Kiberbiztonság és jogi korlátok: Így épül a golyóálló AI-stratégia

|

Dr. Vécsey Richárd Ádám
Egy digitális agy hologram, 'AI' és 'Cyber Attack' feliratokkal, egy laptop felett. A kép a mesterséges intelligencia (AI) kiberbiztonságának fontosságát illusztrálja a 'Protected' és 'Failed' státuszjelzésekkel.

Egyszer egy baráti összejövetelen szóba kerültek az éttermek és a nagyon finom fogások. Többen megállapítottuk, sokszor volt már részünk olyan élményben, amikor legszívesebben elkértük volna a receptet a séftől. Persze hiába ismerném a titkos összetevőket, személy szerint én nem tudnám elkészíteni ugyanazt a minőségű ételt. Egy nem megfelelően védett AI azonban olyan, mint a fecsegő szakács, aki nem egy találó mondattal hárítja el a kérdést, hanem kihozza nekünk a szakácskönyvet. Sőt, az is lehet, hogy eljön velünk haza, és megfőzi otthon a konyhában. Ebből a cikkből kiderül, mit kell tenni azért, hogy az ügyfelek elégedettsége mellett a cég is védett legyen, hiszen mindez már nemcsak technológiai kérdés, hanem a kiberbiztonság alapvető része is.

Miért a kiberbiztonság az egyik legfontosabb eleme a sikeres AI-stratégiában?

Amikor egy AI-rendszer bevezetésén gondolkodunk, alapvetően háromféle megoldásból választhatunk.

  1. Saját betanítás esetén a teljes rendszert mi építjük fel a céges adatokból. Előnye, hogy teljesen a cégre szabott lesz a megoldás, hátránya a költség és az idő.
  2. Továbbtanítás esetén egy létező megoldást kell a céges adatokkal finomhangolni. Ehhez sokkal kevesebb adat elegendő, így általában olcsóbb és gyorsabb a megoldás.
  3. RAG-megoldásnál az információkat egy külső tudástárból olvassa ki az AI. Nem szükséges “megtanulnia” az adatokat, elegendő a valós idejű hozzáférés. Ez a leggyorsabb bevezetési idejű megoldás, amely könnyen karbantartható, de nagy figyelmet igényel az adatok megfelelő rendszerezése.

Mindhárom megoldás esetén céges adatokhoz fér hozzá az AI, amelyeket védeni kell az illetéktelen felhasználástól. Egy rosszul konfigurált rendszer esetén az adatok könnyen kiszivároghatnak. Ha pedig az AI-rendszernek különböző jogosultságokat adunk a céges belső rendszerekhez, akkor komoly károkat is okozhatnak, vírusos fájlok letöltésén át jelszavak kiadásáig, ahogyan arra a The Guardian cikke is rámutat.

Hogyan veszélyezteti a kontrollálatlan kiberbiztonság a vállalati adatvagyont?

Az első és legszembetűnőbb jelenség a shadow AI, vagyis a rejtett, kontrollálatlan AI-használat, amikor például céges pénzügyi kimutatásokat, programkódokat vagy ügyféladatokat engedély nélkül töltenek fel az alkalmazottak a felhőbe. Ez utóbbi önmagában egy jelentős pénzbírság alapja lehet, a cég elveszítheti a hitelességét, és még a versenyelőnyét is, amikor az új modellbe már bekerülnek az érzékeny céges adatok.

AI robot egy CRM-szerű adatfelületet vizsgál, körülötte adatvédelmi és kiberbiztonsági ikonokkal (lakat, ujjlenyomat, jelszó). Az illusztráció az AI adatbázis-hozzáféréséből adódó biztonsági sebezhetőségeket szemlélteti.

Ha az AI közvetlen adatbázis-hozzáféréssel rendelkezik, mert például egy CRM-rendszeren keresztül ügyfélkapcsolati feladatokat lát el, akkor egy támadó könnyedén kihasználhatja az AI sebezhetőségeit és feltörheti vele a céges adatbázist.

Amennyiben az AI döntést is hozhat, például azon keresztül megköthető egy szerződés, akkor egy támadó arcpirítóan szemtelen ajánlatokat készíthet saját magának. A módszer neve, amellyel ezt eléri a támadó, a prompt injection. Elsőre vicces lehet olvasni arról, amikor egy ügyfél egy dolláros ajánlatot kap egy Chevrolet terepjáróra. A The Wall Street Journal cikke szerint is a dinamikus árazás és a személyre szabott ajánlatok készítése az AI számára rutinfeladat, amennyiben a megfelelő technológiát használjuk.

