Biztos jó ötlet tiltani az AI használatot a munka közben? Ideje észhez térni a cégeknek

A „Shadow AI” – magyarul árnyék MI – minden olyan mesterséges intelligencia-eszköz vállalati használatát jelenti, amely kívül esik a hivatalosan jóváhagyott, IT- és jogi kontroll alatt álló rendszereken. Ide tartozik például, ha egy marketinges nyilvános AI-chatbotot vet be kampányszöveg írására, egy fejlesztő generatív AI-t használ kódrészletek előállításához, egy pénzügyes online AI-táblázatkezelővel dolgozza fel a belső adatokat, vagy egy HR-es nyílt AI-eszközzel szűri az önéletrajzokat – mindezt úgy, hogy erről sem az informatikai, sem a jogi részlegnek nincs tudomása.

Az ilyen gyakorlat jellemzően semmilyen belső nyilvántartásban nem jelenik meg, így egy adatvédelmi incidens vagy hatósági vizsgálat esetén a vállalat könnyen patthelyzetbe kerülhet: nem tudja igazolni, hogy a feldolgozás jogszerű volt, és hogy az alkalmazott AI-eszköz megfelelt az uniós előírásoknak.

Sokan azzal érvelnek, hogy a legtöbb generatív AI-platformon ma már beállítható: a bevitt adatok ne kerüljenek be a tanítóadatbázisba. Ez valóban mérsékli a modellképzés kockázatát, de nem oldja meg azokat a jogi és IT-biztonsági problémákat, amelyek az adattovábbítással, a feldolgozás jogalapjával, a hozzáférés-korlátozással vagy az AI Act átláthatósági és emberi felügyeleti előírásaival kapcsolatosak. Opt-out mellett is fennáll például az adat EU-n kívüli feldolgozásának veszélye, a célhoz kötöttség sérülése, a jogosulatlan hozzáférés kockázata, valamint az auditnyom hiánya

– hangsúlyozza Dr. Kopasz János. A kockázatok azonban túlmutatnak az adatvédelmen. Bizalmas céges információk kerülhetnek nyílt AI-platformokra, harmadik országba, ellenőrizetlen garanciák mellett. Kibervédelmi szempontból a felügyelet nélküli AI-használat új támadási felületet nyit: a platformok sérülékenységein, API-kapcsolatain keresztül adatszivárgás, rosszindulatú kód vagy phishing-támadás is bekövetkezhet. Szellemi tulajdon szempontjából is veszélyes, ha belső know-how vagy ügyféladat AI-modellekbe jut, mivel később tanítóadatként újra felhasználható lehet. Ha a munkavállalók saját privát fiókjukkal használnak nem engedélyezett AI-eszközöket, a céges kontroll teljesen megszűnik, és a vállalat semmilyen módon nem tudja biztosítani a jogi és biztonsági követelményeknek való megfelelést.

A megoldás nem a tiltás, hanem a szabályozott integráció, amely egyszerre biztosítja az átlátható és biztonságos AI-használatot, miközben lehetővé teszi az üzleti előnyök kiaknázását. Ez a gyakorlatban egy több elemből álló keretrendszert jelent. Első lépésként világos, részletes AI-használati szabályzatot (AI Acceptable Use Policy – AI AUP) kell kialakítani, amely nemcsak felsorolja, milyen adattípusok bevitele tilos, hanem konkrét példákkal is szemlélteti a biztonságos és jogszerű gyakorlatot, valamint rögzíti az új AI-eszközök jóváhagyási folyamatát. A magas kockázatú eseteknél kötelező adatvédelmi hatásvizsgálatot (DPIA) kell végezni, amely kiterjed az adattovábbítási útvonalakra, a hozzáférés-kezelésre, valamint az AI Act szerinti emberi felügyeleti és átláthatósági követelményekre. Lényeges a belső adatfolyamok feltérképezése és a beszállítói szerződések frissítése is, hogy az AI-használat szerződéses szinten is megfeleljen az adatbiztonsági elvárásoknak.

Kulcsszerepe van a célzott, gyakorlati AI-képzésnek is, amely nem áll meg az alapfogalmaknál, hanem konkrét promptolási technikákat, adatbiztonsági szempontokat és jogi korlátokat is bemutat. Ez nemcsak best practice, hanem 2025. februárjától az AI Act értelmében minden, AI-t használó szervezet számára kötelezettség, hogy megfelelő AI-jártasságot (AI literacy) biztosítson a munkatársainak. A technikai és biztonsági kontrollok bevezetése szintén elengedhetetlen: vállalati AI-fiókokkal biztosítható a hozzáférések kezelése és a naplózás, míg a Data Loss Prevention (DLP) és a Cloud Access Security Broker (CASB) megoldások a kimenő adatok szűrését végzik. Ezeket kiberbiztonsági monitorozás egészíti ki, amely folyamatosan figyeli a platformok sérülékenységeit és az API-kapcsolatok biztonságát.

„Ez a jelenség már most itt van, és azonnali intézkedést kíván – senkit ne tévesszen meg az AI Act fokozatos hatályba lépése. Az AI akkor válhat valódi üzleti erőforrássá, ha szabályozottan és átláthatóan használjuk, nem pedig ellenőrizetlen, rejtett csatornákon keresztül” – figyelmeztet Dr. Kopasz János.