AI: veszélyes árnyékvilágban dolgozunk

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára a "shadow AI".
 

A generatív AI-megoldások, mint a ChatGPT, a Gemini vagy a Claude, gyors és hatékony segítséget nyújtanak nemcsak a hétköznapokban, de a mindennapi munkában is, ezért sok munkavállaló önállóan kezdi el használni őket. Ez azonban komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák az AI alkalmazását.
 

"A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól"

- figyelmeztet Béres Péter, a Sicontact Kft. IT-vezetője.
 
A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei - a munkafolyamatok gyorsítása és tesztelési célból - belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárgáshoz vezetett. Az eset azért különösen érzékeny, mivel az adatok külső szerverekre kerültek, ahol gyakorlatilag nem volt mód azok visszaszerzésére. A vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek. A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek bizalmas adatokat tartalmaztak.
 
Bár hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a jelenség itthon is releváns. A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.
 
A Sicontact Kft. "MI a baj? mesterséges intelligencia, IT-biztonság és mentális egészség" című iparági jelentése is megerősíti, hogy a shadow AI jelenség gyorsan terjed. A vállalatok jelentős része nincs felkészülve a munkavállalók által önállóan használt mesterséges intelligencia-eszközök kezelésére. A válaszadók 75%-a szerint túl könnyelműen osztunk meg adatokat az AI-val, 63%-uk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol.
 
A shadow AI több szinten is veszélyt jelenthet a szervezetek számára:
  • Adatszivárgás: a chatbotokban megadott üzleti információk adatszivárgáshoz vezethetnek, külső rendszerekbe kerülhetnek, ami nagy üzleti kockázat.
  • Jogszabályi kockázatok: az adatok akár az EU-n kívül is tárolódhatnak, ami adatvédelmi (GDPR) problémákat vet fel.
  • Hibás döntések: az AI által generált, de nem ellenőrzött tartalmak használata nemcsak félrevezető lehet, hanem emberi ellenőrzés nélkül hibás üzleti döntések meghozatalához járulhat hozzá.
  • Sérülékeny kód: fejlesztési feladatoknál hibás vagy biztonsági réseket tartalmazó kódok keletkezhetnek megfelelő ellenőrzések hiányában.
  • Kártékony alkalmazások: egyre több hamis AI-eszköz terjed, melyek célja gyakorta az adat- és pénzlopás.
 
A helyzetet tovább bonyolítja az úgynevezett autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez kapcsolódóan.
 
Nem tiltani kell, hanem kontrollálni
 
A shadow AI problémáját nem lehet egyszerű tiltással kezelni. Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani, így a kérdés az, hogy a szervezetek ezt szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább alkalmazni. A munkáltatóknak kritikus szerepük van abban, hogy az AI használatát szabályozott keretek közé tereljék a cégeiken belül. Ehhez szükséges a dolgozók képzése, hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel. Fontos, hogy az üzleti döntéseknél mindig legyen emberi ellenőrzés. Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot, hogy az AI alkalmazása átláthatóbb és biztonságosabb legyen.
 

"A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása"

- emelte ki Béres Péter.