AI: veszélyes árnyékvilágban dolgozunk
Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára a "shadow AI".
A generatív AI-megoldások, mint a ChatGPT, a Gemini vagy a Claude, gyors és hatékony segítséget nyújtanak nemcsak a hétköznapokban, de a mindennapi munkában is, ezért sok munkavállaló önállóan kezdi el használni őket. Ez azonban komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák az AI alkalmazását.
- figyelmeztet Béres Péter, a Sicontact Kft. IT-vezetője."A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól"
A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei - a munkafolyamatok gyorsítása és tesztelési célból - belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárgáshoz vezetett. Az eset azért különösen érzékeny, mivel az adatok külső szerverekre kerültek, ahol gyakorlatilag nem volt mód azok visszaszerzésére. A vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek. A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek bizalmas adatokat tartalmaztak.
Bár hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a jelenség itthon is releváns. A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.
A Sicontact Kft. "MI a baj? mesterséges intelligencia, IT-biztonság és mentális egészség" című iparági jelentése is megerősíti, hogy a shadow AI jelenség gyorsan terjed. A vállalatok jelentős része nincs felkészülve a munkavállalók által önállóan használt mesterséges intelligencia-eszközök kezelésére. A válaszadók 75%-a szerint túl könnyelműen osztunk meg adatokat az AI-val, 63%-uk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol.
A shadow AI több szinten is veszélyt jelenthet a szervezetek számára:
- Adatszivárgás: a chatbotokban megadott üzleti információk adatszivárgáshoz vezethetnek, külső rendszerekbe kerülhetnek, ami nagy üzleti kockázat.
- Jogszabályi kockázatok: az adatok akár az EU-n kívül is tárolódhatnak, ami adatvédelmi (GDPR) problémákat vet fel.
- Hibás döntések: az AI által generált, de nem ellenőrzött tartalmak használata nemcsak félrevezető lehet, hanem emberi ellenőrzés nélkül hibás üzleti döntések meghozatalához járulhat hozzá.
- Sérülékeny kód: fejlesztési feladatoknál hibás vagy biztonsági réseket tartalmazó kódok keletkezhetnek megfelelő ellenőrzések hiányában.
- Kártékony alkalmazások: egyre több hamis AI-eszköz terjed, melyek célja gyakorta az adat- és pénzlopás.
A helyzetet tovább bonyolítja az úgynevezett autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez kapcsolódóan.
Nem tiltani kell, hanem kontrollálni
A shadow AI problémáját nem lehet egyszerű tiltással kezelni. Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani, így a kérdés az, hogy a szervezetek ezt szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább alkalmazni. A munkáltatóknak kritikus szerepük van abban, hogy az AI használatát szabályozott keretek közé tereljék a cégeiken belül. Ehhez szükséges a dolgozók képzése, hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel. Fontos, hogy az üzleti döntéseknél mindig legyen emberi ellenőrzés. Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot, hogy az AI alkalmazása átláthatóbb és biztonságosabb legyen.
- emelte ki Béres Péter."A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása"