Dlaczego afera z ChatGPT w CISA stała się globalnym sygnałem ostrzegawczym
Odwołanie Madhu Gottumukkali ze stanowiska szefa Cybersecurity and Infrastructure Security Agency (CISA) w wyniku afery związanej z korzystaniem z ChatGPT w sprawach służbowych oraz niezaliczeniem testu na wariografie wywołało natychmiastową reakcję nie tylko w Waszyngtonie. Sprawa szybko stała się globalnym sygnałem ostrzegawczym dotyczącym tego, jak administracja publiczna korzysta z narzędzi generatywnej sztucznej inteligencji i jak weryfikuje wiarygodność osób odpowiedzialnych za bezpieczeństwo narodowe.
CISA to agencja odpowiedzialna za ochronę infrastruktury krytycznej Stanów Zjednoczonych – od sieci energetycznych, przez systemy transportowe, po procesy wyborcze i infrastrukturę cyfrową administracji federalnej oraz stanowej. Każdy kryzys w tej instytucji ma zatem wymiar strategiczny: dotyka samego centrum systemu bezpieczeństwa, który ma chronić państwo przed atakami cybernetycznymi, sabotażem i dezinformacją.
Połączenie dwóch elementów – nieostrożnego korzystania z komercyjnego narzędzia AI w pracy na wysokim szczeblu oraz niezaliczonego testu na wykrywaczu kłamstw – sprawiło, że incydent ten stał się symbolem szerszego problemu. Pokazuje on napięcie pomiędzy presją na efektywność i innowacyjność w administracji publicznej a koniecznością rygorystycznej ochrony danych wrażliwych. Dla obserwatorów śledzących zarówno „CISA ChatGPT skandal”, jak i debatę o „AI w administracji USA”, jest to studium przypadku na temat zaufania do instytucji publicznych w epoce generatywnej AI.
Afera wokół Gottumukkali odsłania trzy kluczowe wymiary: indywidualną odpowiedzialność lidera agencji bezpieczeństwa, instytucjonalne procedury i kulturę bezpieczeństwa w organizacji o kluczowym znaczeniu oraz systemowe relacje pomiędzy państwem, sektorem technologicznym i obywatelami. W kolejnych częściach prześledzenie roli CISA, natury samego skandalu i jego konsekwencji pozwala lepiej zrozumieć, jakie wnioski z tej historii powinni wyciągnąć menedżerowie, urzędnicy oraz biznes w innych krajach, w tym w Polsce.
Kim jest Madhu Gottumukkali i jaką rolę pełnił w CISA
Madhu Gottumukkali objął kierownictwo CISA jako doświadczony menedżer w obszarze bezpieczeństwa informacyjnego i administracji publicznej. Jego kariera obejmowała stanowiska związane z zarządzaniem ryzykiem cybernetycznym, nadzorem nad dużymi systemami informatycznymi administracji oraz współpracą między rządem a sektorem prywatnym w zakresie ochrony infrastruktury krytycznej. Z punktu widzenia Waszyngtonu był to profil typowy dla najwyższych stanowisk w strukturach bezpieczeństwa cyfrowego: połączenie doświadczenia technicznego, politycznego i organizacyjnego.
CISA jako federalna agencja podlega Departamentowi Bezpieczeństwa Krajowego (Department of Homeland Security, DHS). Szef CISA pełni funkcję dyrektora agencji o znaczącym stopniu autonomii operacyjnej, ale raportuje do sekretarza DHS i współpracuje z Białym Domem, szczególnie w obszarze koordynacji odpowiedzi na poważne incydenty cybernetyczne oraz ochrony procesów wyborczych.
Zakres odpowiedzialności Gottumukkali obejmował m.in. koordynację ochrony infrastruktury krytycznej na poziomie federalnym i stanowym, nadzór nad systemami wczesnego ostrzegania przed kampaniami cyberataków, współpracę z wielkimi korporacjami technologicznymi i operatorami sieci oraz przewodzenie krajowym ćwiczeniom reagowania na incydenty. Jak zauważył jeden z wysokich rangą urzędników DHS cytowany przez amerykańskie media, „na tym poziomie oczekuje się nie tylko kompetencji technicznych, ale przede wszystkim bezwzględnego przestrzegania procedur bezpieczeństwa i najwyższego poziomu zaufania”.
