A „shadow AI" – az alkalmazottak cégen belüli, ellenőrizetlen mesterséges intelligencia-használata – egyre komolyabb, de gyakran láthatatlan kockázatot jelent a vállalatoknak, és a jelenség Magyarországon is rohamosan terjed. A ChatGPT, a Gemini vagy a Claude gyors és hatékony segítséget nyújt a mindennapi munkában, így sok munkavállaló önállóan kezdi el használni őket – ami komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák az alkalmazásukat.
„A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg velük. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól" – figyelmeztet Béres Péter, az ESET termépeket forgalmazó Sicontact Kft. IT-vezetője.
Amikor a kényelem adatvédelmi kockázattá válik
A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be tesztelési célból, ami adatszivárgáshoz vezetett. Az adatok külső szerverekre kerültek, ahol nem volt mód azok visszaszerzésére, és a vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek. A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek a cég saját, bizalmas adataira emlékeztettek.
A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat. A Sicontact Kft. kutatást készített, amely a mesterséges intelligenciát, az IT-biztonságot és a mentális egészséget vizsgálja együttesen vállalati környezetben. A felmérés eredményeit az ingyenesen letölthető „MI a baj? mesterséges intelligencia, IT-biztonság és mentális egészség" című riport foglalja össze.
A kutatás szerint a válaszadók 75%-a úgy véli, túl könnyelműen osztunk meg adatokat az AI-val, 63%-uk pedig úgy gondolja, hogy az emberek túlságosan megbíznak abban, amit az AI javasol.
Láthatatlan kockázatok a mindennapi működésben
A shadow AI több szinten is veszélyt jelenthet a szervezetek számára:
- Adatszivárgás: a chatbotokba beírt üzleti információk külső rendszerekbe kerülhetnek, ami különösen nagy üzleti kockázat
- Jogszabályi kockázatok: az adatok akár az EU-n kívül is tárolódhatnak, ami GDPR-problémákat vet fel
- Hibás döntések: az AI által generált, nem ellenőrzött tartalom használata hibás üzleti döntésekhez vezethet
- Sérülékeny kód: fejlesztési feladatoknál hibás vagy biztonsági réseket tartalmazó kód keletkezhet
- Kártékony alkalmazások: terjednek a hamis AI-eszközök, amelyek adat- és pénzlopásra irányulnak
A helyzetet tovább bonyolítja az autonóm AI-ügynökök megjelenése, amelyek önállóan képesek feladatokat végrehajtani, akár érzékeny rendszerekhez hozzáférve.
Nem tiltani kell, hanem kontrollálni
Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani – a kérdés az, hogy a szervezetek szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább terjedni. Szükséges a dolgozók képzése, hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel, valamint az is, hogy a fontos üzleti döntéseknél mindig legyen emberi ellenőrzés. Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot.
"A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása." – emeli ki Béres Péter.
Az AI a következő évek üzleti növekedésének egyik motorja lehet, de új típusú kockázatokat is hoz magával. Azok a vállalatok lesznek versenyelőnyben, amelyek képesek egyszerre támogatni az innovációt és biztosítani az adatok védelmét.