Milyen jogi korlátok és kiberbiztonsági előírások mentén kell felépíteni az AI-stratégiát?

Az elmúlt évek a folyamatos jogszabályi megfelelésektől voltak hangosak a GDPR-tól kezdve a mesterséges intelligencia rendeleten keresztül a NIS2-ig. Ezek meghatározzák a külső kereteket, amelyeket kiegészítenek a céges belső szabályzatok. A technológia itt összeér a jogi világgal, mert az AI-stratégiának három szempontnak kell egyszerre megfelelnie.

  1. Védje a cég adatvagyonát.
  2. Védje a felhasználók, üzleti partnerek adatait.
  3. Védje a cég informatikai rendszerét.

A szabályozás szintjén el kell különíteni a rendszer betanítását a mindennapi használattól. Az AI-stratégiának egyértelműen ki kell jelölnie az AI által felhasznált adatok körét, azok célját, az adatfeldolgozás módját, valamint az adatokhoz és a modellekhez hozzáféréssel rendelkező személyeket. Amennyiben előfizetéses rendszerben használunk például egy nagy nyelvi modellt, érdemes a szerződés apróbetűs részeit áttanulmányozni, hogy az adatok mindvégig a saját birtokunkban maradjanak, mert utólag már nem sok mindent lehet tenni.

Melyek a golyóálló architektúra pillérei, ha a fókuszban a kiberbiztonság áll?

Az első lépés a zero trust architektúra. Ez a gyakorlatban azt jelenti, hogy a bizalmat nem feltételezzük, hanem igazoljuk. Sosem bízunk meg teljesen az AI-folyamatokban, hanem minden egyes lépést ellenőrizni és hitelesíteni szükséges.

Az adatokat csak biztonságos, titkosítással és erős jelszavakkal ellátott csatornákon keresztül szabad mozgatni vagy tárolni.

Kiberbiztonsági infografika a Zero Trust (zéró bizalom) modellről. A központi pajzs ikon körül hat kulcsfontosságú terület jelenik meg: monitorozás, jogosultságkezelés, hitelesítés, adatvédelem, folyamatos ellenőrzés és szegmentáció. Az illusztráció kék tónusú, digitális áramköröket és biztonsági szimbólumokat használ.

Az AI-rendszereknek a minimálisan szükséges és elégséges jogokkal szükséges rendelkezniük. Az nem jó megoldás, ha minden jogosultságot átadunk, hátha egyszer szükség lesz rá. Például ha egy alrendszer csak lekérdezést végez, nem szabad, hogy írási jogosultsággal is rendelkezzen, különben ez egy plusz támadási felületet jelent.

Ahol lehetséges, az adatokat érdemes anonimizálni. Ha a döntéshez nincs szükség az egyedi azonosításra, akkor az csak felesleges kockázatot jelent. A kockázat nem csak adatszivárgás lehet, hanem egy ajánlat is megváltozhat a modell esetleges előítéletessége miatt.

Az AI válaszait mindig szükséges ellenőrizni. Ez nem jelenti azt, hogy egy embernek kell ezt a folyamatot elvégeznie, de a rendszerben kell lennie akár egy automatizált lépésnek, amely biztonsági gátként funkcionál.

Milyen lépésekből áll a vezetői checklist az AI bevezetésekor?

A listák egyik előnye, hogy egyszerűen ellenőrizhető minden egyes elem megléte. Hátrányuk, hogy a könnyű kezelhetőség miatt túl általánosak. Nincs ez másként az alábbi, hét elemből álló ellenőrzőlistával sem. Arra azonban tökéletes, hogy a vezető átlássa az elvégzendő feladatokat:

  1. Leltár készítése arról, hogy milyen AI-eszközök vannak használatban a cégnél, illetve miket terveznek használni. Ide sorolandó a rejtett AI használat is, vagyis az alkalmazottak saját megoldásai is.
  2. Belső AI-szabályok kidolgozása és kommunikálása a munkavállalók felé.
  3. Kockázatelemzés elvégzése minden egyes use-case esetén.
  4. A belső céges folyamatok frissítése kiberbiztonsági követelményekkel, például az AI-felhasználók jogosultságainak kezelése.
  5. Munkavállalói képzés arról, hogyan használják biztonságosan és etikusan az AI-t.
  6. Incidenskezelési terv adaptálása AI-specifikus eseményekre.
  7. Az AI-stratégia rendszeres felülvizsgálata annak érdekében, hogy az igazodjon az új technikai és jogi változásokhoz.
Egy nő egy checklistát tartva a kezében leltárt készít, hogy milyen lépésekből áll a vezetői checklist az AI bevezetésekor.