Wypowiedzi ekspertów z think tanków zajmujących się cyberbezpieczeństwem podkreślały, że Gottumukkali uchodził za osobę sprawną operacyjnie i dobrze rozumiejącą realia współpracy z biznesem technologicznym. Ten wizerunek gwałtownie skontrastował z późniejszymi doniesieniami o lekceważeniu zasad dotyczących korzystania z narzędzi AI oraz problemach z przejściem testu na wariografie. Z perspektywy opinii publicznej różnica między wcześniejszym zaufaniem a nagłym odwołaniem wzmocniła wrażenie kryzysu w samej instytucji odpowiedzialnej za cyberbezpieczeństwo.
Jak doszło do skandalu: użycie ChatGPT, procedury bezpieczeństwa i niezaliczony poligraf
Z dostępnych relacji wynika, że jednym z głównych elementów, które doprowadziły do dymisji Madhu Gottumukkali, było korzystanie z ChatGPT w kontekście służbowym w sposób sprzeczny z wewnętrznymi wytycznymi. Chodziło przede wszystkim o wykorzystywanie komercyjnego modelu językowego do przygotowywania notatek, wstępnych wersji dokumentów i komunikacji dotyczącej bieżących spraw agencji. W normalnych warunkach nie byłoby w tym nic nadzwyczajnego – podobne praktyki stają się w administracji coraz powszechniejsze. Problem pojawia się jednak wtedy, gdy do takiego narzędzia trafiają informacje potencjalnie wrażliwe.
W przypadku CISA chodziło o ryzyko, że do ChatGPT mogły zostać wprowadzone treści zawierające dane dotyczące bezpieczeństwa infrastruktury krytycznej, szczegółów procedur wewnętrznych lub informacji uznawanych za poufne. Nawet jeśli nie były to materiały ściśle tajne, sama możliwość, że szczegóły operacyjne kluczowej agencji bezpieczeństwa mogły zostać przetworzone przez zewnętrzny system chmurowy, uruchomiła wewnętrzne alarmy. Według jednego z urzędników cytowanych w prasie skandal „nie dotyczył jednego błędu, ale całego wzorca lekceważenia procedur bezpieczeństwa”.
W następstwie sygnałów alarmowych wszczęto wewnętrzny audyt, który z czasem rozszerzono o standardowe środki kontroli stosowane wobec osób na najwyższych stanowiskach związanych z dostępem do informacji niejawnych. Kluczową rolę odegrał tu poligraf, czyli test na wykrywaczu kłamstw, na którym Gottumukkali miał – według mediów – uzyskać wynik niekorzystny, co zinterpretowano jako podważenie jego wiarygodności w kwestii przestrzegania procedur bezpieczeństwa i ujawniania wszystkich okoliczności korzystania z zewnętrznych narzędzi.
W administracji USA poligraf jest od dekad jednym z narzędzi oceny wiarygodności personelu mającego dostęp do tajemnic państwowych. Badanie polega na pomiarze reakcji fizjologicznych (tętno, ciśnienie krwi, przewodnictwo skóry, rytm oddechu) w odpowiedzi na zestaw pytań przygotowanych przez egzaminatora. Wyniki są interpretowane przez specjalistę, który ocenia, czy reakcje badanego wskazują na możliwe zatajanie prawdy. Test ten jest obowiązkowym elementem procesu przyznawania i odnawiania poświadczeń bezpieczeństwa w wielu instytucjach federalnych.
Wiarygodność poligrafu jest jednak szeroko kwestionowana w środowisku naukowym i prawniczym. Badania psychologiczne wskazują na wysoki odsetek wyników fałszywie pozytywnych i fałszywie negatywnych oraz podatność na czynniki niezwiązane z kłamstwem, takie jak stres, lęk czy presja sytuacyjna. Mimo to poligraf nadal jest stosowany w USA jako narzędzie przesiewowe i element kultury bezpieczeństwa, a jego negatywny wynik, zwłaszcza w połączeniu z innymi sygnałami ostrzegawczymi, może przesądzić o karierze danej osoby.
W przypadku Gottumukkali kluczowe okazało się połączenie dwóch wątków: nieostrożnego korzystania z narzędzia AI, potencjalnie narażającego wrażliwe informacje, oraz podważonej wiarygodności w testach zaufania. To właśnie ta kumulacja ryzyk doprowadziła do decyzji o odwołaniu. Jednocześnie incydent wpisuje się w szerszy problem: praktyka korzystania z generatywnej AI w administracji często wyprzedza formalne regulacje, a pracownicy nie zawsze mają jasne, praktyczne wytyczne, jak postępować z danymi różnych kategorii poufności.
