Láthatatlan kockázat a cégeknek, ha a dolgozók nem ellenőrzött mesterséges intelligenciát használnak
Vállalkozás
Gyakran láthatatlan kockázat a magyar vállalatok számára is ha az alkalmazottak shadow AI-t (árnyék AI - nem ellenőrzött mesterséges intelligencia) használnak a cégen belül: jóllehet a kiberbiztonsággal foglalkozó ESET elemzése szerint a generatív megoldások, mint a ChatGPT, a Gemini vagy a Claude gyors és hatékony segítséget nyújtanak a mindennapi munkában, jelentős biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák alkalmazásukat.
Az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója, az ESET közleménye szerint a kockázat nem elméleti: 2023-ban a Samsung mérnökei - a munkafolyamatok gyorsítása és tesztelési céljából - belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárgáshoz vezetett. Az adatok külső szerverekre kerültek, ahonnan nem tudták visszaszerezni és a vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmakat eltávolítsák.
A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát.
Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek kísértetiesen emlékeztettek az Amazon saját, bizalmas adataira.(Az árnyék AI mesterséges intelligencia eszközök, chatbotok vagy automatizált rendszerek használata a vállalat vagy szervezet informatikai és biztonsági csapatainak tudta vagy jóváhagyása nélkül. Mivel megkerüli a hivatalos irányítást, jelentős kockázat az adatszivárgás, a megfelelőségi szabályok megsértése és a jogosulatlan hozzáférés szempontjából.)
A közlemény idézi Béres Péter, az ESET termékeket forgalmazó Sicontact Kft. IT-vezetőjét, aki elmondta:
a shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg, ezért üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól.
Hozzátette: a kockázatokat növeli az úgynevezett autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez hozzáférve.
Bár a közlemény szerint hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a kockázatot ez nem csökkenti, mert miközben
a magyar vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.
A Sicontact Kft. felmérése szerint a shadow AI gyorsan terjed, a válaszadók 75 százaléka szerint azonban az emberek túl könnyelműen osztanak meg adatokat az AI-val, 63 százalékuk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol.
A mesterséges intelligencia, az IT-biztonság és a mentális egészség összefüggéseit vizsgáló iparági riportban Béres Péter kiemelte:
az AI vállalati használatát már nem lehet megtiltani, csak biztonságos keretek közé kell terelni, amihez világos irányelvekre, képzésre és megfelelő technológiai kontrollokra van szükség,
kulcsfontosságú az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása.
Az ESET kiberbiztonsági szakértői közölték,
a shadow AI több szinten is veszélyt jelenthet a szervezetek
számára: így például a chatbotokba beírt üzleti információk adatszivárgáshoz vezetnek, külső rendszerekbe kerülhetnek, ami különösen nagy üzleti kockázat; az adatok az Európai Unión kívül is tárolódhatnak, ami GDPR-problémákat (General Data Protection Regulation, általános adatvédelmi rendelet) okozhat; az AI által létrehozott tartalom hibás is lehet, így ennek használata emberi ellenőrzés nélkül rossz üzleti döntéseket generálhat, ráadásul a hamis AI-eszközök adatokat és pénzt is lophatnak felhasználótól és a vállalattól.
Az iparági riport adatfelvétele 2025 novemberében zajlott, a Medián Közvélemény- és Piackutató Intézet hatszáz, 18 évesnél idősebb magyar munkavállalót reprezentáló mintán, telefonos (CATI) adatfelvétellel végezte, illetve 18 szakértői mélyinterjút is készítettek.
