyčky a jejich rizika
  • · Deepfake detekce a ochrana identity

Technická zpráva · eval protokol · doporučení

A / 03

Databáze a data

Data, ke kterým se nedostanete. Ani neoprávněný uživatel.

  • · Expozice přihlašovacích údajů a konfigurace
  • · SQL injection a injection vektory
  • · Autentizace a řízení přístupu
  • · Šifrování dat v klidu a za pohybu

Auditní zpráva · remediační plán · verifikace

A / Ceny

Služby & ceny

Začněte snímkem.
Pokračujte prevencí.

Dvouvrstvý model: pevně naceněný vstupní audit bez závazku, na který navazuje kontinuální dohled. Žádné nekonečné nabídky, jen jasný první krok a jasné pokračování.

Vstupní audit

CIAD Snapshot

Jedna doména, 6 oblastí, skóre 0–100 a akční plán. Bez závazku, pasivní OSINT, bez přístupu do vašich systémů.

  • Výsledek do 5 pracovních dní
  • 0 přístupů do vašich systémů
  • Skóre 0–100 + prioritizovaný akční plán
Objednat Snapshot
Navazuje · prevence

Roční preventivní program

Kontinuální dohled, kvartální re-audity a AI red-teaming. Měsíční přehled, pohotovost do 12 hodin. Kontinuita, ne jednorázové razítko.

  • Kvartální audit + měsíční přehled
  • AI red-teaming produkčního nasazení
  • Pohotovost do 12 h · vlastník a termín u každého nálezu
Domluvit program

04

Z praxe

Co reálně
nacházíme.

Tři skutečné situace z auditů, anonymizované a vysvětlené srozumitelně. Nejsou to výjimky. Podobné nálezy vidíme u většiny webů, které prověřujeme.

01 E-shop

Dveře, o kterých nikdo nevěděl

Našli jsme zásuvný modul WordPressu, který nikdo dva roky neaktualizoval. Přes něj se dalo dostat k objednávkám zákazníků (jména, adresy, e-maily) bez jediného hesla.

02 Interní systém

Účetnictví na dosah komukoli

Vnitřní systém firmy byl přístupný z internetu komukoli, kdo znal adresu. Žádné omezení, žádné druhé ověření. Pro útočníka otevřené dveře do citlivých dat.

03 E-mailová doména

Faktura, kterou nikdo neposlal

Doména neměla nastavenou ochranu e-mailu. Kdokoli mohl rozeslat fakturu jménem firmy (se změněným číslem účtu) a příjemce by podvrh nepoznal.

Zjistit, co najdeme u vás

05

Auditní metodika

Jak bezpečnostní
audit probíhá.

Každý nález klasifikován CVSS Nápravný plán s termíny Verifikační re-audit

01

OSINT · DNS · certifikáty

Pasivní průzkum

Bez kontaktu se systémem. Mapujeme expozici z pohledu útočníka: otevřené servisy, historické DNS záznamy, certifikátové transparentní logy, uniklé credentials v databázích úniků.

Mapa povrchu + prioritizace

02

OWASP · hlavičky · TLS

Webová vrstva

Systematické prověření OWASP Top 10. HTTP bezpečnostní hlavičky, CSP politika, konfigurace cookies, TLS verze a certifikátový řetěz, chování přesměrování a formuláře.

Skóre CVSS pro každý nález

03

Injection · přístupy · šifrování

Databázová vrstva

Prověření injection vektorů, přístupových práv a konfigurace databáze. Expozice dat, nastavení záloh, šifrování v klidu a za pohybu, separace prostředí.

Klasifikace nálezů A–D

04

LLM · RAG · agenti

AI systémy

Pokud organizace nasazuje AI: prompt injection a jailbreak testy, bezpečnostní analýza RAG vrstvy, hodnocení modelu v produkci, audit agentních smyček a jejich rozhraní.

Eval protokol + threat model

05

Zjištění · priority · plán

Auditní zpráva

Všechna zjištění seřazená podle závažnosti (CVSS), s konkrétním nápravným plánem a odhadem pracnosti. Každý nález má vlastníka a termín, žádná obecná doporučení.

PDF zpráva s remediačním plánem

06

Re-audit · uzavření · protokol

Verifikace nápravy

Po implementaci nápravných opatření provedeme verifikační re-audit. Každý uzavřený nález dostane potvrzení s důkazem. Zpráva se stává historickým záznamem pro regulátory i pojišťovny.

Uzavírací protokol
Poptat audit

06

Vzdělávání

Vzdělávání
v oblasti AI
a kybernetické bezpečnosti.

Banky /Veřejná správa /Zdravotnictví /Energetika /B2B technologie /Média

T / 01

Foundation

Bezpečné používání AI v netechnických týmech

Co nedávat do promptu. Jak rozeznat halucinaci. Návyky, které snižují denní riziko.

3 h Marketing, HR, ops, finance

T / 02

Leadership

AI & kybernetická bezpečnost pro vedení

Strategický rámec rizik a jejich řízení. Konkrétní rozhodnutí na 6 měsíců.

4 h Board, C-level

T / 03

Compliance

Datová správa & AI Act v praxi

GDPR a AI Act jako provozní rámec. Hotová interní pravidla pro AI, připravená k použití.

8 h Compliance, právní, DPO

T / 04

Technical

Bezpečné nasazení LLM v interních procesech

Praktické cvičení na reálném AI systému klienta. Threat model, bezpečnostní standard pro nasazení.