Czym jest CISA i dlaczego jej szef nie może pozwolić sobie na błędy
Cybersecurity and Infrastructure Security Agency została powołana, aby koordynować ochronę infrastruktury krytycznej USA w erze cyfrowej. „Infrastruktura krytyczna” to te systemy i usługi, których poważne zakłócenie prowadzi do realnych konsekwencji dla życia obywateli i funkcjonowania państwa. Obejmuje to m.in. sieci energetyczne, sieci telekomunikacyjne, systemy transportowe, szpitale, infrastrukturę finansową oraz kluczowe systemy administracji publicznej.
Konkretnych przykładów ryzyka nie brakuje. Ataki ransomware na szpitale w USA i Europie prowadziły do czasowego wyłączania systemów rejestracji pacjentów, utrudniały dostęp do dokumentacji medycznej i zmuszały do odwoływania zabiegów. W innym głośnym przypadku atak na sieć operatora rurociągu paliwowego spowodował zakłócenia dostaw paliwa na znacznym obszarze kraju, co uderzyło w transport i logistykę. Podobne scenariusze dotyczą sieci energetycznych: nawet lokalna awaria wywołana złośliwym oprogramowaniem może przełożyć się na realne zagrożenie dla bezpieczeństwa obywateli.
CISA działa jako koordynator w tym złożonym ekosystemie. Współpracuje z Departamentem Bezpieczeństwa Krajowego, FBI, agencjami wywiadowczymi, administracją stanową i lokalną oraz tysiącami podmiotów prywatnych zarządzających elementami infrastruktury krytycznej. Agencja wydaje wytyczne bezpieczeństwa, publikuje ostrzeżenia o nowych zagrożeniach, prowadzi ćwiczenia symulujące ataki cybernetyczne i wspiera podmioty poszkodowane przez incydenty.
Każde uchybienie ochrony informacji w samej CISA jest zatem podwójnie groźne. Po pierwsze, agencja posiada szczegółową wiedzę o lukach w infrastrukturze krytycznej, planach reagowania na incydenty i słabych punktach systemów. Wycieki takich informacji mogłyby zostać wykorzystane przez wrogie podmioty do precyzyjnego planowania ataków. Po drugie, reputacja CISA jako wzorca dobrych praktyk bezpieczeństwa ma kluczowe znaczenie dla zdolności egzekwowania standardów wobec innych. Jeśli podmioty zewnętrzne dostrzegają brak spójności między tym, co agencja rekomenduje, a tym, co praktykuje wewnętrznie, zaufanie do jej zaleceń słabnie.
Ryzyko to rośnie w świecie, w którym złośliwe oprogramowanie coraz częściej wykorzystuje generatywną AI. Przykładem jest opisywane w analizach cyberbezpieczeństwa złośliwe oprogramowanie na Androida, łączące techniki automatycznego generowania treści i adaptacyjnego omijania zabezpieczeń. Warto w tym kontekście zwrócić uwagę na analizę PromptSpy jako pierwszego malware z generatywną AI na Androida, która pokazuje, jak szybko rośnie złożoność i automatyzacja zagrożeń. Skoro atakujący wykorzystują AI, tym bardziej niedopuszczalne staje się lekceważenie zasad bezpieczeństwa przez instytucję stojącą na straży infrastruktury krytycznej.
AI w administracji USA: między efektywnością a ryzykiem wycieku danych
Dla wielu urzędników generatywne narzędzia, takie jak ChatGPT, stały się atrakcyjnym sposobem przyspieszania pracy. Pozwalają szybko tworzyć szkice dokumentów, streszczać obszerne raporty, przygotowywać odpowiedzi dla interesariuszy czy generować materiały informacyjne w przystępnym języku. W administracji, gdzie obciążenie biurokratyczne jest znaczne, obietnica oszczędności czasu i zasobów jest niezwykle kusząca.
Równocześnie administracja operuje szerokim wachlarzem danych wrażliwych. Obejmuje to tajemnice państwowe, informacje o infrastrukturze krytycznej, dane osobowe obywateli, dane finansowe, informacje o zdrowiu oraz szereg poufnych analiz i scenariuszy dotyczących bezpieczeństwa narodowego. Wprowadzenie choćby fragmentu takich danych do narzędzia działającego w chmurze, nad którym administracja ma ograniczoną kontrolę, tworzy nowe wektory ryzyka.
