"Árnyék AI" - ezért kockázat, ha a dolgozók használják

A generatív AI-megoldások, mint a ChatGPT, a Gemini vagy a Claude, gyors és hatékony segítséget nyújtanak nemcsak a hétköznapokban, de a mindennapi munkában is, ezért sok munkavállaló önállóan kezdi el használni őket. Ez azonban komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák ezek alkalmazását.

„A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg velük. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól” – figyelmeztet Béres Péter, az ESET termékeket forgalmazó Sicontact Kft. IT-vezetője.

Amikor a kényelem adatvédelmi kockázattá válik

A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei – a munkafolyamatok gyorsítása és tesztelési célból – belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárgáshoz vezetett. Az eset különösen érzékeny, mivel az adatok külső szerverekre kerültek, ahol gyakorlatilag nem volt mód azok visszaszerzésére és a vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek. A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek kísértetiesen emlékeztettek az Amazon saját, bizalmas adataira. 

Az ügyek jól szemléltetik, milyen könnyen bekövetkezhet adatvesztés, ha a munkavállalók ellenőrizetlenül használják az AI-eszközöket.

Bár hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a jelenség itthon is releváns.  A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.

A mesterséges intelligencia, az IT biztonság és a mentális egészség kölcsönhatását a munka világában vizsgáló kutatást készített a Sicontact Kft., amely megerősíti, hogy a shadow AI jelenség gyorsan terjed; a vállalatok jelentős része nincs felkészülve a munkavállalók által önállóan bevezetett mesterséges intelligencia-eszközök kezelésére. A kutatás szerint a válaszadók 75%-a szerint túl könnyelműen osztunk meg adatokat az AI-val, 63%-uk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol. 

Láthatatlan kockázatok a mindennapi működésben

A shadow AI több szinten is veszélyt jelenthet a szervezetek számára:

• Adatszivárgás: a chatbotokba beírt üzleti információk adatszivárgáshoz vezetnek, külső rendszerekbe kerülhetnek, ami különösen nagy üzleti kockázat

• Jogszabályi kockázatok: az adatok akár az EU-n kívül is tárolódhatnak, ami GDPR-problémákat vet fel 

• Hibás döntések: az AI által generált, de nem ellenőrzött tartalom használata nem csak félrevezető, hanem emberi ellenőrzés nélkül hibás üzleti döntések meghozatalához járulhat hozzá

• Sérülékeny kód: fejlesztési feladatoknál hibás vagy biztonsági réseket tartalmazó kód keletkezhet 

• Kártékony alkalmazások: terjednek a hamis AI-eszközök, melynek céljai az adat- és pénzlopás

A helyzetet tovább bonyolítja az úgynevezett autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez hozzáférve.

Nem tiltani kell, hanem kontrollálni

A shadow AI problémáját nem lehet tiltással kezelni. Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani, így a kérdés az, hogy a szervezetek ezt szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább terjedni. A munkáltatóknak kritikus szerepük van abban, hogy az AI használatát szabályozott keretek közé tereljék a cégen belül. Ehhez szükséges a dolgozók képzése, - hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel,-  valamint az is, hogy a fontos üzleti döntéseknél mindig legyen emberi ellenőrzés. Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot, hogy az AI alkalmazása átláthatóbb és biztonságosabb legyen. 

„A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása.” – emeli ki Béres Péter.