A generatív AI-megoldások, mint a ChatGPT, a Gemini vagy a Claude, gyors és hatékony segítséget nyújtanak nemcsak a hétköznapokban, de a mindennapi munkában is, ezért sok munkavállaló önállóan kezdi el használni őket. Ez azonban komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák ezek alkalmazását.

 

„A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg velük. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól” – figyelmeztet Béres Péter, az ESET termékeket forgalmazó Sicontact Kft. IT-vezetője.
 

Amikor a kényelem adatvédelmi kockázattá válik

 

A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei – a munkafolyamatok gyorsítása és tesztelési célból – belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárgáshoz vezetett. Az eset különösen érzékeny, mivel az adatok külső szerverekre kerültek, ahol gyakorlatilag nem volt mód azok visszaszerzésére és a vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek. A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek kísértetiesen emlékeztettek az Amazon saját, bizalmas adataira. 
 

Az ügyek jól szemléltetik, milyen könnyen bekövetkezhet adatvesztés, ha a munkavállalók ellenőrizetlenül használják az AI-eszközöket.

 

Bár hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a jelenség itthon is releváns.  A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.

 

 

Éppen ezért, úttörő kutatást készített az ESET termékek hazai forgalmazója, a Sicontact Kft.: egy eddig vizsgálatlan, mégis égető témát térképeztek fel vállalati környezetben, amely elsőként kapcsolja össze a mesterséges intelligenciát, az IT-biztonságot és a mentális egészséget. Korábban még senki sem vizsgálta e három kulcsfontosságú terület kölcsönhatását a munka világában, így a kutatás hiánypótló eredményekkel szolgál.

 

Az ingyenesen letölthető felmérés eredményeit összefoglaló MI a baj? mesterséges intelligencia, IT-biztonság és mentális egészség című iparági riport is megerősíti, hogy a shadow AI jelenség gyorsan terjed; a vállalatok jelentős része nincs felkészülve a munkavállalók által önállóan bevezetett mesterséges intelligencia-eszközök kezelésére. A kutatás szerint a válaszadók 75%-a szerint túl könnyelműen osztunk meg adatokat az AI-val, 63%-uk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol. 
 

Láthatatlan kockázatok a mindennapi működésben

 

A shadow AI több szinten is veszélyt jelenthet a szervezetek számára:

 

• Adatszivárgás: a chatbotokba beírt üzleti információk adatszivárgáshoz vezetnek, külső rendszerekbe kerülhetnek, ami különösen nagy üzleti kockázat

 

• Jogszabályi kockázatok: az adatok akár az EU-n kívül is tárolódhatnak, ami GDPR-problémákat vet fel 

 

• Hibás döntések: az AI által generált, de nem ellenőrzött tartalom használata nem csak félrevezető, hanem emberi ellenőrzés nélkül hibás üzleti döntések meghozatalához járulhat hozzá

 

• Sérülékeny kód: fejlesztési feladatoknál hibás vagy biztonsági réseket tartalmazó kód keletkezhet 

 

• Kártékony alkalmazások: terjednek a hamis AI-eszközök, melynek céljai az adat- és pénzlopás

 

A helyzetet tovább bonyolítja az úgynevezett autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez hozzáférve.

 

Nem tiltani kell, hanem kontrollálni

A shadow AI problémáját nem lehet tiltással kezelni. Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani, így a kérdés az, hogy a szervezetek ezt szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább terjedni. A munkáltatóknak kritikus szerepük van abban, hogy az AI használatát szabályozott keretek közé tereljék a cégen belül. Ehhez szükséges a dolgozók képzése, – hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel, – valamint az is, hogy a fontos üzleti döntéseknél mindig legyen emberi ellenőrzés. Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot, hogy az AI alkalmazása átláthatóbb és biztonságosabb legyen. 
 

„A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása.” – emeli ki Béres Péter, a Sicontact Kft. IT-vezetője.  

 

Az AI a jövő, de egyáltalán nem mindegy, hogyan használjuk

A mesterséges intelligencia a következő évek üzleti növekedésének egyik motorja lehet, ugyanakkor új típusú kockázatokat is hoz magával. Azok a vállalatok lesznek versenyelőnyben, amelyek képesek egyszerre támogatni az innovációt és biztosítani az adatok védelmét.

 

English Summary

The article discusses the growing risk of "shadow AI," which refers to employees using AI tools such as ChatGPT, Gemini, or Claude without company oversight. While these tools improve productivity, they can also lead to serious data security and privacy issues when sensitive business information is shared with external AI systems. High-profile cases involving Samsung and Amazon show how uncontrolled AI use can result in data leaks and loss of corporate control over confidential information. A recent Hungarian study by Sicontact and ESET found that many companies are not prepared to manage employee-driven AI adoption, and most respondents believe people share data with AI too carelessly and trust AI outputs too much. The report highlights risks including data leakage, GDPR compliance problems, faulty business decisions, vulnerable code generation, and malicious AI applications. Experts argue that companies should not ban AI, but instead create clear policies, provide employee training, and implement technical controls to ensure AI is used safely and transparently.