Typowe błędy, które ujawniła także afera w CISA, to m.in.:
- wklejanie do narzędzi AI fragmentów dokumentów zawierających szczegółowe dane operacyjne lub osobowe,
- brak jasnej polityki klasyfikacji danych, która wskazywałaby, czego absolutnie nie wolno umieszczać w systemach chmurowych,
- niewystarczająca świadomość pracowników, gdzie i w jaki sposób są przetwarzane dane w ramach dużych modeli językowych,
- brak rozróżnienia między eksperymentalnym „testowaniem” narzędzi a ich produkcyjnym użyciem w wrażliwych procesach.
W tle pojawia się również kwestia ekonomiki AI w administracji. Narzędzia takie jak ChatGPT są oferowane w modelu komercyjnym, z subskrypcjami, limitami wykorzystania i różnymi poziomami bezpieczeństwa oraz zgodności regulacyjnej. Oznacza to nie tylko koszty finansowe, ale także konsekwencje kontraktowe – od miejsca przechowywania danych, przez warunki audytu, po odpowiedzialność za incydenty. Kto w praktyce płaci za AI, jak wyglądają umowy licencyjne i jakie są ich implikacje dla biznesu oraz sektora publicznego, analizuje szczegółowo tekst o kosztach subskrypcji ChatGPT i konsekwencjach dla biznesu. Te same pytania coraz częściej muszą zadawać sobie także instytucje państwowe.
W odpowiedzi na rosnące wykorzystanie AI administracja USA pracuje nad wytycznymi i standardami, które mają uporządkować zasady korzystania z generatywnej AI w sektorze publicznym. Obejmują one zarówno kwestie techniczne (szyfrowanie, lokalizacja danych), jak i organizacyjne (polityki klasyfikacji informacji, procesy zatwierdzania nowych narzędzi, szkolenia). Praktyka jednak niejednokrotnie wyprzedza regulacje – pracownicy sięgają po dostępne rozwiązania zanim pojawią się formalne procedury. Afera w CISA może stać się impulsem do przyspieszenia tych prac i bardziej rygorystycznego egzekwowania zasad.
Poligraf a bezpieczeństwo cyfrowe: czy test na wariografie ma jeszcze sens
Drugim filarem skandalu wokół Madhu Gottumukkali jest niezaliczony test na wariografie. Poligraf to urządzenie, które podczas badania mierzy szereg parametrów fizjologicznych – tętno, ciśnienie krwi, przewodnictwo skóry, rytm oddechu – w reakcji na zadawane pytania. Założenie jest proste: kłamstwo ma generować charakterystyczną reakcję organizmu, którą można zarejestrować i zinterpretować.
W USA poligraf jest szeroko wykorzystywany w jednostkach odpowiedzialnych za bezpieczeństwo narodowe, w tym w agencjach wywiadowczych, strukturach wojskowych i instytucjach zajmujących się cyberbezpieczeństwem. Badanie poligraficzne bywa warunkiem uzyskania lub odnowienia poświadczenia bezpieczeństwa, a także elementem postępowań wyjaśniających w sytuacjach podejrzenia naruszenia procedur. Negatywny wynik sam w sobie nie jest formalnym dowodem winy, ale stanowi silny sygnał ostrzegawczy.
Od lat toczy się jednak intensywna debata na temat rzetelności poligrafu. Naukowcy wskazują, że:
- wyniki są podatne na indywidualne cechy badanego, poziom stresu i kontekst sytuacyjny,
- istnieje ryzyko zarówno fałszywie pozytywnych, jak i fałszywie negatywnych wyników,
- osoby przeszkolone w technikach kontroli własnych reakcji mogą próbować manipulować rezultatem,
- interpretacja wyników ma w sobie element subiektywny, zależny od doświadczenia egzaminatora.
Zwolenicy utrzymania poligrafu w arsenale narzędzi bezpieczeństwa argumentują, że mimo niedoskonałości jest to wartościowe narzędzie przesiewowe, które pozwala zidentyfikować sytuacje wymagające pogłębionego dochodzenia. Dla części środowiska bezpieczeństwa ważny jest również aspekt symboliczny: sama świadomość, że personel może zostać poddany badaniu na wariografie, ma działać prewencyjnie.
