Árnyékban dolgozó algoritmusok: milliós bírságot hozhat a titkolt AI-használat

A mesterséges intelligencia gyors ütemű terjedése nemcsak új üzleti lehetőségeket hozott, hanem komoly kockázatokat is. Egy friss felmérés szerint a munkavállalók közel fele titokban használ AI-eszközöket a mindennapi munkájában.

Mindezt teszi a munkavállaló sokszor úgy, hogy sem az informatikai, sem a jogi osztály nem tud róla. Ez a jelenség, amelyet szaknyelven „shadow AI”-nak – árnyék MI-nek – neveznek, rövid időn belül az egyik legsúlyosabb vállalati kockázattá válhat - számol be cikkében a 24.hu.

A shadow AI minden olyan mesterségesintelligencia-eszközt jelent, amelyet a dolgozók engedély nélkül, saját kezdeményezésre vetnek be:

• egy marketinges nyilvános chatbotot használ kampányszöveghez,
• egy fejlesztő generatív kódgenerátort próbál ki,
• egy pénzügyes online AI-táblázatkezelőt alkalmaz a belső adatok feldolgozására,
• vagy egy HR-es önéletrajzokat szűr nyílt platformon.

A közös bennük: semmilyen belső nyilvántartásban nem szerepelnek, és a cégnek nincs rálátása arra, hogy pontosan milyen adatok, milyen környezetben kerülnek feldolgozásra.

Bírság euróban, reputációs kár forintban

Dr. Kopasz János, a Taylor Wessing ügyvédi iroda adatvédelmi és AI-szabályozási szakértője a 24.hu oldalnak nyilatkozva elmondta, hogy a kockázat messze túlmutat a technológiai kérdéseken. Ha egy vállalat nem tudja igazolni, hogy az AI-használat jogszerű és megfelel az uniós előírásoknak, az adatvédelmi hatóság több tízmillió eurós bírságot is kiszabhat a GDPR vagy az AI Act megsértése miatt. Ez ráadásul nemcsak pénzügyi teher, hanem reputációs csapás is lehet, amely évekre megtörheti a vállalat hitelességét.

„Sokan azzal védekeznek, hogy a modern AI-platformoknál beállítható: a bevitt adatok nem kerülnek be a modell tanításába. Ez azonban csak részmegoldás. Nem orvosolja a feldolgozás jogalapjának hiányát, az adattovábbítás EU-n kívülre történő kockázatát, a jogosulatlan hozzáférések veszélyét vagy az auditálhatóság teljes hiányát” – figyelmeztet Kopasz.

A kiberbiztonság és a know-how szivárgása

A shadow AI nemcsak adatvédelmi, hanem kiberbiztonsági és szellemi tulajdonvédelmi szempontból is veszélyes. Egy nyílt AI-platformra feltöltött belső fejlesztési dokumentum, ügyféladat vagy pénzügyi tábla nemcsak illetéktelen kezekbe kerülhet, hanem később tréningadatként is felhasználódhat. Az AI-modellek így „tanulhatnak” a vállalat saját know-how-jából, amely akár versenytársakhoz is visszaszivároghat.

Ráadásul a felügyelet nélküli AI-használat új támadási felületet nyit: egy sebezhető API-kapcsolaton keresztül könnyen bekövetkezhet adatszivárgás, rosszindulatú kód bejuttatása vagy akár phishing-támadás. Ha mindez a dolgozó privát fiókján keresztül történik, a vállalat teljes kontroll nélkül marad.

Tiltás helyett szabályozott integráció

A szakértők szerint a tiltás nem működik: az AI annyira hasznos eszközzé vált, hogy a dolgozók akkor is használni fogják, ha hivatalosan tilos. A megoldás a szabályozott integráció, vagyis olyan keretrendszer kialakítása, amely egyszerre garantálja a biztonságot és lehetővé teszi az üzleti előnyök kiaknázását.

• AI-használati szabályzat (AI AUP): világos útmutató arról, milyen adattípusok nem vihetők be, és mik a jó gyakorlatok.
• Adatvédelmi hatásvizsgálat (DPIA): a magas kockázatú eseteknél kötelező, kiterjed a hozzáférés-kezelésre és az adattovábbítás útvonalaira.
• Belső adatfolyamok feltérképezése: hogy minden ponton látható legyen, hova kerülhetnek az adatok.
• Szerződéses garanciák frissítése: beszállítók és partnerek AI-használatát is szabályozni kell.
• Kulcselem a képzés is: 2025 februárjától az AI Act minden szervezet számára kötelezővé teszi, hogy megfelelő AI-jártasságot biztosítson dolgozóinak. Ez nem csupán alapfogalmak elsajátítását jelenti, hanem konkrét adatbiztonsági protokollokat és promptolási technikákat is.

A technikai kontrollok sem hiányozhatnak: vállalati AI-fiókok, Data Loss Prevention (DLP) és Cloud Access Security Broker (CASB) rendszerek, valamint folyamatos kiberbiztonsági monitorozás biztosítják, hogy az AI-használat auditálható és védett legyen.

• AI
• mesterséges intelligencia
• Vállalat
• bírság