A lista egyes elemeihez más és más területről érkező szakértőkre lehet szükség. A munka egy része AI szakértőt kíván, másik része a kiberbiztonságra specializálódott szakemberek bevonásával tud elkészülni, természetesen a jogászi vagy a HR feladatok mellett.

Miért válik a kiberbiztonság a fenntartható AI-stratégia alapjává?

Amikor kiberbiztonságról beszélünk, akkor az AI egy teljesen új, önálló területként jelenik meg a folyamatokban. A korábbi támadási kísérletek egy része ugyanis már AI segítségével is elvégezhető. Ezen felül az AI-rendszerek új támadási felületet is jelentenek. A kiberbiztonsági szakértőknek fel kell készíteniük az ezeket használó cégeket ezekre a kihívásokra.

A céges belső információk és üzleti titkok már nem csak úgy kerülhetnek a konkurencia birtokába, hogy feltöri az adatbázist, ipari kémkedéssel megszerzi, lefénymásolja vagy kicsalja az alkalmazottaktól. Egy rosszul konfigurált AI-alapú chatbottal beszélgetve a virtuális asszisztens önmaga képes elfecsegni az érzékeny információkat. A bevezetőben szereplő példával élve, az ilyen chatbot az a szakács, aki nemcsak leírja nekünk a titkos összetevőket, hanem részletes útmutatást is ad az elkészítéshez.

Összegzés

Jelenleg az AI-alapú fejlesztésekhez kötődő biztonsági intézkedések megvalósításáért általában a céges belső informatikusok és rendszergazdák a felelősek. Ezek a rendszerek azonban olyan új kihívásokat jelentenek, amelyek külsős szakértők bevonását teszik szükségessé. Ideális esetben ezek a szakértők egy olyan csapat részei, akik nagyon hatékonyan tudnak együtt dolgozni. A Rendszerinformatika szakértői csapata például hidat képez az IT-biztonság, a jog és a mesterséges intelligencia között, garantálva a zökkenőmentes implementációt. Mi egyszerre adjuk az AI-stratégiához a Michelin-csillagos séfet, a szakképzett felszolgálót és a biztonsági őrt is, aki figyeli, hogy a vendég a legjobb kiszolgálást kapja, miközben a titkos recept védve van.

Egy fejlesztés során mindig olcsóbb, ha a biztonságot már a tervezéskor szem előtt tartjuk. Így a végeredmény nem csak biztonságosabb, hanem jobban skálázható is lesz. Megfelelő belső szabályozással pedig egy jogszabályi szigorítás is sokkal könnyebben kezelhető. Mindezeken túl, a biztonságos AI egyre nagyobb érték lesz az ügyfelek felé. Az AI-alapú chatbotok elterjedésével ugyanis a közeljövőben jelentősen megnőnek majd azok a biztonsági incidensek, amelyek az AI-rendszerekhez kötődnek vagy azoknak lesznek köszönhetők. Egy ilyen környezetben a biztonság tényleges piaci előnyt jelent majd.

Dr. Vécsey Richárd Ádám
jogász, AI fejlesztő

( * kötelező mező )
Mindkét hozzájárulás szükséges, hogy felvehessük veled a kapcsolatot a megkeresésed kapcsán!
– Szolgáltatásaink csak cégek és gazdasági társaságok számára elérhetőek –

További cikkeink

Ezeket olvastad már?

Kapcsolódó szolgáltatásaink

A Tovább gombra kattintva új ablakban nyílik meg az ügyfélportálunk.

Meglévő ügyfélként itt intézheti adminisztratív és technikai támogatással kapcsolatos ügyeit.

Mégse
Tovább

Köszönjük érdeklődését!

Meglévő szerződéssel vagy szolgáltatással kapcsolatos megkereséshez
kérjük kattintson ide!

Érdeklődésének tárgyát kérjük válassza ki a lenyitható listából!

( * kötelező mező )
Mindkét hozzájárulás szükséges, hogy felvehessük a kapcsolatot a megkeresés kapcsán!

– Szolgáltatásaink csak cégek és gazdasági társaságok számára elérhetőek –