W erze zaawansowanych narzędzi AI, analityki behawioralnej i zautomatyzowanego monitoringu dostępu do systemów pojawia się jednak pytanie, czy poleganie na poligrafie jako kluczowym narzędziu oceny wiarygodności jest nadal adekwatne. W nowoczesnych systemach bezpieczeństwa coraz większe znaczenie mają:
- monitoring anomalii w zachowaniu użytkowników – np. nagły wzrost liczby pobieranych plików, próby dostępu do nietypowych zasobów,
- analiza wzorców logowania i korzystania z uprawnień uprzywilejowanych,
- automatyczne kontrole konfiguracji systemów i uprawnień,
- łączenie sygnałów technicznych (logi, alerty DLP) z danymi HR w celu oceny ryzyka wewnętrznego.
Przypadek Gottumukkali może przyspieszyć dyskusję w USA nad tym, jak zbalansować tradycyjne metody oceny zaufania, takie jak poligraf, z nowoczesnymi, bardziej obiektywnymi narzędziami opartymi na danych. W dyskusjach ekspertów prezentowanych m.in. przez serwisy branżowe pokroju reuters.com coraz częściej pojawia się teza, że w środowisku, w którym cyberzagrożenia są wysoko zautomatyzowane i wspierane przez AI, systemy bezpieczeństwa personelu także muszą opierać się na zaawansowanej analityce, a nie jedynie na testach z pogranicza psychofizjologii.
Lekcje dla biznesu i administracji: jak bezpiecznie korzystać z AI w środowisku o wysokim ryzyku
Afera w CISA dostarcza cennego materiału do refleksji dla wszystkich organizacji działających w środowisku o wysokim ryzyku – od administracji publicznej, przez sektor finansowy i ochrony zdrowia, po operatorów infrastruktury krytycznej w innych krajach. Kluczowy wniosek brzmi: samo wprowadzenie narzędzi AI nie rozwiązuje problemów efektywności, jeśli nie towarzyszy mu dojrzałe zarządzanie ryzykiem i kultura bezpieczeństwa.
Praktyczne zasady, które warto wdrożyć, obejmują przede wszystkim:
- Ścisłą klasyfikację danych – organizacja powinna jasno określić, jakie kategorie informacji mogą być wprowadzane do komercyjnych narzędzi AI, a jakie są bezwzględnie wyłączone (np. dane osobowe, tajemnice handlowe, informacje o bezpieczeństwie).
- „Bezpieczne strefy” do testowania chatbotów – eksperymenty z nowymi narzędziami powinny odbywać się w kontrolowanym środowisku, z użyciem danych syntetycznych lub zanonimizowanych, a nie na produkcyjnych dokumentach.
- Jasne polityki i procedury – pracownicy muszą mieć nie tylko ogólne wytyczne, ale też konkretne przykłady dozwolonego i zakazanego użycia AI, w tym instrukcje dotyczące konfiguracji prywatności i przechowywania historii rozmów.
- Regularne szkolenia – świadomość zagrożeń związanych z generatywną AI powinna być elementem szkoleń z bezpieczeństwa informacji, tak samo jak phishing czy zasady korzystania z nośników zewnętrznych.
- Testy gotowości na incydenty – organizacja powinna okresowo symulować sytuacje wycieku danych poprzez narzędzia AI i sprawdzać, jak działa łańcuch reakcji: wykrycie, raportowanie, analiza, komunikacja z interesariuszami.
Technologia jest tu tylko jednym z elementów układanki. Owszem, ważne jest stosowanie szyfrowania, segmentacji sieci, systemów DLP i rozwiązań do zarządzania tożsamością. Jednak bez kultury odpowiedzialności – w której liderzy dają przykład przestrzegania zasad, a naruszenia są konsekwentnie wyciągane na światło dzienne – nawet najlepsze narzędzia nie wystarczą.
Decyzje o wdrażaniu AI powinny uwzględniać nie tylko ryzyka bezpieczeństwa i koszty finansowe, ale także wpływ środowiskowy i reputacyjny. Debata o tym, jaki jest prawdziwy ślad węglowy AI pokazuje, że sektor publiczny i prywatny muszą myśleć o sztucznej inteligencji w sposób holistyczny – jako o technologii, która generuje zarówno nowe możliwości, jak i obciążenia, w tym klimatyczne.