8 h IT, security, data

T / 05

Expert

AI red team · simulace útoku

Simulace útoku na reálné AI nasazení organizace. Podrobná zpráva, nápravná opatření, ověření výsledku.

16 h Bezpečnostní týmy, správa incidentů

T / 06

Partner

Roční preventivní program

Kvartální audit. Měsíční přehled. Pohotovost do 12 h. Kontinuita, ne jednorázový kurz.

12 m Banky, instituce, kritická infrastruktura

Cenu sestavujeme po úvodním rozhovoru.

Poptat program Kontaktovat nás

07

Personální obsazení

Kdo za
CIAD stojí.

Vedení

Zbyšek Chudoba

Zakladatel · Ředitel · Statutár

Před ústavem AI nasazení, kybernetická bezpečnost a pravidla pro AI v regulovaných sektorech. Vede auditní činnost, vzdělávání i externí komunikaci ústavu.

Fellows

Markéta Hrnčířová, Ph.D.

Senior fellow

Doktorát ML. Pět let v evaluation týmu evropského AI lab. Reprodukovatelné evals, prompt injection, robustness.

David Beránek

Fellow

Architekt LLM aplikací v regulovaných sektorech. Production monitoring, fail-safe vzory, drift.

JUDr. Tomáš Šimek

Fellow

Advokát, technologické právo. Externí konzultant ministerstev pro AI Act. Vzorové směrnice, compliance.

Poradní rada

prof. RNDr. M. Drlík, Ph.D.

MFF UK

doc. JUDr. K. Procházková, Ph.D.

PF UK · ICT

Ing. L. Fiala, Ph.D.

CIIRC ČVUT

Napsat týmu

08

Výstupy

Články.

Všechny články

09

Časté dotazy

Časté dotazy
o naší práci.

Co zahrnuje bezpečnostní audit od CIAD?
Šest fází: OSINT průzkum, webová vrstva (OWASP Top 10, TLS), databáze, AI systémy, auditní zpráva s CVSS klasifikací a nápravným plánem, verifikační re-audit. Výstupem je PDF zpráva a uzavírací protokol.
Co je EU AI Act a jak se dotýká českých organizací?
Právní rámec EU pro regulaci AI. České firmy vystupují nejčastěji jako nasazovatelé: povinnost klasifikovat systémy podle rizika, zavést procesy řízení rizik AI a vést dokumentaci. CIAD provádí auditní gap analýzy připravenosti.
Co je AI bezpečnost a proč je pro firmy důležitá?
Ochrana před prompt injection, halucinacemi v RAG systémech, driftem modelů a deepfake hrozbami. Snižuje operační i reputační rizika nasazení AI a poskytuje ověřitelný důkaz bezpečnosti vůči zákazníkům a regulátorům.
Čím se CIAD liší od bezpečnostních a poradenských firem?
Nezávislý auditní ústav, který neakceptuje financování od dodavatelů, které audituje. Výsledky prezentujeme jako ověřitelná zjištění s CVSS klasifikací, ne jako obecná doporučení. Naší rolí je nezávislé ověření.
Jaká školení pro firmy CIAD nabízí?
Šest úrovní: bezpečné používání AI v netechnických týmech, AI a kybernetická bezpečnost pro vedení, AI Act v praxi, bezpečné nasazení LLM, AI red team (simulace útoku), roční preventivní program s kvartálním auditem.
Jak mohu sledovat auditní poznatky a výstupy CIAD?
Týdenní newsletter, každý čtvrtek v 7:00, pět minut čtení. Anonymizované vzory z auditů, aktuální hrozby, praktické checklisty. Zdarma, odhlášení jedním kliknutím.
Jak se CIAD financuje?
Z vlastních prostředků zakladatele a z výnosů komerčních auditů a školení. Nepřijímá financování od výrobců AI technologií ani od hodnocených subjektů. Podrobnosti: Střety zájmů a financování.
Jsou školení certifikovaná?
Zatím nejsou akreditovaným programem. Účastníkům vystavujeme potvrzení o absolvování; případnou certifikaci zveřejníme až po jejím skutečném získání.
Kde sídlíte?
Národní 11, 110 00 Praha 1. Schůzky předem na office@ciad.cz.

10

Newsletter & kontakt

Týdenní newsletter
o AI bezpečnosti.

Čtou odborníci z bankovnictví, zdravotnictví a veřejné správy.

Odesláním souhlasíte se zpracováním e-mailové adresy za účelem doručování týdenního newsletteru CIAD (čl. 6 odst. 1 písm. a) GDPR). Odhlásit se lze kdykoli odkazem v každém e-mailu. Zásady ochrany osobních údajů.

Pevné rubriky

01

Briefing týdne

Co se v AI bezpečnosti za týden stalo.

02

Auditní poznatky

Anonymizované vzory ze skutečných auditů.

03

Praktický návod

Threat model, eval, vzorová směrnice.

04

Co čteme

Tři až pět odkazů s poznámkou proč.

Další kanály

Obecný kontakt

office@ciad.cz

Do 48 h.

Střety zájmů

info@ciad.cz

Anonymní oznámení, do 72 h.

Tisk a média

press@ciad.cz

Do 24 h.

Sídlo

CIAD, z. ú.
Národní 11
110 00 Praha 1

Identifikace

Forma: z. ú.
IČO: v procesu zápisu