Nie można też zapominać, że narzędzia AI są budowane i utrzymywane przez komercyjne podmioty. To oznacza konieczność przemyślanej polityki wyboru dostawców, negocjowania warunków subskrypcji i zarządzania ryzykiem zależności od jednego ekosystemu technologicznego. W tym kontekście warto wrócić do wątków poruszanych w analizie kto naprawdę płaci za AI i jakie są konsekwencje dla biznesu. Podobne pytania powinni zadawać sobie decydenci w administracji, w tym w obszarze bezpieczeństwa narodowego.
Dobre praktyki, które mogłyby zapobiec podobnym skandalom jak w CISA, to m.in. konsekwentne oddzielenie środowisk produkcyjnych od eksperymentalnych, obowiązkowe przeglądy korzystania z narzędzi AI przez niezależne zespoły bezpieczeństwa, włączenie ekspertów od ochrony danych do projektów wdrożeniowych oraz silniejsze powiązanie oceny menedżerów z ich odpowiedzialnością za przestrzeganie zasad bezpieczeństwa.
Co skandal w CISA mówi o przyszłości zaufania do instytucji w erze AI
Historia odwołania Madhu Gottumukkali z CISA to nie tylko opowieść o indywidualnych błędach, ale także zwierciadło szerszych napięć związanych z transformacją cyfrową państwa. Na poziomie indywidualnym pokazuje ona, jak wysokie są oczekiwania wobec liderów instytucji odpowiedzialnych za bezpieczeństwo i jak szybko zaufanie może zostać utracone, gdy pojawi się połączenie ryzyk: nieostrożne korzystanie z narzędzi AI oraz podważona wiarygodność w klasycznych testach zaufania.
Na poziomie instytucjonalnym skandal ujawnia znaczenie dojrzałych procedur i kultury bezpieczeństwa. Agencja, która ma ustalać standardy dla tysięcy podmiotów chroniących infrastrukturę krytyczną, sama musi być wzorem konsekwencji w przestrzeganiu reguł. Jeśli wewnętrzne praktyki są niespójne, cierpi nie tylko bezpieczeństwo techniczne, ale także zdolność do przekonywania innych do inwestowania w cyberodporność.
Wreszcie, na poziomie systemowym sprawa CISA ilustruje, jak delikatna jest relacja między państwem, technologią i obywatelami. Z jednej strony generatywna AI staje się naturalnym narzędziem codziennej pracy – także w administracji. Z drugiej strony staje się nowym wektorem ryzyka: błędne decyzje dotyczące jej użycia mogą prowadzić do wycieków danych, naruszeń prywatności i utraty zaufania do instytucji publicznych.
Dla opinii publicznej takie afery kształtują obraz sztucznej inteligencji: mogą wzmacniać obawy, że AI jest żywiołem wymykającym się spod kontroli, lub przeciwnie – skłaniać do refleksji, że problemem nie jest technologia sama w sobie, lecz sposób, w jaki ludzie i instytucje ją projektują, regulują i wykorzystują. Przyszłe regulacje w USA i innych krajach będą w dużej mierze odpowiedzią na tego typu kryzysy: od wytycznych dotyczących korzystania z komercyjnych modeli językowych w sektorze publicznym, po standardy audytu i odpowiedzialności kierownictwa za naruszenia zasad bezpieczeństwa.
Rola CISA jako strażnika infrastruktury krytycznej sprawia, że takie wydarzenia mają konsekwencje wykraczające poza jedną agencję. Od jakości zarządzania technologią w tego typu instytucjach zależy nie tylko odporność systemów informatycznych, ale też stabilność polityczna i gospodarcza państwa. Przypadek Gottumukkali może zostać zapamiętany jako moment, w którym dyskusja o „AI w administracji USA” przeszła z fazy entuzjastycznej fascynacji technologią do twardej rozmowy o odpowiedzialności, nadzorze i konsekwencjach błędów.
W erze AI zaufanie do instytucji publicznych będzie coraz silniej powiązane z tym, jak transparentnie zarządzają one technologią, jak uczciwie komunikują się z obywatelami w przypadku incydentów i jak konsekwentnie rozliczają swoich liderów. Afera w CISA to zajmujący, choć niepokojący, przykład, że nawet najbardziej zaawansowane instytucje są narażone na typowo ludzkie słabości – i że to właśnie sposób, w jaki reagują na własne błędy, decyduje o długoterminowym poziomie zaufania.